Urteil: Keine UWG Abmahnungen wegen DS GVO

Was ist passiert ?

Der IDO Verband klagte vor Gericht auf  Unterlassung des Verstoßes der Vorschriften des TMG und hilfsweise der DSGVO, gegen einen Unternehmer das in seinem Webangeboten und auf Ebay keinen Datenschutzhinweis ausgeführt hatte. Der IDO ist ein Unternehmerverband mit (Stand heute) rund 2.600 Mitgliedern

Vom Landgericht Stuttgart (eine schreckliche Webseite 🙂 ) wurde dazu am 20.5.2019 entschieden, daß es für Datenschutzverstöße keine Abmahnungen geben kann, da die alleinige Verfolgbarkeit bei den Datenschutzbehörden, und Organisationen die in Artikel 80 DS GVO genannt sind, liegt.

Klage nicht stattgegeben

Dies ergibt sich daraus, daß die DS GVO ein abgeschlossenes Gesetz ist. Das meint, andere Gesetze können sich da nicht einmischen, daher sind Abmahnungen und Klagen nach UWG und TMG §13 ( durch DS GVO aufgehoben ) unzulässig.

Mitbewerber, die sich an Ihrem Datenschutz stören, können dies also nur noch den Datenschutzbehörden melden, selbst aber gegen den Datenschutzverletzer nicht mehr direkt vorgehen. Derzeit hat dies Urteil Rechtswirkung, aber ob es bei einer Berufung Bestand haben wird, wird sich zeigen.

Für Firmen, Vereine und Organisationen bedeutet das Urteil, daß diese sich etwas entspannen können, da die Datenschutzbehörden laut eigenen Aussagen den Fokus auf dem Belehren und Abstellen von Verstößen haben und nicht so sehr auf dem Bestrafen. Ein Freibrief sich nicht um den Datenschutz zu kümmern, ist dies freilich nicht.

Quelle:

IDO Verband unterliegt wegen datenschutzrechtlicher Abmahnung

Das Urteil gibt es hier:

https://www.kpw-law.de/wp-content/uploads/2019/05/LG-Stuttgart-35-O-68-18-KFH.pdf

DS GVO: Email Transportverschlüsselung wird Pflicht sein

Willkommen im Chaos des Datenschutzes. Ich hatte ja schon lange den Verdacht, daß EMails auch nur noch mit TLS übertragen werden dürfen, wenn man zum Datenschutz verpflichtet ist. Dabei habe ich mich aber immer gewundert, wieso das nie in der Presse steht. Jetzt wird sich das hoffentlich hektisch ändern.

Die Meinungen zur TLS Verschlüsselung von Emails

Wie uns Rechtsanwalt Schwartmann auf seiner Webseite wissen läßt, ist ab Freitag aufgrund der Datenschutz Grundverordnung wahrscheinlich eine TLS Verschlüsselung für eingehende und ausgehende Emails Pflicht, sofern man ein Unternehmen betreibt oder aus anderen Gründen zum Datenschutz verpflichtet ist.

Nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist eine Transportverschlüsselung auf jeden Fall erforderlich:
Bezüglich der sicheren Implementierung der Transportebene hat das Bundesamt für Sicherheit in der Informationstechnologie die Technische Richtlinie „BSI TR-03108-1: Secure E-Mail Transport“ herausgegeben.
Unter datenschutzrechtlichen Gesichtspunkten ist diese Richtlinie als Stand der Technik zu betrachten, so dass ihre Umsetzung eine notwendige Voraussetzung für die datenschutzkonforme E-Mail-Kommunikation ist.

Quelle: https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/
„(Ende Zitat)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat uns heute morgen endlich wissen lassen, daß nur der Einsatz von TLS 1.2 in Frage kommt:

„Inwieweit ein Provider, der die Infrastruktur zur Verfügung stellt, eine Option anbieten muss, die ausschließlich den Empfang von TLS 1.2 transportverschlüsselten E-Mails zulässt, beurteilt sich nach dem gegenwärtigen Stand der Technik.

Der gegenwärtige Stand der Technik ist, daß TLS 1.2 seit 2008 das Maß der Dinge ist. Der Nachfolger TLS 1.3 wird aber bald kommen, da die Planung des Standards kürzlich beendet wurde. Das hält aber gerade den BUND, wo die Information her ist, nicht davon ab, auch heute noch mit TLS 1.0 zu senden 😀 (Böser Dienstleister vom Bundmailserver 😉 )

IMHO

Ich schließe mich dieser Meinung an, da auch ich die DS GVO so interpretiere, daß alle Kommunikationskanäle verschlüsselt sein müssen. Wie einfach das gehen kann, zeigt folgende Anleitung :

Zunächst mal wählen wir im Account unter „Mailserver“ die „EMail-Options“ aus:

Nun aktivieren wir die beiden obersten Punkte:

„Verbindung zum Server benötigt Verschlüsselung“ und „Empfangener Mailserver muß TLS benutzen“

Das war es dann auch schon, jetzt kommen nur noch TLS gesicherte EMails an den Mailserver ran. Damit entspricht das Mailserververhalten dem geltenden Datenschutzrecht.

Wer es ganz genau nehmen will, der müßte auch noch DANE implementieren, da dies in einer BSI Richtlinie zum Thema gefordert wird. Da DANE aber AFAIK noch nicht 100% ausgereift ist, könnte der Teil schwierig werden, was nicht heißt, das einige Provider dies nicht schon implementiert hätten.

Bei Exim ist grade eine passende Diskussion gestartet worden.

Quellenlinks:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

https://www.rechtsanwalt-schwartmann.de/verschluesselungspflicht/

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html