Vergangene Woche wurde ich durch Kunden auf unerwünschte Werbe-Mails für einen „Service“ der Digital Solution Group Limited, 196 High Road, Wood Green, London N22 8HH, aufmerksam gemacht. Nach kurzer Recherche handelt es sich hierbei offenbar um eine aktuell intensiv genutzte Masche des Unternehmens, um Websitebetreibern ein angebliches datenschutzrelevantes und bußgeldbedrohtes Fehlverhalten zu suggerieren und damit seine Dienste zu verkaufen. Der Text der E-Mail offenbart, dass der Anbieter entweder mit einer massiven Unkenntnis der DSGVO „glänzt“ oder aber den Empfänger vorsätzlich hinter’s Licht führen will.
Auszug aus der E-Mail
Betreff: Fristsache: Pflichtprüfung nach DSGVO Art. 32
„… nach Datenschutzgrundverordnung (DSGVO Art. 32 Abs.1) sind Unternehmen, die eine Webseite mit Datenverarbeitung betreiben gesetzlich verpflichtet, eine regelmäßige dokumentierte Sicherheitsüberprüfung durchzuführen. Ein Verstoß gegen die DSGVO Art.32 Abs.1 wird mit Geldstrafen in Höhe von bis zu 2% des erzielten Jahresumsatz des Vorjahres geahndet….“
Aus juristischer Perspektive betrachtet bewegt sich diese E-Mail schon recht deutlich im Bereich des unlauteren Wettbewerbs (zunächst die Unzulässigkeit der Kaltakquise-Mail gem. § 7 UWG sowie – noch wichtiger – irreführende geschäftliche Handlungen gem. § 5 UWG). Man könnte sie durchaus auch in Richtung Nötigung (§ 240 StGB) oder versuchter Betrug (§ 263 StGB) auslegen, da der Absender dieser Mail sich durch Vorspiegelung falscher Tatsachen einen Vermögensvorteil (zu Lasten des Empfängers) zu verschaffen versucht.
Datenschutzseitig ist anzumerken:
1. Es gibt keine „Pflichtprüfung nach Art. 32 DSGVO“. Punkt.
Fraglos ist es für Betreiber von sensiblen IT-Systemen oft sinnvoll, Pentests durchzuführen. Für die hier wahllos angeschriebenen Betreiber von völlig unspektakulären Websites ist dies definitiv nicht der Fall.
2. Es ist auch keine „Fristsache“. Denn welche Fristen sollte es für etwas geben, das gar nicht vorgeschrieben ist? Außer vielleicht, dass das Geld der Absender zur Neige geht und er dringend irgendwie Umsatz machen muss. Man weiss es nicht.
3. Auch eine „Zertifizierte Sicherheitsprüfung für Webseiten gemäß DSGVO Art. 32“, die der Anbieter auf seiner Website beschreibt, existiert bestenfalls in dessen wilder Fantasie. Davon abgesehen, dass der Art. 32 DSGVO damit nichts zu tun hat, siehe 1.
Bitte lassen Sie sich durch derart unlautere Methoden nicht verunsichern. Sprechen Sie Ihren Datenschutzbeauftragten oder Rechtsanwalt Ihres Vertrauens an!
Hinweis: Ich habe aus Interesse heraus ein wenig tiefer recherchiert, wer hinter diesen fragwürdigen Angeboten steckt. Hier ist das Ergebnis zu finden.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt, LL.M. ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.