Seit der zweiten Jahreshälfte 2018 können Verstöße gegen die DSGVO sensible Strafen nach sich ziehen. Welche Website-Elemente am häufigsten abgemahnt werden und wer überhaupt abmahnen darf, erfahren Sie hier.
Wie hoch ist das Risiko einer DSGVO-Abmahnung?
Diese Frage ist unmöglich zu beantworten. Eine Abmahnung kann grundsätzlich erst einmal jeden Seitenbetreiber treffen, der die Datenschutzrichtlinie noch nicht vollständig umsetzt. Selbst die Gerichte sind sich aktuell nicht einig, ob eine DSGVO-Abmahnung durch Mitbewerber zulässig oder unzulässig ist. Eine Entscheidung durch das höchste deutsche Gericht, den BGH, steht noch aus.
Aber selbst dann besteht noch keine Rechtssicherheit, da bei einer europarechtlichen Regelung auch die Gerichte der Europäischen Union noch eine abweichende Entscheidung erlassen können. Senken können Sie das Risiko der Abmahnung und die damit verbundenen Kosten und Unannehmlichkeiten nur, indem Sie Abmahnern keine Chance geben. Die beste Strategie ist es, die DSGVO rechtskonform umzusetzen. Damit sichern Sie sich auch gegen Maßnahmen der Aufsichtsbehörden ab.
#FreeLawyer: Ihr Schutz vor Abmahnungen
Sichern Sie sich ab mit unserer #FreeLawyer Beratungs-Flatrate – egal, ob bei Abmahnungen oder sonstigen Rechtsproblemen!
Welche Verstöße werden typischerweise abgemahnt?
- Erforderliche Elemente fehlen oder Informationen sind unvollständig
- Datenschutzerklärung
- Impressum
- Cookie-Hinweis fehlt oder ist mangelhaft
- Google Analytics oder andere Tracking-Drittanbieter werden nicht DSGVO-konform genutzt
- Hinweis auf Widerspruchsrecht fehlt
- ohne Anonymisierung der IP-Adresse
- ohne gültigen Auftragsverarbeitungsvertrag (AVV) mit Google
- Erklärung in Datenschutzerklärung fehlt
- Plug-ins (z. B. Facebook Share Button), die Userdaten mit einem Klick ohne Erlaubnis übertragen
- Einbindung von Google Fonts
- Hinweis auf OS-Streitschlichtungsstelle fehlt
- Fehlende Verschlüsselung der Webseite
Wie sollten Sie reagieren, wenn Sie eine DSGVO-Abmahnung erhalten?
Wie bei jeder anderen Abmahnung gilt der Grundsatz: Nichts ungeprüft unterschreiben, nichts bezahlen und nicht ignorieren! Schalten Sie einen Anwalt ein, der sich auf Datenschutz und IT-Recht spezialisiert hat.
Falls Sie eine Abmahnung erhalten und zur Unterlassung einer bestimmten Handlung aufgefordert werden, sollten Sie zwei Aspekte prüfen lassen:
- Haben Sie den gerügten Verstoß tatsächlich begangen?
- Ist dieser Verstoß überhaupt abmahnfähig?
Meist wird im Schreiben mit einer Geldstrafe gedroht, falls die geforderten Bedingungen missachtet werden. Bedenken Sie, dass die Schreiben mit Absicht so verfasst sind, um den Abgemahnten zu einer schnellen und womöglich unüberlegten Reaktion zu bewegen. Begriffe wie Unterlassungsklage, einstweilige Verfügung und Schadensersatz sorgen schnell für Panik, aber Sie sollten unbedingt die Ruhe bewahren.
Unterlassungserklärung: Was tun?
Besonders das vorschnelle Unterzeichnen einer Unterlassungserklärung ist hierbei höchst problematisch. Wenn Sie unterzeichnen, ohne die gerügten Verstöße vorher abzustellen, droht Ihnen eine Vertragsstrafe von bis zu 5.000 Euro. Ab dem Zeitpunkt der Unterzeichnung schließen Sie nämlich einen so genannten Unterlassungsvertrag mit dem Abmahner – und dieser hat eine Mindestlaufzeit von 30 Jahren.
Aus diesem Grund ist es sehr wichtig, dass Sie den Verstoß für die Zukunft dauerhaft abstellen. Das kann bedeuten, dass Sie zum Beispiel Ihr Impressum oder Ihre Datenschutzerklärung anpassen und fortlaufend auf dem neuesten Stand der Rechtsprechung halten müssen.
Rechtliche Fragen zur DSGVO: Hintergrund
Seitdem die EU-Datenschutzrichtlinie für gewerbliche Seitenbetreiber verpflichtend ist, steht die Frage im Raum, wer überhaupt Verstöße abmahnen darf. Einige widersprüchliche Gerichtsurteile haben in den letzten zwei Jahren allerdings für mehr Verwirrung als Aufklärung gesorgt. Die beiden Kernfragen der bisher gefällten Urteile sind immer dieselben:
- Sind Verstöße gegen die Datenschutzgrundverordnung gleichzustellen mit einem Verstoß gegen Marktverhaltensregeln im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG)?
- Sind die Einrichtungen, die in der Datenschutzgrundverordnung genannt werden, allein dazu berechtigt, Verstöße zu sanktionieren?
Fakt ist, dass die Umsetzung der DSGVO für viele Unternehmen eine riesige Herausforderung ist – personell, finanziell sowie bezogen auf das nötige Know-how. Egal, ob sich Firmen dazu entscheiden, die Datenschutzaufgaben an ein externes Unternehmen auszulagern oder das eigene Personal weiterzubilden oder zu erweitern: Die Umsetzung ist in jedem Fall mit Kosten verbunden. Rechtskonformität bedeutet außerdem für viele e-Commerce-Treibende eine Einschränkung ihrer bisherigen Möglichkeiten, Kundendaten zu verarbeiten. Im Umkehrschluss bedeutet dies: Wer die Datenschutzrichtlinien nicht befolgt, genießt wahrscheinlich einen Wettbewerbsvorteil gegenüber anderen Marktteilnehmern, die die Verordnung rechtskonform umsetzen.
Genau aus dieser Annahme ergibt sich die zweite Frage. Sind Wettbewerber deshalb berechtigt, Verstöße abzumahnen, auch wenn sie nicht direkt geschädigte Personen sind?
Sie benötigen rechtliche Beratung bei Abmahnungen und anderen Rechtsfragen?
Nutzen Sie einfach unsere #FreeLawyer Beratungs-Flatrate!
Zeitstrahl: Erste Gerichtsurteile zu DSGVO-Abmahnungen
DSGVO-Abmahnungen an die Konkurrenz sorgen in der Regel für erhebliche Kosten der Abgemahnten. Nicht selten wurden deshalb in den letzten zwei Jahren die Gerichte bemüht, um zu entscheiden, ob die Abmahnung im Briefkasten überhaupt eine gültige Rechtsgrundlage hat.
Gleich mehrere Gerichte haben sich mit dieser Frage auseinandergesetzt, denn sie ist richtungsweisend für die Zulässigkeit von DSGVO-Abmahnungen durch Wettbewerber.
Die Gerichtsurteile betreffen allerdings nur den Abmahner aus dem privaten und privatwirtschaftlichen Bereich. Die deutschen Datenschutzbehörden und so genannte Abmahnvereine dürfen weiterhin abmahnen und Bußgelder verhängen.
August 2018 – Landgericht Bochum
Abgemahnt wurde das Fehlen von Informationen und Regelungen in den allgemeinen Geschäftsbedingungen und über die zum Vertragsschluss führenden Sprachen.
Das Bochumer Landgericht entschied, dass Verstöße gegen die DSGVO nicht als Verstoß gegen das deutsche Wettbewerbsgesetz zu werten seien. Stattdessen benenne die Datenschutzrichtlinie ganz klar in den Artikeln 77 bis 84, welche Einrichtungen Sanktionen verhängen dürften (Urteil vom 7. 8.2018, Az. I-12 O 85/18).
September 2018 – Landgericht Würzburg
In diesem Fall wurde eine unverschlüsselte Homepage einer Rechtsanwältin abgemahnt, die keine ausreichende Datenschutzerklärung besaß.
Das bayrische Landesgericht entschied anders als seine Kollegen in Nordrhein-Westfalen: Abmahnungen von Wettbewerbern seien möglich auf Grundlage des UWG (Beschluss vom 13.9.2018, Az. 11 O 1741/18).
Oktober 2018 – Oberlandesgericht Hamburg
In diesem Fall beklagte eine Vertreiberin von Therapieallergenen eine Konkurrentin, denn sie klärte in ihren Bestellbögen nicht über die Verwendung, Verarbeitung und Speicherung der personenbezogenen Kundendaten auf.
In zweiter Instanz wiesen die Hamburger Richter die Klage ab. Die Abmahnung sei zwar rechtmäßig, allerdings sei nicht jeder Verstoß gegen Datenschutzrichtlinien gleichzeitig als Verletzung von Marktverhaltensregeln zu werten. Stattdessen müsse der Einzelfall betrachtet werden. In diesem Urteil wurde ebenfalls auf die Unvollständigkeit des Sanktionssystems hingewiesen (Urteil vom 25.10.2018, Az. 3 U 66/17).
November 2018 – Landgericht Wiesbaden
Das Wiesbadener Landgericht stellte in einem Rechtsstreit von zwei Auskunfteien fest, dass Verstöße gegen die Datenschutzgrundverordnung nicht gleichzusetzen seien mit einem Verstoß gegen Marktverhaltensregeln. Die Sanktionsregelungen der DSGVO seien final, da die genannten Einrichtungen als Vertreter eben jener Personen gälten, die laut Verordnung schadensersatzberechtigt sind (Urteil vom 5.11.2018, Az. 5 O 214/18).
Januar 2019 – Landgericht Magdeburg
In diesem Streitfall ging es um zwei Apotheker. Der Beklagte soll gegen diverse gesetzliche Vorschriften, unter anderem auch die Datenschutzverordnung, verstoßen haben, indem er die Medikamente bei Amazon verkaufte. Die Plattform speichert personenbezogene Daten und gibt diese auch an Dritte weiter. Das LG Magdeburg wies die Klage ab und bestätigte die Ansicht aus Wiesbaden und Bochum: Sanktionsberechtigte seien im Rahmen der DSGVO klar definiert als Vertreter der geschädigten Personen, die ihr Beschwerde- und Schadensersatzrecht wahrnehmen wollen nach Art. 80 Abs. 1 DSGVO. (Urteil vom 18.1.2019, Az. 36 O 48/18). Diese Definition schließt Abmahnungen von Wettbewerben aus.
Was bedeuten diese Urteile für Seitenbetreiber?
Bisher zeichnet sich keine herrschende Meinung der Rechtsprechung ab. Die deutschen Gerichte sind sich einig, dass sie sich vorerst uneinig darüber sind, wie die oben genannten Bestandteile der Datenschutzgrundverordnung zu interpretieren und für die Praxis umzusetzen sind.
Diese Grauzone bedeutet für Webseitenbetreiber hierzulande, dass die Gefahr einer Abmahnung real ist. Gewiefte Abmahner könnten sogar so weit gehen, strategisch im Einzugsbereich eines Gerichtes zu klagen, das DSGVO-Abmahnungen durch Wettbewerber bereits für zulässig befunden hat. Dies ist aufgrund des so genannten fliegenden Gerichtsstandes aktuell weiterhin möglich.
Wer profitiert von datenschutzrechtlichen Abmahnungen?
In erster Linie profitieren diejenigen, die ihr Geschäftsmodell auf DSGVO-Abmahnungen aufbauen, das heißt spezialisierte Anwaltskanzleien und Abmahnvereine. Unseriös wird es häufig dann, wenn bereits sehr geringfügige Verstöße unter das Mikroskop genommen und für eine zukünftige Abmahnung dokumentiert werden. In vielen Fällen ist dies ein lukratives Geschäft für die Wettbewerber und die beteiligten Juristen: Das konkurrierende Unternehmen wird finanziell geschwächt und muss bei weiteren Verstößen mit erheblichen Geldstrafen rechnen.
Die Abgemahnten sollen unter Androhung einer Klage dazu gebracht werden, eine Unterlassungserklärung zu unterzeichnen und die Abmahngebühren als Schadensersatz zu zahlen. Die Höhe richtet sich nach dem Gegenstandswert des Schadens.
#FreeLawyer: Ihr Schutz vor Abmahnungen
Sichern Sie sich ab mit unserer #FreeLawyer Beratungs-Flatrate – egal, ob bei Abmahnungen oder sonstigen Rechtsproblemen!
DSGVO-Abmahnung von der Datenschutzbehörde
Bei Abmahnungen von der verantwortlichen Behörde sind die Strafen umso saftiger: Die Datenschutzrichtlinie sieht Bußgelder in Höhe von 20 Millionen Euro bzw. vier Prozent der gesamten Jahresumsätze des vorangegangenen Geschäftsjahres vor. Laut einer Umfrage der Datenschutzbehörden in 15 von 16 Bundesländern von WELT AM SONNTAG wurden bis Mai 2019 bereits Bußgelder in Höhe von rund 500.000 Euro verhängt. Die meisten betroffenen Unternehmen liegen in Nordrhein-Westfalen und Berlin (54 von 81 Fällen). Die Datenschutzbehörde Mecklenburg-Vorpommern gab allerdings keine Rückmeldung zur Umfrage. Eine große Abmahnwelle, wie von vielen erwartet wurde, blieb aber bisher aus.
Wie kann ein DSGVO-Verstoß widerlegt werden?
Hier gilt die Beweislastumkehr. Das bedeutet, dass ein Anbieter einen Schaden dann zu verschulden hat, wenn er keinerlei Nachweise dafür erbringen kann, dass er den Schaden nicht zu verantworten hat. Aus diesem Grund sollte die fortlaufende Dokumentation der Datenschutzaufgaben innerhalb des Unternehmens hohe Priorität einnehmen.
Die Inhalte dieses Artikels wurden geprüft durch DURY LEGAL Rechtsanwälte, die spezialisiert sind auf IT-Recht und Datenschutzrecht.