Bei Abmahnung wegen Verstoß gegen DS-GVO drohen hohe Kosten

Seit ihrem Inkrafttreten bereitet die Datenschutz-Grundverordnung (DS-GVO) zahlreichen Unternehmerinnen und Unternehmern ziemliche Kopfschmerzen. Viele haben insbesondere Angst, kleinste Fehler beim Umsetzen der Vorgaben der DS-GVO könnten zu einer Abmahnung und damit Kosten in beträchtlicher Höhe führen. Verbunden war dies vor allem mit der Frage, wer bei der DS-GVO abmahnen kann oder darf. Schnell machten Vermutungen die Runde, Abmahnanwälte und -anwältinnen würden die DS-VGO für eine wahre Abmahnwelle nutzen. Folgerichtig bezeichnete 2018 in einer Umfrage des Händlerbunds unter Online-Händlern gut jeder Zweite die DS-GVO als gefährlichstes Abmahnthema. Tatsächlich haben sich die meisten Befürchtungen nicht erfüllt. Inzwischen meinen viele Verantwortliche in Unternehmen, insgesamt habe die Datenschutz-Grundverordnung zu mehr Datensicherheit und steigendem Nutzervertrauen geführt. Sie beklagen eher, dass zu viel Interpretationsspielraum in der Auslegung herrscht. Das damit verbundene Risiko sollten Unternehmerinnen oder Unternehmer reduzieren und mit Fachleuten ihrer Rechtsanwaltskanzlei oder ihrem Datenschutzbeauftragten die Umsetzung der DS-GVO-Vorgaben besprechen – das verringert die Gefahr von Abmahnungen.

Diese Anforderungen stellt die Datenschutz-Grundverordnung

Seit Mai 2016 gelten neue Regeln zum Schutz personenbezogener Daten, die seit 2018 anzuwenden sind. Das soll unter anderem einen einheitlichen Datenschutzstandard in der EU bewirken. Wegen der DS-GVO müssen Unternehmen das Thema insgesamt strukturierter angehen als früher und viele formelle Änderungen beachten – sonst kann neben Sanktionen der Datenschutzaufsichtsbehörden im äußersten Fall eine Abmahnung drohen, die zu Kosten in beträchtlicher Höhe führt. Allerdings ist die nach Inkrafttreten der DS-GVO durch Abmahnanwälte befürchtete Abmahnwelle ausgeblieben. Vermutlich auch wegen Unsicherheit darüber, wer mit Hinweis auf die DS-GVO abmahnen kann und darf – das beschäftigte viele Gerichte. Trotzdem sind Unternehmen gut beraten, sich detailliert mit den Anforderungen der Datenschutz-Grundverordnung auseinanderzusetzen, um Fehler zu vermeiden. Das ist die beste Versicherung gegen eine Abmahnung, deren Begründung in einem Verstoß gegen die DS-GVO liegt. Spezialisierte Rechtsanwälte und -anwältinnen aber auch professionelle externe Datenschutzbeauftragte unterstützen dabei, die für den Betrieb wichtigen DS-GVO-Vorgaben zu identifizieren und voll zu erfüllen.

Umgang mit personenbezogenen Daten ist stark reglementiert

Allen im Unternehmen Beschäftigten sollten die wesentlichen Aspekte der Datenschutz-Grundverordnung bekannt sein. Das erhöht die Sensibilität für DS-GVO-Themen und hilft, Verstöße zu verhindern. Die DS-GVO stärkt die Rechte der Menschen, mit deren personenbezogenen Daten ein Unternehmen arbeitet, durch

• den Grundsatz der Datenvermeidung und Datensparsamkeit – es werden möglichst wenig Daten erhoben;
• das informationelle Selbstbestimmungsrecht – Betroffene entscheiden selbst über die Verwendung ihrer Daten;
• das Verbotsprinzip mit Erlaubnisvorbehalt – Unternehmen brauchen eine rechtliche Grundlage zur Datenverwertung;
• den Grundsatz der Zweckbindung – Daten sind grundsätzlich nur für vorher festgelegte Zwecke nutzbar;
• den Grundsatz der Transparenz – Betroffene können über sie gesammelte Daten abfragen;
• die Gewährleistung der Datensicherheit – Daten sind mit angemessenem Aufwand zu schützen;
• eine nachhaltige Aufsicht – Datenpannen sind zu melden.

Ohne ausdrückliche Einwilligung ist nur das durch gesetzliche Vorschriften erlaubte Verarbeiten von Daten zulässig. Adressdaten etwa dürften ohne Zustimmung erfasst werden, wenn es für die Zusendung eines Kostenvoranschlags erforderlich ist. Ohne gesetzliche Grundlage – etwa diese Adressverarbeitung für die Vertragserfüllung – muss das Unternehmen eine datenschutzrechtliche Einwilligung der Betroffenen einholen und dabei unter anderem über die Verarbeitungszwecke informieren. Wer hier nicht sorgfältig handelt, macht schnell Fehler, die zu einer Abmahnung wegen Verstößen gegen die DS-GVO und so zu Kosten in eventuell beträchtlicher Höhe führen können. Eine dadurch vielleicht ausgelöste Abmahnwelle durch Abmahnanwälte ließe sich durch rechtzeitige Rücksprache mit Fachleuten zur DS-GVO verhindern. Rechtsexperten und -expertinnen wissen, ob etwa ein Datenschutzbeauftragter zu benennen ist, wie die Datenschutzinformationen auszusehen haben oder wie auf der Homepage über den Einsatz von Cookies zu informieren ist.

Keine Abmahnwelle durch Abmahnanwälte trotz DS-GVO

Damit sich eine Abmahnung mit Verstößen gegen die DS-GVO begründen lässt, braucht es ein entsprechendes Fehlverhalten und eine dadurch herbeigeführte Betroffenheit des Abmahnenden. Dies könnten fehlende Hinweise auf Videoüberwachung des Firmengeländes oder heimliche Kontrollen am Arbeitsplatz sein – also quasi in der realen Welt. Besonders einfach ist der Nachweis solcher Verstöße allerdings in der virtuellen Welt – Websites lassen sich leicht auf gängige Fehler durchsuchen. Viele Beschwerden bezogen sich darum bisher auf die Onlineauftritte von Unternehmen, sei es eine Homepage oder ein Shop im Internet. Die rechtlichen Anforderungen an Webauftritte oder App-Gestaltungen richten sich nach dem Telemediengesetz (TMG), ergänzt um datenschutzrechtliche Vorgaben der DS-GVO. Auch wenn eine regelrechte Abmahnwelle durch Abmahnanwälte, die sich auf die DS-GVO und das TMG berufen, ausgeblieben ist – so manches durchaus berechtigte Verfahren hat schon für Kosten in beträchtlicher Höhe gesorgt. Dies gilt unabhängig von der Frage, wer wegen der DS-GVO abmahnen darf oder kann.

Es gibt viele Gründe für eine Abmahnung wegen der DS-GVO

Manche Unternehmen erhalten immer noch eine Abmahnung wegen Verstößen gegen die DS-GVO, da auf der Webseite die Datenschutzerklärung fehlt. Denn jeder Betreiber einer Internetseite muss darüber aufklären, wie, in welchem Umfang sowie zu welchem Zweck personenbezogene Daten erhoben werden. Dies gilt übrigens auch für Apps. Das erfordert zwingend eine gut zu findende Datenschutzerklärung. Fehlt einer Webseite diese Erklärung, verstößt das gegen den Datenschutz und kann §3a des Gesetzes gegen den unlauteren Wettbewerb (UWG) verletzen. Unlauter handelt danach, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, das Marktverhalten zu regeln. Bei einem Verstoß gegen die DS-GVO basiert die entsprechende Abmahnung oft auf dem UWG, weil der Verstoß gegen die DS-GVO dann zugleich auch einen Wettbewerbsverstoß darstellen kann. Damit begründen Abmahnanwälte – oder andere – mit Bezug auf die DS-GVO ihren Unterlassungsanspruch und den Ausgleich ihrer Kosten in entsprechender Höhe.

Viele Schwachstellen sind erfahrungsgemäß gut zu finden

Häufiger geht es aber darum, dass die Datenschutzerklärung fehlerhaft ist und etwa Pflichtangaben nicht enthält. Auch hier lässt sich eine Abmahnung dann eventuell mit einem Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb begründen. Wer solche Schwachstellen sucht, findet sie erfahrungsgemäß schnell. Man muss nur die Datenschutzerklärung von der Webseite kopieren, per Suchfunktion bestimmte Schlüsselbegriffe zeigen lassen, schon kennt man die Angriffspunkte. Ähnlich einfach klappt die Überprüfung, ob Kontaktformulare ordnungsgemäß verschlüsselt sind, die persönliche Daten der Internetsurfer zum Unternehmen senden. Erscheint eine Internetadresse ohne „https“, könnte eine Abmahnung mit Bezug auf die DS-GVO rasch Kosten in beträchtlicher Höhe verursachen. Fallen birgt auch das Einbinden von Social-Media-Plug-ins wie dem Facebook-Like-Button auf der eigenen Homepage. Oder die Nutzung der beliebten Google-Schriften, die auf einem Google-Server in den USA liegen. Beim Aufbauen der Seite entsteht eine Verbindung zu diesem Server, an den dabei auch persönliche Daten aus dem Browser der Nutzer geschickt werden.

Wer kann oder darf wegen der DS-GVO abmahnen?

Wer kann oder darf bei einem Verstoß gegen die DS-GVO abmahnen? Direkt nach Inkrafttreten der DS-GVO herrschte die Sorge, Abmahnanwälte könnten eine regelrechte Abmahnwelle auslösen, die von einer Abmahnung betroffene Unternehmen mit Kosten in beträchtlicher Höhe belastet. Es gab aber auch diverse Abmahnungen durch Mitbewerber, die sich auf das Gesetz gegen den unlauteren Wettbewerb (UWG) stützten. Ihre Argumentation: Verstöße gegen den Datenschutz können zugleich auch Wettbewerbsverstöße sein, die sich von Konkurrenten verfolgen lassen. Abmahnung, Forderung nach Abgabe einer Unterlassungserklärung und Kostenerstattungsanspruch sollten dazu dienen, dass die Regeln für den fairen Wettbewerb wieder eingehalten werden. Die Idee dahinter: Wer keine richtige Datenschutzerklärung auf seiner Webseite hat, schweigt ein kontroverses Thema einfach tot. So entsteht ein Wettbewerbsvorteil gegenüber denen, die dieses Thema adressieren und Nutzerinnen oder Nutzer damit erst auf die Verarbeitung personenbezogener Daten aufmerksam machen – was dazu führen kann, dass manche Kundinnen oder Kunden diese Webseite oder diesen Shop künftig meiden.

Verstöße gegen die DS-GVO sind grundsätzlich abmahnfähig

Artikel 80 der DS-GVO gibt Verbrauchervereinen ausdrücklich das Recht, eine Abmahnung wegen Datenschutzverstößen zu verschicken. Sie dürfen sogar Schadensersatzansprüche für die Betroffenen durchsetzen. Weitere Klarheit, wer beim Verstoß gegen die DS-GVO abmahnen kann oder darf, brachte 2020 eine Änderung des UWG. Das Gesetz zur Stärkung des fairen Wettbewerbs schützt insbesondere kleinere Unternehmen vor Abmahnungen, die ausschließlich Einnahmen generieren sollen. Bei einer Abmahnung wegen Verstoßes gegen die DS-GVO oder das Bundesdatenschutzgesetz, die Unternehmen oder gewerblich tätige (Abmahn-)Vereine aussprechen, entfallen die üblichen Kosten, wenn bei der abgemahnten Firma in der Regel weniger als 250 Personen arbeiten. Bei abgemahnten Betrieben mit unter 100 Beschäftigten lässt sich beim erstmaligen Verstoß keine strafbewehrte Unterlassungserklärung mehr fordern. Eine Abmahnwelle durch Abmahnanwälte steht bei Abmahnungen mit Verweis auf die DS-GVO also nicht wirklich zu befürchten. Denn damit lässt sich kaum Geld verdienen. Anderseits hat die Gesetzesnovellierung zugleich auch festgeschrieben, dass Verstöße gegen die DS-GVO grundsätzlich abmahnfähig sind.

Bei Abmahnung wegen DS-GVO drohen Kosten in großer Höhe

Eine Abmahnung wegen Verstoßes gegen die DS-GVO verursacht für das betroffene Unternehmen manchmal Kosten in beträchtlicher Höhe. Denn nach wie vor können Verstöße abgemahnt werden. Die Frage, wer mit Verweis auf die DS-GVO aufmahnen darf, lässt sich so beantworten: Prinzipiell immer noch viele. Nur ist eine Abmahnung für diejenigen unattraktiver geworden, für die nicht Förderung eines marktkonformen Verhaltens im Vordergrund stand, sondern die Abrechnung der entstandenen Abmahnkosten. Eine Abmahnwelle durch Abmahnanwälte schließt dies nicht aus, macht sie aber unwahrscheinlicher.

Beim ersten Verstoß bleiben die Folgen für kleine Betriebe nach der Gesetzesänderung von 2020 noch im Rahmen. Wiederholte Verletzungen der DS-GVO dürften dann aber immer teuer werden. Zumal die Abmahnkosten nichts sind im Vergleich zu den Bußgeldern, die je nach Schwere des Vergehens drohen. Sie reichen bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Auch wenn sich Datenschutzaufsichtsbehörden in Deutschland bislang mit Sanktionen aufgrund unzulässiger Webseitengestaltung zurückhielten: Verbraucherschutzvereinigungen prangern dies immer wieder an und reichen auch Beschwerden bei Datenschutzaufsichtsbehörden ein. Es empfiehlt sich daher, spätestens nach der ersten berechtigten Abmahnung das Thema DS-GVO intensiv mit einer spezialisierten Rechtsanwaltskanzlei zu besprechen.

Wird die DS-GVO beachtet, bleibt ein Abmahnanwalt erfolglos

Der beste Schutz vor einer Abmahnung wegen Verstoßes gegen die DS-GVO und damit verbundenen Kosten in eventuell beträchtlicher Höhe ist, die Vorgaben konsequent einzuhalten – unabhängig davon, wer abmahnen kann oder darf, lassen sich Abmahnanwälte so ausbremsen eine Abmahnwelle gegen das eigene Unternehmen verhindern. In enger Absprache mit Fachleuten für dieses Rechtsgebiet ist dabei vor allem bei der Webseite auf folgende Punkte zu achten:

• Die Datenschutzerklärung muss – individuell auf die Bedingungen im Unternehmen zugeschnitten – rechtskonform formuliert und richtig platziert werden.
• Alle technischen Anforderungen der DS-GVO sind konsequent umzusetzen, insbesondere der Einsatz verschlüsselter Kontaktformulare. Das betrifft auch den Prozess, wie Bestellungen oder Newsletter-Abonnements ablaufen.
• Alle auf der eigenen Webseite verwendeten Plug-ins und Dienste sind akribisch auf DS-GVO-Konformität zu überprüfen. Das gilt insbesondere für Social-Media-Plug-ins sowie praktische Angebote wie Google Analytics oder Google Fonts.
• Natürlich sind auch alle Verträge mit Dienstleistern – falls noch nicht geschehen – an die Vorgaben der DS-GVO anzupassen.

Über die Datenschutz-Grundverordnung informiert auch das folgende Video.