Erteilen Aufsichtsbehörden wegen Datenschutzverletzungen Bußgelder, können diese empfindlich hoch ausfallen. Unklar ist jedoch, ob auch Verbraucherschutzverbände und Mitbewerber eine Abmahnung bei Verletzung der DSGVO aussprechen dürfen. Die unklare rechtliche Lage kann es Abgemahnten ermöglichen, die Strafe abzuwehren.
Mit Einführung der DSGVO 2018 kamen viele Veränderungen auf Webseiten-Betreiber zu. Ziel der Datenschutzgrundverordnung ist ein geregelter, international sicherer Umgang mit personenbezogenen Daten.
Seit dem 25.05.2018 ist sie sowohl für Privatpersonen als auch für Unternehmen verpflichtend, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen.
In Deutschland richtet sich die Umsetzung der DSGVO vor allem nach dem Bundesdatenschutzgesetz. Zuständige Behörden sind neben dem Bundesbeauftragten für Datenschutz und Informationsfreiheit die 16 Landesbeauftragten und das bayerische Landesamt für Datenschutzaufsicht.
Kommt es zu einem Datenschutzverstoß, kann dem Verursacher eine Abmahnung drohen. Diese muss aber nicht immer von den Aufsichtsbehörden kommen – unter Umständen sind auch Konkurrenten des Unternehmens zum Abmahnen berechtigt.
Gemäß Artikel 83 DSGVO gibt es verschiedene mögliche Verstöße gegen die Datenschutzgrundverordnung, die unterschiedlich geahndet werden können. Die DSGVO unterscheidet zwischen formellen und materiellen Verstößen sowie je nach Schwere des Vergehens.
Beispiele für Datenschutzverletzungen:
Abhängig von der Art des Verstoßes (formell oder materiell) und der Schwere des Vergehens (leicht bis sehr schwer) können die möglichen DSGVO Strafen und Bußgelder der Datenschutzbehörden unterschiedlich hoch ausfallen.
Betreiben Sie eine Webseite, die nicht nur rein privaten Zwecken dient, gilt die DSGVO auch für Sie. Sobald Sie personenbezogene Daten in irgendeiner Weise erheben oder verarbeiten, sind die Regelungen der Datenschutzgrundverordnung für Sie verpflichtend – auch wenn Sie eine Privatperson sind.
Um zu klären, ob Sie personenbezogene Daten verarbeiten, können Sie sich z. B. folgende Fragen stellen:
Können Sie bereits eine dieser Fragen bejahen, gilt die DSGVO auch für Sie.
Ja, ein Datenschutzverstoß ist abmahnfähig. Grundsätzlich darf sich eine unmittelbar betroffene Person gegen eine Datenrechtsverletzung wehren – z. B. wenn ein Unternehmen gegen das Recht auf Auskunft oder Löschung personenbezogener Daten verstößt.
Artikel 80 Abs. 2 DSGVO legt fest, dass die betroffene Person das Recht hat, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnabsicht mit der Beschwerde zu beauftragen. Das würde bedeuten, dass allein die Aufsichtsbehörden zur Abmahnung berechtigt sind.
Tatsächlich ist die Rechtsprechung dazu aber nicht eindeutig – wie die aktuellen Urteile im 2. Kapitel zeigen. Es ist nicht klar, ob allein die Aufsichtsbehörden oder auch z. B. Konkurrenten eine Abmahnung aussprechen dürfen.
Ob eine Abmahnung von Mitbewerbern zulässig ist, kommt darauf an, ob ein DSGVO-Verstoß auch gleichzeitig ein Verstoß gegen das Wettbewerbsrecht sein kann. Das Gesetz gegen den unlauteren Wettbewerb (UWG) legt fest, dass die Voraussetzungen für alle Teilnehmer des freien Markts gleich sein müssen.
Eine Datenschutzverletzung kann aber zum Nachteil für Konkurrenten sein:
Damit ist laut § 8 UWG ein Grund für die Abmahnung gegeben: Grundsätzlich könnte ein Konkurrent also auch wegen DSGVO-Verstoßes abmahnen und Unterlassung fordern.
Die Rechtsprechung ist sich jedoch (noch) nicht einig, ob eine Abmahnung wegen Datenschutz auf Grundlage des UWG möglich ist. Gerichte urteilten unterschiedlich darüber, ob ein Unterlassungsanspruch nach UWG besteht oder eine Abmahnung wegen der Datenschutzgrundverordnung durch Konkurrenten ausgeschlossen ist – wie die Gerichtsurteile im folgenden Kapitel zeigen.
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.
Wer abmahnen darf, ist rechtlich noch nicht abschließend und eindeutig geklärt. Klar ist, dass unmittelbar vom DSGVO-Verstoß betroffene Personen eine Abmahnung gegen den Verletzer aussprechen dürfen bzw. die Aufsichtsbehörden damit beauftragen können.
Fraglich ist allerdings, ob auch Konkurrenten und Verbraucherschutzverbände ein Unternehmen abmahnen dürfen, wenn dieses gegen den Datenschutz verstößt.
Die Frage, ob Mitbewerbern eine Abmahnung zusteht, war in der Vergangenheit Schwerpunkt verschiedener Gerichtsverfahren. Die Gerichte haben unterschiedlich entschieden, wie die folgenden aktuellen Urteile zu Abmahnungen wegen Verstoß gegen das Datenschutzrecht zeigen.
Das Landgericht Bochum traf 2018 zu einer DSGVO-Abmahnung folgende Entscheidung (Az. 12 O 85/18):
Das Landgericht Würzburg traf im selben Jahr eine andere Entscheidung (Az. 11 O 1741/18):
Das OLG München entschied in einem Urteil 2019 (Az. 6 U 2404/18):
Der Bundesgerichtshof (BGH) hat die Frage, wer wegen DSGVO abmahnen darf, im Mai 2020 schließlich dem Europäischen Gerichtshof (EuGH) vorgelegt (Az. I ZR 186/17):
Bis der EuGH kein höchstrichterliches Urteil gefällt hat, ist die Frage, ob Verbraucherverbände und Wettbewerbsverbände abmahnen dürfen, weiterhin unbeantwortet.
Wer eine Abmahnung wegen einer Datenschutzverletzung erhalten hat, kann sich an Folgendes erinnern: Die unklare rechtliche Lage kann es möglich machen, die Abmahnung mit fundierter juristischer Argumentation abzuwehren.
Es kann allerdings auch sinnvoll sein, von Anfang die Unterstützung eines Anwalts in Anspruch zu nehmen, um die von der Datenschutz-Abmahnung ausgehenden Risiken einschätzen zu können. Bußgelder können empfindlich hoch ausfallen – es kann teuer werden, an der falschen Stelle zu sparen und sich nicht abzusichern.
Sie können zunächst prüfen, wer der Abmahnende ist: Kommt die Abmahnung von einer nicht unmittelbar betroffenen Person oder einem Unternehmen, das nicht im Wettbewerb mit Ihnen steht, können Sie sich darauf berufen, dass der Absender nicht zur Datenschutz-Abmahnung berechtigt ist.
Folgendes kann sinnvoll sein:
Die Abmahnung zu ignorieren, kann riskant sein – denn sollte sie berechtigt sein, kann der Abmahnende eine einstweilige Verfügung gegen Sie beantragen.
Ist die DSGVO-Abmahnung gerechtfertigt, kann der Abmahnende von Ihnen Unterlassung fordern. Um den Unterlassungsanspruch geltend zu machen, liegt der Abmahnung eine strafbewehrte Unterlassungserklärung bei.
Diese ist ein Vertrag zwischen dem Abmahnenden und dem vermeintlichen Rechtsverletzer, in dem sich Letzterer dazu verpflichtet, die Tat nicht zu wiederholen. Um die Wiederholungsgefahr zu beschränken, verpflichtet sich der Abgemahnte, eine Vertragsstrafe zu zahlen, sollte es zu einem erneuten Vergehen kommen.
Sie müssen eine solche Unterlassungserklärung nicht voreilig unterschreiben – wenn überhaupt, müssen Sie diese nur abgeben, wenn der Tatvorwurf berechtigt ist. Ist dem so, können Sie die Erklärung zu Ihren Gunsten anpassen und eine modifizierte Unterlassungserklärung abgeben.
Es kann aber sinnvoll sein, die Anpassung einem Anwalt zu überlassen – denn modifizieren Sie selbst, kann der Abmahnende die Erklärung ablehnen.
Vorsicht: Unterschreiben Sie die Unterlassungserklärung vorzeitig, kann das Gericht dies in einem späteren Verfahren als Schuldeingeständnis werten. Es kann deshalb sinnvoll sein, die Abmahnung vorab juristisch prüfen zu lassen.
advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 550 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden* für eine kostenlose Ersteinschätzung zu Ihrem Anliegen.
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.
Die Kosten einer DSGVO-Abmahnung nach UWG hängen davon ab, wie stark die wirtschaftlichen Interessen des Abmahners betroffen sind. Daraus ergibt sich der Streit- bzw. Gegenstandswert. Bei wettbewerbsrechtlichen Abmahnungen gibt es daher keinen expliziten Bußgeldkatalog.
Laut Art. 83 der DSGVO sind Bußgelder bis zu 20 Mio. Euro (oder 4 % des Jahresumsatzes des Unternehmens) denkbar.
Um eine DSGVO-Abmahnung abzuwehren, ist es wichtig, zu prüfen, ob diese überhaupt gerechtfertigt ist – hier kann sich die unklare rechtliche Lage zu Ihren Gunsten auswirken.
Ein Anwalt für Datenschutzrecht kann die Zulässigkeit des Schreibens prüfen und u. a. folgende Aufgaben für Sie übernehmen:
Ist die Abmahnung unzulässig, weil der Absender gar nicht abmahnberechtigt ist, müssen Sie den Forderungen nicht nachkommen – und auch nichts bezahlen.
Da die Bußgelder bei einem DSGVO-Verstoß aber empfindlich hoch ausfallen können, kann es sinnvoll sein, die Abmahnung in jedem Fall ernst zu nehmen und von einem Anwalt prüfen zu lassen.
Sie wollen sich gegen die Datenschutz-Abmahnung wehren? advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 550 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden* für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen und Erfolgsaussichten.
Ein advocado Partner-Anwalt erläutert Ihnen in einer kostenlosen Ersteinschätzung das mögliche Vorgehen.
Um die Gefahr einer Datenschutz-Abmahnung zu verhindern, kann es sinnvoll sein, von Anfang an auf die Einhaltungen der DSGVO-Richtlinien zu achten – denn nicht nur Unternehmen, sondern auch Privatpersonen können eine Abmahnung erhalten, wenn sie Werbebanner oder Affiliate Links auf der Website verwenden.
Möchten Sie eine Datenschutz-Abmahnung Ihrer Homepage vermeiden, können Sie wie folgt vorgehen:
Allein eine Datenschutzerklärung reicht nicht aus: Um eine DSGVO-Abmahnung Ihrer Website zu verhindern, ist die Erklärung auch tatsächlich umzusetzen und muss mit den dortigen Prozessen übereinstimmen – denn sonst ist die Erklärung falsch.
Unternehmen können daher zusätzlich einen Datenschutzbeauftragten ernennen. Für Online-Händler kann es sinnvoll sein, die Seite oder den Online-Shop prüfen zu lassen – ein Anwalt kann z. B. sicherstellen, dass die verwendeten Allgemeinen Geschäftsbedingungen rechtssicher sind, indem Sie von ihm die AGB prüfen lassen.
Unternehmen müssen zudem darauf achten, dass der Datenschutz im Homeoffice eingehalten wird.
Eine Abmahnung ist möglich, wenn Personen oder Unternehmen z. B. auf ihrer Homepage gegen die Vorgaben der Datenschutzgrundverordnung verstoßen. Dies kann ein fehlendes Impressum, der fehlende Hinweis auf die Nutzung von Cookies aber auch die Einbindung von Google Fonts sein – eine DSGVO-Abmahnung ist in diesen Fällen möglich.
Stellen Verbraucher fest, dass sich ein Unternehmen nicht an die Datenschutzrichtlinie hält und z. B. das Recht auf Auskunft verletzt, können sie das Unternehmen abmahnen. Alternativ können sich Privatpersonen an die Aufsichtsbehörde wenden und die Datenschutzverletzung melden.
Die Höhe der Kosten einer DSGVO-Abmahnung hängen vom Gegenstandswert ab. Dieser orientiert sich an Streitwerten, die Gerichte bei früheren Verhandlungen festgesetzt haben. Der Gegenstandswert beeinflusst die Höhe der entstehenden Anwaltskosten.
Als Teil der juristischen Redaktion von advocado strebt Sophie Suske jeden Tag danach, komplexe Rechtsprobleme des Marken- und Versicherungsrechts für jeden Leser verständlich aufzubereiten. Grundlage ihrer lösungsorientierten Arbeit ist ihr Masterstudium der Sprach- und Kommunikationswissenschaft.