Was tun bei Abmahnung wegen DSGVO-Verstoß?

Zusammenfassung

Erteilen Aufsichtsbehörden wegen Datenschutzverletzungen Bußgelder, können diese empfindlich hoch ausfallen. Unklar ist jedoch, ob auch Verbraucherschutzverbände und Mitbewerber eine Abmahnung bei Verletzung der DSGVO aussprechen dürfen. Die unklare rechtliche Lage kann es Abgemahnten ermöglichen, die Strafe abzuwehren.

Das Wichtigste in Kürze:

• Seit 2018 gilt die Datenschutzgrundverordnung (DSGVO).
• Wer wegen DSGVO-Verstößen abmahnen darf, ist jedoch nicht abschließend geklärt.
• Die unklare rechtliche Lage kann dabei helfen, die Abmahnung abzuwehren.
• Für Abgemahnte kann es deshalb sinnvoll sein, die Forderungen genau zu prüfen.

1. DSGVO & Abmahnung: Das müssen Sie wissen

Mit Einführung der DSGVO 2018 kamen viele Veränderungen auf Webseiten-Betreiber zu. Ziel der Datenschutzgrundverordnung ist ein geregelter, international sicherer Umgang mit personenbezogenen Daten.

Seit dem 25.05.2018 ist sie sowohl für Privatpersonen als auch für Unternehmen verpflichtend, wenn sie personenbezogene Daten erheben, verarbeiten oder nutzen.

In Deutschland richtet sich die Umsetzung der DSGVO vor allem nach dem Bundesdatenschutzgesetz. Zuständige Behörden sind neben dem Bundesbeauftragten für Datenschutz und Informationsfreiheit die 16 Landesbeauftragten und das bayerische Landesamt für Datenschutzaufsicht.

Kommt es zu einem Datenschutzverstoß, kann dem Verursacher eine Abmahnung drohen. Diese muss aber nicht immer von den Aufsichtsbehörden kommen – unter Umständen sind auch Konkurrenten des Unternehmens zum Abmahnen berechtigt.

Wann liegt ein DSGVO-Verstoß vor?

Gemäß Artikel 83 DSGVO gibt es verschiedene mögliche Verstöße gegen die Datenschutzgrundverordnung, die unterschiedlich geahndet werden können. Die DSGVO unterscheidet zwischen formellen und materiellen Verstößen sowie je nach Schwere des Vergehens.

Beispiele für Datenschutzverletzungen:

• Formelle Verstöße: z. B. keine Beachtung des Jugendschutzes, keine Beschäftigung eines Datenschutzbeauftragten
• Materielle Verstöße: z. B. fehlende Einwilligung der Nutzer in Datenverarbeitung, Missachtung des Rechts auf Auskunft oder Löschung
• Leichte Verstöße: z. B. nicht zuvor genehmigter Versand von Spam-Mails
• Mittlere Verstöße: z. B. Kein Impressum oder Datenschutzerklärung
• Schwere Verstöße: z. B. Illegaler Handel mit Kundendaten oder vorsätzliche Datenfälschung
• Sehr schwere Verstöße: z. B.: Unerlaubte Bekanntgabe von Informationen aus Zeugenschutz­programmen

Abhängig von der Art des Verstoßes (formell oder materiell) und der Schwere des Vergehens (leicht bis sehr schwer) können die möglichen DSGVO Strafen und Bußgelder der Datenschutzbehörden unterschiedlich hoch ausfallen.

Gilt die DSGVO überhaupt für mich?

Betreiben Sie eine Webseite, die nicht nur rein privaten Zwecken dient, gilt die DSGVO auch für Sie. Sobald Sie personenbezogene Daten in irgendeiner Weise erheben oder verarbeiten, sind die Regelungen der Datenschutzgrundverordnung für Sie verpflichtend – auch wenn Sie eine Privatperson sind.

Um zu klären, ob Sie personenbezogene Daten verarbeiten, können Sie sich z. B. folgende Fragen stellen:

• Verwende ich auf meine Internetseite Cookies?
• Stelle ich einen Newsletter für meine Leser oder Kunden zur Verfügung?
• Müssen sich die Nutzer auf meiner Seite registrieren, um das Angebot zu nutzen?
• Nutze ich Analyse-Tools wie Google Analytics, um das Kaufverhalten meiner Kunden zu analysieren?

Können Sie bereits eine dieser Fragen bejahen, gilt die DSGVO auch für Sie.

Ist ein Verstoß gegen die DSGVO abmahnfähig?

Ja, ein Datenschutzverstoß ist abmahnfähig. Grundsätzlich darf sich eine unmittelbar betroffene Person gegen eine Datenrechtsverletzung wehren – z. B. wenn ein Unternehmen gegen das Recht auf Auskunft oder Löschung personenbezogener Daten verstößt.

Artikel 80 Abs. 2 DSGVO legt fest, dass die betroffene Person das Recht hat, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnabsicht mit der Beschwerde zu beauftragen. Das würde bedeuten, dass allein die Aufsichtsbehörden zur Abmahnung berechtigt sind.

Tatsächlich ist die Rechtsprechung dazu aber nicht eindeutig – wie die aktuellen Urteile im 2. Kapitel zeigen. Es ist nicht klar, ob allein die Aufsichtsbehörden oder auch z. B. Konkurrenten eine Abmahnung aussprechen dürfen.

Ist eine DSGVO-Abmahnung von Mitbewerbern möglich?

Ob eine Abmahnung von Mitbewerbern zulässig ist, kommt darauf an, ob ein DSGVO-Verstoß auch gleichzeitig ein Verstoß gegen das Wettbewerbsrecht sein kann. Das Gesetz gegen den unlauteren Wettbewerb (UWG) legt fest, dass die Voraussetzungen für alle Teilnehmer des freien Markts gleich sein müssen.

Eine Datenschutzverletzung kann aber zum Nachteil für Konkurrenten sein:

• Hält sich ein Unternehmen an die Richtlinien der DSGVO und ein anderes verstößt dagegen, kann sich das verstoßende Unternehmen einen unlauteren Vorteil sichern.
• Denn für die Umsetzung der DSGVO müssen personelle und finanzielle Ressourcen eingesetzt werden, die sich das Unternehmen spart.

Damit ist laut § 8 UWG ein Grund für die Abmahnung gegeben: Grundsätzlich könnte ein Konkurrent also auch wegen DSGVO-Verstoßes abmahnen und Unterlassung fordern.

Die Rechtsprechung ist sich jedoch (noch) nicht einig, ob eine Abmahnung wegen Datenschutz auf Grundlage des UWG möglich ist. Gerichte urteilten unterschiedlich darüber, ob ein Unterlassungsanspruch nach UWG besteht oder eine Abmahnung wegen der Datenschutzgrundverordnung durch Konkurrenten ausgeschlossen ist – wie die Gerichtsurteile im folgenden Kapitel zeigen.

2. Aktuelle Urteile: Wer darf wegen DSGVO abmahnen?

Wer abmahnen darf, ist rechtlich noch nicht abschließend und eindeutig geklärt. Klar ist, dass unmittelbar vom DSGVO-Verstoß betroffene Personen eine Abmahnung gegen den Verletzer aussprechen dürfen bzw. die Aufsichtsbehörden damit beauftragen können.

Fraglich ist allerdings, ob auch Konkurrenten und Verbraucherschutzverbände ein Unternehmen abmahnen dürfen, wenn dieses gegen den Datenschutz verstößt.

Die Frage, ob Mitbewerbern eine Abmahnung zusteht, war in der Vergangenheit Schwerpunkt verschiedener Gerichtsverfahren. Die Gerichte haben unterschiedlich entschieden, wie die folgenden aktuellen Urteile zu Abmahnungen wegen Verstoß gegen das Datenschutzrecht zeigen.

LG Bochum: Keine Abmahnung durch Wettbewerber

Das Landgericht Bochum traf 2018 zu einer DSGVO-Abmahnung folgende Entscheidung (Az. 12 O 85/18):

• Es verneinte die Zulässigkeit einer Datenschutz-Abmahnung auf Grundlage des UWG durch Wettbewerber.
• Es entschied, dass nur bestimmte Vereine und Einrichtungen, die keinen Gewinn zum Ziel haben dürfen, die Rechte der betroffenen Personen im Sinne der DSGVO innehaben können.
• Wettbewerber fallen nicht

LG Würzburg: Mitbewerber dürfen abmahnen

Das Landgericht Würzburg traf im selben Jahr eine andere Entscheidung (Az. 11 O 1741/18):

• Es bejahte die Zulässigkeit einer Abmahnung nach DSGVO und Wettbewerbsrecht – auch wenn diese von einem Mitbewerber kommt.
• In dem Fall hatte ein Anwalt gegen eine Berufskollegin geklagt, weil diese auf ihrer Webseite eine unzureichende Datenschutzerklärung veröffentlicht und das Kontaktformular nicht verschlüsselt hatte.
• Das Gericht erklärte die Abmahnung für gerechtfertigt – die Beklagte musste ihre Seite einstellen.

OLG München: DSGVO & UGW schließen sich nicht aus

Das OLG München entschied in einem Urteil 2019 (Az. 6 U 2404/18):

• Die DSGVO und das UWG schließen sich nicht gegenseitig aus.
• Ein Vorrang eines der beiden Gesetze ist nicht zu erkennen, stattdessen existieren sie nebeneinander.
• Ob eine DSGVO-Abmahnung durch Wettbewerber möglich ist, ist immer eine Einzelfallentscheidung der Gerichte.

EuGH: Warten auf höchstrichterliche Rechtsprechung

Der Bundesgerichtshof (BGH) hat die Frage, wer wegen DSGVO abmahnen darf, im Mai 2020 schließlich dem Europäischen Gerichtshof (EuGH) vorgelegt (Az. I ZR 186/17):

• Konkret geht es in dem Fall darum, ob Verbraucherschutzverbände Unternehmen abmahnen können.
• Der Bundesverband der Verbraucherzentrale klagte vor dem BGH gegen Facebook wegen des App-Zentrums der Social-Media-Plattform
• Der BGH hat das Verfahren ausgesetzt und an den EuGH weitergeleitet – eine finale Entscheidung, liegt noch nicht vor (Stand: Februar 2021).

Bis der EuGH kein höchstrichterliches Urteil gefällt hat, ist die Frage, ob Verbraucherverbände und Wettbewerbsverbände abmahnen dürfen, weiterhin unbeantwortet.

3. Datenschutz-Abmahnung erhalten: Was können Seitenbetreiber tun?

Wer eine Abmahnung wegen einer Datenschutzverletzung erhalten hat, kann sich an Folgendes erinnern: Die unklare rechtliche Lage kann es möglich machen, die Abmahnung mit fundierter juristischer Argumentation abzuwehren.

Es kann allerdings auch sinnvoll sein, von Anfang die Unterstützung eines Anwalts in Anspruch zu nehmen, um die von der Datenschutz-Abmahnung ausgehenden Risiken einschätzen zu können. Bußgelder können empfindlich hoch ausfallen – es kann teuer werden, an der falschen Stelle zu sparen und sich nicht abzusichern.

Was kann ich gegen eine Abmahnung tun?

Sie können zunächst prüfen, wer der Abmahnende ist: Kommt die Abmahnung von einer nicht unmittelbar betroffenen Person oder einem Unternehmen, das nicht im Wettbewerb mit Ihnen steht, können Sie sich darauf berufen, dass der Absender nicht zur Datenschutz-Abmahnung berechtigt ist.

Folgendes kann sinnvoll sein:

• Nicht mit dem Abmahner in Kontakt treten.
• Nicht voreilig die Unterlassungserklärung unterschreiben.
• Keinen Teilbetrag auszahlen.
• Keine ungeprüften Zahlungen veranlassen – auch nicht, wenn die mahnende Partei mit vermeintlichen Ermäßigungen lockt.

Die Abmahnung zu ignorieren, kann riskant sein – denn sollte sie berechtigt sein, kann der Abmahnende eine einstweilige Verfügung gegen Sie beantragen.

Muss ich die Unterlassungserklärung unterschreiben?

Ist die DSGVO-Abmahnung gerechtfertigt, kann der Abmahnende von Ihnen Unterlassung fordern. Um den Unterlassungsanspruch geltend zu machen, liegt der Abmahnung eine strafbewehrte Unterlassungserklärung bei.

Diese ist ein Vertrag zwischen dem Abmahnenden und dem vermeintlichen Rechtsverletzer, in dem sich Letzterer dazu verpflichtet, die Tat nicht zu wiederholen. Um die Wiederholungsgefahr zu beschränken, verpflichtet sich der Abgemahnte, eine Vertragsstrafe zu zahlen, sollte es zu einem erneuten Vergehen kommen.

Sie müssen eine solche Unterlassungserklärung nicht voreilig unterschreiben – wenn überhaupt, müssen Sie diese nur abgeben, wenn der Tatvorwurf berechtigt ist. Ist dem so, können Sie die Erklärung zu Ihren Gunsten anpassen und eine modifizierte Unterlassungserklärung abgeben.

Es kann aber sinnvoll sein, die Anpassung einem Anwalt zu überlassen – denn modifizieren Sie selbst, kann der Abmahnende die Erklärung ablehnen.

Vorsicht: Unterschreiben Sie die Unterlassungserklärung vorzeitig, kann das Gericht dies in einem späteren Verfahren als Schuldeingeständnis werten. Es kann deshalb sinnvoll sein, die Abmahnung vorab juristisch prüfen zu lassen.

advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden für eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

Jetzt Ersteinschätzung erhalten.

Welche Kosten können entstehen?

Die Kosten einer DSGVO-Abmahnung nach UWG hängen davon ab, wie stark die wirtschaftlichen Interessen des Abmahners betroffen sind. Daraus ergibt sich der Streit- bzw. Gegenstandswert. Bei wettbewerbsrechtlichen Abmahnungen gibt es daher keinen expliziten Bußgeldkatalog.

Laut Art. 83 der DSGVO sind Bußgelder bis zu 20 Mio. Euro (oder 4 % des Jahresumsatzes des Unternehmens) denkbar.

Wie kann ich die DSGVO-Abmahnung abwehren?

Um eine DSGVO-Abmahnung abzuwehren, ist es wichtig, zu prüfen, ob diese überhaupt gerechtfertigt ist – hier kann sich die unklare rechtliche Lage zu Ihren Gunsten auswirken.

Ein Anwalt für Datenschutzrecht kann die Zulässigkeit des Schreibens prüfen und u. a. folgende Aufgaben für Sie übernehmen:

• Prüfung der gestellten Forderungen.
• Fristgerechter Widerspruch, wenn Abmahnung unzulässig ist.
• Formulierung einer modifizierten Unterlassungserklärung, wenn tatsächlich eine Datenschutzverletzung vorliegt.
• Verhandlungen mit der Gegenseite für einen außergerichtlichen Vergleich.

Ist die Abmahnung unzulässig, weil der Absender gar nicht abmahnberechtigt ist, müssen Sie den Forderungen nicht nachkommen – und auch nichts bezahlen.

Da die Bußgelder bei einem DSGVO-Verstoß aber empfindlich hoch ausfallen können, kann es sinnvoll sein, die Abmahnung in jedem Fall ernst zu nehmen und von einem Anwalt prüfen zu lassen.

Sie wollen sich gegen die Datenschutz-Abmahnung wehren? advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen und Erfolgsaussichten.

4. Wie lässt sich eine Abmahnung wegen Datenschutz verhindern?

Um die Gefahr einer Datenschutz-Abmahnung zu verhindern, kann es sinnvoll sein, von Anfang an auf die Einhaltungen der DSGVO-Richtlinien zu achten – denn nicht nur Unternehmen, sondern auch Privatpersonen können eine Abmahnung erhalten, wenn sie Werbebanner oder Affiliate Links auf der Website verwenden.

Möchten Sie eine Datenschutz-Abmahnung Ihrer Homepage vermeiden, können Sie wie folgt vorgehen:

• Datenschutzerklärung erstellen, die allen Vorgaben gerecht wird.
• Ein verschlüsseltes Kontaktformular nutzen.
• Auf die Verwendung von Cookies hinweisen.
• Bei der Nutzung von Analytic-Tools und Tracking-Plugins auf das Widerspruchsrecht der Nutzer hinweisen.
• Homepage verschlüsseln.

Allein eine Datenschutzerklärung reicht nicht aus: Um eine DSGVO-Abmahnung Ihrer Website zu verhindern, ist die Erklärung auch tatsächlich umzusetzen und muss mit den dortigen Prozessen übereinstimmen – denn sonst ist die Erklärung falsch.

Unternehmen können daher zusätzlich einen Datenschutzbeauftragten ernennen. Für Online-Händler kann es sinnvoll sein, die Seite oder den Online-Shop prüfen zu lassen – ein Anwalt kann z. B. sicherstellen, dass die verwendeten Allgemeinen Geschäftsbedingungen rechtssicher sind, indem Sie von ihm die AGB prüfen lassen.

Unternehmen müssen zudem darauf achten, dass der Datenschutz im Homeoffice  eingehalten wird.