Was tun, wenn eine DSGVO-Abmahnung kommt? Bild: MEV Verlag GmbH, Germany

Seit dem 25.5.2018 greift die Datenschutz-Grundverordnung. Schneller als erwartet, tauchen nun schon die ersten Abmahnungen auf. Nun ist ein Abmahnverbot für die Übergangszeit in Planung. Es hindert aber, wenn es denn kommt, nicht Sanktionen durch Datenschutzbehörden, denn die DSGVO enthält einige neue Pflichten zum Datenschutz, bei deren Verletzung hohe Geldbußen drohen, wobei die Datenschutzbehörden wenig Ermessensspielraum haben.

Freiberufler, Unternehmen, Vereine und Behörden – mit Ausnahme der Strafverfolgungsbehörden – müssen seit dem 25. Mai mit einschneidenden Sanktionen rechnen, wenn sie die rechtlichen Anforderungen der DSGVO nicht erfüllen. Das bringt auch für Führungskräfte ein höheres Haftungsrisiko.

Zwar hatten einige Datenschutzbehörden in letzter Zeit angesichts des Medienhype um das Thema vor Panikmache gewarnt und auf ihre überschaubaren Personalkapazitäten verwiesen. Doch die Gefahr durch Abmahnungen durch Konkurrenten, insbesondere aber durch Abmahnexperten besteht unvermindert - diese haben dieses Ressourcenproblem nicht, sondern wittern ein neues gewinnträchtiges Thema.

Unionsfraktion fordert Übergangsverbot für DSGVO-Abmahnungen

Gegen das Abmahnunwesen vorzugehen, wurde schon im Koalitionsvertrag vereinbart. Die Unionsfraktion fordert, mit einer schnellen Gesetzesänderung eine Abmahnwelle wegen (angebliche) Verstöße gegen die Datenschutzgrundverordnung  zu verbieten.

Bei der Umstellung auf das neue Datenschutzrechts will sie Milde walten lassen, denn es seien "unbewusste Verstöße nicht gänzlich zu vermeiden“, so die rechts- und verbraucherpolitische Sprecherin der Unionsfraktion, Elisabeth Winkelmeier-Becker (CDU).

DSGVO: Gesetz noch vor der parlamentarischen Sommerpause?

Die Unionsfraktion will erforderliche Gesetzesänderung in das das laufende Gesetzgebungsverfahren zur Einführung einer Musterfeststellungsklage für Verbraucher einpflegen lassen, das voraussichtlich schon am 6. Juli im Bundesrat verabschiedet wird. So könnte die Neuregelung möglicherweise noch im Juli in Kraft treten. Dass würde Möglicherweie auch verhindern, dass sich eine Abmahnindustrie in Sachen DSGVO etabliert und  bereits Abgemahnten den Rücken. Selbst Datenschützern sind diese Abmahnungen ein Dorn im Auge: Die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen forderte ebenfalls ein Gesetz gegen missbräuchliche Abmahnungen.

DSGVO-Abmahnungen kommen schneller als gedacht

Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von Gewerbetreibenden im Internet, gab es nach gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen häufig ein ausgeprägtes Abmahnverhalten, von Konkurrenten oder auch als anwaltliches Geschäftsmodell.

Click to tweet
  • da auch für Abmahnwillige erst klar werden müsse, wie genau die Behörden reagieren und welche Versäumnisse von den Gerichten sanktioniert werden.
  • Schließlich geht auch der Abmahnende das Risiko ein, auf den Kosten, den eigenen und denen des sich wehrenden Abgemahnten, sitzen zu bleiben. 

Deshalb dachten Politiker, Datenschützer und auch viele Anwälte, es sei vor Massenabmahnungen zumindest mit einer Orientierungsphase zu rechnen, zumal nicht klar ist, wie Verstöße gegen die DSGVO aus UWG-Sicht zu betrachten sind. Gut möglich, dass die bestimmte DSGVO-Verstöße nicht wettbewerbsrechtlich relevant sind.

Von DSGVO-Abmahn-Zurückhaltung keine Rede

Doch das neue Feld wurde unverzüglich beackert. Verschiedene Anwälte mahnen nun Unternehmen wegen fehlender Datenschutzerklärungen und wegen der Einbindung von Google Fonts (Google hat dadurch Fonts / Schriften verbreitet, über deren Lizenzierung das Unternehmen sicherstellt, dass sie frei verwendet werden können, ohne Nutzer mit Lizenzgebühren zu belasten) auf Webseiten.

Grund für die Abmahnung der Einbindung von dieser und anderer Google-Tools: Bei nicht lokalem Abspeichern wird eine Verbindung zu einem externen Server aufgebaut und es werden ohne Zustimmung Nutzerdaten weitergegeben.

Neben den im Internet verfügbaren Hinweisen dazu, wie Google Fonts DSGV-konform genutzt werden kann (lokal auf dem eigenen Server bzw. Webspace abgelegt und eingebunden), bleibt die Frage nach dem Umgang mit Abmahnungen, die nicht sogleich als phishing erkennbar sind.

Was tun bei einer DSGVO-Abmahnung?

Zunächst gilt es sicherzustellen, dass eine Datenschutzerklärung spätestens jetzt eingebunden wird. Außerdem gilt es Google Fonts, Google Analytics und andere Tools großer Internetanbieter nicht mehr direkt, sondern nach lokaler Speicherung einzubinden.

Insbesondere gilt es, mit Blick auf die Abmahnung unbedingt die Ruhe zu bewahren,

  • keinesfalls vorschnell eine Unterlassungserklärung zu unterschreiben
  • oder die Kosten des abmahnenden Anwalts zu ersetzen.

Lassen Sie sich zunächst von einem Rechtsanwalt im Bereich Wettbewerbsrecht bzw. Datenschutzrecht beraten. Die Sache auszusitzen kann man reinen Herzens schwer empfehlen, auch wenn eine solche Abmahnung weniger schwer wiegt, als eine gegenüber einer Datenschutzbehörde geführte Beschwerde oder die Beanstandungen durch eine Datenschutzbehörde, denn gegenüber dieser greift eine Beweislastumkehr.

Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO bringt Beweislastumkehr

Art. 5 Abs. 2 DSGVO besagt, dass der Verantwortliche für die Einhaltung des ordnungsgemäßen Umgangs mit personenbezogenen Daten verantwortlich sei und ihn nachweisen können muss.

  • Die EU-Datenschutz-Grundverordnung nennt zwar keine konkreten Nachweispflichten, es ist aber jedenfalls von  Dokumentationspflichten auszugehen.
  • Da Verstöße hohe Vermögensschäden durch Bußgelder und ein Imageverluste erwarten lassen ist anzunehmen, dass die Verantwortlichen von den Unternehmen  in Haftung genommen werden,
  • denn das Management ist verantwortlich, dass technisch wie organisatorisch ein System entsteht, der DSGVO-konformen Datenumgang sichergestellt ist.

Steigende Fallzahlen bei D&O-Versicherungen erwartet

Versicherungsrechtler gehen in Anbetracht der nach immer neuen Umfragen weiter schlechten Vorbereitung auf die DSGVO davon aus, dass sie auch zu einer steigenden Zahl an Managerhaftplichtfällen führen wird, da durch die Beweislastumkehr nicht die durch mangelhaften Datenschutz Geschädigten beweisen müssen, sondern Unternehmen, Freiberufler etc. darlegen müssen, dass die Vorgaben der DSGVO korrekt eingehalten wurden.

Die Haftung setzt voraus, dass dem Unternehmen aufgrund einer  Pflichtverletzung ein Schaden entstanden ist. In diesem Fall ist der hypothetische Zustand herzustellen, der ohne die zum Ersatz verpflichtende Tatsache bestünde. So kann der Schaden in einem auferlegten Bußgeld und notwendigen Anwaltskosten liegen.

Die D&O -Versicherung soll dem Führungspersonal in einem solchen Fall Schutz bei Haftungsfolgen von Fehleinschätzungen, Fehlentscheidungen, Verletzung der Aufsichtspflicht und sonstigen Sorgfaltspflichtverletzungen bieten.

Recht jedes Bürgers auf Schutz personenbezogener Daten

Die EU hat mit der DSGVO eine Grundlage geschaffen, personenbezogene Daten einem grundsätzlichen Schutz zu unterziehen und damit das Allgemeine Persönlichkeitsrecht ihrer Bürger zu stärken.

Art.1 Abs.2 DSGVO garantiert den EU-Bürgern ein Recht auf den Schutz ihrer personenbezogenen Daten. Gemäß Art. 5 DSGVO sind bei der Verarbeitung personenbezogener Daten ethische Grundsätze zu beachten wie

  • Rechtmäßigkeit,
  • Treu und Glauben,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit der erhobene Daten,
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht.
Anzeige: e-Learning Datenschutz - Datenschutz-Grundverordnung einfach umsetzen
Personenbezogene Daten sind ein kostbares Gut. Deshalb werden die Verwertung und Verbreitung der Daten von Mitarbeitern, Kunden, Lieferanten, Kollegen oder Bewerbern durch die Gesetzgebung besonders geschützt. Lernen Sie, wie Sie die Datenschutz-Grundverordnung einfach umsetzen.
Mehr dazu bei der Haufe Akademie

Sachlicher Anwendungsbereich der DSGVO

Gemäß Art. 2 DSGVO gilt die Verordnung für jegliche ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Dabei sind gemäß Art. 4 DSGVO personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Hinweis: Hiernach sind bereits handschriftliche Aufzeichnungen zur Vorbereitung der Datenerfassung, sei es für die spätere elektronische Speicherung oder nur für die Ablage in einem Aktenordner, von der Verordnung erfasst.

Daten-Profiling - die Analyse und Bewertung der Daten

Click to tweet

Art. 4 Nr. 4 DSGVO unterstellt das so genannte Profiling einem besonderen Schutz. Unter Profiling wird verstanden die Bewertung personenbezogener Daten für besondere Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, allgemein zu erwartendes Verhalten oder sonstige Zukunftsprognosen.

Sobald Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über Tragweite und die angestrebten Auswirkungen des Verfahrens informiert werden. Das schließt auch Angaben zu der dazu verwendeten Logik oder dem Algorithmus mit ein.

Jeder Betroffene hat ein genau definiertes Auskunftsrecht

Gemäß Art. 15 DSGVO hat jeder das Recht, von dem Verantwortlichen für Datenschutz des jeweiligen Unternehmens eine Bestätigung über die Verarbeitung seiner personenbezogenen Daten zu verlangen. Das Recht auf Auskunft umfasst die Information über

  • den Verarbeitungszweck,
  • die Kategorie der erhobenen Daten,
  • die Empfänger, denen personenbezogene Daten offen gelegt worden sind oder noch werden,
  • die geplante Dauer der Speicherung,
  • eine Belehrung über das Bestehen des Rechts auf Berichtigung oder Löschung sowie
  • über das Bestehen eines Beschwerderechts gegenüber der Aufsichtsbehörde.

Das Datenschutz-Recht auf Löschung

Art. 17 der Verordnung gewährt ein Recht auf Löschung u.a. bei

  • Zweckerreichung der Speicherung,
  • Widerruf einer erforderlichen Einwilligung,
  • Einlegung eines Widerspruchs gemäß Art. 21 DSGVO, ohne dass vorrangige berechtigte Gründe für die Verarbeitung bestehen,
  • unrechtmäßiger Verarbeitung der Daten.

Art. 18 DSGVO gewährt unter ähnlichen Voraussetzungen ein Recht auf Beschränkung der Verarbeitung.

Neue Datenschutz-Verpflichtungen der Unternehmen seit 25. Mai

Außerdem postuliert die neue Verordnung eine ganze Reihe von Unternehmenspflichten wie

Wie einige Umfragen bei Unternehmen ergeben haben, sehen die Verantwortlichen in größeren Unternehmen noch erhebliche Probleme in einer der Verordnung gerecht werdenden Datenverwaltung. In komplexen Datenverwaltungen wissen große Unternehmen oft gar nicht, wo sich überall Kundendaten befinden. Probleme bei der Fragmentierung von Daten, bei der Verschlüsselung sind oft noch ungelöst. Die für den Datenschutz Verantwortlichen in nicht wenigen Großunternehmen haben mittlerweile sehen daher noch erhebliche Probleme bei der Umsetzung der DSGVO.

Unternehmen müssen einen Verantwortlichen benennen

Für Unternehmen ist wichtig, dass grundsätzlich zunächst die Leitung des Unternehmens verantwortlich für die Umsetzung der Verordnung ist. In der Regel ist ein Datenschutzbeauftragter zu benennen, Art. 37 DSGVO. Dies kann in größeren Unternehmen beispielsweise der Chief-Information-Security-Officer, der Chief-Executive-Officer oder eine sonstige mit der Überwachung von Compliance beauftragte Person sein.

Mitgliedstaaten müssen die Anwendung der DSGVO überwachen

Sobald die Verordnung in Kraft tritt, wird es für die Unternehmen ungemütlich.

Gemäß Art. 51 DSGVO muss jeder Mitgliedstaat eine Aufsichtsbehörde benennen, die für die Überwachung und Anwendung der Verordnung zuständig ist.

Anspruch auf Schadensersatz der Betroffenen bei Verstoß

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den für den Verstoß Verantwortlichen bzw. gegen den Auftragsverarbeiter. Das gibt der Umsetzung der Neuregelung wünschenswerte Antriebskraft, könnte aber auch Begehrlichkeiten wecken und dem Abmahnmissbrauch vergleichbaren Geschäftsmodellen generieren. Unternehmen sind gut beraten, das auf dem Schirm zu haben.

Bei Verstößen drohen happige Sanktionen

Die möglichen Bußgelder sind in Art. 83 DSGVO geregelt. Für die Bemessung der Höhe sind folgende Faktoren maßgeblich:

  • Schwere und Art des Verstoßes,
  • die Art der von dem Verstoß betroffenen Daten (Verstöße bei bestimmten Daten wie über rassische oder ethnische Herkunft, religiöse oder philosophische Anschauungen, Gesundheit sexuelle Orientierung, genetische Daten wiegen besonders schwer),
  • vorsätzliche oder fahrlässige Begehungsweise,
  • ergriffene Maßnahmen zur Schadensminderung,
  • Kooperation mit der Aufsichtsbehörde.

Höhe der Geldbußen bei DSGVO-Verstößen seit 25. Mai

Bei Verstößen können gemäß Art. 83 Abs. 4 DSGVO

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.

Diese enorm hohen Geldbußen, die geeignet sind, eine Unternehmensbilanz negativ zu beeinflussen, sollen eine hohe Abschreckungswirkung erzielen und dabei helfen, der Verordnung eine nachhaltige Geltung zu verschaffen. 

Bereits Beschwerden gegen Facebook, Google, WhatsApp und Instagram

Schon Stunden nachdem die neuen EU-Datenschutzgrundverordnung (DSGVO) am 25.5. wirksam wurde, hat der österreichische Jurist und Datenschutzaktivist Max Schrems laut Mitteilung des von ihm gegründeten Vereins "Noyb" bei den Aufsichtsbehörden Beschwerden gegen Facebook, Google (Android), WhatsApp und Instagram eingereicht.

Die Konzerne verstoßen seiner Ansicht nach gegen das Koppelungsverbot der Datenschutzgrundverordnung, indem sie Nutzermit Verweigerung von Dienstleistungen zwingen Datenschutzbestimmungen zuzustimmen.

Koppelungsverbot erfordert freiwillige Einwilligung in Datenverarbeitung

Um personenbezogene Daten zu verarbeiten, muss eine Einwilligung des Betroffenen vorliegen. Diese ist gem. § 4a Abs. 1 S. 1 BDSG nur wirksam, wenn sie freiwillig erfolgt.

Laut  § 28 Abs. 3b BDSG darf die verantwortliche Stelle

"den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.”

Schrems /noyb führen in Deutschland (Hamburg), Frankreich, Belgien und Österreich gleichzeitig Beschwerde, dass die Dienste Facebook, Google (Android), WhatsApp und Instagram bei fehlender Zustimmung zu neuen Datenschutzerklärungen Nutzer aussperren wollen und damit gegen das Koppelungsverbot verstoße, wonach der Zugang zu Dienstleistungen nicht von einer Zustimmung zur Datennutzung abhängig gemacht werden dürfe.

Nach Zuckerbergs wenig Datenschutz geneigter Anhörung im EU-Parlament wird noyb / Schrems bei Datenschutzbehörden durchaus auf Interesse stoßen.

Kommen doch Ausnahme für Privatleute, Handwerker und Freiberufler?

Ansatzpunkt für eine „Entschärfung“ liefert das von dem Nachbar-EU-Land Österreich für die Umsetzung der Datenschutzgrundverordnung gewählte Einschränkung.

  • Dort gilt eine  Ausnahmen für Privatleute, Handwerker und Freiberufler.
  • Sie müssen erst bei systematischen Verstößen mit den gefürchteten hohen Strafen rechnen.

Allerdings bestreitet die stellvertretende SPD-Digitalpolitiksprecherin Esken, die DSGVO böte, anders als in der österreichischen Umsetzung umgesetzt, keine Öffnungsklauseln für kleine Handwerker oder Vereine. Besser als gesetzlich nachzubessern sei es, Vertrauen in das Augenmaß der Datenschutz-Aufsichtsbehörden vermitteln.

Weitere News zum Thema:

Informationen zur Datenschutz-Grundverordnung

Umsetzung der EU-Datenschutzreform durch die Unternehmen

Kritik am geplanten Datenschutzrecht reißt nicht ab

Hintergrund:

Umfrage zeigt Lethargie

Nach einer repräsentativen Umfrage des Branchenverbands Bitkom, für die knapp über 500 Datenschutzverantwortliche aus Unternehmen mit mehr als 20 Mitarbeitern im Oktober 2016 befragt wurden. hatte fast die Hälfte sich noch nicht mit der Reform beschäftigt.

Einstieg über ein Online-Seminar

Seit dem 25. Mai 2018 gilt die DSGVO unmittelbar und ohne weitere Übergangsfrist in allen Mitgliedstaaten. Zugleich wird auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft treten.

Video-Seminar zum neuen Datenschutzrecht

Ab dem 25.5.2018 gilt die DS-GVO unmittelbar in allen Mitgliedstaaten. Der Referent Prof. Dr. Boris Paal erläutert die Auswirkungen des neuen Datenschutzrechts. Die Seminarinhalte sind:

  •     Überblick über die die DS-GVO und das BDSGneu,
  •     Anwendungsbereiche, Bußgelder und Sanktionen und
  •     Leitfaden Datenschutz 2018/Compliance-Management.

Videogebühr: 98 EUR zzgl. USt.

Hier können Sie das Video herunterladen.

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung, Sanktion, Geldbuße, Datenschutz-Management

Aktuell
Meistgelesen