Was tun bei einer Abmahnung wegen DSGVO

Die EU hat mit der Datenschutzgrundverordnung eine Grundlage geschaffen, personenbezogene Daten einem grundsätzlichen Schutz zu unterziehen. Neben den strengeren Vorgaben und Sanktionen durch Datenschutzbehörden steht das Thema Abmahnungen und Abmahnmissbrauch verstärkt im Raum und beschäftigt Betroffene und den Gesetzgeber. Was tun bei einer Abmahnung wegen DSGVO?

Art. 1 Abs. 2 DSGVO garantiert den EU-Bürgern ein Recht auf den Schutz ihrer personenbezogenen Daten. Gemäß Art. 5 DSGVO sind bei der Verarbeitung personenbezogener Daten ethische Grundsätze zu beachten wie

  • Rechtmäßigkeit,
  • Treu und Glauben,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit der erhobenen Daten,
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht.

Dazu wurden die gesetzlichen Pflichten ausgebaut und verschärft.

Abmahnproblem besonders für Kleinunternehmer, Freiberufler und Vereine

Durch die neue Datenschutzgrundverordnung gelten nun auch für Kleinunternehmer, Freiberufler und Vereine zahlreiche neue Vorgaben. Schon bei geringen Verstößen drohen - rechtlich noch umstrittene - Abmahnungen der Konkurrenz und es kann dabei um erhebliche Abmahngebührengehen (Abmahnungen wegen DSGVO).

Ein neues Gesetz ist bereits in Planung, um missbräuchliche Abmahnungen einzudämmen.

Ist ein Verstoß gegen DSGVO abmahnfähig?

Seit der vollen Geltung der DSGVO zum 25.5.2018 befürchten insbesondere Kleinunternehmer, gemeinnützige Organisationen und Vereine, von Abmahnanwälten auf Grund nicht korrekt umgesetzter Datenschutzregeln mit Abmahnungen überzogen zu werden.

Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von Gewerbetreibenden im Internet, gab es nach gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen häufig ein ausgeprägtes Abmahnverhalten, von Konkurrenten oder auch als anwaltliches Geschäftsmodell.

Gleichwohl nahmen Politiker, Datenschützer und auch viele Anwälte an, es sei bei den Änderungen durch die DSGVO nicht bzw. jedenfalls nicht vor Ablauf einer Orientierungsphase mit Massenabmahnungen zu rechnen. Es war nämlich nicht klar, ob Verstöße gegen die DSGVO überhaupt wettbewerbsrechtlich relevant und damit abmahnbar sind.

DSGVO-Abmahnung wegen Einbindung von Google Fonts

Doch das neue Feld wurde unverzüglich beackert. Verschiedene Anwälte mahnen nun Unternehmen wegen fehlender Datenschutzerklärungen und wegen der Einbindung von Google Fonts auf Webseiten ab. Grund für die Abmahnung der Einbindung von dieser und anderer Google-Tools: Bei nicht lokalem Abspeichern wird eine Verbindung zu einem externen Server aufgebaut und es werden daher ohne Zustimmung Nutzerdaten weitergegeben.

Schon mehrere Landgerichte haben kontroverse Entscheidungen zur Abmahnfähigkeit von Datenschutzverstößen durch Konkurrenten nach UWG erlassen (→ DSGVO Verstöße können von Mitbewerbern abgemahnt werden).

Kürzlich hat nun das OLG Hamburg mit Urteil vom 25.10.2018 (AZ.: 3 U 66/17) entschieden, dass Wettbewerber Datenschutzverstöße von Konkurrenten unter bestimmten Voraussetzungen abmahnen können.

Selbst Datenschützern sind diese Abmahnungen ein Dorn im Auge: Auch die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen forderte ein Gesetz gegen missbräuchliche Abmahnungen.

Was ist bei einer Abmahnung wegen DSGVO zu tun?

Was tun, wenn eine Abmahnung aufschlägt?

Zunächst gilt es sicherzustellen, dass der Umsetzungsmangel behoben wird, so sollte, wenn dies beanstandet wurde, eine ordnungsgemäße Datenschutzerklärung spätestens jetzt eingebunden wird.

Außerdem gilt es, spätestens bei einer entsprechenden Abmahnung, Google Fonts, Google Analytics und andere Tools großer Internetanbieter nicht mehr direkt, sondern nach lokaler Speicherung einzubinden.

Insbesondere gilt es, mit Blick auf die Abmahnung unbedingt die Ruhe zu bewahren,

  • keinesfalls vorschnell eine Unterlassungserklärung zu unterschreiben
  • oder die Kosten des abmahnenden Anwalts zu ersetzen.

Stattdessen sollte die fachkundige Beratung eines Rechtsanwalts im Bereich Wettbewerbsrecht bzw. Datenschutzrecht eingeholt werden. Sollte es erforderlich sein, eine Unterlassungserklärung abzugeben, ist unbedingt auf deren korrekte Formulierung zu achten. Ferner gilt es, die Höhe der Abmahnkosten überprüfen zu lassen.

Die Sache dagegen auszusitzen, ist nicht zu empfehlen. In aller Regel wird es dadurch im Ergebnis nur teurer.

Welche Kosten entstehen bei einer DSGVO-Abmahnung?

Nutznießer der Abmahnindustrie sind spezialisierte Anwälte oder auch unseriöse Vereine, die etwa bei den Internetauftritten von Kleinunternehmen oder Online-Händlern ganz genau hinschauen und schon bei minimalen Verstößen Abmahnungen und Unterlassungsaufforderungen verschicken, die den Betroffenen teuer zu stehen kommen.

Die Abmahnkosten, die für die anwaltliche Tätigkeit entstehen, sind bei einer berechtigten Abmahnung vom Betroffenen als Schadenersatz zu erstatten. Der Höhe nach orientieren sie sich am Gegenstandswert, also dem Interesse des Abmahnenden an der Unterlassung des Verstoßes. Je höher man dieses Interesse bewerten will, desto höher sind die Kosten. Legt man beispielsweise einen Gegenstandswert von 10.000 EUR zugrunde, belaufen sich die anwaltlichen Gebühren auf 745,40 EUR netto.

BDI weist auf Probleme der Unternehmen bei der Umsetzung der DSGVO hin

Über die Hälfte der deutschen Unternehmen erfüllt noch nicht die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO). Das war das Ergebnis einer Umfrage von Bitkom Research unter 500 für den Datenschutz verantwortliche Personen von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland.

Bei Verstößen drohen hohe Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des Weltjahresumsatzes. Nach Zahlen, die dem BDI vorliegen, wurden bis Mitte Januar 2019 insgesamt 41 Bußgelder in Deutschland verhängt, 33 davon in Nordrhein-Westfalen. 85 laufende Verfahren gebe es in Bayern. In Berlin habe sich die Zahl der Beschwerden seit Wirksamwerden der DSGVO im Mai 2018 vervierfacht.

„Die EU-Datenschutz-Grundverordnung stellt Unternehmen vor eine große Herausforderung“, sagte Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. „Rechenschaftspflichten kosten Ressourcen, Zeit und Geld. Dazu kommt, Verarbeitungsverzeichnisse zu erstellen, Prozesse in der Produktentwicklung anzupassen und zusätzliche Informations- und Löschpflichten zu berücksichtigen.“ Besonders häufig wird auch durch die unbefugte Weitergabe von Daten und mangelnde IT-Sicherheit gegen die DSGVO verstoßen. Die Behörden informieren aber bisher nur spärlich, welcher Art die Verstöße sind.

„Einige Aufsichtsbehörden haben angekündigt, gezielt bestimmte Branchen zu überprüfen, besonders wenn sie ein potenzielles Machtungleichgewicht zwischen Verantwortlichen und Verbrauchern sehen, zum Beispiel bei Maklern gegenüber Wohnungssuchenden. Einige Landesbehörden haben die Einhaltung des Datenschutzes bereits stichprobenartig überprüft, indem sie Fragebögen an einzelne Unternehmen verschickt haben“, sagte der BDI-Rechtsreferent Marek Jansen.

Jansen empfiehlt Unternehmen, die Umsetzung und Einhaltung des Datenschutzes weiterhin ernst zu nehmen, um Sanktionen und Imageschäden zu vermeiden. Informationen können Firmen auch von ihren Branchenverbänden erhalten. Zudem haben die Aufsichtsbehörden in Bayern und Niedersachsen die Fragebögen, die sie an Unternehmen geschickt haben, auf ihren Websites veröffentlicht. Sie enthalten Grundlagen des betrieblichen Datenschutzes.

Rechenschaftspflicht und Beweislastumkehr nach DSGVO

Art. 5 Abs. 2 DSGVO besagt, dass der Verantwortliche für die Einhaltung des ordnungsgemäßen Umgangs mit personenbezogenen Daten verantwortlich ist und ihn nachweisen können muss. Die EU-Datenschutz-Grundverordnung nennt zwar keine konkreten Nachweispflichten, es ist aber jedenfalls von Dokumentationspflichten auszugehen.

Bei der Frage, inwieweit der Verantwortliche bei einem notwendigen, aber fehlenden Nachweis auf Schadenersatz in Anspruch genommen werden kann, ist die Regelung in Art. 82 DSGVO zu beachten. Danach gilt eine Beweislastumkehr: Das Verschulden des Verantwortlichen wird vermutet, sofern dieser keinen Nachweis erbringen kann, dass er in keinerlei Hinsicht den Umstand, durch den der Schaden eingetreten ist, zu verantworten hat.

Dem für die Datenverarbeitung Verantwortlichen ist daher schon aus diese Grund zu empfehlen, die sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht zu beachten.

Sanktionen nach DSGVO

Freiberufler, Unternehmen, Vereine und Behörden – mit Ausnahme der Strafverfolgungsbehörden – müssen zudem mit einschneidenden Sanktionen rechnen, wenn sie die rechtlichen Anforderungen der DSGVO nicht erfüllen.

Die DSGVO enthält einige neue Pflichten zum Datenschutz, bei deren Verletzung hohe Geldbußen drohen. So können nach Art. 83 Abs. 5 lit a) DSGVO bei Nichtbeachtung der Grundsätze zur Verarbeitung Geldbußen von bis zu 20.000.000 EUR bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Allerdings haben einige Datenschutzbehörden angesichts der Medienhype um das Thema vor Panikmache gewarnt und auf ihre überschaubaren Personalkapazitäten verwiesen (Datenschutzbeauftragte warnen vor DSGVO-Panik). Zudem wollen sie bei der Umstellung auf das neue Datenschutzrecht Milde walten lassen, wenn es sich um geringfügige und unbewusste Verstöße handelt, die nicht gänzlich zu vermeiden sind.

Gesetz gegen Abmahnmissbrauch

  • Die Gefahr der Abmahnungen durch Konkurrenten, insbesondere durch Abmahnexperten, besteht allerdings unvermindert.
  • Diese haben kein Ressourcenproblem, sondern wittern ein neues gewinnträchtiges Thema.

Nachdem bereits erste Abmahnungen wegen Verstößen gegen die neuen Vorgaben bekannt geworden sind, wollen Politiker mit einer gesetzlichen Regelung erreichen, dass eine missbräuchliche Nutzung solcher Abmahnungen verhindert wird. Da auch schon bei geringen Verstößen erhebliche Abmahngebühren fällig werden können, will man in der Politik das Geschäftsmodell mit missbräuchlichen Abmahnungen und teuren Bagatellabmahnungen konsequent eindämmen.

Gesetzentwurf „zur Stärkung des fairen Wettbewerbs“

Gegen das Abmahnunwesen vorzugehen, wurde schon im Koalitionsvertrag vereinbart. Die Unionsfraktion forderte, mit einer schnellen Gesetzesänderung eine Abmahnwelle wegen (angeblicher) Verstöße gegen die Datenschutzgrundverordnung  zu verbieten. Zunächst plante man sogar, diese Einbindung in das Gesetz zur Musterfeststellungsklage, das zum 1.1.2018 in Kraft trat, mit einzubauen. Als dies scheiterte, drang der Bundestag auf Tempo bei der Gesetzgebung. Das Justizministerium hat jetzt einen entsprechenden Gesetzentwurf „zur Stärkung des fairen Wettbewerbs“ erarbeitet.

Der Gesetzentwurf soll vor allem die Schutzinteressen von kleinen und mittelständischen Unternehmen, Vereinen, Selbständigen und gemeinnützigen Organisationen berücksichtigen. Wie Budesjustizministerin Barley äußerte, wolle man mit dem neuen Gesetz

„endlich einen Schlussstrich unter das grassierende Abmahnunwesen ziehen“.

Dazu sollen zum einen die finanziellen Anreize für Abmahnungen verringert und zum anderen die Voraussetzungen für Abmahnungen erhöht werden. Darüber hinaus sollen die Rechte der Abgemahnten gestärkt werden.

Zu den konkreten Maßnahmen im neuen Gesetzentwurf gehören etwa:

  • Abschaffung des fliegenden Gerichtsstands, sodass die Abmahner sich künftig nicht mehr einen für sie günstigen Gerichtsort aussuchen können.
  • Begrenzung der möglichen Vertragsstrafen bei Wiederholung des Verstoßes und bei unerheblichen Verstößen auf 1.000 Euro.
  • Kein Anspruch auf Kostenerstattung für Wettbewerber und Wirtschaftsverbände bei Abmahnungen aufgrund solcher Verstöße.
  • Wer zu Unrecht abgemahnt wird, soll einen Gegenanspruch auf Ersatz der Kosten für die erforderliche Rechtsverteidigung erhalten.

Weitere Fachinformationen im Top-Thema DSGVO:

DSGVO: Inkrafttreten und Umsetzung

Hintergrund:

Kriterien für die Rechtsmissbräuchlichkeit von Abmahnungen

Die Rechtsprechung hat mittlerweile Kriterien für die Rechtsmissbräuchlichkeit von Abmahnungen entwickelt. Abgeprüft wird diese u.a. mit folgenden Fragen lauten:

  • Werden überhöhte Abmahngebühren gefordert ?
  • Ist die Vertragsstrafe überhöht?
  • Ist die Vertragsstrafe verschuldensunabhängig?
  • Ist die Vertragsstrafe für jeden einzelnen Verstoß unter Wegfall der Figur des sogenannten Fortsetzungszusammenhanges versprochen?
  • Steht die Abmahntätigkeit in keinem vernünftigen Verhältnis zur gewerblichen Tätigkeit des Abmahnenden, mahnt das Unternehmen also mehr ab als seinem eigentlichen Geschäft nachzugehen?
  • Arbeitet der Anwalt in eigener Regie?
  • Ist die Klägerin ein sogenannter Vielfachabmahner?

(u. a. LG Regensburg, Urteil v. 31.1.2013, 1 HK O 1884/12).

Schlagworte zum Thema:  Abmahnung, Datenschutz-Grundverordnung