Informationspflichten für Dienstleistungserbringer / 6.8 Datenschutzerklärung auf Homepage

EU-Datenschutz-Grundverordnung (EU-DSGVO) ab 25.5.2018: Betreiber von Websites (auch Steuerberater und Rechtsanwälte, Ärzte etc.) sind verpflichtet, eine rechtskonforme Datenschutzerklärung auf der Homepage bereitzustellen, und zwar außerhalb des Impressums, unter einem gesonderten "Menüpunkt" (Direktverlinkung).

Zu berücksichtigen sind dabei unter anderem

• Logfiles,
• Registrierungsmöglichkeiten,
• die Verwendung von Cookies und
• der Einsatz von Analyse- oder Tracking-Tools (z. B. Google-Analytics) und
• Social Media Plug-ins (Facebook, Twitter etc).

Angesichts der Komplexität des Themas werden hier keine weiteren Ausführungen gemacht und die Beratung durch IT-Experten und auf IT-Recht spezialisierte Anwälte dringend angeraten.^[1]

Der Deutsche Anwaltverein hat im Internet^[2] sowie im Anwaltsblatt 2018, S 196 ff. ein Muster einer umfassenden Datenschutzerklärung für Kanzleiwebsites bereitgestellt.

Ein Rechtsanwalt darf nicht eine unverschlüsselte Website ohne Datenschutzerklärung nach der Datenschutz-Grundverordnung betreiben. Bei Verstößen gegen die Datenschutzgrundverordnung handelt es sich zugleich um Verstöße gegen das Wettbewerbsrecht gem. §§ 3a, 4 Nr. 11 UWG.^[3]

Wichtig

DSGVO-Verstöße: Unterschiedliche Rechtsprechung zu Abmahnungen

Die Frage, ob die Datenschutzgrundverordnung eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt. Damit ist bisher auch streitig, ob DSGVO-Verstöße abmahnbar sind oder nicht.^[4] Art. 80 DSGVO enthält keine abschließende Regelung über die Rechtsdurchsetzung von Verstößen gegen die Datenschutz-Grundverordnung. Wettbewerbsverbände sind gemäß § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3a UWG befugt, solche Verstöße gegen Bestimmungen der Datenschutz-Grundverordnung geltend zu machen, bei denen es sich um Marktverhaltensregelungen handelt.^[5]

Der BGH hat dem EuGH die Frage vorgelegt, ob Verbraucherschutzverbände befugt sind, Verstöße gegen das Datenschutzrecht zu verfolgen. Lt. EuGH sind solche Verbandsklagen von Verbraucherschützern zulässig, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen können.^[6]

Der BGH hat den EuGH erneut angerufen, weil eine weitergehende Klärung erforderlich sei. Die Frage an den EuGH lautet: kann eine Rechtsverletzung "in Folge einer Verarbeitung" i. S. v. Art. 80 Abs. 2 DSGVO geltend gemacht werden, wenn

• ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt,
• die Rechte einer betroffenen Person seien verletzt,
• weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. I Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.^[7]

Lt. EuGH besteht kein Anspruch auf Ersatz des immateriellen Schadens bei bloßem Verstoß gegen die DSGVO.^[8]

[1]

S. Abschnitt 6.2.

[2] https://anwaltverein.de/de/praxis/datenschutz, letzter Abruf 6.7.2023.

[3] LG Würzburg, Urteil v. 13.9.2018, 11 O 1741/18 UWG, n. rkr., AnwBl 2018 S. 680.

[4] Dafür LG Magdeburg, Urteil v. 18.1.2019, 36 O 48/18; LG Wiesbaden, Urteil v. 5.11.2018, 5 O 214/18; dagegen OLG Hamburg, Urteil v. 25.10.2018, 3 U 66/17; LG Bochum, Urteil v. 7.8.2018, I-12 O 85/18.

[5] OLG Stuttgart, Urteil v. 27.2.2020, 2 U 257/19, MDR 2020 S. 684, Revision beim BGH unter Az. I ZR 57/20.

[6] BGH, Beschluss v. 28.5.2020, I ZR 186/17, MDR 2020 S. 1196; EuGH, Urteil v. 28.4.2022, C-319/20.

[7] BGH, Beschluss v. 10.11.2022, I ZR186/17, MDR 2023 S. 180.

[8] EuGH, Urteil v. 4.5.2023, C-300/21, NJW 2023 S. 1914.