Die Datenschutzgrundverordnung ist kaum in Kraft, schon hagelt es Abmahnungen. Nun fordert die Union ein Übergangs-Abmahnverbot, um eine kommerziell getriebene Abmahnwelle zu verhindern. Es soll zügig kommen, um das Ausnutzen der DSGVO-Einstiegsphase für sachfremde Interessen und Geschäftsmodelle zu verhindern. Neben Abmahnungen gibt es "echte" DSGVO-Beschwerden bei Datenschutzbehörden wegen großer Internetplattformen.
Zwar hatten einige Datenschutzbehörden in letzter Zeit angesichts des Medienhype um das Thema vor Panikmache gewarnt und auf ihre überschaubaren Personalkapazitäten verwiesen. Doch die Gefahr durch Abmahnungen durch Konkurrenten, insbesondere aber durch Abmahnexperten greift bereits - diese haben keine Ressourcenproblem, sondern wittern ein neues gewinnträchtiges Thema.
Unionsfraktion fordert Übergangsverbot für DSGVO-Abmahnungen
Gegen das Abmahnunwesen vorzugehen, wurde schon im Koalitionsvertrag vereinbart. Die Unionsfraktion fordert, mit einer schnellen Gesetzesänderung eine Abmahnwelle wegen (angebliche) Verstöße gegen die Datenschutzgrundverordnung zu verbieten.
Bei der Umstellung auf das neue Datenschutzrechts will sie Milde walten lassen, denn es seien "unbewusste Verstöße nicht gänzlich zu vermeiden“, so die rechts- und verbraucherpolitische Sprecherin der Unionsfraktion, Elisabeth Winkelmeier-Becker (CDU).
DSGVO: Gesetz noch vor der parlamentarischen Sommerpause?
Die Unionsfraktion will erforderliche Gesetzesänderung in das das laufende Gesetzgebungsverfahren zur Einführung einer Musterfeststellungsklage für Verbraucher einpflegen lassen, das voraussichtlich schon am 6. Juli im Bundesrat verabschiedet wird. So könnte die Neuregelung möglicherweise noch im Juli in Kraft treten. Dass würde Möglicherweise auch verhindern, dass sich eine Abmahnindustrie in Sachen DSGVO etabliert und bereits Abgemahnten den Rücken. Selbst Datenschützern sind diese Abmahnungen ein Dorn im Auge: Die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen forderte ebenfalls ein Gesetz gegen missbräuchliche Abmahnungen.
Erste DSGVO-Abmahnungen: schneller als gedacht
Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von Gewerbetreibenden im Internet, gab es nach gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen, häufig ein ausgeprägtes Abmahnverhalten, von Konkurrenten oder auch als (anwaltliches) Geschäftsmodell.
Allgemein hatte man mit anfänglicher Zurückhaltung bei #Abmahnung|en mit Blick auf die #DSGVO gerechnet,
Click to tweet
- da auch für Abmahnwillige erst klar werden müsse, wie genau die Behörden reagieren und welche Versäumnisse von den Gerichten sanktioniert werden.
- Schließlich geht auch der Abmahnende das Risiko ein, auf den Kosten, den eigenen und denen des sich wehrenden Abgemahnten, sitzen zu bleiben.
Deshalb dachten Politiker, Datenschützer und auch viele Anwälte, es sei vor Massenabmahnungen zumindest mit einer Orientierungsphase zu rechnen, zumal nicht klar ist, wie Verstöße gegen die DSGVO aus UWG-Sicht zu betrachten sind. Gut möglich, dass die bestimmte DSGVO-Verstöße nicht wettbewerbsrechtlich relevant sind.
Erste DSGVO-Abmahner am Start
Doch das neue Feld wurde unverzüglich beackert. Verschiedene Anwälte mahnen nun Unternehmen wegen fehlender Datenschutzerklärungen und wegen der Einbindung von Google Fonts (Google hat dadurch Fonts / Schriften verbreitet, über deren Lizenzierung das Unternehmen sicherstellt, dass sie frei verwendet werden können, ohne Nutzer mit Lizenzgebühren zu belasten) auf Webseiten.
Grund für die Abmahnung der Einbindung von dieser und anderer Google-Tools: Bei nicht lokalem Abspeichern wird eine Verbindung zu einem externen Server aufgebaut und es werden ohne Zustimmung Nutzerdaten weitergegeben.
Neben den im Internet verfügbaren Hinweisen dazu, wie Google Fonts DSGV-konform genutzt werden kann (lokal auf dem eigenen Server bzw. Webspace abgelegt und eingebunden), bleibt die Frage nach dem Umgang mit Abmahnungen, die nicht sogleich als phishing erkennbar sind.
Was tun bei einer DSGVO-Abmahnung?
Zunächst gilt es sicherzustellen, dass eine Datenschutzerklärung spätestens jetzt eingebunden wird. Außerdem gilt es Google Fonts, Google Analytics und andere Tools großer Internetanbieter nicht mehr direkt, sondern nach lokaler Speicherung einzubinden.
Insbesondere gilt es, mit Blick auf die Abmahnung unbedingt die Ruhe zu bewahren,
- keinesfalls vorschnell eine Unterlassungserklärung zu unterschreiben
- oder die Kosten des abmahnenden Anwalts zu ersetzen.
Lassen Sie sich zunächst von einem Rechtsanwalt im Bereich Wettbewerbsrecht bzw. Datenschutzrecht beraten. Die Sache auszusitzen kann man reinen Herzens schwer empfehlen, auch wenn eine solche Abmahnung weniger schwer wiegt, als eine gegenüber einer Datenschutzbehörde geführte Beschwerde oder die Beanstandungen durch eine Datenschutzbehörde, denn gegenüber dieser greift eine Beweislastumkehr.
Beschwerden gegen Google, Facebook & Co.
Die Datenschutz-Organisation noyb (none of your business) hat direkt am Tage des Inkrafttretens der neuen Datenschutzverordnung ihre Ankündigungen wahrgemacht und in mehreren europäischen Ländern Beschwerden gegen vier große IT-Konzerne eingelegt.
Verstöße gegen das Kopplungsverbot?
Konkret stört man sich bei noyb an der bei den Anbietern Facebook, WhatsApp, Instagram sowie Android (Google) bislang üblichen Praxis der Zwangszustimmung zur umfangreichen Datenverwendung.
- Hier muss der Anwender stets eine allgemeine, generelle Zustimmung zur Nutzung seiner Daten erteilen,
- andernfalls kann er die Angebote gar nicht nutzen.
Solche Zwangszustimmungen in Datenschutzerklärungen verstoßen nach Ansicht des Vereins jedoch gegen das sogenannte Kopplungsverbot, das in Art. 7 Abs. 4 DSGVO verankert ist. Es besagt, dass der Zugang zu einer Dienstleistung nicht davon abhängig gemacht werden darf, dass der Nutzer seine Zustimmung zur Datennutzung erteilt.
Kopplungsverbot bezieht sich nicht auf für die Dienstleistung notwendigen Daten
Die Vorgabe des Art. 7 Abs. 4 DSGVO bezieht sich nicht auf solche Daten, die für die Dienstleistung notwendig sind, denn diese müssen vom Anbieter natürlich erfasst und verarbeitet werde. Das Verbot richtet sich aber beispielsweise gegen die Weiterverwendung dieser Daten, etwa für Werbung oder einen Weiterverkauf.
- Die nahezu gleichlautenden Klagen gegen die vier Internetkonzerne wurden zeitgleich bei 4 Datenschutzbehörden in unterschiedlichen Staaten eingereicht, wie etwa CNIL (Frankreich), DPA (Belgien) oder dem Datenschutzbeauftragten in Hamburg.
- Von diesem Vorgehen verspricht sich noyb eine größere Effektivität, da man sich diejenigen Behörden ausgesucht hat, von denen man sich das strikteste Vorgehen erwartet.
Neues EU-Gremium: Datenschutzausschuss nimmt Arbeit auf
Bei der EU hat sich am 25. Mai ein neues Entscheidungsgremium der europäischen Datenschutzbehörden in Form des Europäischen Datenschutzausschusses konstituiert. Das neue Gremium ersetzt die sogenannte Artikel-29-Gruppe, in der diese Behörden zuvor zusammengearbeitet hatten.
Hauptziel der Einrichtung ist es, dafür zu sorgen, dass die Vorgaben der DSGVO in den EU-Mitgliedsstaaten weitestgehend konsistent angewendet werden.
Weitergabe von WhatsApp-Nutzerdaten an Facebook
Zu den ersten Fällen, mit denen sich der Ausschuss nun zu befassen hat, wird nach Aussagen des Hamburger Datenschutzbeauftragte Johannes Caspar die Weitergabe von WhatsApp-Nutzerdaten an den Mutterkonzern Facebook gehören. Der Datenschützer erinnerte dabei daran, dass in Deutschland ein in zwei Gerichtsverfahren bestätigtes Verbot dieser Datenweitergabe existiere, die WhatsApp-Nutzungsbedingungen nun aber trotzdem so geändert worden seien, dass die Daten ausgetauscht und gegebenenfalls sogar an „vertrauenswürdige“ Dritte weitergegeben werden können. Wie das aussehen kann, hat man an dem Fall Cambridge Analytica gesehen.
Datenschutzbehörden im Blick, frühe DSGVO-Abmahnungen kamen unerwartet
Neben den großen Internetkonzernen fürchten allerdings auch viele kleine Unternehmen bis hin zu Freiberuflern, Web-Shop-Betreibern oder sogar Vereinen, künftig für Verstöße gegen die Datenschutzvorgaben zur Kasse gebeten zu werden.
- Die meisten Experten sahen für diese Klientel jedoch keinen Grund zur Panik. So haben die Datenschutzbehörden der Länder etwa schon von sich aus darauf aufmerksam gemacht, dass sie weder die Kapazitäten noch die Intention haben, Kleinstbetriebe oder andere weniger relevante Einrichtungen intensiver unter die Lupe zu nehmen oder hier kleinere Verstöße streng zu bestrafen.
- Problematischer als die Datenschutzbehörden könnten dagegen mögliche Abmahnungen von Konkurrenten, auch unter UWG-Gesichtspunkten, sein, doch auch hier sahen Experten keine größeren zusätzlichen Risiken. Die neue Rechtslage sei noch unsicher, da etwa viele Formulierungen in den Gesetzestexten nicht hinreichend eindeutig und viele Fragen bislang nicht geklärt seien.
- Selbst bei Kanzleien, die sich weitgehend auf Abmahnungen spezialisiert haben, ging man nicht davon aus, dass es in unmittelbarer Zukunft zu einer Abmahnwelle wegen Datenschutzverstößen kommt, wie etwa das Magazin Gründerszene berichtet.
DSGVO: Praxisnahe Hinweise und Checklisten
Noch besser, als auf ausbleibende Abmahnungen zu hoffen, ist es natürlich, die jeweiligen Anforderungen der DSGVO umzusetzen. Für die vielen Klein- und Kleinstbetriebe, Website-Betreiber, Freiberufler oder auch Vereine, die sich von der Gesetzesänderung häufig überfordert fühlen, bietet dazu etwa Bayerische Landesamt für Datenschutzaufsicht einfache und praxisnahe Checklisten und Hinweise zur Umsetzung der Vorgaben für verschiedene Branchen an.