Abmahngefahren durch die DSGVO

Kommen mit der Datenschutz-Grundverordnung (DSGVO) neue Abmahngefahren auf Unternehmen zu? Eine Frage, die viele derzeit beschäftigt. Die Antwort in Kürze: Ja, es gibt neue Gefahren. Aber die sollten gut in Griff zu bekommen sein.

Natürlich bringt die DSGVO einige Neuerungen. Und prominent sind natürlich die neuen, viel höheren Bußgeldrisiken von bis zu 20 Millionen Euro. Aber nicht zu vergessen ist auch, dass es natürlich durchaus auch Bestrebungen von einigen „Marktteilnehmern“ geben kann, über Abmahnungen Rechtsverstöße gegen die DSGVO zu „ahnden“. Lassen wir mal die unterschiedlichen Motivationen, die für Abmahnungen so in Betracht kommen, außen vor. Mir kommt das ja manchmal wie „Kindergarten 2.0“ vor…

Ich mag ja Fakten. Fakt ist, dass sicher viele schon geschaut haben, ob man ggf. mit Geltung der DSGVO ab 25.05.2018 Verletzungen der DSGVO abmahnen lassen kann. Und das wird gerade dann interessant, wenn etwaige Verstöße offenkundig und für jedermann erkennbar sind. Und wo ist das der Fall? Natürlich! Bei Internetseiten. Die Datenschutzhinweise von Internetseiten werden das Haupteinfallstor für Abmahnungen sein. Wir sollten uns also alle vor allem die Art. 12 ff. DSGVO ansehen, in denen es um Art und Umfang der Erteilung von Informationen zur Verarbeitung von personenbezogenen Daten geht.

In diesem Artikel geht es aber nicht um die abmahnresistente Erstellung von Datenschutzhinweisen für Internetseiten. Ich möchte in diesem Beitrag vielmehr erläutern, auf welche Basis und wann Abmahnungen für Datenschutzverletzungen überhaupt möglich werden können. Und das ist kein Thema, das wir erst mit der DSGVO bekommen, sondern jetzt bereits haben. Die DSGVO beinhaltet nur ein paar Normen, bei denen ein Verstoß noch besser für Dritte erkennbar wird und die Abmahngefahr damit doch steigt.

Um das Thema besser in den Griff zu bekommen, schauen wir aber erst einmal auf die derzeitige Rechtslage mit unseren jetzigen Datenschutzrecht. Primär sind hier das BDSG und das TMG einschlägig.

Aber wann kann ich denn überhaupt abgemahnt werden bzw. auf welcher Grundlage? Da gibt es generell erst einmal zwei wichtige Weichenstellungen. Es gibt Abmahnungen nach dem Unterlassungsklagengesetz (UKlaG) und es gibt Abmahnungen, die auf Basis des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfolgen können.

Abmahnungen nach dem UKlaG

Das UKlaG dient auch dem Schutz von Verbraucherrechten. Und so können die nach § 3 UKlaG berechtigten Stellen wie z.B. Verbraucherschutzverbände seit dem 24.02.2016 auch Datenschutzverstöße abmahnen und damit Unterlassungsansprüche gegenüber dem „Rechtsverletzer“ geltend machen. Denn in der Neufassung des § 2 Abs. 2 UKlaG sind jetzt auch Vorschriften, die die Zulässigkeit

  • der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
  • der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

regeln als Verbraucherschutzgesetze anzusehen, wenn die Daten

  • zu Zwecken der Werbung,
  • der Markt- und Meinungsforschung,
  • des Betreibens einer Auskunftei,
  • des Erstellens von Persönlichkeits- und Nutzungsprofilen,
  • des Adresshandels,
  • des sonstigen Datenhandels

oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Soweit alles klar? Wohl nicht. Vielleicht auch doch. Was ihr dazu wissen müsst, ist, dass ein Großteil der Internetseiten den Fall des Erstellen von Nutzungsprofilen und auch den Fall der Werbung umfassen dürften. Oder es könnte auch eine Verarbeitung zu vergleichbaren kommerziellen Zwecken vorliegen.

Wir sind also jetzt schon alle mit unseren Internetseiten im Boot der Abmahngefahren aus dem UKlaG, wenn wir als Unternehmer personenbezogene Daten von Verbrauchern verarbeiten.

Aber passiert da jetzt richtig viel mit Abmahnungen? Bis jetzt noch nicht. Aber das kann natürlich kommen.

Und was ändert sich hier mit der DSGVO im Zusammenhang mit dem UKlaG?

Auch die DSGVO enthält natürlich einige Normen, die sich zu einer der o.g. Fallgruppen zuordnen lassen, so dass auch künftig bestimmte Verstöße gegen die DSGVO nach dem UKlaG abgemahnt werden können.

Abmahnungen nach dem UWG

Neben dem UKlaG gibt es dann natürlich noch die Möglichkeit, dass Abmahnungen auf Basis des UWG erfolgen. Das ist insgesamt ein sehr komplexes Thema. Ich beschränke mich hier mal auf das Wesentliche.

Wenn es um die Abmahnungen von Datenschutzverstößen gilt, wird die entscheidende Frage in Bezug auf das UWG immer sein, ob die Norm, gegen die vermeintlich verstoßen wird oder wurde, eine Norm eine sog. Marktverhaltensregelung i.S.d. § 3a UWG ist. Alternativ kann auch ein Verstoß gegen § 5 UWG im Falle einer Irreführung abgemahnt werden. Das dürfte in der Praxis aber eher selten vorkommen. Als Sonderfall kann natürlich noch der allseits bekannte § 7 UWG für Abmahnungen in Betracht kommen, wenn es um die Versendung unverlangter Werbung geht. Das soll hier aber nicht unser Thema sein.

Ob eine Datenschutznorm eine Markverhaltensregelung sein kann, ist in der Rechtsprechung sehr umstritten. Es gibt Gerichte, die diesem Ansatz generell eine Absage erteilen, weil sie der Auffassung sind, dass Datenschutznormen immer nur das Recht auf informationelle Selbstbestimmung des Einzelnen schützen.

Die herrschende Meinung in der Rechtsprechung beurteilt aber auf Basis einer Einzelprüfung einer Datenschutzvorschrift, ob die jeweilige Norm den Charakter einer Marktverhaltensregelung hat. In nachfolgenden Szenarien hat die Rechtsprechung Datenschutzvorschriften als Markverhaltensregelung anerkannt:

  • Internetseiten ohne Datenschutzhinweise, § 13 Abs. 1 TMG
  • Datenverarbeitung für Werbezwecke ohne Einwilligung, § 28 Abs. 3 BDSG
  • Verwendung von personenbezogenen Daten außerhalb des vereinbarten Zweckes, § 28 Abs. 1 BDSG

Und was ändert sich hier mit der DSGVO im Zusammenhang mit dem UWG?

Das ist die große Frage. Wenn wir uns die DSGVO anschauen, gibt es gerade bei den Pflichten, die nicht nur die Rechte des Einzelnen betreffen, sondern vielmehr Pflichten des Verantwortlichen zum Umsetzung von Datenschutzanforderungen im Unternehmen darstellen (Art. 24 ff. DSGVO), eine Reihe von Fragen. Nach der Rechtsprechung des BGH müssen aber bei einem Verstoß gegen solche Ordnungsvorschriften i.S.d. Art. 24 ff. DSGVO in jedem Fall neben dem objektiven Verstoß in subjektiver Hinsicht hinzukommen, dass der Gesetzesverstoß bewusst und planmäßig erfolgt ist, um sich gerade einen sachlich nicht gerechtfertigten Vorsprung gegenüber gesetzestreuen Mitbewerbern zu verschaffen. Das wird man in der Praxis wohl eher schwer nachweisen können.

Es bleibt im Hinblick auf Abmahngefahren aus der DSGVO mithin wieder beim o.a. „althergebrachten“ Kanon der Fallgruppen fehlender Datenschutzhinweise, Datenverarbeitung für Werbezwecke und ggf. auch der zweckwidrigen Verwendung von personenbezogenen Daten.

In praktischer Hinsicht würde ich meinen Fokus auf die neuen Anforderungen für Datenschutzhinweise nach der DSGVO richten. So solltet ihr z.B. daran denken, dass Kontaktdaten eines Datenschutzbeauftragten angegeben werden müssen und auch das ein Beschwerderecht bei einer Aufsichtsbehörde für den Datenschutz besteht. Für Teilnehmer des Datenschutz-Coaching gibt es hier einen Online-Kurs „Datenschutzhinweise für Internetseiten erstellen“.

Vortragsvideo Abmahngefahren durch die DSGVO?

Wer sich mit dem Thema noch einmal beschäftigen müssen, darf sich hier noch einen Vortrag zu „Abmahngefahren durch die DSGVO“ von mir vom 10.10.2017 ansehen, den ich beim AK IT-Sicherheit und Datenschutz der IHK zu Flensburg gehalten habe:


Die Videoqualität ist nicht so toll, aber da müsst ihr durch.