Abmahnung wegen des Einsatzes von US-Newsletter-Tools (klaviyo, Mailchimp …)

Datenschutz

Seit einigen Wochen mehren sich die Meldungen von Abmahnungen des Rechtsanwalts Philipp Brandt („brand.legal“), der für seinen Mandanten Maximilian G. aus Wien Unterlassungsansprüche und Schadensersatzansprüche geltend macht.

Der Ablauf war in den mir bekannten Fällen immer gleich. Genauso gleich sind auch die Schreiben der Kanzlei aufgebaut:

Mir sind Abmahnungen bekannt, die sich auf den Einsatz dieser Newsletter-Service-Provider richten: Klaviyo, Inc. („klaviyo“) & The Rocket Science Group, LLC („Mailchimp“)

Dieser Teil der mir vorliegenden Schreiben ist in allen Fällen nicht identisch, aber doch im Wesentlichen gleich.

Vorgehensweise

Die Vorgehensweise war in den mir bekannten Fällen immer die gleiche. Maximilian G. hat sich bei einem Newsletter angemeldet und dann einen Auskunftsantrag i.S.d. Art. 15 DSGVO gestellt.

Wenn dann Auskunft erteilt und wahrheitsgemäß auf eine Übermittlung von personenbezogenen Daten in die USA hingewiesen wurde, erhielt man im nächsten Schritt die Abmahnung der Kanzlei „brandt.legal“.

Inhalt der Abmahnung

Nach der Feststellung, dass eine Übermittlung von personenbezogenen Daten in die USA erfolgt, kommen Ausführungen zur angeblichen Rechtswidrigkeit dieser Datenverarbeitung.

Dabei sind die Texte der neueren Abmahnungen leicht anders als die alten Abmahnungen. Hier hat der Rechtsanwalt also ein wenig Feinschliff geleistet. Auch das führt allerdings nicht dazu, dass die Ausführungen richtig werden.

Ich gehe im Folgenden mal auf die jüngste mir bekannte Version der Abmahnung ein.

1. Vorwurf der Rechtswidrigkeit

Hier führt der Anwalt zunächst zur behaupteten Rechtswidrigkeit der Datenverarbeitung aus:

Die durch Ihr Unternehmen vorgenommene Datenübermittlung an Empfänger in den Vereinigten Staaten erfolgte rechtswidrig.

Nun…das meint der Kollege pauschal. Und versucht es dann zu begründen. Betonung liegt auf „Versuch“.

Danach kommen dann allgemeine Ausführungen zu den Zulässigkeitsvoraussetzungen einer Drittlandsübermittlung. Und auch das „Schrems II“-Urteil des EuGH wird erwähnt.

Und dann folgt eine „entscheidende Passage“ in dem Schreiben:

Für eine Datenübermittlung aufgrund von geeigneten Garantien wäre es entsprechend Artikel 46 Absatz 1 DSGVO erforderlich, dass zwischen Ihrem Unternehmen und dem Empfänger der Daten in den Vereinigten Staaten geeignete Garantien vereinbart wurden und den von der Datenübermittlung betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe in den Vereinigten Staaten zur Verfügung stehen. Derartige geeigneten Garantien können aber nur den Verantwortlichen in der Europäischen Union und seinen Auftragsverarbeiter in den Vereinigten Staaten binden. Diese können indes keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe in Bezug auf die US-Gesetze begründen und ebenso wenig die US-Behörden und andere staatliche Stellen binden (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 Rn. 125 ff.). Aus dem gleichen Grund scheidet auch eine Zulässigkeit der Datenübermittlung aufgrund von verbindlichen internen Datenschutzvorschriften gemäß Artikel 47 DSGVO aus. Auch solche Binding Corporate Rules binden nur den Verantwortlichen und seinen Auftragsverarbeiter, nicht aber die US-Behörden (vgl. Quiel in DSB 2020, 229; Meurer in DSB 2020, 215).

In dem Schreiben wird also offenbar die Auffassung vertreten, dass ein Fehlen von durchsetzbaren Rechten und Rechtsbehelfen sich wegen der Rechtsprechung des EuGH nicht nur auf das „Privacy Shield“ beziehe, sondern auch z.B. auf die EU-Standardvertragsklauseln ausstrahle.

Zum Hintergrund: Die sog. EU-Standardvertragsklauseln sind Standarddatenschutzklauseln i.S.d. Art. 46 Abs. 2 lit. c) DSGVO. Und nach Art. 46 Abs. 2 DSGVO sind Drittlandsübermittlungen zulässig.

Warum die rechtlichen Vorwürfe nicht zutreffend sind…

Was der Rechtsanwalt in seinem Schreiben nicht erwähnt, sind drei entscheidende Punkte:

  1. Der EuGH hat in seinem „Schrems-II“-Urteil die Wirksamkeit der damaligen EU-Standardvertragsklauseln ausdrücklich unberührt gelassen. Diese könnten weiter verwendet werden; es müsse aber im Hinblick auf das angemessene Schutzniveau eine Einzelfallprüfung stattfinden.
  2. Genau diesen Punkt 1. adressieren die neuen EU-Standardvertragsklauseln der EU-Kommission, die am 04.06.2021 beschlossen wurden. Dort ist u.a. in Klausel 14 der EU-Standardvertragsklauseln die Durchführung eines Transfer-Impact-Assessments (TIA) geregelt. „klaviyo“ bietet z.B. selbst ihr durchgeführtes TIA für Kunden an.
  3. Verschwiegen wird auch die Executive Order 1408 von Präsident Biden, mit der wesentlich erweiterte Rechtsschutzmöglichkeiten eingerichtet werden.

Schon dies zeigt, dass die Behauptung, dass die Datenverarbeitung bei Inanspruchnahme eines US-Dienstleisters für den Newsletterversand rechtswidrig sei, in der Pauschalität falsch ist.

Wenn die Kanzlei die Schreiben im Mai 2021 gesendet hätte, hätte ich das noch ernst nehmen können. So aber nun einmal nicht.

Die Vorwürfe sind in der Form rechtlich nicht zutreffend. Da gibt es auch keine zwei Meinungen.

Auch die weiteren Ausführungen der Kanzlei zur Unwirksamkeit einer Einwilligung sind rechtlich falsch. Dort wird eine Auffassung vertreten, die nicht mit dem Wortlaut von Art. 49 Abs. 1 DSGVO in Einklang zu bringen ist. Ich habe das in meinem Beitrag hier auch noch einmal ausführlich erklärt.

Das Aufbauen einer „Drohkulisse“

Der gesamte Rest des Schreibens dient dann meines Erachtens dazu, eine „Drohkulisse“ aufzubauen.

Von hohen Bußgeldern ist die Rede.

Der Betroffene möchte 5.000 € Schmerzensgeld – mindestens. Weil er „massiv genervt“ sei. Aha…soso.

Und natürlich würde man, wenn man das nicht außergerichtlich zahle, bei einer Klage noch viel mehr fordern. Ja…ja…ganz sicher. ?

Außerdem könnte der Betroffene ja noch die Aufsichtsbehörde informieren. Und man würde dann sogar eine „Gewerbeuntersagung“ anregen.

An dem Punkt habe ich laut gelacht. Ich denke, bei den Aufsichtsbehörden würde man zumindest verschmitzt schmunzeln, wenn die Anregung käme. Als ob das jemals schon bei einem vergleichbaren Fall vorgekommen wäre.

Das ist rechtlich natürlich nicht so ganz korrekt, um es mal milde zu formulieren. Ebenso habe ich auch eine etwas andere Auffassung, was die Angemessenheit der Höhe des angesetzten Gegenstandswerts von 30.000,00 € (aus dem errechnet sich die Anwaltsverfügung) angeht. Aber nun ja…

Das Ganze macht auf mich den Eindruck, als würde hier versucht werden, mit vermeintlichen Rechtsverstößen kleine und mittelständische Unternehmen zu einer Zahlung zu „motivieren“.

Dass der Rechtsanwalt für einen eher einfachen Fall wie diesen dann noch eine 1,5 Geschäftsgebühr (statt der hier üblichen 1,3 Geschäftsgebühr) berechnen möchte, verstehe ich auch nicht so ganz.

Wer im Glashaus sitzt…

Dass der Rechtsanwalt die Ausführungen für seinen Mandanten offenbar in eigener Sache nicht so teilt, zeigt dann auch ein Blick auf die Internetseite der Kanzlei.

Dass das Cookie-Banner ggf. einen – mit Blick auf die Ansichten von Aufsichtsbehörden – „couragierten“ Eindruck macht, kann ich ja noch verstehen.

Eine wirksame Einwilligung in die Einbindung von Google Maps konnte ich jedenfalls nicht erkennen. Und die Einbindung von Google Maps führt in dem Fall dann regelmäßig dazu, dass über die Unterauftragnehmereigenschaft auch ein Aufruf von Google-Servern in den USA stattfindet:

Screenshot vom 24.02.2023 – 16:02 Uhr
Screenshot vom 24.02.2023 – 16:02 Uhr

Finde ich persönlich nun auch nicht schlimm. Passt aber nicht so gut zu dem, was man für den Mandanten geschrieben hat.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.