DSGVO: So gehen Sie bei einer Abmahnung richtig vor

Nach Einführung der Datenschutzgrundverordnung (DSGVO) herrscht immer noch Verunsicherung im praktischen Umgang mit den neuen Datenschutzregeln. Deshalb kommt es nicht selten zu Verstößen, die Abmahnungen zur Folge haben können. In diesem Beitrag erfahren Sie, wie Sie DSGVO-Abmahnungen vermeiden und wie Sie sich richtig verhalten, wenn doch einmal eine Abmahnung bei Ihnen im Briefkasten landen sollte.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Eine Frau hebt in der Hand ein Paragraphenzeichen
© rcfotostock - stock.adobe.com
 |  Zuletzt aktualisiert am:27.06.2022

Darum geht es bei einer DSGVO-Abmahnung

Eine Abmahnung ist eine Aufforderung, eine tatsächliche oder eine vermutete Rechtsverletzung zu unterlassen. Das Instrument der Abmahnung ist im Grunde also eine sinnvolle Sache, denn sie hat als Zielrichtung, ein Gerichtsverfahren zu vermeiden und zugleich den Rechtsstreit zwischen Abmahnendem und Abgemahntem verbindlich zu klären. Bezogen auf die DSGVO kann es also zur Abmahnung kommen, wenn sich ein Unternehmen (offenbar) nicht an die entsprechenden Richtlinien hält.

Achtung

Nicht jeder darf abmahnen!

Allerdings kann nicht jeder „einfach so“ abmahnen – auch Anwälte nicht. Hierzu muss vielmehr eine Abmahnberechtigung bestehen, wie es z. B. im Arbeitsrecht auf Seiten des Arbeitgebers oder im Urheberrecht auf Seiten des Urhebers der Fall ist. Im Wettbewerbsrecht – welches bei einem Verstoß gegen die DSGVO zum Tragen kommen kann – besteht die Abmahnberechtigung auf Seiten eines Konkurrenten oder einer Verbraucherschutzorganisation.

 

Eine DSGVO-Abmahnung ist also eine „gelbe Karte“ – eine Verwarnung, bevor es zum Äußersten kommt: einem Gerichtsverfahren. Reagieren Sie auf diese Verwarnung nicht rechtzeitig oder nicht korrekt, indem Sie z. B. eine Unterlassungserklärung abgeben, erfolgt i. d. R. die „rote Karte“ in Form eines gerichtlichen Verfahrens.

DSGVO-Abmahnung: Diese Kosten können auf Sie zukommen

Letztlich wird der zeitliche und auch der finanzielle Aufwand durch eine Abmahnung reduziert, weil z. B. eben keine Gerichtskosten anfallen. Das bedeutet aber nicht, dass es für Sie bei einer Abmahnung nicht auch teuer werden kann – im Gegenteil. Denn derjenige, der Sie abmahnen will, wird normalerweise zumindest die Kosten des Abmahnanwalts von Ihnen zurückverlangen. Trifft der mit der DSGVO-Abmahnung verbundene Vorwurf zu, müssen Sie ihm diese Kosten ersetzen.

Außerdem kommen Sie dann in aller Regel nicht darum herum, eine sog. „strafbewehrte Unterlassungserklärung“ abzugeben, aus der hervorgeht, dass Sie den vorgeworfenen Verstoß zukünftig nicht erneut begehen – und falls doch, einen bestimmten Betrag zahlen. Diese sog. Vertragsstrafen bewegen sich i. d. R. im vierstelligen Bereich, nicht selten findet man hier Beträge ab 5.000 Euro aufwärts. Diese Summe müssten Sie dann an den Abmahnenden bezahlen, falls Sie nach Abgabe der Unterlassungserklärung den darin bezeichneten Verstoß weiterhin bzw. erneut begehen.

Was kann im Zusammenhang mit der DSGVO abgemahnt werden?

Die Frage, ob Datenschutzverstöße grundsätzlich zugleich auch Wettbewerbsrechtsverstöße sind und damit abgemahnt werden können, ist derzeit noch nicht abschließend geklärt. Die Frage ist dabei u. a., ob ein Verstoß beispielsweise gegen die Informationspflichten der DSGVO zugleich auch als abmahnbares Verhalten einzustufen ist. In diesem Punkt werden künftige Gerichtsurteile für Klarheit sorgen müssen. Ein solches Urteil ist das Urteil des Landgerichts München vom 20. Januar 2022 (Aktenzeichen: 3 O 17493/20). Dieses gestand dem Besucher einer Website, auf der Google Fonts dynamisch eingebunden waren und ohne seine Einwilligung genutzt wurden, einen Anspruch auf Schadensersatz in Höhe von 100 Euro zu. Infolgedessen kam es zu einer Abmahnwelle wegen der Nutzung von Google Fonts

Um auf der sicheren Seite zu sein, empfiehlt es sich aber in jedem Fall, dass Sie erst gar keinen Anlass zu einer möglichen Abmahnung in Hinblick auf DSGVO-Verstöße bieten. Hierbei muss man sich zunächst einmal anschauen, welches Verhalten genau abgemahnt werden könnte. In erster Linie ist da an solche Maßnahmen zu denken, die Außenwirkung haben – die also von Mitbewerbern am Markt oder von Verbraucherschutzorganisationen ganz leicht überprüft werden können:

  • Ganz oben auf dieser Liste steht die Datenschutzerklärung auf Ihrer Website. Sie kann von jedem auf der Welt rund um die Uhr eingesehen werden; gleichzeitig ist hier die Beweissicherung bei einem Datenschutzverstoß simpel, indem die Website ganz einfach ausgedruckt oder abgespeichert wird.
  • Auch die allgemeinen Datenschutzhinweise, also sozusagen das Offline-Pendant der Datenschutzerklärung, sind recht einfach zu prüfen, da sie jedem neuen Kunden, Mitarbeiter, Vertragspartner etc. proaktiv übermittelt werden.
  • Eine DSGVO-Abmahnung kann aber auch dann erfolgen, wenn Sie einen Antrag auf Auskunft über die bei Ihnen verarbeiteten personenbezogenen Daten erhalten und darauf a) nicht richtig, b) nicht rechtzeitig oder c) überhaupt nicht reagieren.

Wie hoch ist das Risiko einer DSGVO-Abmahnung für Kleinunternehmer?

Bei Verstößen gegen die Rechte der Betroffenen (Auskunft, Widerspruch, Widerruf etc.) oder gegen Ihre Pflichten als Unternehmer (Information, Dokumentation, Auskunftserteilung usw.), die durch die DSGVO geregelt werden, besteht Abmahnpotential. Es besteht zwar kein Grund zur Panik, da die Wahrscheinlichkeit des Erhalts einer Abmahnung derzeit gerade für Kleinunternehmer relativ gering ist. Allerdings sollte die DSGVO auch nicht auf die „leichte Schulter“ genommen werden.

In den Abmahnungen, die bislang im Zusammenhang mit der Datenschutzgrundverordnung ausgesprochen wurden, ging es um folgende Punkte:

  • Komplett fehlende Datenschutzerklärungen
  • Grob falsche Inhalte einer Datenschutzerklärung
  • Vermeintliche Schäden aufgrund fehlender SSL- / TLS-Verschlüsselung

Genau genommen hätten diese Dinge aber auch schon vor dem DSGVO-Zeitalter abgemahnt werden können, weil es sich hierbei nach alter Rechtslage um Verstöße gegen Datenschutz- und zugleich gegen Wettbewerbsrecht handelt. Seit dem 25. Mai 2018 ist es nun aber alles andere als klar, ob derartige Verstöße nach wie vor abmahnbar sind oder nicht.

Info

Vorsicht ist besser als Nachsicht

Klar ist eins: Sie sollten zumindest die zentralen und nach außen sichtbaren DSGVO-Maßnahmen umgesetzt haben. Insbesondere die Online-Datenschutzerklärung sollte an die neue Rechtslage angepasst sein. Damit setzen Sie gleichsam das wohl wirksamste Mittel gegen DSGVO-Abmahnungen um.

Das Geld, das Sie hier in fachgerechte Beratung investieren, ist sehr gut angelegt. Kostenlose Vorlagen, einen konkreten Maßnahmenplan und weiterführende Informationen rund um die DSGVO finden Sie außerdem auf unserer Themenseite.

Wie verhalte ich mich bei einer Abmahnung am besten?

Um das Risiko einer Abmahnung wegen eines DSGVO-Verstoßes möglichst gering zu halten, sollten Sie idealerweise bereits im Vorfeld Ihre Website und die wichtigsten Datenschutz-Dokumente regelmäßig darauf prüfen, ob sie den Vorgaben der DSGVO entsprechen.

Falls Sie tatsächlich doch einmal eine DSGVO-Abmahnung wegen eines möglichen Datenschutzverstoßes erhalten sollten, empfiehlt sich folgendes Vorgehen:

  1. Ruhe bewahren: Beim Erhalt einer DSGVO-Abmahnung ist hektische Betriebsamkeit keine gute Reaktion, auch wenn die im Abmahnschreiben gesetzte Frist unter Umständen recht knapp erscheint. Sprechen berechtigte Gründe dafür, dass die Frist zu kurz bemessen ist, haben Sie Anspruch auf eine Verlängerung. Hierzu müssen Sie die Abmahnungsgründe allerdings konkret nennen.
  2. Rechtsrat einholen: Kontaktieren Sie Ihren Rechtanwalt, er kann Ihnen z. B. sagen, ob Sie eine Fristverlängerung beantragen können, ob die Abmahnung überhaupt zulässig ist und welche Aussicht auf Erfolg sie voraussichtlich hat.
  3. Dokumentieren: Im Regelfall werden DSGVO-Abmahnungen nicht per Einschreiben, sondern mit „normaler“ Post verschickt (was auch zulässig ist). Zu Dokumentationszwecken sollten Sie sich daher das Datum notieren, an dem Ihnen die Abmahnung zugestellt wurde. So können Sie bei Bedarf später beweisen, dass Sie rechtzeitig auf die Abmahnung reagiert haben.
  4. Prüfen: In einem nächsten Schritt können und sollten Sie die zentralen Punkte in der Abmahnung überprüfen, also z.B. die Abmahnberechtigung des Abmahnenden, den enthaltenen Vorwurf, die Höhe des Streitwerts, etwaige Anzeichen für Rechtsmissbrauch usw. Gegebenenfalls sollten Sie auch Beweise sichern, die Ihre Unschuld darlegen – also z. B. Screenshots anfertigen, Zeugen suchen etc. Im Zweifel sollten Sie dies allerdings nicht alleine tun, sondern mit Hilfe eines entsprechend spezialisierten Fachmanns.
  5. Handeln: Wenn der Vorwurf zutrifft, sollten Sie das rechtswidrige Handeln zeitnah einstellen, also z. B. die fehlerhafte Datenschutzerklärung so schnell wie möglich korrigieren (lassen). Darüber hinaus wird es sich i. d. R. nicht vermeiden lassen, dass Sie eine Unterlassungserklärung abgeben, in der Sie erklären, den Verstoß nicht noch einmal zu begehen. Darin wird auch die Summe festgelegt, die Sie bezahlen müssen, falls Sie doch noch einmal „rückfällig“ werden sollten.
  6. Einen weiteren Verstoß vermeiden: Um zu verhindern, dass Sie die in der Unterlassungserklärung bestimmte Strafe zahlen müssen, sollten Sie künftig darauf bedacht sein, nicht noch einmal auf die in der DSGVO-Abmahnung beschriebene Weise gegen die Datenschutzgrundverordnung zu verstoßen. Hierzu empfiehlt sich eine regelmäßige Prüfung der datenschutzrechtlich relevanten Dokumente darauf, ob sie die Regelungen der DSGVO einhalten.
Lexware Newsletter

Möchten Sie zukünftig wichtige News zu Gesetzes­änderungen, hilfreiche Praxis-Tipps und kostenlose Tools für Unternehmen erhalten? Dann abonnieren Sie unseren Newsletter.