DSGVO: So gehen Sie bei einer Abmahnung richtig vor

DSGVO: Was tun bei einer Abmahnung?
Aktualisiert am: 07.08.2018

Nach Einführung der DSGVO herrscht immer noch Verunsicherung im praktischen Umgang mit den neuen Datenschutzregeln. Deshalb kommt es nicht selten zu Verstößen, die Abmahnungen zur Folge haben können. Im besten Fall kann so eine Abmahnung unangenehm und im schlimmsten Fall auch noch teuer werden. In diesem Beitrag erfahren Sie, wie Sie DSGVO-Abmahnungen vermeiden und wie Sie sich richtig verhalten, wenn doch einmal eine Abmahnung bei Ihnen im Briefkasten landen sollte.

Darum geht es bei einer Abmahnung

Eine Abmahnung ist eine Aufforderung, eine tatsächliche oder eine vermutete Rechtsverletzung zu unterlassen. Das Instrument der Abmahnung ist im Grunde also eine sinnvolle Sache, denn sie hat als Zielrichtung, ein Gerichtsverfahren zu vermeiden und zugleich den Rechtsstreit zwischen Abmahnendem und Abgemahntem verbindlich zu klären. Sie kann z.B. von Seiten eines Arbeitgebers gegenüber einem Beschäftigten wegen eines (vermeintlichen) Verstoßes gegen arbeitsvertragliche Pflichten ausgesprochen werden, oder auch durch einen Urheber gegen jemanden, der sein Werk unrechtmäßig verwendet.

Allerdings kann nicht jeder „einfach so“ abmahnen – auch Anwälte nicht. Hierzu muss vielmehr eine Abmahnberechtigung bestehen, wie es z.B. im Arbeitsrecht auf Seiten des Arbeitgebers oder im Urheberrecht auf Seiten des Urhebers der Fall ist. Im Wettbewerbsrecht – welches bei einem Verstoß gegen die DSGVO zum Tragen kommen kann – besteht die Abmahnberechtigung auf Seiten eines Konkurrenten oder einer Verbraucherschutzorganisation.

Eine Abmahnung ist also eine „gelbe Karte“ – eine Verwarnung, bevor es zum Äußersten kommt: einem Gerichtsverfahren. Reagieren Sie auf diese Verwarnung nicht rechtzeitig oder nicht korrekt, indem Sie z.B. eine Unterlassungserklärung abgeben, erfolgt i.d.R. die „rote Karte“ in Form eines gerichtlichen Verfahrens.

Abmahnung: Diese Kosten können auf Sie zukommen

Letztlich wird der zeitliche und auch der finanzielle Aufwand durch eine Abmahnung reduziert, weil z.B. eben keine Gerichtskosten anfallen. Das bedeutet aber nicht, dass es für Sie bei einer Abmahnung nicht auch teuer werden kann – im Gegenteil. Denn derjenige, der Sie abmahnen will, wird normalerweise zumindest die Kosten von Ihnen zurückverlangen, die ihm durch die Erstellung der Abmahnung entstanden sind, also die Anwaltskosten. Trifft der mit der Abmahnung verbundene Vorwurf zu, müssen Sie ihm diese Kosten ersetzen.

Außerdem kommen Sie dann in aller Regel nicht darum herum, eine sog. „strafbewehrte Unterlassungserklärung“ abzugeben, aus der hervorgeht, dass Sie den vorgeworfenen Verstoß zukünftig nicht erneut begehen – und falls doch, einen bestimmten Betrag zahlen. Diese sog. Vertragsstrafen bewegen sich i.d.R. im vierstelligen Bereich, nicht selten findet man hier Beträge ab 5.000 Euro aufwärts. Diese Summe müssten Sie dann an den Abmahnenden bezahlen, falls Sie nach Abgabe der Unterlassungserklärung den darin bezeichneten Verstoß weiterhin bzw. erneut begehen.

Was kann im Zusammenhang mit der DSGVO abgemahnt werden?

Die Frage, ob Verstöße gegen das Datenschutzrecht grundsätzlich zugleich auch Wettbewerbsrechtsverstöße sein und damit abgemahnt werden können, ist derzeit noch nicht abschließend geklärt. Die Frage ist dabei u.a., ob ein Verstoß beispielsweise gegen die Informationspflichten der DSGVO zugleich auch als abmahnbares Verhalten einzustufen ist. In diesem Punkt werden künftige Gerichtsurteile für Klarheit sorgen müssen.

Um auf der sicheren Seite zu sein, empfiehlt es sich aber in jedem Fall, dass Sie erst gar keinen Anlass zu einer möglichen Abmahnung in Hinblick auf DSGVO-Verstöße bieten. Hierbei muss man sich zunächst einmal anschauen, was genau denn abgemahnt werden könnte. In erster Linie ist da natürlich an solche Maßnahmen zu denken, die Außenwirkung haben – die also von Mitbewerbern am Markt oder von Verbraucherschutzorganisationen ganz leicht überprüft werden können:

  • Ganz oben auf dieser Liste steht die Datenschutzerklärung auf Ihrer Website. Sie kann von Jedermann auf der Welt rund um die Uhr eingesehen werden; gleichzeitig ist hier die Beweissicherung bei einem DSGVO-Verstoß simpel, indem die Website ganz einfach ausgedruckt oder abgespeichert wird.
  • Auch die allgemeinen Datenschutzhinweise, also sozusagen das Offline-Pendant der Datenschutzerklärung, sind recht einfach zu prüfen, da sie jedem neuen Kunden, Mitarbeiter, Vertragspartner etc. proaktiv übermittelt werden.
  • Eine Abmahnung kann aber auch dann erfolgen, wenn Sie einen Antrag auf Auskunft über die bei Ihnen verarbeiteten personenbezogenen Daten erhalten und darauf a) nicht richtig, b) nicht rechtzeitig oder c) überhaupt nicht reagieren.

Geballtes Fachwissen zur DSGVO

Alles Wichtige zur DSGVO, Fachwissen, Expertentipps und praktische Vorlagen finden Sie auf der Lexware Themenseite „DSGVO“.

Wie hoch ist das Risiko einer DSGVO-Abmahnung für Kleinunternehmer?

Bei Verstößen gegen die Rechte der Betroffenen (Auskunft, Widerspruch, Widerruf etc.) oder gegen Ihre Pflichten als Unternehmer (Information, Dokumentation, Auskunfterteilung usw.), die durch die DSGVO geregelt werden, besteht Abmahnpotential. Es besteht zwar kein Grund zur Panik, da die Wahrscheinlichkeit des Erhalts einer Abmahnung derzeit gerade für Kleinunternehmer relativ gering ist. Allerdings sollte die DSGVO auch nicht auf die „leichte Schulter“ genommen werden.

In den Abmahnungen, die bislang im Zusammenhang mit der DSGVO ausgesprochen wurden, ging es um komplett fehlende Datenschutzerklärungen, um grob falsche Inhalte einer Datenschutzerklärung oder auch um vermeintliche Schäden aufgrund fehlender SSL- / TLS-Verschlüsselung. Bei Lichte betrachtet hätten diese Dinge auch schon vor dem DSGVO-Zeitalter abgemahnt werden können, weil es sich hierbei nach alter Rechtslage um Verstöße gegen Datenschutz- und zugleich gegen Wettbewerbsrecht handelt. Seit dem 25. Mai 2018 ist es nun aber alles andere als klar, ob derartige Verstöße nach wie vor abmahnbar sind oder nicht.

Klar ist nur eins: Sie sollten zumindest die zentralen und nach außen sichtbaren DSGVO-Maßnahmen umgesetzt haben. Insbesondere die Online-Datenschutzerklärung sollte an die neue Rechtslage angepasst sein. Damit setzen Sie gleichsam das wohl wirksamste Mittel gegen Abmahnungen um. Das Geld, das Sie hier in fachgerechte Beratung investieren, ist sehr gut angelegt. Kostenlose Vorlagen, einen konkreten Maßnahmenplan und weiterführende Informationen rund um die DSGVO finden Sie außerdem auf unserer Themenseite.

Wie verhalte ich mich bei einer Abmahnung am besten?

Um das Risiko einer Abmahnung wegen eines DSGVO-Verstoßes möglichst gering zu halten, sollten Sie idealerweise bereits im Vorfeld Ihre Website und die wichtigsten Datenschutz-Dokumente regelmäßig darauf prüfen, ob sie den Vorgaben der DSGVO entsprechen.

Falls Sie tatsächlich doch einmal eine Abmahnung wegen eines möglichen Verstoßes gegen datenschutzrechtliche Bestimmungen erhalten sollten, empfiehlt sich folgendes Vorgehen:

  1. Ruhe bewahren: Beim Erhalt einer Abmahnung ist hektische Betriebsamkeit keine gute Reaktion, auch wenn die im Abmahnschreiben gesetzte Frist unter Umständen recht knapp erscheint. Sprechen berechtigte Gründe dafür, dass die Frist zu kurz bemessen ist, haben Sie Anspruch auf eine Verlängerung. Hierzu müssen Sie die Gründe allerdings konkret nennen.
  2. Rechtsrat einholen: Kontaktieren Sie Ihren Rechtanwalt, er kann Ihnen z.B. sagen, ob Sie eine Fristverlängerung beantragen können, ob die Abmahnung überhaupt zulässig ist und welche Aussicht auf Erfolg sie voraussichtlich hat.
  3. Dokumentieren: Im Regelfall werden Abmahnungen nicht per Einschreiben, sondern mit „normaler“ Post verschickt (was auch zulässig ist). Zu Dokumentationszwecken sollten Sie sich daher das Datum notieren, an dem Ihnen die Abmahnung zugestellt wurde. So können Sie bei Bedarf später beweisen, dass Sie rechtzeitig auf die Abmahnung reagiert haben. 
  4. Prüfen: In einem nächsten Schritt können und sollten Sie die zentralen Punkte in der Abmahnung überprüfen, also z.B. die Abmahnberechtigung des Abmahnenden, den enthaltenen Vorwurf, die Höhe des Streitwerts, etwaige Anzeichen für Rechtsmissbrauch usw. Gegebenenfalls sollten Sie auch Beweise sichern, die Ihre Unschuld darlegen – also z.B. Screenshots anfertigen, Zeugen suchen etc. Im Zweifel sollten Sie dies allerdings nicht alleine tun, sondern mit Hilfe eines entsprechend spezialisierten Fachmanns.
  5. Handeln: Wenn der Vorwurf zutrifft, sollten Sie das rechtswidrige Handeln zeitnah einstellen, also z.B. die fehlerhafte Datenschutzerklärung so schnell wie möglich korrigieren (lassen). Darüber hinaus wird es sich i.d.R. nicht vermeiden lassen, dass Sie eine Unterlassungserklärung abgeben, in der Sie erklären, den Verstoß nicht noch einmal zu begehen. In dieser Unterlassungserklärung wird auch die Summe festgelegt, die Sie bezahlen müssen, falls Sie doch noch einmal „rückfällig“ werden sollten.
  6. Einen weiteren Verstoß vermeiden: Um zu verhindern, dass Sie die in der Unterlassungserklärung bestimmte Strafe zahlen müssen, sollten Sie künftig darauf bedacht sein, nicht noch einmal auf die in der Abmahnung beschriebene Weise gegen die DSGVO zu verstoßen. Hierzu empfiehlt sich eine regelmäßige Prüfung der datenschutzrechtlich relevanten Dokumente darauf, ob sie die Regelungen der DSGVO einhalten.
Geballtes Fachwissen und Vorlagen zur DSGVO

auf unserer Themenseite Datenschutzgrundverordnung

Jetzt für den Gratis-Newsletter anmelden!
Alles Wichtige zu Buchhaltung & Finanzen, Mitarbeiter & Gehalt, Marketing & Vertrieb u.v.m.

War dieser Beitrag hilfreich?
Bitte tragen Sie einen Kommentar ein.