Darum geht es bei einer DSGVO-Abmahnung
Eine Abmahnung ist eine Aufforderung, eine tatsächliche oder eine vermutete Rechtsverletzung zu unterlassen. Das Instrument der Abmahnung ist im Grunde also eine sinnvolle Sache, denn sie hat als Zielrichtung, ein Gerichtsverfahren zu vermeiden und zugleich den Rechtsstreit zwischen Abmahnendem und Abgemahntem verbindlich zu klären. Bezogen auf die DSGVO kann es also zur Abmahnung kommen, wenn sich ein Unternehmen (offenbar) nicht an die entsprechenden Datenschutzregeln hält.
Achtung
Nicht jeder darf abmahnen!
Allerdings kann nicht jeder „einfach so“ abmahnen – auch Anwälte nicht. Hierzu muss vielmehr eine Abmahnberechtigung bestehen, wie es z. B. im Arbeitsrecht auf Seiten des Arbeitgebers oder im Urheberrecht auf Seiten des Urhebers der Fall ist. Im Wettbewerbsrecht – welches bei einem Verstoß gegen die DSGVO zum Tragen kommen kann – besteht die Abmahnberechtigung auf Seiten eines Konkurrenten oder einer Verbraucherschutzorganisation.
Eine DSGVO-Abmahnung ist also eine „gelbe Karte“ – eine Verwarnung, bevor es zum Äußersten kommt: einem Gerichtsverfahren. Reagierst du auf diese Verwarnung nicht rechtzeitig oder nicht korrekt, indem du z. B. eine Unterlassungserklärung abgibst, erfolgt i. d. R. die „rote Karte“ in Form eines gerichtlichen Verfahrens.
DSGVO-Abmahnung: Diese Kosten können auf dich zukommen
Letztlich wird der zeitliche und auch der finanzielle Aufwand durch eine Abmahnung reduziert, weil z. B. eben keine Gerichtskosten anfallen. Das bedeutet aber nicht, dass es für dich bei einer Abmahnung nicht auch teuer werden kann – im Gegenteil. Denn derjenige, der dich abmahnen will, wird normalerweise zumindest die Kosten des beauftragten Anwalts von dir zurückverlangen. Trifft der mit der DSGVO-Abmahnung verbundene Vorwurf zu, musst du ihm diese Kosten ersetzen.
Außerdem kommst du dann in aller Regel nicht darum herum, eine sog. „strafbewehrte Unterlassungserklärung“ abzugeben, aus der hervorgeht, dass du den vorgeworfenen Verstoß zukünftig nicht erneut begehst – und falls doch, einen bestimmten Betrag zahlst. Diese sog. Vertragsstrafen bewegen sich i. d. R. im vierstelligen Bereich, nicht selten findet man hier Beträge ab 5.000 Euro aufwärts. Diese Summe müsstest du dann an den Abmahnenden bezahlen, falls du nach Abgabe der Unterlassungserklärung den darin bezeichneten Verstoß weiterhin bzw. erneut begehst.
Was kann im Zusammenhang mit der DSGVO abgemahnt werden?
Die Frage, ob Datenschutzverstöße grundsätzlich zugleich auch Wettbewerbsrechtsverstöße sind und damit abgemahnt werden können, ist noch immer nicht abschließend geklärt. Die Frage ist dabei u. a., ob ein Verstoß beispielsweise gegen die Informationspflichten der DSGVO zugleich auch als abmahnbares Verhalten einzustufen ist. In diesem Punkt werden weitere Gerichtsurteile für Klarheit sorgen müssen. Eines dieser Urteile ist das Urteil des Landgerichts München vom 20. Januar 2022 (Aktenzeichen: 3 O 17493/20). Dieses gestand dem Besucher einer Website, auf der Google Fonts dynamisch eingebunden waren und ohne seine Einwilligung genutzt wurden, einen Anspruch auf Schadensersatz in Höhe von 100 Euro zu. Infolgedessen kam es zu einer Abmahnwelle wegen der Nutzung von Google Fonts.
Um auf der sicheren Seite zu sein, empfiehlt es sich aber in jedem Fall, dass du erst gar keinen Anlass zu einer möglichen Abmahnung in Hinblick auf DSGVO-Verstöße bietest. Hierbei muss man sich zunächst einmal anschauen, welches Verhalten genau abgemahnt werden könnte. In erster Linie ist da an solche Maßnahmen zu denken, die Außenwirkung haben – die also von Mitbewerbern am Markt oder von Verbraucherschutzorganisationen ganz leicht überprüft werden können:
- Ganz oben auf dieser Liste steht die Datenschutzerklärung auf deiner Website. Sie kann von jedem auf der Welt rund um die Uhr eingesehen werden; gleichzeitig ist hier die Beweissicherung bei einem Datenschutzverstoß simpel, indem die Website ganz einfach ausgedruckt oder abgespeichert wird.
- Auch die allgemeinen Datenschutzhinweise, also sozusagen das Offline-Pendant der Datenschutzerklärung, sind recht einfach zu prüfen, da sie jedem neuen Kunden, Mitarbeiter, Vertragspartner etc. proaktiv übermittelt werden.
- Eine DSGVO-Abmahnung kann aber auch dann erfolgen, wenn du einen Antrag auf Auskunft über die bei dir verarbeiteten personenbezogenen Daten erhältst und darauf a) nicht richtig, b) nicht rechtzeitig oder c) überhaupt nicht reagierst.
Wie hoch ist das Risiko einer DSGVO-Abmahnung für Kleinunternehmer?
Bei Verstößen gegen die Rechte der Betroffenen (Auskunft, Widerspruch, Widerruf etc.) oder gegen deine Pflichten als Unternehmer (Information, Dokumentation, Auskunftserteilung usw.), die durch die DSGVO geregelt werden, besteht Abmahnpotential. Es besteht zwar kein Grund zur Panik, da die Wahrscheinlichkeit des Erhalts einer Abmahnung gerade für Kleinunternehmer relativ gering ist. Allerdings sollte die DSGVO auch nicht auf die „leichte Schulter“ genommen werden.
In den Abmahnungen, die bislang im Zusammenhang mit der Datenschutzgrundverordnung ausgesprochen wurden, ging es um folgende Punkte:
- Komplett fehlende Datenschutzerklärungen
- Grob falsche Inhalte einer Datenschutzerklärung
- Vermeintliche Schäden aufgrund fehlender SSL- / TLS-Verschlüsselung
Genau genommen hätten diese Dinge aber auch schon vor dem DSGVO-Zeitalter abgemahnt werden können, weil es sich hierbei nach alter Rechtslage um Verstöße gegen Datenschutz- und zugleich gegen Wettbewerbsrecht handelt. Seit dem 25. Mai 2018 ist es nun aber alles andere als klar, ob derartige Verstöße nach wie vor abmahnbar sind oder nicht.
Info
UWG: Abmahnung bei Datenschutzverstößen
Im Gesetz gegen den unlauteren Wettbewerb (UWG) wird inzwischen u. a. geregelt, dass Verstöße gegen gesetzliche Informations- und Kennzeichnungspflichten oder gegen das Datenschutzrecht zwar abgemahnt werden können, in diesen Fällen allerdings keine Vertragsstrafe verhängt werden darf – jedenfalls nicht bei erstmaligen Abmahnungen gegenüber kleineren Unternehmen mit weniger als 100 Beschäftigten.
Zudem kann bei Abmahnungen wegen DSGVO-Verstößen jedenfalls dann keine Erstattung der Anwaltskosten verlangt werden, wenn ein Unternehmen mit weniger als 250 Beschäftigen von einem Konkurrenzunternehmen abgemahnt wird. Das zeigt, dass der Gesetzgeber von einer grundsätzlichen Abmahnbarkeit von Verstößen gegen das Datenschutzrecht ausgeht, diese aber als nicht so gravierend einstuft. Allerdings können auch kleinere Datenschutzverstöße unter Umständen die Datenschutzaufsichtsbehörden auf den Plan rufen, so dass du nicht nur Abmahnungen, sondern – viel schlimmer – Ärger mit den Aufsichtsbehörden riskierst.
Info
Vorsicht ist besser als Nachsicht
Dennoch: Du solltest zumindest die zentralen und nach außen sichtbaren DSGVO-Maßnahmen umgesetzt haben. Insbesondere die Online-Datenschutzerklärung sollte an die neue Rechtslage angepasst sein. Damit setzt du gleichsam das wohl wirksamste Mittel gegen DSGVO-Abmahnungen um.
Das Geld, das du hier in fachgerechte Beratung investierst, ist sehr gut angelegt. Kostenlose Vorlagen, einen konkreten Maßnahmenplan und weiterführende Informationen rund um die DSGVO findest du außerdem auf unserer Themenseite.
Wie verhalte ich mich bei einer Abmahnung am besten?
Um das Risiko einer Abmahnung wegen eines DSGVO-Verstoßes möglichst gering zu halten, solltest du idealerweise bereits im Vorfeld deine Website und die wichtigsten Datenschutz-Dokumente regelmäßig darauf prüfen, ob sie den Vorgaben der DSGVO entsprechen.
Falls du tatsächlich doch einmal eine DSGVO-Abmahnung wegen eines möglichen Datenschutzverstoßes erhalten solltest, empfiehlt sich folgendes Vorgehen:
- Ruhe bewahren: Beim Erhalt einer DSGVO-Abmahnung ist hektische Betriebsamkeit keine gute Reaktion, auch wenn die im Abmahnschreiben gesetzte Frist unter Umständen recht knapp erscheint. Sprechen berechtigte Gründe dafür, dass die Frist zu kurz bemessen ist, hast du Anspruch auf eine Verlängerung. Hierzu musst du die Abmahnungsgründe allerdings konkret nennen.
- Rechtsrat einholen: Kontaktiere deinen Rechtanwalt, er kann dir z. B. sagen, ob du eine Fristverlängerung beantragen kannst, ob die Abmahnung überhaupt zulässig ist und welche Aussicht auf Erfolg sie voraussichtlich hat.
- Dokumentieren: Im Regelfall werden DSGVO-Abmahnungen nicht per Einschreiben, sondern mit „normaler“ Post verschickt: dies ist ebenso zulässig wie ein Versand der Abmahnung per E-Mail. Zu Dokumentationszwecken solltest du dir daher das Datum notieren, an dem dir die Abmahnung zugestellt wurde. So kannst du bei Bedarf später beweisen, dass du rechtzeitig auf die Abmahnung reagiert hast.
- Prüfen: In einem nächsten Schritt kannst und solltest du die zentralen Punkte in der Abmahnung überprüfen, also z.B. die Abmahnberechtigung des Abmahnenden, den enthaltenen Vorwurf, die Höhe des Streitwerts, etwaige Anzeichen für Rechtsmissbrauch usw. Gegebenenfalls solltest du auch Beweise sichern, die deine Unschuld darlegen – also z. B. Screenshots anfertigen, Zeugen suchen etc. Im Zweifel solltest du dies allerdings nicht alleine tun, sondern mit Hilfe eines entsprechend spezialisierten Fachmanns.
- Handeln: Wenn der Vorwurf zutrifft, solltest du das rechtswidrige Handeln zeitnah einstellen, also z. B. die fehlerhafte Datenschutzerklärung so schnell wie möglich korrigieren (lassen). Darüber hinaus wird es sich i. d. R. nicht vermeiden lassen, dass du eine Unterlassungserklärung abgibst, in der du erklärst, den Verstoß nicht noch einmal zu begehen. Darin wird auch die Summe festgelegt, die du bezahlen musst, falls du doch noch einmal „rückfällig“ werden solltest.
- Einen weiteren Verstoß vermeiden: Um zu verhindern, dass du die in der Unterlassungserklärung bestimmte Strafe zahlen musst, solltest du künftig darauf bedacht sein, nicht noch einmal auf die in der DSGVO-Abmahnung beschriebene Weise gegen die Datenschutzgrundverordnung zu verstoßen. Hierzu empfiehlt sich eine regelmäßige Prüfung der datenschutzrechtlich relevanten Dokumente darauf, ob sie die Regelungen der DSGVO einhalten.
