DSGVO-Abmahnungen: Informationspflichten, SSL-Protokolle & Social-Media

Guido Kluck, LL.M. | 29. Mai 2019

Wir berichteten bereits mehrfach über DSGVO-Abmahnungen und der allgemeinen Abmahnbarkeit von DSGVO-Verstößen. Letztere ist sehr umstritten und immer wieder Thema. Doch welche Gründe werden für Abmahnungen herangezogen und wie umgeht man diese Fallen?

Weswegen werden DSGVO-Abmahnungen ausgerochen?

Die DSGVO hat viele Regelungen. Und gegen alle davon kann man verstoßen. Daher biete sich ein breites Feld an potenziellen Abmahngründen. Vor allem werden aber immer wieder drei Themen angeprangert: Nichteinhaltung der Informationspflichten nach Art. 13 DSGVO, fehlende SSL-Protokolle nach Art. 25 und 32 DSGVO und eine falsche Einbindung von Social-Media nach Art. 6 DSGVO.

1. Informationspflichten

Verantwortliche im Sinne der DSGVO, also jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO), müssen gewissen Informationspflichten nachkommen bei der Erhebung von personenbezogenen Daten. Dies bestimmt Art. 13 DSGVO. Diese Norm besagt, dass der Verantwortliche der betroffenen Person unter anderem mitteilen muss, auf welcher Rechtsgrundlage die Verarbeitung beruht und zu welchen Zwecken sie erfolgt, wer der Empfänger der Daten ist und wie lange sie gespeichert werden.

20 Millionen Euro Bußgeld!

Diese Informationen müssen dem Betroffenen gem. Art. 12 Abs. 1 DSGVO in einer „klaren und einfachen Sprache“ übermittelt werden – und zwar zum Zeitpunkt der Erhebung der daten, Art. 13 Abs. 1 DSGVO. Wer sich nicht daran hält, dem droht nicht nur gem. § 83 Abs. 5 b DSGVO ein Bußgeld bis zu 20 Millionen Euro bzw. 4 % des Jahresumsatzes, sondern unter Umständen auch eine Abmahnung.

Zumeist werden diese Informationen in der Datenschutzerklärung abgelegt. Daher sollte auf die Ausgestaltung dieser ein besonderer Wert gelegt werden.

2. SSL-Protokolle

Darüber hinaus geht es immer wieder um fehlende SSL-Protokolle. SSL steht für Secure Sockets Layer und soll für eine Verschlüsselung der sensiblen Daten, die beim Surfen übertragen werden, sorgen. Dadurch sollen die Daten durch Dritte nicht abgefangen werden können. Art. 25 Abs. 1 und 32 Abs. 1 DSGVO verlangen von den Verantwortlichen Maßnahmen, die dem aktuellen Stand der Technik entsprechen.  Dazu muss SSL genauso wie TLS wohl gezählt werden.

Auch hier gilt wieder, dass ein Verstoß nicht nur ein hohes Bußgeld, sondern auch das Risiko einer Abmahnung mit sich bringt.

3. Social-Media-Einbindung

Und auch bei der Einbettung von Social-Media-Kanälen kommt es immer wieder zu datenschutzrechtlichen Problemen. Bei den Facebook-Like-Buttons zum Beispiel stellt sich das Problem, dass schon der Aufruf der Seite, in der der Button eingebaut ist, für eine Übermittlung von u.a. der IP-Adresse führt. Der Erwägungsgrund 30 zur DSGVO legt nahe, dass IP-Adressen personenbezogene Daten darstellen können und daher in den Anwendungsbereich der DSGVO fallen.

Diese Erhebung von Daten muss der Verantwortliche rechtfertigen. Dafür muss mindestens eine Voraussetzung von Art. 6 Abs. 1 DSGVO erfüllt sein. Dort sind sechs verschiedene Alternativen aufgeführt. Unter anderem ist eine Verarbeitung zur Wahrnehmung von Aufgaben im öffentlichen Interesse, zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrung der berechtigten Interessen des Verantwortlichen, sofern nicht in Grundrechte eingegriffen wird.

Einwilligung erforderlich!

Wirklich in Betracht kommt hier aber nur die erlaubte Verarbeitung durch Einwilligung der betroffenen Person in die Datenverarbeitung. Dafür muss diese Einwilligung aber auch tatsächlich eingeholt werden. Das kann durch die sogenannte 2-Klick-Lösung geschehen. Dabei erscheint das Social-Media-Plugin nicht schon beim Aufruf der Seite, sondern wird erst geladen, wenn er auf das entsprechende Symbol klickt, daraufhin über die Datenübertragung aufgeklärt wird und in diese einwilligt. Als Weiterentwicklung dieser Methode gilt die Shariff-Lösung, bei der ein Skript über den Server des Webseitenbetreibers die Zahlen abfragt und somit die Server-Adresse statt der IP-Adresse übermittelt wird.

Darüber hinaus muss in der Datenschutzerklärung auf die Plugins in entsprechender Art und Weise hingewiesen werden. Verstöße werden auch hier mit hohen Bußgeldern und dem Risiko einer Abmahnung bedroht.

Sind DSGVO-Verstöße überhaupt abmahnbar?

Müsste man kurz und knapp auf die Frage antworten, Verstöße gegen die DSGVO abmahnbar sind, lautete diese wohl: Keine Ahnung! Das klingt doof, entspricht aber momentan dem allgemeinen Stand zu diesem Thema. Dabei ist die Frage nicht neu. Schon zu Zeiten des BDSG wurde sie lebhaft in der Literatur und Rechtsprechung diskutiert. Jetzt hat sie sich auf die DSGVO verlagert. Wir berichteten bereits sehr ausführlich in Teil 1 und Teil 2 unseres DSGVO-Artikels über die Abmahnbarkeit von DSGVO-Verstößen, die bis heute ungeklärt ist.

Die ersten Gerichtsentscheidungen gab es im Spätsommer 2018, seit dem spielen die Gerichte Ping-Pong mit der Frage. Es wirkt so, als hätte man eine 50:50-Chance, mit einer DSGVO-Abmahnung vor Gericht durchzukommen. Und darin liegt auch das Risiko für beide Parteien. Weder der Abmahnende noch der Abgemahnte wissen, was sie vor Gericht erwartet. Daher stellt sich die Frage, wie mit einer entsprechenden Abmahnung umzugehen ist.

Was ist bei einer DSGVO-Abmahnung zu tun?

Grundsätzlich gilt bei DSGVO-Abmahnungen, dass dasselbe zu tun ist, wie bei „normalen“ Abmahnungen. Eine Abmahnung stellt einen Versuch der außergerichtlichen Einigung eines Rechtsverstoßes dar. Und da momentan für jeden komplett offen ist, wie das jeweilige Gericht entscheiden wird, sollte ein Prozess vermieden wird.

Bei Abmahnungen sollte ein vorschnelles Handeln genauso vermieden werden wie der Blick zum Papierkorb. Eine Abmahnung ist immer ernst zu nehmen und auf ihre Rechtmäßigkeit zu prüfen. Dabei sollten die Fristen gewahrt und die Entwicklung einer Verteidigungsstratgie einem spezialisierten Anwalt überlassen werden. Handeln Sie keinesfalls unüberlegt und unterschreiben Sie eine Unterlassungserklärung, ohne diese von einem Anwalt überprüft haben zu lassen.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt DSGVO Website Update
249,00 €

DSGVO Website Update

Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.

LEGAL SMART Rechtsprodukt Markenanmeldung DE
299,00 €

Markenanmeldung DE

Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.