Wir berichteten bereits mehrfach über DSGVO-Abmahnungen und der allgemeinen Abmahnbarkeit von DSGVO-Verstößen. Letztere ist sehr umstritten und immer wieder Thema. Doch welche Gründe werden für Abmahnungen herangezogen und wie umgeht man diese Fallen?

Weswegen werden DSGVO-Abmahnungen ausgerochen?

Die DSGVO hat viele Regelungen. Und gegen alle davon kann man verstoßen. Daher biete sich ein breites Feld an potenziellen Abmahngründen. Vor allem werden aber immer wieder drei Themen angeprangert: Nichteinhaltung der Informationspflichten nach Art. 13 DSGVO, fehlende SSL-Protokolle nach Art. 25 und 32 DSGVO und eine falsche Einbindung von Social-Media nach Art. 6 DSGVO.

1. Informationspflichten

Verantwortliche im Sinne der DSGVO, also jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO), müssen gewissen Informationspflichten nachkommen bei der Erhebung von personenbezogenen Daten. Dies bestimmt Art. 13 DSGVO. Diese Norm besagt, dass der Verantwortliche der betroffenen Person unter anderem mitteilen muss, auf welcher Rechtsgrundlage die Verarbeitung beruht und zu welchen Zwecken sie erfolgt, wer der Empfänger der Daten ist und wie lange sie gespeichert werden.

20 Millionen Euro Bußgeld!

Diese Informationen müssen dem Betroffenen gem. Art. 12 Abs. 1 DSGVO in einer „klaren und einfachen Sprache“ übermittelt werden – und zwar zum Zeitpunkt der Erhebung der daten, Art. 13 Abs. 1 DSGVO. Wer sich nicht daran hält, dem droht nicht nur gem. § 83 Abs. 5 b DSGVO ein Bußgeld bis zu 20 Millionen Euro bzw. 4 % des Jahresumsatzes, sondern unter Umständen auch eine Abmahnung.

Zumeist werden diese Informationen in der Datenschutzerklärung abgelegt. Daher sollte auf die Ausgestaltung dieser ein besonderer Wert gelegt werden.

2. SSL-Protokolle

Darüber hinaus geht es immer wieder um fehlende SSL-Protokolle. SSL steht für Secure Sockets Layer und soll für eine Verschlüsselung der sensiblen Daten, die beim Surfen übertragen werden, sorgen. Dadurch sollen die Daten durch Dritte nicht abgefangen werden können. Art. 25 Abs. 1 und 32 Abs. 1 DSGVO verlangen von den Verantwortlichen Maßnahmen, die dem aktuellen Stand der Technik entsprechen.  Dazu muss SSL genauso wie TLS wohl gezählt werden.

Auch hier gilt wieder, dass ein Verstoß nicht nur ein hohes Bußgeld, sondern auch das Risiko einer Abmahnung mit sich bringt.

3. Social-Media-Einbindung

Und auch bei der Einbettung von Social-Media-Kanälen kommt es immer wieder zu datenschutzrechtlichen Problemen. Bei den Facebook-Like-Buttons zum Beispiel stellt sich das Problem, dass schon der Aufruf der Seite, in der der Button eingebaut ist, für eine Übermittlung von u.a. der IP-Adresse führt. Der Erwägungsgrund 30 zur DSGVO legt nahe, dass IP-Adressen personenbezogene Daten darstellen können und daher in den Anwendungsbereich der DSGVO fallen.

Diese Erhebung von Daten muss der Verantwortliche rechtfertigen. Dafür muss mindestens eine Voraussetzung von Art. 6 Abs. 1 DSGVO erfüllt sein. Dort sind sechs verschiedene Alternativen aufgeführt. Unter anderem ist eine Verarbeitung zur Wahrnehmung von Aufgaben im öffentlichen Interesse, zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrung der berechtigten Interessen des Verantwortlichen, sofern nicht in Grundrechte eingegriffen wird.

Einwilligung erforderlich!

Wirklich in Betracht kommt hier aber nur die erlaubte Verarbeitung durch Einwilligung der betroffenen Person in die Datenverarbeitung. Dafür muss diese Einwilligung aber auch tatsächlich eingeholt werden. Das kann durch die sogenannte 2-Klick-Lösung geschehen. Dabei erscheint das Social-Media-Plugin nicht schon beim Aufruf der Seite, sondern wird erst geladen, wenn er auf das entsprechende Symbol klickt, daraufhin über die Datenübertragung aufgeklärt wird und in diese einwilligt. Als Weiterentwicklung dieser Methode gilt die Shariff-Lösung, bei der ein Skript über den Server des Webseitenbetreibers die Zahlen abfragt und somit die Server-Adresse statt der IP-Adresse übermittelt wird.

Darüber hinaus muss in der Datenschutzerklärung auf die Plugins in entsprechender Art und Weise hingewiesen werden. Verstöße werden auch hier mit hohen Bußgeldern und dem Risiko einer Abmahnung bedroht.

Sind DSGVO-Verstöße überhaupt abmahnbar?

Müsste man kurz und knapp auf die Frage antworten, Verstöße gegen die DSGVO abmahnbar sind, lautete diese wohl: Keine Ahnung! Das klingt doof, entspricht aber momentan dem allgemeinen Stand zu diesem Thema. Dabei ist die Frage nicht neu. Schon zu Zeiten des BDSG wurde sie lebhaft in der Literatur und Rechtsprechung diskutiert. Jetzt hat sie sich auf die DSGVO verlagert. Wir berichteten bereits sehr ausführlich in Teil 1 und Teil 2 unseres DSGVO-Artikels über die Abmahnbarkeit von DSGVO-Verstößen, die bis heute ungeklärt ist.

Die ersten Gerichtsentscheidungen gab es im Spätsommer 2018, seit dem spielen die Gerichte Ping-Pong mit der Frage. Es wirkt so, als hätte man eine 50:50-Chance, mit einer DSGVO-Abmahnung vor Gericht durchzukommen. Und darin liegt auch das Risiko für beide Parteien. Weder der Abmahnende noch der Abgemahnte wissen, was sie vor Gericht erwartet. Daher stellt sich die Frage, wie mit einer entsprechenden Abmahnung umzugehen ist.

Was ist bei einer DSGVO-Abmahnung zu tun?

Grundsätzlich gilt bei DSGVO-Abmahnungen, dass dasselbe zu tun ist, wie bei „normalen“ Abmahnungen. Eine Abmahnung stellt einen Versuch der außergerichtlichen Einigung eines Rechtsverstoßes dar. Und da momentan für jeden komplett offen ist, wie das jeweilige Gericht entscheiden wird, sollte ein Prozess vermieden wird.

Bei Abmahnungen sollte ein vorschnelles Handeln genauso vermieden werden wie der Blick zum Papierkorb. Eine Abmahnung ist immer ernst zu nehmen und auf ihre Rechtmäßigkeit zu prüfen. Dabei sollten die Fristen gewahrt und die Entwicklung einer Verteidigungsstratgie einem spezialisierten Anwalt überlassen werden. Handeln Sie keinesfalls unüberlegt und unterschreiben Sie eine Unterlassungserklärung, ohne diese von einem Anwalt überprüft haben zu lassen.