Richterhammer auf Geldbündel

DSGVO Abmahnung - Das müssen Sie wissen

Das Thema DSGVO Abmahnung bewegt zurzeit die datenschutzrechtlichen Gemüter, nachdem die EU-Datenschutzgrundverordnung am 25. Mai 2018 endgültig in Kraft getreten ist. Unternehmen sind verunsichert, während sich die datenschutzrechtlichen Rechtsexperten uneinig darüber sind, was von der Thematik Abmahnung mit der Geltung der DSGVO zu erwarten ist.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Das Thema DSGVO Abmahnung bewegt zurzeit die datenschutzrechtlichen Gemüter, nachdem die EU-Datenschutzgrundverordnung am 25. Mai 2018 endgültig in Kraft getreten ist. Unternehmen sind verunsichert, während sich die datenschutzrechtlichen Rechtsexperten uneinig darüber sind, was von der Thematik Abmahnung mit der Geltung der DSGVO zu erwarten ist. Einige Experten sind sich sicher, dass der Sanktionskanon in der DSGVO abschließend gemeint sein muss und deshalb kein Raum für wettbewerbsrechtliche Abmahnungen gegeben ist. Andere Fachleute mahnen zur Vorsicht im Umgang mit dem Thema, weil es zurzeit noch keine Gerichtsurteile zur endgültigen Klärung der Frage gibt. Unternehmen bewegen sich deshalb auf der rechtlich sicheren Seite, wenn sie alles daran setzen, vor allem datenschutzrechtliche Instrumente mit erkennbarer Außenwirkung im Wettbewerb wie die Datenschutzerklärung datenschutzrechtlich konform zu gestalten.

Der Unterschied zwischen der DSGVO Abmahnung und den Strafen in der DSGVO

Die DSGVO sieht für Verstöße gegen datenschutzrechtliche Vorschriften einen bestimmten Kanon an Sanktionen vor. Bereits vor der endgültigen Geltung der neuen Verordnung machte insbesondere die Höhe von angedrohten Bußgeldern innerhalb der DSGVO Strafen vielen Unternehmern Angst. Tatsächlich droht die DSGVO maximal mit Bußgeldern bis zu 4 Prozent des weltweiten Unternehmensumsatzes, beziehungsweise mit einem Betrag von bis zu 20 Millionen EURO. Dabei soll der jeweils höhere Wert anzusetzen sein. Man muss bei diesen beeindruckenden Zahlen berücksichtigen, dass es sich um Maximal-Werte handelt. Bei der Festlegung der Geldbuße im Einzelfall wird es auf die individuellen Umstände ankommen, wenn Behörden den Strafrahmen festsetzen. Viele Rechtsexperten verweisen in diesem Zusammenhang darauf, dass auch die maximale Geldbuße von 300.000 EUR nach dem alten Bundesdatenschutzgesetz in der Rechtspraxis für absolute Ausnahmefälle vorgesehen war. Dieser Gedanke darf jedoch nicht dazu führen, dass Unternehmen ihre datenschutzrechtlichen Pflichten leichtfertig vernachlässigen. Schließlich ergänzt das neue Bundesdatenschutzgesetz den Strafenkatalog der DSGVO mit weiteren Sanktionen, zum Beispiel mit der Möglichkeit einer Freiheitsstrafe.

Eine DSGVO Abmahnung ist dagegen ein ganz anderes Rechtsinstrument. Hier werden bei Datenschutzverstößen nicht die Behörden tätig, sondern ein Wettbewerber, der sich durch einen Datenschutzrechtsverstoß wettbewerbsrechtlich benachteiligt fühlt oder ein Verband. Der Wettbewerber macht dann gegen den Datenschutzverletzer einen Unterlassungsanspruch geltend, wenn dieser beispielsweise mit einer Datenschutzerklärung auffällt, die nicht nach den Vorschriften der DSGVO ausgestaltet ist.

Unterscheiden Sie

  • Strafsanktionen der DSGVO mit dem Schwerpunkt auf Bußgeldern und

  • wettbewerbsrechtliche Abmahnungen, mit denen Wettbewerber Verstöße gegen die DSGVO rügen und Unterlassung verlangen.

Die DSGVO Abmahnung - gibt es sie oder nicht?

Die DSGVO selbst stellt in Art. 80 Abs. 2 DSGVO fest, dass die DSGVO die Rechtsfolgen eines Datenschutzverstoßes abschließend regeln soll. Bereits die Öffnung für ergänzende Regelungen im neuen Bundesdatenschutzgesetz - also auf nationaler Ebene - durchbricht diesen Grundsatz. Eine Abmahnung ist rechtssystematisch möglich, wenn der DSGVO neben ihrem Charakter als Ordnungsvorschrift auch eine marktregulierende Zielrichtung zugeschrieben wird. Genau das ist zurzeit unter den beteiligten Experten streitig. Tatsächlich lässt sich zurzeit nicht abschließend beurteilen, ob eine DSGVO Abmahnung tatsächlich ihre Berechtigung haben kann. Abschließend wird diese Frage erst geklärt werden, wenn entsprechende Gerichtsurteile in der Welt sind. Das wird einige Zeit in Anspruch nehmen, zumal sich die einzelnen Gerichte in ihrer Beurteilung der Sachlage nicht einig sein müssen.

Bis es zu entscheidenden höchstrichterlichen Urteilen kommt, können Jahre vergehen. Möglicherweise wird sogar der Europäische Gerichtshof involviert werden. In Deutschland verschärft sich das Problem der DSGVO Abmahnung durch die bekannte Abmahnbegeisterung vieler Unternehmen sowie spezialisierter Abmahnkanzleien und auch der Tatsache, dass 2016 ein Verbandsklagerecht in Datenschutzsachen eingeführt wurde. Unternehmen sollten in Bezug auf DSGVO Abmahnungen schon deshalb auf der Hut sein, weil im Falle eines Prozesses auch behördliche Ermittlungen in Datenschutzsachen drohen. Gerade mittlere und kleine Unternehmen haben normalerweise nicht damit zu rechnen, so einfach in den Fokus der behördlichen Aufmerksamkeit zu gelangen. Das kann sich allerdings durch ein Abmahnverfahren vor Gericht schnell ändern. Dann drohen behördliche Datenschutz-Audits und weitere Ermittlungsmaßnahmen durch die Datenschutzaufsichtsbehörde. Es ist auch nicht auszuschließen, dass ein anderes Unternehmen als vermeintlich oder tatsächlich Betroffener oder aber eine Privatperson Datenschutzrechtsverstöße bei der Datenschutzaufsichtsbehörde meldet und damit datenschutzrechtliche Ermittlungsmaßnahmen auslöst.

Wer haftet im Unternehmen für datenschutzrechtliche Verstöße?

Die Abmahnung wird grundsätzlich gegenüber dem Unternehmen an sich ausgesprochen, was aber im Falle von Einzelunternehmen eine Identität mit dem Unternehmer selbst bedeutet. Besonders bei juristischen Personen und Vereinen können neben den Geschäftsführern auch interne Datenschutzbeauftragte und leitende Mitarbeiter in den Sog von Haftungstatbeständen geraten. Insbesondere, wenn es um Freiheitsstrafen nach dem neuen Bundesdatenschutzgesetz geht, sind hiervon per se Personen betroffen und nicht Unternehmen als juristische Gebilde. Unternehmen sollten für ihre Führungskräfte und Organe deshalb frühzeitig entsprechende Rechtsschutzversicherungen abschließen, die sich auch auf Datenschutzangelegenheiten erstrecken und gegebenenfalls auch eine D&O Versicherung in Betracht ziehen.

Beachten Sie bei der Haftung für Verstöße gegen die DSGVO, dass

  • Einzelunternehmer

  • Geschäftsführer

  • interne Datenschutzbeauftragte

  • leitende Angestellte

persönlich haften können.

Eine DSGVO Abmahnung kommt - was ist zu tun?

Wer sich mit einer Abmahnung im Bereich der DSGVO konfrontiert sieht, sollte einen im Wettbewerbsrecht spezialisierten Rechtsanwalt zurate ziehen. Die Tatsache, dass alle Beteiligten mit der Geltung der DSGVO rechtliches Neuland betreten, das in vielen Bereichen noch keine praktische Umsetzung erfahren hat, kann sich auch vorteilhaft auswirken. Schließlich geht auch der Abmahnende ein rechtliches und vor allem ein Kostenrisiko ein, wenn der Abgemahnte der Abmahnung nicht Folge leisten will und es auf einen Prozess ankommen lässt. Hier kann ein entsprechend erfahrener und versierter Rechtsanwalt im Wettbewerbsrecht möglicherweise die abmahnende Partei von der Weiterverfolgung einer DSGVO Abmahnung abbringen. Sicher ist das allerdings nicht. Relativ zuverlässig schützt nur Datenschutzrechtskonformität vor der DSGVO Abmahnung, vor allem bei der Gestaltung der Datenschutzerklärung, beim Double-Opt-In der Newsletter Anmeldung und beim Widerrufsmanagement einiger Prozesse etwa im Kundenmanagement.

Auch im Falle eines Bußgeldes, beziehungsweise bereits bei Bekanntwerden behördlicher Ermittlungsmaßnahmen empfiehlt sich der sofortige Kontakt zu einem entsprechend spezialisierten Rechtsanwalt. Da die Datenschutzbehörden bei der Festlegung von Bußgeldern Ermessensentscheidungen treffen, lässt sich möglicherweise auf Verhandlungsbasis und durch Kooperationsbereitschaft des Unternehmens mit den Behörden hier noch etwas bewegen, bevor es zu einer endgültigen Entscheidung kommt.

Ihr Leitfaden bei Ermittlungsmaßnahmen und Abmahnungen durch Wettbewerber

  • Suchen Sie zeitnah anwaltlichen Rat.

  • Räumen Sie keine Datenschutzverstöße gegenüber Behörden ein und unterzeichnen Sie keine Unterlassungserklärung ohne anwaltlichen Rat.

  • Verlieren Sie nicht unnötig Zeit, bevor Sie einen Anwalt beauftragen, damit sich die rechtliche Situation nicht verschlechtert.

  • Beachten Sie, dass Datenschutzlecks mit Meldepflichten gegenüber den Betroffenen verbunden sind, in denen Sie als Unternehmen in bestimmten Zeiträumen aktiv werden müssen. Insgesamt kann sich proaktives Handeln von unternehmerischer Seite bei der Bewertung von Datenschutzpannen und Datenschutzversäumnissen bei Behörden positiv auswirken.

Artikel veröffentlicht am: 25. Juni 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Weiterlesen

Externen Datenschutzbeauftragten wechseln: Wie geht das?

Viele Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen. Externe Datenschutzbeauftragte bieten Unternehmen verschiedene…

News Vorschaubild
Logo

Weiterlesen

Case Study: Pflegedienst Dominikus meistert mit uns den Datenschutz

In keinem Bereich spielt der Datenschutz so eine Rolle wie im Gesundheitssektor. Medizinische Daten oder die persönlichen Daten der Patienten und…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Datenschutz im Gesundheitswesen

Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick…

News Vorschaubild
Logo

Weiterlesen

„HR-Datenmanagement ist wichtig – und wird mit Software einfacher“

In keiner anderen Abteilung werden so viele personenbezogene Daten von Mitarbeitenden verarbeitet wie in der Personalabteilung. Warum sie sich…

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Zeiterfassung

Zeiterfassung und Datenschutz in Unternehmen

Stundenzettel, Stechuhr, Chip – es gibt viele Möglichkeiten, um die Arbeitszeit von Arbeitnehmer:innen festzuhalten. Die wichtigsten Fakten zum Thema

News Vorschaubild
Logo

Weiterlesen

Symbolbild für Google Fonts und die DSGVO

Google Fonts & DSGVO: Schriftarten sicher einbinden

Mit Google Fonts stehen Ihrem Unternehmen hunderte kostenfreie Schriftarten zur Verfügung, die Sie auf Ihrer Website kommerziell nutzen dürfen.…

News Vorschaubild
Logo

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr