Das Thema DSGVO Abmahnung bewegt zurzeit die datenschutzrechtlichen Gemüter, nachdem die EU-Datenschutzgrundverordnung am 25. Mai 2018 endgültig in Kraft getreten ist. Unternehmen sind verunsichert, während sich die datenschutzrechtlichen Rechtsexperten uneinig darüber sind, was von der Thematik Abmahnung mit der Geltung der DSGVO zu erwarten ist. Einige Experten sind sich sicher, dass der Sanktionskanon in der DSGVO abschließend gemeint sein muss und deshalb kein Raum für wettbewerbsrechtliche Abmahnungen gegeben ist. Andere Fachleute mahnen zur Vorsicht im Umgang mit dem Thema, weil es zurzeit noch keine Gerichtsurteile zur endgültigen Klärung der Frage gibt. Unternehmen bewegen sich deshalb auf der rechtlich sicheren Seite, wenn sie alles daran setzen, vor allem datenschutzrechtliche Instrumente mit erkennbarer Außenwirkung im Wettbewerb wie die Datenschutzerklärung datenschutzrechtlich konform zu gestalten.
Der Unterschied zwischen der DSGVO Abmahnung und den Strafen in der DSGVO
Die DSGVO sieht für Verstöße gegen datenschutzrechtliche Vorschriften einen bestimmten Kanon an Sanktionen vor. Bereits vor der endgültigen Geltung der neuen Verordnung machte insbesondere die Höhe von angedrohten Bußgeldern innerhalb der DSGVO Strafen vielen Unternehmern Angst. Tatsächlich droht die DSGVO maximal mit Bußgeldern bis zu 4 Prozent des weltweiten Unternehmensumsatzes, beziehungsweise mit einem Betrag von bis zu 20 Millionen EURO. Dabei soll der jeweils höhere Wert anzusetzen sein. Man muss bei diesen beeindruckenden Zahlen berücksichtigen, dass es sich um Maximal-Werte handelt. Bei der Festlegung der Geldbuße im Einzelfall wird es auf die individuellen Umstände ankommen, wenn Behörden den Strafrahmen festsetzen. Viele Rechtsexperten verweisen in diesem Zusammenhang darauf, dass auch die maximale Geldbuße von 300.000 EUR nach dem alten Bundesdatenschutzgesetz in der Rechtspraxis für absolute Ausnahmefälle vorgesehen war. Dieser Gedanke darf jedoch nicht dazu führen, dass Unternehmen ihre datenschutzrechtlichen Pflichten leichtfertig vernachlässigen. Schließlich ergänzt das neue Bundesdatenschutzgesetz den Strafenkatalog der DSGVO mit weiteren Sanktionen, zum Beispiel mit der Möglichkeit einer Freiheitsstrafe.
Eine DSGVO Abmahnung ist dagegen ein ganz anderes Rechtsinstrument. Hier werden bei Datenschutzverstößen nicht die Behörden tätig, sondern ein Wettbewerber, der sich durch einen Datenschutzrechtsverstoß wettbewerbsrechtlich benachteiligt fühlt oder ein Verband. Der Wettbewerber macht dann gegen den Datenschutzverletzer einen Unterlassungsanspruch geltend, wenn dieser beispielsweise mit einer Datenschutzerklärung auffällt, die nicht nach den Vorschriften der DSGVO ausgestaltet ist.
Unterscheiden Sie
Strafsanktionen der DSGVO mit dem Schwerpunkt auf Bußgeldern und
wettbewerbsrechtliche Abmahnungen, mit denen Wettbewerber Verstöße gegen die DSGVO rügen und Unterlassung verlangen.
Die DSGVO Abmahnung - gibt es sie oder nicht?
Die DSGVO selbst stellt in Art. 80 Abs. 2 DSGVO fest, dass die DSGVO die Rechtsfolgen eines Datenschutzverstoßes abschließend regeln soll. Bereits die Öffnung für ergänzende Regelungen im neuen Bundesdatenschutzgesetz - also auf nationaler Ebene - durchbricht diesen Grundsatz. Eine Abmahnung ist rechtssystematisch möglich, wenn der DSGVO neben ihrem Charakter als Ordnungsvorschrift auch eine marktregulierende Zielrichtung zugeschrieben wird. Genau das ist zurzeit unter den beteiligten Experten streitig. Tatsächlich lässt sich zurzeit nicht abschließend beurteilen, ob eine DSGVO Abmahnung tatsächlich ihre Berechtigung haben kann. Abschließend wird diese Frage erst geklärt werden, wenn entsprechende Gerichtsurteile in der Welt sind. Das wird einige Zeit in Anspruch nehmen, zumal sich die einzelnen Gerichte in ihrer Beurteilung der Sachlage nicht einig sein müssen.
Bis es zu entscheidenden höchstrichterlichen Urteilen kommt, können Jahre vergehen. Möglicherweise wird sogar der Europäische Gerichtshof involviert werden. In Deutschland verschärft sich das Problem der DSGVO Abmahnung durch die bekannte Abmahnbegeisterung vieler Unternehmen sowie spezialisierter Abmahnkanzleien und auch der Tatsache, dass 2016 ein Verbandsklagerecht in Datenschutzsachen eingeführt wurde. Unternehmen sollten in Bezug auf DSGVO Abmahnungen schon deshalb auf der Hut sein, weil im Falle eines Prozesses auch behördliche Ermittlungen in Datenschutzsachen drohen. Gerade mittlere und kleine Unternehmen haben normalerweise nicht damit zu rechnen, so einfach in den Fokus der behördlichen Aufmerksamkeit zu gelangen. Das kann sich allerdings durch ein Abmahnverfahren vor Gericht schnell ändern. Dann drohen behördliche Datenschutz-Audits und weitere Ermittlungsmaßnahmen durch die Datenschutzaufsichtsbehörde. Es ist auch nicht auszuschließen, dass ein anderes Unternehmen als vermeintlich oder tatsächlich Betroffener oder aber eine Privatperson Datenschutzrechtsverstöße bei der Datenschutzaufsichtsbehörde meldet und damit datenschutzrechtliche Ermittlungsmaßnahmen auslöst.
Wer haftet im Unternehmen für datenschutzrechtliche Verstöße?
Die Abmahnung wird grundsätzlich gegenüber dem Unternehmen an sich ausgesprochen, was aber im Falle von Einzelunternehmen eine Identität mit dem Unternehmer selbst bedeutet. Besonders bei juristischen Personen und Vereinen können neben den Geschäftsführern auch interne Datenschutzbeauftragte und leitende Mitarbeiter in den Sog von Haftungstatbeständen geraten. Insbesondere, wenn es um Freiheitsstrafen nach dem neuen Bundesdatenschutzgesetz geht, sind hiervon per se Personen betroffen und nicht Unternehmen als juristische Gebilde. Unternehmen sollten für ihre Führungskräfte und Organe deshalb frühzeitig entsprechende Rechtsschutzversicherungen abschließen, die sich auch auf Datenschutzangelegenheiten erstrecken und gegebenenfalls auch eine D&O Versicherung in Betracht ziehen.
Beachten Sie bei der Haftung für Verstöße gegen die DSGVO, dass
Einzelunternehmer
Geschäftsführer
interne Datenschutzbeauftragte
leitende Angestellte
persönlich haften können.
Eine DSGVO Abmahnung kommt - was ist zu tun?
Wer sich mit einer Abmahnung im Bereich der DSGVO konfrontiert sieht, sollte einen im Wettbewerbsrecht spezialisierten Rechtsanwalt zurate ziehen. Die Tatsache, dass alle Beteiligten mit der Geltung der DSGVO rechtliches Neuland betreten, das in vielen Bereichen noch keine praktische Umsetzung erfahren hat, kann sich auch vorteilhaft auswirken. Schließlich geht auch der Abmahnende ein rechtliches und vor allem ein Kostenrisiko ein, wenn der Abgemahnte der Abmahnung nicht Folge leisten will und es auf einen Prozess ankommen lässt. Hier kann ein entsprechend erfahrener und versierter Rechtsanwalt im Wettbewerbsrecht möglicherweise die abmahnende Partei von der Weiterverfolgung einer DSGVO Abmahnung abbringen. Sicher ist das allerdings nicht. Relativ zuverlässig schützt nur Datenschutzrechtskonformität vor der DSGVO Abmahnung, vor allem bei der Gestaltung der Datenschutzerklärung, beim Double-Opt-In der Newsletter Anmeldung und beim Widerrufsmanagement einiger Prozesse etwa im Kundenmanagement.
Auch im Falle eines Bußgeldes, beziehungsweise bereits bei Bekanntwerden behördlicher Ermittlungsmaßnahmen empfiehlt sich der sofortige Kontakt zu einem entsprechend spezialisierten Rechtsanwalt. Da die Datenschutzbehörden bei der Festlegung von Bußgeldern Ermessensentscheidungen treffen, lässt sich möglicherweise auf Verhandlungsbasis und durch Kooperationsbereitschaft des Unternehmens mit den Behörden hier noch etwas bewegen, bevor es zu einer endgültigen Entscheidung kommt.
Ihr Leitfaden bei Ermittlungsmaßnahmen und Abmahnungen durch Wettbewerber
Suchen Sie zeitnah anwaltlichen Rat.
Räumen Sie keine Datenschutzverstöße gegenüber Behörden ein und unterzeichnen Sie keine Unterlassungserklärung ohne anwaltlichen Rat.
Verlieren Sie nicht unnötig Zeit, bevor Sie einen Anwalt beauftragen, damit sich die rechtliche Situation nicht verschlechtert.
Beachten Sie, dass Datenschutzlecks mit Meldepflichten gegenüber den Betroffenen verbunden sind, in denen Sie als Unternehmen in bestimmten Zeiträumen aktiv werden müssen. Insgesamt kann sich proaktives Handeln von unternehmerischer Seite bei der Bewertung von Datenschutzpannen und Datenschutzversäumnissen bei Behörden positiv auswirken.
Artikel veröffentlicht am: 25. Juni 2018