DSGVO-Abmahnung: Was ist dran und was ist nicht drin?

Es war nur eine Frage der Zeit: Die DSGVO war schon lange vor Inkrafttreten am 25.05.2018 auch ein Abmahn-Thema. Zumindest hat das viele Händler sicherlich mit motiviert, die ganzen datenschutzrechtlichen Änderungen überhaupt umzusetzen. Nun sind einige Tage vergangen und es liegen uns die ersten DSGVO-Abmahnungen vor. Was ist dran an diesen Abmahnungen? Wir haben uns das mal genauer angeschaut….

Was wird vorgeworfen?

Es sind sehr umfangreiche Abmahnungen, die uns hier vom gleichen Abmahner vorliegen (wir hatten hier darüber bereits kurz berichtet).

Aber gehen wir der Reihe nach vor:

Der Vorwurf: Die Abgemahnten hatten jeweils eine veraltete Datenschutzerklärung verwendet und damit naturgemäß nicht die neuen Regelungen der DSGVO hierzu eingehalten.

Deswegen wird vom Abmahner ausführlich auf diese neuen gesetzlichen Regelungen und Anforderungen einer DSGVO-konformen Datenschutzerklärung eingegangen.

Was neu ist? Hier nochmal auszugsweise die Fakten aus unserer Sicht zum Thema DSGVO und Datenschutzerklärung - der Katalog in Art. 13 Abs. 1 DSGVO schreibt Online-Händlern vor, ihre Datenschutzerklärung mit Informationen über alle der nachstehenden Punkte zu versehen:

• den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
• sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
• wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe)
• gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
• wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Man sieht: Es gibt eine Reihe neuer Regelungen, die in der Datenschutzerklärung Beachtung finden müssen – und das in leicht verständlicher Sprache. Soweit zu den Anforderungen einer DSGVO-konformen Datenschutzerklärung.

Was wurde denn nun genau abgemahnt?

Das ist natürlich die entscheidende Frage. Darüber hüllt sich aber zumindest diese DSGVO-Abmahnung (des Abmahners: Mahnaz Nikakhlagh) in Schweigen.

Nach den ausführlichen Darstellungen zu den neuen Anforderungen an eine DSGVO-konforme Datenschutzerklärung und der grds. Abmahnbarkeit von fehlerhaften Datenschutzerklärungen (dazu kommen wir noch unten) verliert sich die Abmahnung unter dem Punkt „Konkreter Sachverhalt des vorliegenden Datenschutzverstoßes“ in Allgemeinsätzen. Außer der Erwähnung der URL der abgemahnten Website wird zum konkreten Verstoß nur ausgeführt, dass die hinterlegte Datenschutzerklärung „unvollständig und fehlerhaft“ sei.

Angriffspunkt: Inhalt der Abmahnung

Eine solche vorgenannte Verallgemeinerung ist aus unserer Sicht inhaltlich doch einigermaßen zu wenig.

Denn: Obwohl die Anforderungen an den Inhalt einer Abmahnung grds. nicht sehr hoch sind, so muss doch jedenfalls folgendes in Abmahnschreiben beinhaltet sein:

• Konkrete Beschreibung der beanstandeten Handlung
• Unter Fristsetzung: Die Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung
• Androhung gerichtlicher Maßnahmen
• Angaben zur Aktivlegitimation (im Wettbewerbsrecht: Angaben zum Vorliegen eines Wettbewerbsverhältnisses)

Vorliegend soll es um den erst genannten Punkt gehen: In der Abmahnung muss dargestellt werden, welches konkrete Verhalten des Abgemahnten beanstandet wird. Denn der Abgemahnte muss in die Lage sein, zu überprüfen, ob der Vorwurf berechtigt ist. Das OLG Frankfurt (Beschl. v. 30.11.2017, 1 W 40/17) hat hierzu mal festgestellt:

"Eine ordnungsgemäße Abmahnung liegt vor, wenn die Rechtsverletzung genau bezeichnet ist, .... Die genaue Bezeichnung der Rechtsverletzung erfordert nur, dass der Verwender den erhobenen Vorwurf hinreichend sicher, klar und konkret erkennen kann."

Wir meinen, dass in der vorliegenden Abmahnung diese Voraussetzung nicht eingehalten ist – denn der Vorwurf, dass die Datenschutzerklärung unvollständig und fehlerhaft sein, ist doch einigermaßen unkonkret und unbestimmt – es gibt schließlich unendliche viele Fehler, die man in der Formulierung einer Datenschutzerklärung machen kann.

Allein aus diesem Grund wäre die Abmahnung ggf. zurückzuweisen wegen inhaltlicher Mängel (Hinweis: Da es zu diesem ganz konkreten Fall noch keine gerichtliche Entscheidung gibt bzw. uns Stand heute nicht bekannt ist, ist theor. natürlich auch eine andere Auffassung vertretbar)

Angriffspunkt: DSGVO überhaupt abmahnbar?

Noch viel mehr streiten sich die Geister über diesen Punkt, der bei Lektüre der Abmahnung zwangsläufig aufkommt: Ist ein Verstoß gegen die DSGVO überhaupt abmahnbar? Wir wollen uns an dieser Stelle kurz fassen und stellen nur die 2 Meinungen dar:

Pro: Die eine Seite behauptet, dass auch bereits Verstöße unter Geltung des alten Bundesdatenschutzgesetzes (etwa Fehlen einer Datenschutzerklärung) abmahnbar waren und nichts dagegen spricht, dass dies auch in DSGVO–Zeiten gelten muss.

Contra: Die andere Seite argumentiert, dass die DSGVO abschließende Regelungen (hier Art. 80) zum Thema Sanktionen bereit hält und keinen weiteren Raum für wettbewerbsrechtlich abmahnbare Verstöße lässt.

Zwischenfazit: Derzeit ist ein rechtlicher Ratschlag zur besten Verhaltensweise bei diesen Abmahnungen leider schwer. Beide vorgenannten Argumente zur Abmahnbarkeit von DSGVO-Verstößen sind irgendwie nachvollziehbar – aber solange hier keine gerichtliche Entscheidung vorliegt, sind es letztlich Spekulationen, an denen wir uns zumindest derzeit (noch) nicht beteiligen wollen.
Aber soviel steht fest: Wer auf der sicheren Seite sein will, müsste hier eine Unterlassungserklärung abgeben. Diese sollte aber modifiziert und entsprechend eng gefasst werden. Wer etwas risikofreudiger ist, der kann die genannten Angriffspunkte vortragen und die Abgabe einer Unterlassungserklärung und folgerichtig die Erstattung der Anwaltskosten (Gegenstandswert: 7.500 EUR!) damit verweigern – natürlich dann mit dem Risiko, dass der Abmahner bzw. dessen rechtliche Vertreter trotz der Angriffspunkte und Fragezeichen eine gerichtliche Entscheidung herbeiführen.

Prävention statt Repression

Wie diese Abmahnungen ausgehen werden, weiß derzeit noch keiner. Was aber auf jeden Fall überhaupt eine Abmahnung in Sachen DSGVO verhindert und hilft, ist die Verwendung einer rechtskonformen Datenschutzerklärung. Die IT-Recht Kanzlei hat hier monatelang an der Umsetzung der Vorgaben der DSGVO gearbeitet und eine Datenschutzerklärung entwickelt, die den gesetzlichen Ansprüchen entspricht.

Diese DSGVO-konforme Datenschutzerklärung regelt etwa unter anderem Folgendes:

• Definition des Datenverantwortlichen - dieser muss mitgeteilt werden, damit der Seitenbesucher weiß, wer die datenschutzrechtliche Verantwortung trägt;
• Mitteilung des Datenschutzbeauftragten - sofern ein solcher bestellt werden muss (hierzu gibt unsere Handlungsanleitung im Rahmen der Konfiguration umfassend Aufschluss);
• Mitteilung der jeweiligen Rechtsgrundlage, auf welche die jeweilige Datenverarbeitung gestützt wird – insbesondere wird der neue Rechtfertigungsgrund der berechtigten Interessen in die Datenschutzerklärung aufgenommen werden;
• Information über den genauen Zweck der Datenverarbeitung, auch dies ist eine explizite Forderung der Datenschutz-Grundverordnung;
• Belehrung über die Betroffenenrechte, dies sind das Auskunftsrecht, das Recht auf Berichtigung, das Widerrufsrecht für erteilte Einwilligungen, das Widerspruchsrecht gegen die Verarbeitung in besonderen Fällen, das Löschungsrecht, das Recht auf Einschränkung der Verarbeitung, das Recht auf Unterrichtung, das Recht auf Datenübertragbarkeit und das Recht auf Beschwerde bei einer Aufsichtsbehörde;
• im Falle der Datenverarbeitung im Ausland wird aufgeklärt, an wen die personenbezogenen Daten übermittelt werden und auf welcher Rechtsgrundlage dies geschieht;
• im Falle eines sog. Profilings oder einer Art von automatisierter Einzelfallentscheidung wird hierauf gesondert hingewiesen, zudem wird über die involvierte Logik und die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert;
• Belehrung über die Speicherdauer der personenbezogenen Daten bzw. Mitteilung der Kriterien, nach denen sich die Speicherdauer bestimmt;

*Und weil die Erklärung ja für viele Händler, mit unterschiedlichen Bedürfnissen, passen muss, ist ua. berücksichtigt:

• 17 Retargeting-Anbieter
• 26 Web-Analysedienste
• 19 Live-Chat Dienste
• 9 Kundenbewertungssysteme
• 34 Paymentdienstleister
• 29 Auskunfteien (für Bonitätsabfragen)
• 14 Dienstleister zur Bestellbearbeitung und –abwicklung
• 8 Versanddienstleister (In- und Ausland)
• 8 Anbieter von Social Plugins

Und natürlich sind auch folgende datenschutzrechtliche Dauerbrenner für die Verwender dieser Datenschutzerklärung leicht beherrschbar:

• Direktwerbemaßnahmen (z.B. Newsletter, Briefwerbung, etc.)
• Cookie-Informationen
• Online-Marketing-Tools (z.B. Google AdSense, Conversion Tracking, etc.)
• Verwendung von Singel-Sign-On-Verfahren (Facebook Connect)
• Google-Maps
• Affiliate-Partnerprogramme (z.B. Amazon, eBay, etc.)

Wen es interessiert: In diesem Beitrag sind nochmals alle Vorteile unserer DSGVO-konformen Datenschutzerklärung aufgeführt.

Fazit

Hinter den ersten DSGVO-Abmahnungen stehen doch einige Fragezeichen - so viel steht fest. Fraglich ist zum einen, ob die konkreten Abmahnungen überhaupt den inhaltlichen Anforderungen entsprechen. Zum anderen steht die Frage im Raum, ob bei Verstößen gegen die DSGVO-Regelungen überhaupt ein wettbewerbsrechtlich abmahnbarer Verstoß zu sehen ist. Was nicht fest steht sind verlässliche Antworten: Hier bleibt vieles unklar, da letztlich die Gerichte über diese dringenden Fragen der Abmahnbarkeit von DSGVO-Verstößen entscheiden müssen – ob und wann sich aber ein Abmahner da tatsächlich ran traut, bleibt abzuwarten. Unabhängig davon sollte aber jeder Betreiber einer Website und natürlich jeder Onlinehändler mittlerweile eine DSGVO-konforme Datenschutzerklärung hinterlegt haben, um sich keine Gedanken bzgl. einer möglichen Reaktion wegen solcher Abmahnungen machen zu müssen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.