DSGVO-Abmahnung: Wer Sie abmahnen darf und wie Sie richtig reagieren (Anleitung)

Inhalt

Ob aus Unwissenheit, Fahrlässigkeit oder Unwillen – immer wieder kommt es zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze. Die Aufsichtsbehörden sanktionieren dies immer stärker mit Bußgeldern. Aber auch die Zahl der Abmahnungen aufgrund von Datenschutzverstößen bzw. missachteten Datenschutzvorschriften steigt.

In unserer Anleitung erklären wir Ihnen ganz praktisch, wie Sie mit DSGVO-Abmahnungen von Mitbewerbern, Betroffenen oder Verbraucherverbänden umgehen sollten.

Was ist eine DSGVO-Abmahnung und welche Datenschutzverstöße können abgemahnt werden?

Eine Abmahnung ist eine formale Aufforderung, eine bestimmte Handlung oder ein bestimmtes Verhalten zu unterlassen. Im Grunde ist die Abmahnung ein legitimes und hilfreiches Mittel zur außergerichtlichen Klärung eines Rechtsstreits.

Eine Abmahnung aufgrund eines Datenschutzverstoßes fußt in der Regel auf dem Gesetz gegen den unlauteren Wettbewerb (UWG). Denn Unternehmen, die keine bzw. geringere Ressourcen und Kosten für die Einhaltung der strengen Datenschutzvorschriften aufwenden, haben einen (unlauteren) Wettbewerbsvorteil gegenüber den restlichen Unternehmen.

Deutsche Gerichte sind sich jedoch teilweise noch uneinig hinsichtlich der Abmahnfähigkeit von Datenschutzverstößen. Nicht jeder Datenschutzverstoß ist zwangsläufig abmahnfähig.

Abmahnungen wegen Datenschutzverstößen gab es jedoch auch schon vor Einführung der DSGVO. In den meisten Fällen handelte es sich dabei um fehlende Datenschutzerklärungen auf Websites, die als wettbewerbsrechtlich relevant eingestuft wurden und demnach auch abmahnfähig waren.

Seit Inkrafttreten der DSGVO haben sich die Pflichten der Unternehmen hinsichtlich des Datenschutzes deutlich ausgeweitet. Damit ist auch die Zahl der wettbewerbsrechtlich relevanten Verstöße stark angewachsen.

Abmahnungen beschäftigen demnach die Gerichte intensiv, die im Einzelfall zu prüfen und zu entscheiden haben, ob ein Verstoß gegen das Wettbewerbsrecht tatsächlich vorliegt. Um zu erkennen, ob ein Datenschutzverstoß nach dem UWG abmahnfähig ist, sollte überprüft werden, ob dieser auch gleichzeitig ein Verstoß gegen das Wettbewerbsrecht darstellt.

Vor allem sind diejenigen Datenschutzverstöße betroffen, die eine Außenwirkung haben – die also von konkurrierenden Unternehmen, Verbraucherschutzorganisationen oder Betroffenen ganz einfach überprüft werden können. Das betrifft etwa folgende Beispiele:

Wer ist bei Datenschutzverstößen abmahnberechtigt?

Gleichzeitig ist jedoch zu beachten, dass nicht jeder nach Belieben abmahnen kann. Hierzu muss vielmehr eine Abmahnberechtigung bestehen.

Mitbewerber

Konkurrierende Unternehmen können aufgrund eines Datenschutzverstoßes eine Abmahnung aussprechen, da die Nichtbeachtung des geltenden Datenschutzrechts in vielen Fällen einen unfairen Wettbewerbsvorteil gegenüber den Mitbewerbern darstellen kann.

Begründet wird dies vor allem in den Fällen, in denen Unternehmen personelle und finanzielle Aufwendungen aufbringen müssen, um die Anforderungen der DSGVO zu erfüllen. Denn wenn ein Unternehmen Datenverarbeitungen entgegen den geltenden Vorschriften durchführt, erspart es sich Ressourcen, Kosten und Aufwände, wodurch es sich einen Wettbewerbsvorteil erschleicht.
Hierbei besteht jedoch für diese Unternehmen eine Gefahr einer berechtigten Abmahnung durch die Mitbewerber.

Tipp: Tiefergehende Informationen finden Sie in der juristischen Einschätzung der Abmahnfähigkeit durch Wettbewerber unserer Kollegen von activeMind.legal

Verbraucherverbände und Wettbewerbsverbände

Verbraucher- und Wettbewerbsverbände können ebenfalls Unterlassungs- und Beseitigungsansprüche geltend machen – jedoch keine Schadenersatzansprüche.

Die Abmahnung kann auf Grundlage des Unterlassungsklagengesetzes (UKlaG) erteilt werden, denn Datenschutzgesetze dienen auch dem Verbraucherschutz.

Vor diesem Hintergrund sollten insbesondere Unternehmen, die Leistungen im B2C-Bereich erbringen, zeitnah die korrekte Umsetzung der sie betreffenden Datenschutzbestimmungen sicherstellen und sich hierzu im Zweifel sachkundige Unterstützung einholen.

Achtung: Wie die Analyse eines EuGH-Urteils zeigt, können Verbraucherverbände sogar abmahnen, wenn (noch) keine konkrete Rechtsverletzung vorliegt!

Industrie- und Handelskammern

Ein Anspruch auf Unterlassung und Beseitigung steht weiterhin den Industrie- und Handelskammern zu, den nach der Handwerksordnung errichteten Organisationen und anderen berufsständischen Körperschaften des öffentlichen Rechts im Rahmen der Erfüllung ihrer Aufgaben. Das Gleiche gilt für die Gewerkschaften im Rahmen der Erfüllung ihrer Aufgaben bei der Vertretung selbstständiger beruflicher Interessen.

Privatpersonen bzw. Betroffene

Nicht abmahnberechtigt im Sinne des UWG sind einzelne Verbraucher. Privatpersonen können sich jedoch auf andere Rechtsgrundlagen stützen, um Unterlassungs-, Beseitigungs- und Schadenersatzansprüche geltend zu machen.

Die Rechtsprechung setzte sich bereits in einigen Entscheidungen mit den aus der DSGVO (insb. Art. 17 DSGVO) folgenden Unterlassungsansprüchen für Privatpersonen auseinander (z.B. OLG Frankfurt, Urteil vom 6. September 2018, Az.: 16 U 193/17). Diesbezüglich besteht jedoch noch Unklarheit, da nur manche Gerichte ein Anspruch auf Unterlassung aus der DSGVO bejahen. Andere Gerichte positionieren sich erst gar nicht zu der Thematik.

Letztendlich dürfte die Anerkennung eines Unterlassungsanspruchs aus Art. 17 DSGVO für Betroffene jedoch kaum praktische Auswirkung haben, denn die Betroffenen können sich ohnehin auf § 1004 des Bürgerlichen Gesetzbuchs (BGB) und § 823 Abs. 2 BGB berufen.

Beispielsweise stützte das LG München in seinem Urteil vom 20. Januar 2022 den Unterlassungs- und Schadensersatzanspruch eines Websitebesuchers auf § 823 BGB in Verbindung mit § 1004 Abs. 1 S. 2 BGB und Art. 82 Abs. 1 DSGVO. Die Abmahnung bezog sich auf die dynamische Einbindung von Google Fonts auf der besuchten Webseite (siehe auch die ausführliche Urteilsbesprechung bei der Kanzlei activeMind.legal).

In der Folge dieser Urteilsverkündung kam es zu massenhaften Abmahnungen von Websitebetreibern, die Google Fonts ohne Einwilligung einbanden. Diese Abmahnungen waren grundsätzlich berechtigt. Zumindest in einigen Fällen wurde jedoch gerichtlich ein Rechtsmissbrauch festgestellt, so dass keine Ansprüche für Privatpersonen nach § 823 Abs. 1, § 1004 Abs. 1 S. 2 BGB und Art. 82 Abs. 1 DSGVO geltend gemacht werden konnten.[

Achtung: Auch wenn eine Abmahnung als rechtsmissbräuchlich eingestuft wird, bleibt ein Verstoß ein Verstoß und kann durch die Aufsichtsbehörde trotzdem mit einem Bußgeld geahndet werden.

Anleitung für den Umgang mit DSGVO-Abmahnungen

Datenschutzbeauftragten bzw. Rechtsanwalt kontaktieren

Beim Erhalt einer DSGVO-Abmahnung sollten Sie Ihren Datenschutzbeauftragten oder Rechtsanwalt zu Rate ziehen und nicht mit dem Abmahner selbst in Kontakt treten. Der Datenschutzbeauftragte bzw. Rechtsanwalt führt zunächst eine Prüfung durch, um festzustellen, wie mit der erhaltenen Abmahnung umgegangen werden sollte.

Prüfung der Abmahnung

Nach Absprache mit dem Datenschutzbeauftragten bzw. Rechtsanwalt sollten die zentralen Punkte in der Abmahnung überprüft werden:

“Ist der enthaltene Vorwurf berechtigt?”

Falls ja, sollte der Datenschutzverstoß schnellstmöglich behoben werden. Falls der Fehler auf der Website passiert ist, sollte eine vollständige Websiteprüfung durchgeführt werden, um auch etwaige weitere Fehler zu entdecken und beheben. Wer auf seiner Website Fehler begeht, macht sich öffentlich leicht angreifbar.

“Ist der Absender der Abmahnung überhaupt abmahnberechtigt?”

Oft lassen sich aus den Informationen über den Abmahner Rückschlüsse ziehen, welche Interessen der Abmahner in Wirklichkeit verfolgt und ob ggf. die Abmahnung rechtsmissbräuchlich ist. Bei manchen Abmahnungen drängt sich der Verdacht auf, dass es dem Abmahner vorrangig darum geht, Einnahmen zu erzielen und dass er deshalb Massenabmahnungen versendet. Abmahnungen zum Zwecke der Gewinnabschöpfung dürfen Mitbewerber nicht aussprechen.

“Sind die erhobenen Zahlungsforderungen (z.B. Anwaltskosten oder Schadenersatzanforderungen) und geforderten Beträge berechtigt und verhältnismäßig?”

Die Praxis zeigte, dass für datenschutzrechtliche Abmahnungen oft unverhältnismäßig hohe Kosten seitens der beauftragten Rechtsanwälte geltend gemacht werden. Es sind demnach oft Änderungen und Ergänzungen erforderlich, um die Kosten auf ein verhältnismäßiges Maß zu reduzieren.

“Kann eine Fristverlängerung beantragt werden?”

Wenn der Vorwurf berechtigt ist und keine Anzeichen für einen Rechtsmissbrauch bestehen, können berechtigte Gründe für eine Fristverlängerung bestehen. Wenn die Frist zu kurz bemessen ist, haben Sie in der Regel Anspruch auf eine Verlängerung.

Unterlassungserklärung nicht ohne Weiteres unterzeichnen!

Eine Abmahnung ist meistens mit einer Forderung zur Abgabe einer Unterlassungserklärung verbunden, aus der hervorgeht, dass Sie den vorgeworfenen Datenschutzverstoß zukünftig nicht erneut begehen – und falls doch, einen bestimmten Betrag zahlen. Diese Vertragsstrafen bewegen sich oft im vierstelligen Bereich.

Geben Sie deshalb bei unklarer Rechtslage nie ungeprüft eine Unterlassungserklärung ab!

Das voreilige Unterzeichnen einer Unterlassungserklärung führt zum Entstehen eines Anspruchs der abmahnenden Partei, der eventuell vor Gericht gar keinen Bestand gehabt hätte.

Die Abmahnung sollte deshalb vorher ausreichend geprüft werden und falls notwendig kann Ihr Datenschutzbeauftragter bzw. Rechtsanwalt ggf. eine modifizierte Unterlassungserklärung erstellen, denn die Ansprüche in vorgefertigten Unterlassungserklärungen sind oft unverhältnismäßig.

Fazit: Sorgen Sie besser vor!

Auch wenn das Ziel einer Abmahnung grundsätzlich die Vermeidung der Gerichtskosten ist, heißt das nicht, dass es für ein abgemahntes Unternehmen nicht teuer werden kann. Zusätzlich sollten Unternehmer stets im Kopf behalten, dass die Datenschutzaufsichtsbehörden unabhängig von zivilrechtlichen Abmahnungen Verstöße gegen das Datenschutzrecht immer ahnden können.

Um auf der sicheren Seite zu sein, empfiehlt es sich, vorsorglich zu agieren, so dass Sie erst gar keinen Anlass zu einer möglichen Abmahnung in Hinblick auf DSGVO-Verstöße bieten. Idealerweise stellen Sie Ihre Website und Ihr komplettes Datenschutz-Managementsystem (DSMS) DSGVO-konform auf und prüfen alle Datenverarbeitungen regelmäßig auf Gesetzeskonformität und Aktualität.

Sollte es jedoch trotzdem zu einer Abmahnung kommen, sollten Sie auf jeden Fall fachkundigen Rat suchen. Die Anwälte unserer Partner-Kanzlei activeMind.legal stehen Ihnen jederzeit und auch kurzfristig zur Verfügung!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.