Typische DSGVO Datenschutz Abmahnsituationen
Datenschutzrechtliche Verstöße waren zum Teil auch schon vor der DSGVO abmahnfähig. Das deutsche Bundesdatenschutzgesetz wurde nach dem 25. Mai 2018 durch das BDSG-neu ersetzt und ergänzt und konkretisiert Vorschriften der DSGVO. Durch die drastische Erhöhung der Bußgelder und Ausweitung der Pflichten für Unternehmen entstand ein weites Feld an möglichen Verstößen, die wettbewerbsrechtlich relevant sein könnten.
Keine Bestellung eines Datenschutzbeauftragten
Unternehmen, die mehr als 10 Mitarbeiter beschäftigen, deren Geschäftsmodell auf der Erhebung von Daten beruht oder die besonders sensible Daten verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Er dient der Umsetzung und Überwachung der DSGVO-Compliance in Unternehmen. Seine beratende Funktion übt er aus, indem er direkt der Geschäftsführung unterstellt, allerdings nicht weisungsgebunden und nicht weisungsbefugt ist.
Die Bestellung und vor allem die Umsetzung seiner Hinweise im operativen Geschäftsbetrieb, um den datenschutzrechtlichen Anforderungen gerecht zu werden, bedürfen teilweise einer umfangreichen Anpassung des täglichen Betriebs. Die dafür eingesetzten zeitlichen und finanziellen Ressourcen bedeuten Aufwand für ein Unternehmen. Kommt ein direkter Wettbewerber den Anforderungen nicht nach, so entzieht er sich dem anfallenden Aufwand. Dadurch entsteht ein direkter Wettbewerbsnachteil für Unternehmen, die den Anforderungen der DSGVO gerecht werden. Ein Datenschutzbeauftragter muss in der Datenschutzerklärung erwähnt werden, weshalb das Fehlen dieser Daten einem Konkurrenten direkt auffällt und eine Abmahnung begünstigt.
Mangelnde Datenschutzhinweise nach Art. 12 ff. DSGVO
Die Datenschutzerklärung musste bereits vor der DSGVO auf Webseiten vorhanden sein. Allerdings werden die Anforderungen um die neuen Pflichten der DSGVO erweitert. Art. 12 – 14 DSGVO definieren die konkreten Anforderungen an die zu übermittelnden Informationen für Kunden, Interessenten und Webseitenbesucher. Durch die DSGVO wurden die Pflichtangaben im Vergleich zur Datenschutzerklärung des §13 TMG drastisch ausgeweitet und in Art. 13 DSGVO konkretisiert:
- Bezeichnung der Rechtsgrundlage: Sollten personenbezogene Daten erhoben werden, so muss die konkrete Rechtsgrundlage benannt sein. Generell ist jegliche Datenerhebung verboten, außer es besteht eine gesetzliche Grundlage oder eine explizite Einwilligung der betroffenen Person.
- Erwähnung Rechte der Betroffenen: Die neuen Pflichten der Betroffenen müssen in der Datenschutzerklärung explizit erwähnt werden. Das betrifft sowohl die alten bereits bestehenden Rechte, als auch die neuen, die durch die DSGVO entstanden sind.
- Hinweis auf neue Rechte: Die DSGVO gewährt Betroffenen neue Rechte im Umgang mit ihren Daten. Dazu gehört einmal das Recht zur Einschränkung der Verarbeitung der Daten, ebenso wie das Recht zur Datenübertragbarkeit und das Beschwerderecht bei der zuständigen Datenschutzbehörde.
- Hinweis auf Recht zum Widerspruch: Das neue Widerspruchsrecht hat einen gesonderten Status und muss hervorgehoben dargestellt werden.
- Nennung einer Kontaktadresse: Der Verantwortliche, ggf. Datenschutzbeauftragte, muss explizit mit seinen Kontaktdaten erwähnt werden, vorzugsweise mit seiner E-Mail-Adresse.
- Genaue Bezeichnung der externen Server bei Datenweiterleitung: Werden Daten an externe Server weitergeleitet, die sich außerhalb der EU befinden, so bedarf es einer expliziten Nennung der Standorte und die Angabe, ob in dem Land ein ähnliches Datenschutzniveau wie in der EU existiert.
- Nennung der Speicherfristen: Die DSGVO sieht vor, dass Daten nur so lange gespeichert werden, bis die Speicherung ihren Zweck erfüllt hat. Die genauen Speicherfristen müssen zusätzlich in der Datenschutzerklärung erwähnt werden.
- Aufklärung bei bestehenden automatischen Entscheidungsfindungen: Findet eine automatisierte Entscheidungsfindung statt, so muss diese explizit in der Datenschutzerklärung erwähnt werden. Dazu gehört beispielsweise die Einschätzung der Bonität bei der Kreditvergabe.
- Einfache und verständliche Sprache: Die DSGVO sieht zudem vor, dass die Sprache der Datenschutzerklärung leicht verständlich sein muss. Betroffene müssen verstehen können, was mit ihren Daten passiert, ohne Fachkenntnisse zu haben.
- Leichte Zugänglichkeit: Die Datenschutzerklärung muss zudem leicht zugänglich sein. Auf einer Webseite würde die Platzierung eines Links im Footer-Bereich dieser Anforderung gerecht werden.
Die Anforderungen an die Datenschutzerklärung sind in der Praxis stark abhängig von der individuellen Datenverarbeitung der Unternehmen. Aufgrund der öffentlichen Einsehbarkeit sollte sie mit Bedacht und anwaltlich erstellt werden. Bei Mängeln besteht ein enormes Risiko einer DSGVO-Abmahnung.
Auskunftsrecht
Art. 15 DSGVO sieht ein umfangreiches Auskunftsrecht für Betroffene vor. Kommt ein verantwortliches Unternehmen der Pflicht zur Auskunft nicht nach, so könnte dies Abmahner dazu bewegen, rechtlich gegen das Unternehmen vorzugehen. Der jeweilige Verantwortliche muss Anfragen Folge leisten und auf Wunsch
- den Zweck der Verarbeitung,
- die Kategorien der Daten,
- alle Empfänger der Daten,
- die geplante Dauer der Speicherung,
- Bestehen etwaiger Rechte zur Löschung, Einschränkung oder Beschwerde,
- das Vorliegen einer automatisierten Entscheidungsfindung und
- die Quelle der Daten, wenn die Erhebung indirekt stattgefunden hat
nennen. Die Informationen und die Daten müssen in geeigneter Form spätestens innerhalb eines Monats übermittelt werden. Da die Auskunft von jedem Betroffenen, also beispielsweise jedem Webseitenbesucher, angefragt werden kann, ist für Abmahner relativ einfach herauszufinden, ob Sie Ihrer Auskunftspflicht nachkommen.
Fehlende Einwilligungserklärung
Art. 7 DSGVO sieht vor, dass jede betroffene Person, deren personenbezogene Daten erhoben werden, dazu ausdrücklich einwilligt. Andernfalls besteht ein Verbot der Datenerhebung. Ausnahmen können sich durch eine gesetzliche Regelung oder ein „berechtigtes Interesse“ ergeben. Es ist gerade das berechtigte Interesse aus Art. 6 DSGVO, das Streitgegenstand vieler DSGVO-Abmahnungen sein wird. So ist unklar, in welchem Zusammenhang für Unternehmen ein berechtigtes Interesse besteht, ohne Einwilligung Daten zu erheben.
Die ersten Abmahnungen bezüglich DSGVO-Verstöße betrafen beispielsweise die fehlende Einwilligung mancher Webseiten zum Setzen eines Google Analytics-Cookies, um das Verhalten der Nutzer auf der Webseite zu analysieren. Strittig ist, ob die Anonymisierung der IP-Adresse, durch die Anonymisierung der letzten Ziffern, ausreicht. Zudem ist nicht klar, ob das Webtracking als berechtigtes Interesse gewertet werden kann. Da durch die mangelnde Einwilligung beim Webtracking ein Wettbewerbsnachteil gegenüber den Unternehmen entsteht, die auf ihrer Webseite nur mit expliziter Einwilligung tracken, ist die Einwilligung ein häufiger Gegenstand von Datenschutz-Abmahnungen. Ähnliche Konflikte existieren in zahlreichen anderen Szenarien. Da die Einwilligungserklärung häufig öffentlich einsehbar ist, fällt es Abmahnern leicht, hier Mängel zu entdecken.
Recht auf Datenportabilität
Die DSGVO räumt Betroffenen das neue Recht auf Datenportabilität ein. Es wurde geschaffen, um Verbrauchern oder Kunden den Wechsel zu einem anderen Anbieter durch einfache Datenmitnahme zu erleichtern. Die Praxis zeigt, dass der damit verbundene Aufwand Verbraucher häufig davon abhält, den Anbieter zu wechseln, was marktschädigend wirkt. Art. 20 DSGVO sieht daher vor, dass erhobene Daten zu einem anderen Anbieter transportiert werden können.
Unternehmen müssen somit nun Kunden ihre Daten in aufbereiteter und angemessener Form bereitstellen und ggf. sogar an einen anderen Anbieter übertragen. Wird das Recht auf Datenportabilität von Unternehmen missachtet, droht nicht nur ein Bußgeld von Seiten der Datenschutzbehörde, sondern auch eine Abmahnung durch Verbraucher- oder Wettbewerbsverbände. Die DSGVO-Abmahnung kann etwa durch eine Meldung eines Verbrauchers zustande kommen.
Recht auf Löschung
Mit Art. 17 DSGVO wird Betroffenen die Möglichkeit gegeben, die erhobenen Daten auch nach Einwilligung löschen zu lassen. Das Löschrecht stärkt somit das Grundrecht auf informationelle Selbstbestimmung. Dabei gilt der Grundsatz der Datensparsamkeit. Daten müssen automatisch gelöscht werden, sobald der Zweck der Erhebung und Verarbeitung erfüllt ist. Sollen die Daten auf Anregung des Betroffenen gelöscht werden, so hat dies in der Regel unverzüglich und ohne „schuldhaftes Verzögern“ zu erfolgen.
Grundsätzlich gibt es Ausnahmen zum Löschrecht, etwa wenn die Verarbeitung erforderlich ist, die Speicherung dem Recht der Ausübung der freien Meinungsäußerung dient, sie zur Erfüllung öffentlicher Aufgaben oder sonstiger rechtlichen Pflichten notwendig sind, Daten im öffentlichen Interesse gespeichert werden oder zur Ausübung, Geltendmachung oder Verteidigung eines Rechtsanspruches benötigt werden. Die unkonkreten Bezeichnungen des DSGVO sind Ursache dafür, dass das Löschrecht Streitpunkt von Abmahnungen werden kann. Speichert ein Unternehmen etwa Daten, deren Verarbeitung für das Geschäftsmodell essentiell ist, so könnte ein Erfordernis vorliegen. Ob und in welchem Fallen eine Ausnahme rechtsgültig ist, wird durch die ersten Gerichtsurteile in Folge einer Datenschutzabmahnung entschieden.
Recht auf Vergessen
Das Recht auf Vergessen geht mit dem Recht auf Löschung einher und beruht ebenfalls auf Art. 17 DSGVO. Beim Vergessenwerden bedarf es allerdings keines Antrags des Betroffenen. Die DSGVO sieht grundsätzlich vor, dass datenerhebende Unternehmen die personenbezogenen Daten löschen, sobald der Zweck der Datenerhebung erfüllt ist. Die Mitteilungs- und Informationspflichten aus Art. 19 DSGVO sehen vor, dass Unternehmen über die Löschfristen informieren. So müssen Unternehmen beispielsweise in ihrer Datenschutzerklärung angeben, wann etwa die Löschung der Daten von Webseitenbesuchern vorgenommen wird. Sind dabei Fristen angegeben, welche die notwendige Speicherdauer zur Erreichung des Zwecks überschreiten, oder werden Daten länger gespeichert als in der Datenschutzerklärung angegeben, so kann daraufhin abgemahnt werden.
E-Mail
Der E-Mail-Verkehr ist für jedes Unternehmen ein wichtiger Bestandteil der täglichen Kommunikation. Besonders für Werbeaktivitäten als Bestandteil einer ganzheitlichen digitalen Marketingstrategie ist E-Mail-Verkehr unverzichtbar. Schon vor der DSGVO gab es strenge Vorschriften an den Umgang mit werblichen E-Mails, weshalb das E-Mail-Marketing schon vorher ein häufiger Streitpunkt für Datenschutz-Abmahnungen war. Auch wenn die Anforderungen mit der DSGVO etwas gelockert werden, sind gleichzeitig die Bußgelder für Fehlverhalten gestiegen.
Double-Opt-In weiterhin rechtssicher
Zuvor war der Versand von Werbemails und der Aufbau von E-Mail-Listen durch das BDSG und das UWG geregelt. Die DSGVO tritt an deren Stelle, lässt allerdings den EU-Mitgliedsstaaten Spielraum zur nationalen Ausgestaltung. Das zuvor rechtssichere Verfahren des „Double-Opt-In“ kann auch nach Inkrafttreten der DSGVO verwendet werden . Dafür wird einerseits die Mail-Adresse eingetragen und eine zweite Bestätigung nach Versand einer ersten Mail eingeholt, um die Inhaberschaft der Mail-Adresse zu bestätigen.
Prinzip der Datensparsamkeit
Durch den Zwang zur Datensparsamkeit müssen die erhobenen Daten allerdings auf ein notwendiges Minimum reduziert werden. Bei Erhebung und Aufbau der E-Mail-Liste soll lediglich die E-Mail-Adresse erhoben werden, um dem Prinzip der Datensparsamkeit gerecht zu werden.
Zuvor aufgebaute E-Mail-Listen sollen überprüft und eine weitere Zustimmung eingeholt werden. Seit dem 25.05.2018 muss jede Verarbeitungstätigkeit, einschließlich der Einwilligung, dokumentiert werden.
Verstöße gegen die DSGVO in Form von unrechtsmäßigen E-Mail-Marketing lassen sich wegen der öffentlichen Zugänglichkeit leicht feststellen. Aufgrund der Effektivität des E-Mail-Marketings sind in diesem Bereich DSGVO-Abmahnungen durch Verbände oder Konkurrenten wahrscheinlich.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!