Als Unternehmer werden Sie unweigerlich von der ePrivacy-Verordnung berührt werden. Während die EU-DSGVO noch viele Unklarheiten offen lässt, wird die ePrivacy-Verordnung konkrete praktische Anweisungen mit sich bringen. Demnach ist zu erwarten, dass die Datenschutzbehörden Verstöße strikter ahnden. Auch Konkurrenten werden die geklärte Rechtssituation nutzen, um gegen Verstöße vorzugehen.
Während manche Risiken durch Datenschutzverstöße im Rahmen der DSGVO noch eher schwebend waren, werden sie nach der Einführung der ePrivacy-Verordnung konkret.
Doch welche Risiken drohen genau?
Bußgelder und Freiheitsstrafen
Gemäß Art. 83 DSGVO können die Datenschutzbehörden Bußgelder verhängen. Da diese als rechtliche Grundlage für die ePrivacy-Verordnung gilt, können für Verstöße dieselben Bußgelder verhängt werden. Somit drohen empfindliche Bußgelder von bis zu 20 Mio. € oder 4% des weltweiten Konzernumsatzes.
Auf nationaler Ebene hat die DSGVO das alte BDSG durch das BDSG (neu) ersetzt. Die DSGVO selber sieht keine Freiheitsstrafen vor. Das deutsche BDSG (neu) hingegen hat in § 42 Abs. 1 und 2 BDSG (neu) festgelegt, dass Freiheitsstrafen verhängt werden können. Je nach Schwere des Verstoßes, sind Haftstrafen von ein bis zu drei Jahren möglich. Derartig schwerwiegende Strafen werden vor allem bei der gewerbsmäßigen illegalen Weitergabe von Daten sowie der illegalen Beschaffung von Daten verhängt.
Wonach bemisst sich das Strafmaß?
Die Datenschutzbehörden können Strafen nach eigenem Vermessen verhängen. Die Kriterien für das Strafmaß finden sich in Art. 83 Abs. 2 (a) bis (k) DSGVO.:
- Schwere, Art und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- Getroffene Maßnahmen zur Schadensminderung
- Wiederholung oder Erstverstoß
- Kooperation mit Datenschutzbehörden, um die Folgen einzudämmen
- Art des Bekanntwerdens – Selbstanzeige oder Anzeige
- Kooperationsverhalten bei angeordneten Maßnahmen
- Sonstige Compliance neben dem Verstoß
- Vorliegen mildernder Umstände
Wie können Verstöße aufgedeckt werden?
Datenschutzverstöße können bei Unternehmen auf unterschiedlichen Wegen aufgedeckt werden. Grundsätzlich ist jede Person dazu berechtigt, derartige Verstöße bei den Behörden anzuzeigen. Folgende Szenarien sind dabei denkbar:
- Anzeige durch unzufriedene Mitarbeiter
- Aufdeckung durch Routineüberprüfung einer Datenschutzbehörde
- Anzeige durch Kunden oder Interessenten
- Selbstanzeige
- Aufdeckung durch Journalisten
Zur Vermeidung: Anwaltlich absichern lassen
Zur Vermeidung von Strafen durch Datenschutzbehörden, hilft nur eine Datenschutzberatung durch einen Anwalt. Wir stehen Ihnen zur Seite, damit Sie sich auf Ihr Geschäft konzentrieren können.
Abmahnungen und Klagen
Neben Geld- und Freiheitsstrafen können Verstöße gegen die ePrivacy-Verordnung drohen Unternehmen Abmahnungen und Klagen. Da die ePVO einige rechtliche Unklarheiten beseitigen wird, die mitunter dazu führen, dass aktuell unter der DSGVO vergleichsweise wenig abgemahnt wird, werden derartige Konflikte häufiger entstehen.
So hat zuletzt das OLG Hamburg entschieden, dass datenschutzrechtliche Verstöße durchaus wettbewerbsrechtlich relevant sein können. Abmahnungen und Klagen sind damit Tür und Tor geöffnet.
Wer kann abmahnen?
Für viele Unternehmer ist erstaunlich, dass nicht nur direkte Wettbewerber abmahnen oder aufgrund von wettbewerbsrechtlichen Verstößen mahnen können. Auch entsprechende Verbände für Wettbewerbsrecht und Verbraucherschutz, haben das Recht aufgrund von Datenschutzbehörden direkt abzumahnen. Anders als die Datenschutzbehörden, wurden diese Verbände zur Verfolgung und Abmahnung derartiger Verstöße gegründet.
Höheres Risiko als Geldstrafe durch Aufsichtsbehörden
Anders als bei Ahndung durch Datenschutzbehörden, muss bei Aufdeckung von Verstößen durch Teilnehmer des Rechtsverkehrs, die zur Abmahnung berechtigt sind, ausnahmslos mit einer Abmahnung gerechnet werden. Wettbewerber sehen sich in der Regel deutlich benachteiligt. Verbände wurden sogar nur zu diesem Zweck gegründet.
Daher muss gerade aus dieser Richtung mit einem erheblichen wirtschaftlichen Risiko gerechnet werden.
Abmahnungen nach UWG
Nach dem Gesetz gegen unlauteren Wettbewerb kann abgemahnt werden, wenn der datenschutzrechtliche Verstoß einen Verstoß gegen eine Marktverhaltensregel i.S.d. § 3a UWG ist. Außerdem sind Abmahnungen bei Irreführung (§ 5 UWG) oder dem Versenden nicht verlangter Werbung (§ 7 UWG) möglich.
Nach Einführung der DSGVO ist bisher unklar, welche Datenschutzverstöße Marktverhaltensregeln widersprechen. Die ePVO hingegen wird durch die Konkretisierung praktischer Anleitungen die DSGVO konkret auslegen. Es ist dadurch mit einer Häufung von Abmahnungen zu rechnen.
Abmahnungen nach Unterlassungsklagegesetz (UKlaG)
Seit 2016 können auch Abmahnungen auf Grundlage des UKlAG, wenn ein datenschutzrechtlicher Verstoß vorliegt. Insbesondere Verbraucherverbände sind nun zur Abmahnung berechtigt. Werden personenbezogene Daten eines Verbrauches ohne dessen Einwilligung aus folgenden Gründen erhoben, kann abgemahnt werden:
- Werbezwecke
- Marktforschung
- Betrieb einer Auskunftei
- Erstellung von Persönlichkeits- und Nutzungsprofilen
- Adresshandel
- Datenhandel
Folgen einer Abmahnung
Eine erhaltene Abmahnung kann unterschiedliche Folgen mit sich bringen. Meistens kostet sie viel Geld.
So kann die abmahnende Partei beispielsweise zum Unterschreiben einer Unterlassungserklärung anhalten, sowie zur Begleichung der Rechtskosten, Zahlung von Schadensersatz oder sogar Gewinnabschöpfung von Erträgen, die im Rahmen des Datenschutzverstoßes erwirtschaftet wurden.
Verlust der Profitabilität
Unternehmen, deren Geschäftsmodell auf dem Platzieren von Cookies basiert, müssen mit einem Verlust ihrer Profitabilität rechnen. Andere Unternehmen, die digitales Marketing zur Kundenakquise nutzen, müssen sich auf höhere Werbekosten und demnach auch auf Gewinneinbußen einstellen. Folgende Marketing-Maßnahmen und Geschäftsmodelle, sind besonders von der ePVO betroffen:
- Personenbezogene Werbeanzeigen: Facebook-Werbung und Retargeting, Platzieren von FB-Pixel auf Webseite, Retarteging über Native Ads
- Verlagsmodelle und Online-Publishing: Finanzierung über Vergabe von Werbeplätzen
- Energiesektor: Verarbeitung von Messdaten
- Produzierende Industrie: Smart-Home-Anbieter, Hersteller jeglicher IoT-Geräte (Smartwatches, Smartphones, etc.)
- Alle weiteren datenverarbeitenden Gewerbe
Auch wenn die genauen Vorschriften der ePrivacy-Verordnung noch beschlossen werden, sollten Unternehmen schon jetzt für verschiedene Szenarien planen und evtl. einen Compliance-Plan aufstellen.
Reputationsverlust
Aufgedeckte Datenschutzverstöße können einen erheblichen Reputationsverlust von Unternehmen zur Folge haben. Der EU-Gesetzgeber hat mit den Erneuerungen und Ausweitungen des Datenschutzes auch auf die Wünsche der Bevölkerung und die herrschende Pressemeinung reagiert.
Der Fall Facebook zeigt, welch erhebliche Folgen die öffentliche Aufdeckung von Datenschutzverstößen auf die Reputation eines Unternehmens haben kann. Zudem werden Verbraucher und damit potenzielle Kunden zunehmend für das Thema Datenschutz sensibilisiert.
So wertet die EU-Kommission die DSGVO als Erfolg. “Verbraucher wollen, dass ihre Daten sicher sind. Unternehmen haben erkannt, dass strenger Datenschutz ihnen einen Wettbewerbsvorteil bringt, weil das Vertrauen in ihre Dienste steigt”, so EU-Justizkommissarin Vera Jourová.
Mit der Einführung der konkreten Regeln der ePrivacy-Verordnung, ist anzunehmen, dass der Druck auf Unternehmen steigt und auch Verbraucher Verstöße zunehmend melden werden.
Verlust der Marktstellung
Die vorzeitige Ergreifung von Compliance-Maßnahmen kann sich positiv auf Ihr Unternehmen auswirken. Da die ePVO-Verordnung das Marktgefüge verschieben wird, ist bei verzögertem Handeln Ihre Marktstellung gefährdet.
Umso mehr die digitale Datenverarbeitung Teil Ihres Geschäftsmodells und Gegenstand der ePVO ist, umso größer wird die Veränderung in Ihrem Markt sein. Eine vorzeitige Risiko-Analyse und das Planen von Compliance-Maßnahmen sichert Ihre aktuelle Marktposition.
ePrivacy-Verordnung als Chance verstehen
Unternehmen können die ePrivacy-Verordnung als Chance verstehen. “Unternehmen haben erkannt, dass strenger Datenschutz ihnen einen Wettbewerbsvorteil bringt…”, so EU-Justizkommissarin Vera Jourová.
Die Absicherung des eigenen Geschäftsmodells gegen die Veränderungen der Richtlinie, können positive Auswirkungen auf Reputation und das operative Tagesgeschäft haben. Bereits jetzt haben sich Unternehmen der zunehmenden Sensibilisierung von Verbrauchern angenommen und werben mit Datensicherheit.
Um Ihr Unternehmen langfristig zu sichern und um mit juristischen sowie technologischen Entwicklungen Schritt zu halten, sollten Sie sich der Thematik annehmen.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!