DSGVO-Gesetze im Internet: Die wichtigsten Urteile und Risiken
Die Datenschutzgrundverordnung (DSGVO) gilt seit Mai 2018 in der Europäischen Union. Seitdem sind Gerichte und Politik immer wieder damit beschäftigt, die rechtlichen Vorgaben mit Erfahrungen aus der Praxis zu unterfüttern. Das führt vor allem dazu, dass Regelungen durch neue Urteile für ungültig erklärt werden oder zu Anpassungen führen. Wir behalten die Entwicklungen in Sachen DSGVO im Auge und beleuchten, was diese für Unternehmen bedeuten und wie Sie Ihr Business schützen können.
Artikelübersicht:
Betroffenenrechte beim Datenschutz gestärkt
Datentransfer in Drittstaaten: Die Bestimmungen des EU-Rechts
EU-Standardvertragsklauseln zur Datenübermittlung
Neues Privacy Shield in Aussicht?
Eigeninitiative statt abwarten
DSGVO-Anforderungen für Ihre Webseite
Sind DSGVO-Verstöße abmahnbar?
Newsletter und DSGVO: Das müssen Sie beachten
DSGVO-konformes Social-Media-Marketing
DSGVO Bußgelder: Was wird am häufigsten abgemahnt
Update: Betroffenenrechte beim Datenschutz gestärkt
Der Europäische Gerichtshof (EuGH) hat im Mai 2023 ein wegweisendes Urteil zum Thema Schadenersatz bei Datenlecks gefällt. Geraten die Daten von Kundinnen und Kunden in die Öffentlichkeit, ist das verursachende Unternehmen nun unter Umständen zur Zahlung verpflichtet – auch wenn es keine konkreten Beweise für einen Schaden gibt.
Anspruch auf Schadenersatz
Das erste Urteil des EuGH befasst sich mit dem Anspruch auf Schadenersatz gemäß Artikel 82 Absatz 1 der Datenschutzgrundverordnung (DSGVO). Dieser Abschnitt regelt den Schadenersatzanspruch für Leute, die von Datenschutzverletzungen betroffen sind. Bisher galt die Auffassung, dass eine gewisse Erheblichkeitsschwelle existiert, die dafür sorgt, dass ein Ersatz für geringe Schäden durch Datenschutzverstöße nicht möglich ist. Ein Schaden musste also erst eine bezifferbare Schwelle erreichen, um ersatzfähig zu sein.
Der EuGH hat diesen Ansatz nun revidiert und legt fest, dass Schäden nicht erst eine gewisse Schwelle überschreiten müssen, bevor den Betroffenen eine Entschädigung zusteht. Die Richter:innen argumentieren, dass diese Vorgehensweise bei geringfügigen Verletzungen von Eigentum, beispielsweise bei einem Lackschaden, schon lange üblich ist und dies auch beim Datenschutz gilt – selbst wenn der Schaden nicht immer auf der Stelle erkennbar ist.
Europäische Gesellschaft für Datenschutz (EuGD) vs. Scalable
Exemplarisch für diese Ansicht steht eine Reihe von Urteilen gegen den Online-Broker Scalable, dessen Kundendaten in die Hände von Hacker:innen fielen. Die EuGD vertritt als LegalTech regelmäßig Betroffene von Datenschutzverstößen und befasste sie sich nun mit einem Fall, in dem ein Kunde von Scalable von Kriminellen mit seinen Daten erpresst wurde. Ihm ging eine E-Mail mit dem Scan seines Ausweises zu. Das Landgericht Köln sprach dem Betroffenen daraufhin 1.200 Euro Schadenersatz zu.
Dieses Urteil ist nicht das erste dieser Art: Bereits im Jahr 2021 erstritt die EuGD vor dem Landgericht München 2.500 Euro Schadenersatz, nachdem bei Scalable Kundendaten gestohlen wurden. Diese Entscheidung trug vor allem der Tatsache Rechnung, dass die Sicherheitslücke in der Verantwortung des Unternehmens lag, auch wenn es nicht zum Missbrauch der Daten durch Dritte kam (Aktenzeichen 31 O 16606/20). Die Daten wurden Kriminellen über einen Dienstleister zugänglich, mit dem Scalable allerdings bereits seit geraumer Zeit nicht mehr arbeitete. Jedoch hatte es das Unternehmen versäumt, die Zugangsdaten zu den IT-Systemen, die der Dienstleister verwendet hatte, zu ändern. Diese eklatante Sicherheitslücke hatten sich Unbefugte zunutze gemacht. Nach Ansicht des Gerichts handelte es sich dabei um einen vermeidbaren Vorfall und somit um einen Datenschutzverstoß.
Problem: Wie den Schaden beziffern?
Die Frage nach Schadenersatz stellt die Gerichte jedoch weiter vor Herausforderungen, da sich eine konkrete Summe schwer beziffern lässt, wenn Betroffenen von Datenschutzverstößen kein materieller Schaden in eindeutiger Höhe entstanden ist. Wichtige Gesichtspunkte waren bei der Beurteilung bisher, wie Kriminelle zum Beispiel an die Daten kamen, wie sensibel diese waren und ob ein Missbrauch der Daten stattgefunden hat.
Fazit: Das juristische Risiko steigt
Das Urteil ist für Betroffene erfreulich und für Unternehmen Grund genug, es sich beim Datenschutz nicht zu bequem zu machen. Denn auch, wenn Ihnen ein Datenschutzverstoß unterläuft, dessen Schaden sich für die Betroffenen nicht konkret beziffern lässt, ist es nun möglich, dass Sie auf immateriellen Schadenersatz verklagt werden – das Risiko für eine juristische Auseinandersetzung hat also deutlich zugenommen. Halten Sie sich daher präzise an die gesetzlichen Vorgaben und schützen Sie die Daten Ihrer Kundinnen und Kunden umfassend.
Dazu gehört unter anderem auch, Ihr Business vor Cyberkriminalität zu schützen. Den Daten sind bei Hacker:innen heiß begehrt. Wie Sie sich dagegen wappnen können, lesen Sie hier: Hackerangriff: So schützen Sie Ihr Business vor Cyberkriminalität.
Datentransfer in Drittstaaten: Die Bestimmungen des EU-Rechts
Neben den Regelungen zu personenbezogenen Daten innerhalb der EU-Staaten über die DSGVO ist auch die Regelung des Datentransfers in Drittländer wichtig. Personenbezogene Daten dürfen den Europäischen Wirtschaftsraum (EWR) nach geltendem Recht eigentlich überhaupt nicht verlassen – es sei denn, das Versenden findet über einen gültigen Transfermechanismus, wie zum Beispiel Standardvertragsklauseln statt. Doch die Vorschriften für personenbezogene Daten gelten auch dann, wenn sie über Grenzen in Länder mit einer anderen Gesetzgebung transferiert werden. Um deren Einhaltung zu gewährleisten, bietet der rechtliche Rahmen drei Möglichkeiten:
- Die EU-Kommission befindet den Datenschutz eines Drittlandes in einem bilateralen Abkommen für angemessen. Eine solche Angemessenheitsentscheidung besteht etwa mit Japan und Großbritannien.
- Es existieren „verbindliche interne Datenschutzvorschriften“, sogenannte Binding Corporate Rules. Dabei handelt es sich um Vorgaben zum Umgang mit personenbezogenen Daten, welche die Artikel-29-Datenschutzgruppe (auch European Data Protection Board genannt) der Europäischen Kommission entwickelt hat.
- besonders verbreitet ist die Aufnahme genehmigter Verpflichtungserklärungen in Verträgen, die sogenannten Standardvertragsklauseln. Der EuGH hatte diese Klauseln als gültigen Transfermechanismus für Daten in seinem Urteil „Schrems II“ bestätigt
EU-Standardvertragsklauseln zur Datenübermittlung
Bis Juli 2020 bestand mit den USA das Privacy Shield, das den Transfer personenbezogener Daten regelte. Doch dieses wurde in dem als „Schrems II“ bekannten Urteil (benannt nach dem österreichischen Juristen und Datenschützer Max Schrems, der auch die Klage einreichte) vom Europäischen Gerichtshof für ungültig erklärt. Der Grund: Die Rechtslage und die Überwachungspraxis durch Geheimdienste in den USA lässt sich nicht mit dem europäischen Datenschutz in Einklang bringen.
Nach dem Fall des Privacy Shield verabschiedete die Europäische Kommission im Juni 2021 zwei Standardvertragsklauseln, welche die neuen Anforderungen der DSGVO und des EuGH-Urteils berücksichtigen und das Privacy-Shield-Datenübertragungssystem ersetzen sollen. Es handelt sich dabei um standardisierte und vorab genehmigte Musterdatenschutzklauseln, die Sie zum einen in vertragliche Vereinbarungen mitaufnehmen können und die Ihnen zum anderen eine leicht umzusetzende Vorlage für die Erfüllung der Datenschutzanforderungen bieten.
Beide Standardvertragsklauseln können Sie auf der Seite der Europäischen Kommission in deutscher und englischer Sprache herunterladen:
- Standardvertragsklausel für die Übermittlung personenbezogener Daten in Drittländer
- Standardvertragsklausel für Verantwortliche und Auftragsverarbeiter:innen
Google und die DSGVO
Dass nach wie vor große Unsicherheit für Unternehmen besteht, wenn es um den Datentransfer in die USA geht, zeigt das Beispiel von Google. Einerseits kommt fast kein:e Webseitenbetreiber:in mehr an den Google-Services vorbei – anderseits ist der Hauptsitz von Google nach wie vor in den USA und die Rechtslage zum Datentransfer ist weiterhin unsicher. Diese Unsicherheit führte in Deutschland und Österreich bereits zu einigen Abmahnungen wegen Google Fonts und Google Analytics.
Google Fonts Abmahnwelle
Im Januar 2022 kam das Landesgericht München zu dem Urteil, dass durch den Einsatz von Google-Fonts auf Webseiten „unstreitig“ die dynamischen IP-Adressen an die Google-Server in den USA übermittelt werden. Dem Kläger wurden dort nach Artikel 82 Absatz 1 DSGVO Schadenersatz in Höhe von 100 Euro für erlittenes „individuelles Unwohlsein“ zugesprochen. Obwohl es sich bei dem Urteil um einen Einzelfall handelt, witterten einige Rechtsanwältinnen und Rechtsanwälte, sowie Abmahnvereine ihre Chance und so flatterten zahlreichen Webseitenbetreiber:innen im Herbst 2022 Abmahnungen für die Remote-Einbindung von Google Fonts ein.
Zu den Abgemahnten gehörten auch Kundinnen und Kunden von exali. Über 100 davon meldeten sich im Oktober und November 2022 bei unseren Versicherungsexpert:innen, nachdem sie eine Abmahnung wegen Google Fonts erhalten hatten. Aufgrund der hohen Anzahl setzten wir uns mit dem Versicherer in Verbindung und erarbeiteten ein Antwortschreiben, dass wir unseren Kundinnen und Kunden zur Verfügung stellten.
Über 100 exali Kundinnen und Kunden meldeten sich bis Ende Oktober 2022 bei unseren Versicherungsexpert:innen, weil sie eine Abmahnung für die Nutzung von Google Fonts erhalten haben.
Wenn Sie ein Abmahnungsschreiben erhalten haben, weil Sie Google Fonts auf Ihrer Webseite, Ihrem Onlineshop oder Ihrem Blog in einer Art und Weise verwendet haben sollen, die gegen Persönlichkeitsrechte und DSGVO verstoßen haben soll: Zahlen Sie nichts, sondern kontaktieren Sie eine Rechtsanwältin oder einen Rechtsanwalt um ein entsprechendes Antwortschreiben aufzusetzen. Wer eine Berufshaftpflicht über exali abgeschlossen hat, kann sich direkt mit unserem Kundenservice-Team in Verbindung setzen und erhält dort die bereits erwähnte Vorlage.
Google Analytics bald verboten?
Während die Abmahnwelle zu Google Fonts noch läuft, steht schon das nächste Problem für Webseitenbetreiber:innen in den Startlöchern: Google Analytics. Nach Österreich, Frankreich und Italien erklärte im September 2022 auch die dänische Datenschutzbehörde die Nutzung des Tools für rechtswidrig. Grund: Google überträgt Nutzerdaten außerhalb der EU. Zwar reagierte Google bereits mit der Einführung Google Analytics 4, aber: Auch hier sieht die dänische Datenschutzbehörde Probleme, weil ebenfalls IP-Adressen genutzt werden, um den Aufenthaltsort der Nutzer:innen zu bestimmen – zwar wird die IP-Adresse anschließend gelöscht, doch je nach Aufenthaltsort kann es vor der Löschung dennoch eine direkte Verbindung zu US-Servern geben.
Neues Privacy Shield in Aussicht?
Im Oktober 2022 verabschiedete US-Präsident Joe Biden eine neue Executive Order. Diese soll als Basis für ein neues EU-US-Datentransferabkommen dienen, das im März 2023 veröffentlicht wird. Die Executive Order gibt vor, dass der Datenzugriff der US-Geheimdienste auf ein „erforderliches“ und „verhältnismäßiges“ Maß beschränkt wird und formuliert zwölf Ziele, die den Einsatz von Massenüberwachung rechtfertigen sollen. Außerdem beinhaltet die Executive Order einen zweistufigen Rechtshilfe-Mechanismus, mit dem EU-Bürger:innen gegen einen widerrechtlichen Zugriff auf Ihre Daten Beschwerde einlegen können.
Datenschützer:innen halten die Executive Order allerdings für bei weitem nicht ausreichend genug, um eine erneute Angemessenheitsentscheidung zu rechtfertigen. Grund: Zum einen handelt es sich nur um eine per Dekret erteilte Verwaltungsordnung, die ohne weiteres widerrufen werden kann und zum anderen wird weiterhin das eigentliche Problem – die Überwachungsgesetze der USA – ignoriert. Die österreichische Nichtregierungsorganisation NYOB, die auch die treibende Kraft hinter den Schrems-Urteilen ist, kündigte bereits an, die Veränderungen vor dem Europäischen Gerichtshof anzugreifen.
Eigeninitiative statt abwarten
Übereinstimmend lässt sich feststellen: Momentan fehlt die rechtliche Sicherheit beim Thema Drittstaatenübermittlung und diese Lücke wird sich in absehbarer Zeit auch erst einmal nicht schließen. Die weltweite Annäherung der unterschiedlichen Datenschutzgesetze bleibt weiterhin ein großes Thema, das für die betroffenen Unternehmen mehr Fragen aufwirft als beantwortet. Um der momentanen Unsicherheit nicht vollkommen hilflos gegenüberzustehen, sollten Firmen ihre Prozesse zur Datenübermittlung in Drittländer eigeninitiativ analysieren und die Ergebnisse sorgfältig dokumentieren. Auf diese Weise schaffen Sie eine Basis, um der Überprüfung durch die Behörden nicht vollkommen unvorbereitet gegenüberzutreten.
DSGVO-Verstöße absichern
Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich finanziell schützen, wenn Sie eine Berufshaftpflicht über exali.at abgeschlossen haben. In diesen Fällen prüfen die Schadenexpert:innen die Abmahnung wegen Datenschutz-Verstößen auf eigene Kosten darauf, ob die Forderung berechtigt ist und bezahlen die gerechtfertigten Schadenersatzforderungen. Sollte es Zweifel an der Rechtmäßigkeit einer Abmahnung geben, geht die Berufshaftpflicht in die Abwehr des Anspruchs und übernimmt dafür ebenfalls die Kosten (beispielsweise für Anwältinnen oder Anwälte, Gutachter:innen, Gerichtsverfahren). Das Gleiche gilt, wenn andere aufgrund Ihres Versäumnisses bei der erbrachten Dienst- oder Werkleistung ein Bußgeld erhalten (beispielsweise einer Ihrer Kunden oder Kundinnen) und dieses Bußgeld in Form von Schadenersatz von Ihnen zurückfordern. Diese „Fremdbußgelder“ werden ebenfalls von der Berufshaftpflicht über exali übernommen.
Bußgelder, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie selbst verhängt, sind im Rahmen Ihrer Berufshaftpflicht ebenfalls versichert (sofern diese Kostenübernahme im einzelnen Fall rechtlich zugelassen wird).
Bei Fragen zur Absicherung von Datenschutzverstößen können Sie gerne unseren Kundenservice kontaktieren – Sie erreichen die exali Kundenbetreuer:innen telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der +49 (0) 821 80 99 46-0 oder über das Kontaktformular.
DSGVO-Anforderungen für Ihre Webseite
Eine gute Webseite benötigt nicht nur ein ansprechendes Design und informative Inhalte, sondern muss auch den Anforderungen der DSGVO entsprechen. Andernfalls drohen Ihnen Abmahnungen – von Datenschutzbehörden, aber noch wahrscheinlicher von Wettbewerber:innen. Die Grundvoraussetzungen für eine datenschutzkonforme Webseite sind folgende:
Technische Anforderungen:
- SSL-Zertifikat: Verschlüsselung der nach HTTPS
- Privacy By Design: Ihre Webseite sollte technisch so eingerichtet sein, dass nur die Daten erhoben werden, die auch wirklich benötigt und zulässig sind
- Privacy by Default: Dieses Prinzip bedeutet, dass die Webseite bereits über datenschutzfreundliche Voreinstellungen, die zum Schutz der Privatsphäre von Nutzer:innen dienen, verfügt. So sollen insbesondere weniger technikaffine Nutzer:innen geschützt werden, die beispielsweise nicht wissen, wie sie die datenschutzrechtlichen Einstellungen anpassen können.
Impressum
Ein DSGVO-konformes Impressum muss folgende Angaben enthalten:
- Angaben zur verantwortlichen Person: Name der/des Webseite-Betreibenden oder des Unternehmens und die Anschrift
- Kontaktdaten der/des Webseiten-Betreibenden: Hier muss auf jeden Fall eine E-Mail-Adresse und eine Telefonnummer angegeben sein.
- Rechtliche Pflichtangaben bei Unternehmen: Rechtsform, Registereintrag und Umsatzsteuer-Identifikationsnummer (sofern vorhanden)
Datenschutzerklärung
Neben dem Impressum muss Ihre Webseite auch unbedingt eine Datenschutzerklärung enthalten, in der Sie den Umfang und Zweck der Datenverarbeitung, die Rechte der Betroffenen, sowie Plugins von Drittanbieter:innen (wie Google Analytics, Social Media) und eingesetzte Auftragsdienstleister:innen aufführen. Ebenfalls enthalten sein muss eine Widerspruchsbelehrung.
Cookie-Banner
Der Umgang mit Cookies sorgt seit Jahren für Verwirrung bei Webseitenbetreiber:innen, denn tatsächlich sagt die DSGVO gar nichts zu dem Thema. Deshalb sollte eigentlich auch gleichzeitig mit der DSGVO eine ePrivacy-Verordnung in Kraft treten, doch diese wurde immer wieder verschoben und befindet sich aktuell im Trilog zwischen EU-Rat, EU-Kommission und EU-Parlament. Ein Inkrafttreten vor 2023/24 ist nicht wahrscheinlich.
Allerdings ist in der DSGVO grundsätzlich festgelegt, dass Nutzer:innen der Verarbeitung Ihrer Daten grundsätzlich zustimmen müssen. Die Wiener Nichtregierungsorganisation NOYB startete deshalb im März 2021 einen Scan von mehr als 3.600 Webseiten und reichte über 700 Beschwerden bei den Unternehmen ein, deren Cookie-Banner über ein irreführendes Design und/oder keinen „Ablehnen“-Banner im Cookie-Banner verfügten. Um das Cookie-Banner DSGVO-konform zu gestalten, empfiehlt sich daher aktuell ein Cookie Consent-Tool.
Cookie Consent
Ein Cookie Consent-Tool empfiehlt sich dann, wenn Sie Tools einsetzen, die nicht lediglich für den technischen Betrieb Ihrer Homepage benötigt werden. Dazu gehören etwa Tools wie:
- Google Analytics
- Facebook Pixel
- LinkedIn Events, Twitter Events
- Marketingtools
Das Consent-Tool ist von der Funktionsweise her wie eine Maske, die Sie über Ihre Webseite legen. Es verfügt sowohl über einen Button, mit dem Sie dem Einsatz nicht notwendiger Cookies zustimmen als auch einen, mit dem Sie dies ablehnen können. Zudem können Nutzer:innen auch auswählen, welchen Tool sie zustimmen – wird kein Häkchen gesetzt, so werden diese Cookies auch tatsächlich blockiert.
Kontaktformulare
Binden Sie Kontaktformulare auf Ihrer Webseite ein, müssen diese ebenfalls DSGVO-konform sein. Grundsätzlich gilt hier: Wenn Sie Ihren Webseitenbesucher:innen die Möglichkeit geben, Sie über ein Kontaktformular zu kontaktieren, bedarf es keiner expliziten Einwilligung zur Verarbeitung der Daten, da ein berechtigtes Interesse besteht. Das bedeutet: Sie haben ein berechtigtes Interesse daran, auf die Anfrage der Interessierten zu antworten und diese dafür zu kontaktieren. ABER – Sie müssen dennoch einen Datenschutzhinweis gemäß DSGVO in JEDES Kontaktformular auf Ihrer Webseite einbinden. Nutzer:innen müssen bestätigten, dass Sie diesen Datenschutzhinweis gelesen haben und ihm zustimmen – am einfachsten geht das über eine Checkbox – bevor das Kontaktformular abgeschickt wird.
Wichtig: Klären Sie die Nutzer:innen in dem Datenschutzhinweis über folgende Punkte auf:
- Wie werden die Daten verarbeitet?
- Für wie lange werden Daten gespeichert?
- Was sind die Betroffenenrechte?
- Wie lautet die Datenschutzerklärung?
Auftragsverarbeitung gemäß DSGVO
Wenn ein Unternehmen Dritte (beispielsweise externe Dienstleister:innen) beauftragt und diese im Rahmen des Auftrags personenbezogene Daten verarbeiten, dann handelt es sich um Auftragsdatenverarbeitung.
In diesem Fall muss das Unternehmen mit der/dem Dienstleister:in einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) gemäß Art. 28 DSGVO schließen. Diese Regelung gilt auch, wenn Unternehmen Tracking-Software nutzen (zum Beispiel Google Analytics) oder ihre Buchhaltung oder Rechenzentren auslagern.
Achtung: Auftraggeber:innen dürfen sich nie darauf verlassen, dass sich Dienstleister:innen um den Datenschutz kümmern, sie/er bleibt dafür weiterhin hauptverantwortlich!
DSGVO-konformer Onlineshop
Wenn Sie einen Onlineshop betreiben, gelten die gleichen Vorgaben wie für die Webseite plus folgende zusätzliche:
- Rechtstexte: Neben Impressum und Datenschutzerklärung müssen Sie Nutzer:innen auch eine Widerrufsbelehrung samt Muster-Widerrufsformular zur Verfügung stellen, sowie Zahlungs- und Versandhinweisen und AGB (Allgemeine Geschäftsbedingungen).
- Verschlüsselte Formulare: Die Daten der Kundinnen und Kunden werden vom Warenkorb mittels eines Formulars übermittelt. Dieser Vorgang muss zwingend verschlüsselt ablaufen, sodass keine Daten von außen abrufbar sind. Außerdem sollten grundsätzlich nur die Daten angefordert werden, die für die Erfüllung der jeweiligen Aufgabe notwendig sind.
- Verzeichnis von Verarbeitungstätigkeiten: Für alle Betreiber:innen eines Onlineshops gilt eine Pflicht, sämtliche regelmäßig stattfindenden Datenverarbeitungsprozesse in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren.
- Dokumentation von technischen und organisatorischen Maßnahmen: Um den Anforderungen der DSGVO gerecht zu werden, müssen Sie sowohl in Ihrem Onlineshop als auch am physikalischen Sitz Ihres Unternehmens technische und organisatorische Maßnahmen wie beispielsweise Daten-Backups, Datenverschlüsselung, Zugang zu Datenverarbeitungssystemen oder Kontrolle der Waren- oder Büroräume dokumentieren.
Wie Sie Ihre Webseite oder Ihren Onlineshop abmahnsicher gestalten, erfahren Sie auch in diesem Video-Interview mit Fachanwalt Karsten Schröder:
Sind DSGVO-Verstöße abmahnbar?
Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerber:innen abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber:innen und Abmahnanwälte sowie -anwältinnen wohl weiter Abmahnungen verschicken. Deshalb ist es umso wichtiger, nicht nur Ihren Webauftritt DSGVO-konform zu gestalten, sondern auch alle anderen Kanäle, die Sie fürs Marketing nutzen wie Newsletter oder Social Media.
Newsletter und DSGVO: Das müssen Sie beachten
Newsletter sind nach wie vor eines der besten Tools, um mit Ihrer Kundschaft zu kommunizieren und Ihr Angebot anzupreisen. Um den Newsletter DSGVO-konform zu gestalten, müssen Sie folgendes beachten:
- Anmeldeformular: Für die Newsletter-Anmeldung dürfen nur die E-Mail-Adresse und die Zustimmung der Datenverarbeitung Pflichtfelder sein. Alle anderen Angaben (beispielsweise Vorname/Name, Adresse, Interessen) müssen freiwillig sein.
- Double-Opt-in: Eine Newsletter-Anmeldung ist nur dann gültig, wenn Nutzer:innen die Anmeldung per Double-Opt-in bestätigt haben.
- Newsletter-Tools: Wenn Sie externe Newslettertools verwenden, müssen Sie diese, inklusive Angaben zur Datenverarbeitung in Ihre Datenschutzerklärung aufnehmen.
- Abmeldung: Grundsätzlich muss jeder Ihrer Newsletter im Footer einen Link zur Abmeldung enthalten.
Details für einen rechtssicheren Newsletter haben wir auch in diesem Artikel für Sie zusammengefasst: Rechtssicheres Newsletter-Marketing: Das müssen Sie beachten
DSGVO-konformes Social-Media-Marketing
Marketing ohne Social Media – kaum noch vorstellbar! Wenn Sie für Ihr Business Social-Media-Kanäle nutzen, gibt es auch hier einige Vorgaben der DSGVO:
- Jeder Business-Account (also jedes Konto und jede Seite (Facebook, LinkedIn), die Sie im Namen Ihres Unternehmens betreiben) muss ein Impressum und eine Datenschutzerklärung oder eine Verlinkung dorthin enthalten.
- Wenn Sie Plugins wie Facebook Pixel oder LinkedIn-Event nutzen, müssen diese in der Datenschutzerklärung aufgeführt werden. Außerdem müssen Nutzer:innen der Verwendung dieser im Cookie-Banner einzeln zustimmen oder sie einzeln ablehnen können.
Wie Sie Ihre Business-Konten in sozialen Netzwerken rechtssicher und DSGVO-konform gestalten, haben wir in folgendem Artikel ausführlich beschrieben: Facebook, Instagram, Twitter & Co.: Die Risiken in sozialen Netzwerken im Überblick.
DSGVO Bußgelder: Was wird am häufigsten abgemahnt
Zunächst einmal ist wichtig zu wissen, dass eine DSGVO-Abmahnung gar nicht immer von einer Aufsichtsbehörde kommen muss. Tatsächlich erfolgen viele Abmahnungen von Mitbewerber:innen oder, wie das Beispiel mit Google Fonts verdeutlicht, Rechtsanwältinnen und Rechtsanwälte, sowie Verbände, die versuchen, Kapital aus einem Urteil zu schlagen. Am häufigsten werden hier (angebliche) Verstöße auf dem eigenen Webauftritt abgemahnt.
Ein Blick in das DSGVO-Portal, in dem sowohl DSGVO-Verstöße als auch die Verletzungen anderer Datenschutzgesetze erfasst werden, zeigt, dass die häufigsten Gründe für ein Bußgeld durch Behörden folgende sind:
- Datenschutzverstöße bei der Verarbeitung, Nutzung oder Sicherung von personenbezogenen Daten
- Unzulässige Überwachung von Mitarbeiter:innen – Notebooksbilliger.de kassierte genau dafür 2021 eine saftige Strafe in Höhe von 10,4 Millionen Euro. Mehr dazu finden Sie in folgendem Artikel: 2021 ist das Jahr mit den bisher höchsten Bußgeldern
- Nutzung von veralteter Software
- Zu späte Meldung einer Datenpanne
Checkliste: Learnings aus den bisher verhängten Bußgeldern
Das Wichtigste im Umgang Datenschutzbehörden, dass sich aus vergangenen Fällen lernen lässt – besonders im Umgang mit personenbezogenen Daten verarbeitet, verrät Ihnen diese Checkliste:
- Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein und melden Sie diesen gegebenenfalls bei der zuständigen Behörde
- Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
- Vergessen Sie nie, mit Dienstleistern und Dienstleisterinnen einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortliche:r für den Datenschutz
- Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind
DSGVO-Bußgeld selbst berechnen
Sie wollen wissen, wie hoch Ihr Bußgeld bei einem DSGVO-Verstoß aussehen könnte? Im Video erfahren Sie, mit welcher Formel Sie es berechnen können:
Ehem. Online-Redakteurin
Daniela ist seit 2008 in den Bereichen (Online-)Redaktion, Social Media und Online-Marketing tätig. Bei exali kümmerte sie sich insbesondere um folgende Themen: Risiken durch digitale Plattformen und Social Media, Cyber-Gefahren für Freelancer:innen und Absicherung von IT-Risiken.
Neben Ihrer Tätigkeit als Online-Redakteurin bei exali arbeitet sie als freiberufliche Redakteurin und kennt daher die Herausforderungen der Selbständigkeit aus eigener Erfahrung.