DSGVO-Abmahnungen

Wie Sie im Falle einer DSGVO-Abmahnung vorgehen sollten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(133 Bewertungen, 3.51 von 5)

Das Wichtigste in Kürze

  • Liegt ein Verstoß gegen das Wettbewerbsrecht vor, kann es nicht nur zu Bußgeldverfahren der Datenschutzbehörden kommen. Es können auch DSGVO-Abmahnungen von Verbraucherverbänden oder Mitbewerbern ausgesprochen werden.
  • Ob diese Abmahnungen immer rechtens sind, muss im Zweifelsfall ein Gericht prüfen. Die Rechtslage hinsichtlich des Datenschutzes ist sehr uneindeutig.
  • Die Strafen für einen berechtigten Verstoß gegen die DSGVO können vierstellig sein und der Abgemahnte muss in der Regel die Anwaltskosten des Mahnenden übernehmen.

Worum geht's?

Trotz Einführung der Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DSGVO) im Jahr 2018 kommt es aufgrund von Unsicherheiten immer noch zu zahlreichen Datenschutzverstößen im Internet. DSGVO-Abmahnungen wegen missachteter Datenschutzregeln sind oft die Folge. Aber sind die Abmahnungen überhaupt rechtens? Müssen Sie darauf reagieren? Wie hoch sind die Bußgelder, wenn Sie laut Abmahnung einen Datenschutzverstoß begangen haben, und was können Sie tun, um sich rechtlich abzusichern? Dies und mehr lesen Sie in unserem Artikel.

 

1. Was ist eine DSGVO-Abmahnung?

Halten Sie sich als Unternehmen nicht an die Regelungen der DSGVO, droht eine Abmahnung. Konkurrenten können sich dabei auf das Gesetz gegen den unlauteren Wettbewerb stützen. So kann ein Datenschutzverstoß gleichzeitig auch ein Wettbewerbsverstoß sein. Die Abmahnung ist eine Aufforderung an Sie, die vermeintliche Rechtsverletzung zu unterlassen. Reagieren Sie auf die Abmahnung und die Unterlassungsansprüche nicht rechtzeitig oder korrekt, folgt ein Gerichtsverfahren.

Ein wichtiger Hinweis: Wenn Sie von einer Datenschutz-Abmahnung betroffen sind, geben Sie bei unklarer Rechtslage nie ungeprüft eine Unterlassungserklärung ab!

ACHTUNG

Nicht jeder Anwalt kann Sie einfach so abmahnen, weil Sie beispielsweise laut Datenschutzverordnung keine Datenschutzerklärung auf Ihrer Webseite haben. Hierzu muss eine Abmahnberechtigung entstehen. Im Wettbewerbsrecht besteht diese seitens der Konkurrenten oder einer Verbraucherschutzorganisation. Bei einem DSGVO-Verstoß können Sie auch von den zuständigen Aufsichtsbehörden abgemahnt werden.

2. DSGVO-Abmahnung: Kosten für Datenschutz-Verstöße

Obwohl ein Gerichtsverfahren abgewendet wird, entstehen für den Abgemahnten nicht unwesentliche Kosten für die Abmahnung wegen eines Datenschutzverstoßes. Sie müssen bei einer DSGVO-Abmahnung auf jeden Fall damit rechnen, dass der Abmahnende die Anwaltskosten von Ihnen zurückverlangt, sofern die Abmahnung wegen einer Datenschutzverletzung berechtigt ist.

Zudem müssen Sie in den meisten Fällen eine strafbewehrte Unterlassungserklärung abgeben. Im Rahmen dieser verpflichten Sie sich, den Verstoß nicht erneut zu begehen und falls doch, eine vereinbarte Strafe zu leisten. Diese Vertragsstrafen liegen in der Regel in vierstelligen Bereich.

Datenschutzbehörden mahnen nicht nur ab, sie verhängen bei Verstößen gegen die DSGVO (z. B. fehlende Datenschutzerklärungen) direkt ein Bußgeld gegen das Unternehmen. Dieses kann bis zu 20 Millionen Euro hoch sein oder 4 % des weltweiten Jahresumsatzes betragen. In unserem Artikel „Achtung: Hohe DSGVO-Bußgelder verhängt“ lesen Sie mehr zum Thema.

Sören Siebert
Sören SiebertRechtsanwalt

3. Was kann abgemahnt werden?

Welche Verstöße abgemahnt werden können, ergibt sich aus Art. 83 DSGVO. Hierbei wird zwischen formellen und materiellen Verstößen unterschieden:

  • Formell: Trotz Notwendigkeit kein Datenschutzbeauftragter beschäftigt, Jugendschutz nicht beachtet, usw.
  • Materiell: Recht auf Auskunft oder Löschung missachtet, Einwilligung der Nutzer in Datenverarbeitung fehlt, usw.

Außerdem unterscheidet die DSGVO nach Schwere des Vergehens. Hier ein paar Beispiele:

  • Leicht: Versand von Spam-Mails ohne Genehmigung
  • Mittel: Fehlendes Impressum oder Datenschutzerklärung
  • Schwer: vorsätzliche Datenfälschung oder illegaler Handel mit personenbezogenen Daten
  • Sehr schwer: unerlaubte Bekanntgabe von Informationen aus Zeugenschutzprogramm

Bei DSGVO-Abmahnungen handelt es sich in aller Regel nach um Verstöße, die von Verbraucherschutzorganisationen oder Mitbewerbern leicht zu überprüfen sind.

Fehlende Datenschutzerklärung

Haben Sie keine Datenschutzerklärung auf Ihrer Website oder fehlen wichtige Angaben in Ihrer Datenschutzerklärung, droht eine Abmahnung. Der Datenschutz schreibt folgendes vor:

  1. Nicht ungeprüft eine Unterlassungserklärung abgeben.
  2. Eine Datenschutzerklärung auf der Webseite
  3. Als Seitenbetreiber darauf achten, dass – unabhängig von der Datenschutzerklärung – nur datenschutzkonforme Tools und Plugins eingebunden werden.
Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Einbindung von Google Fonts

Sie können für die Einbindung von Google Fonts abgemahnt werden. Werden die von Google bereitgestellten Schriftarten fehlerhaft eingebunden, liegt ein Verstoß gegen das Recht auf informationelle Selbstbestimmung vor.

Das sollten Sie tun:

  1. Nutzen Sie Google Fonts nicht auf Ihren Seiten.
  2. Wenn dies nicht möglich ist, binden Sie Google Fonts lokal ein. Wie dies funktioniert, lesen Sie in unserem Artikel zum Thema „Google Fonts DSGVO-konform lokal einbinden“.
Zum kostenlosen Google Fonts Scanner

GOOGLE FONT SCANNER

  • Sie sind nicht sicher, ob Sie die Google Fonts rechtskonform auf Ihrer Website eingebunden haben?
  • Mit unserem kostenlosen Google Fonts Scanner können Sie Ihre Webseite ganz einfach überprüfen.
  • Einfach den Link eingeben und Ergebnisse erhalten!
Zum kostenlosen Google Fonts Scanner

Fehlerhafte Einbindung von Google Analytics

Abgemahnt werden können u. a. die fehlende IP-Anonymisierung, fehlende Opt-Out Möglichkeiten und die nicht erfolgte Erwähnung von Google Analytics in der Datenschutzerklärung.

Das sollten Sie tun:

Setzen Sie Google Analytics rechtskonform ein. Mehr dazu lesen Sie in unserem Artikel zum Thema „Ist Google Analytics legal oder Illegal: Was Webseitenbetreiber jetzt tun müssen“

Facebook Like- und Share-Buttons

Ebenfalls bereits in der Vergangenheit abgemahnt wurden die Einbindung der Facebook-Plugins zum Teilen und Liken auf Webseiten. Hierzu liegt schon seit 2016 ein Urteil des LG Düsseldorf vor.Es ist damit zu rechnen, dass die Facebook Plugins, aber auch Plugins anderer vor allem großer US-amerikanischer Dienste weiterhin verstärkt abgemahnt werden.

Das sollten Sie tun:

  1. Nutzen Sie möglichst keine Plugins von Unternehmen, die sofort beim Aufruf einer Seite und ohne Wissen der Webseitenbesucher Daten übertragen. Das betrifft die Plugins zum Teilen von Inhalten nahezu aller großen Unternehmen und Netzwerke, vor allem aus den USA.
  2. Verlinken Sie stattdessen auf Facebook & Co. oder nutzen Sie datenschutzgerechte Tools wie shariff oder das eRecht24 Safe Sharing Tool.

Fehlende Verschlüsselung von Kontaktformularen

Grundsätzlich sollten nach der DSGVO auch Bereiche der Internetseite verschlüsselt werden, in welchen personenbezogene Daten verarbeitet werden. Dazu zählen beispielsweise Kontaktformulare. Tun Sie dies auf Ihrer Webseite oder in Ihrem Online-Shop nicht, können Sie abgemahnt werden.

Das sollten Sie tun:

  1. Verschlüsseln Sie Ihre Kontaktformulare, z. B. per SSL-Verschlüsselung.
  2. Für Premium Nutzer: Setzen Sie die Hinweise in unserem DSGVO Quick Check um.

4. Urteile zu DSGVO-Abmahnungen

Ob DSGVO-Verstöße abmahnfähig sind, wird seit Jahren heiß diskutiert. Zahlreiche Urteile wurden dazu bereits gefällt und zu einem eindeutigen Ergebnis, ob Mitbewerber und Verbraucherschutzverbände Unternehmen abmahnen dürfen, ist es bis dato nicht gekommen.

Ein kurzer Flashback dazu: Zwei Apotheken in Sachsen-Anhalt verkauften über Amazon Marketplace apothekenpflichtige Medikamente. Ein Mitbewerber aus München sah darin einen DSGVO-Verstoß. Es kam zur Abmahnung. Vor Gericht fielen die Urteile sehr unterschiedlich aus. Das LG Dessau-Roßlau gab der Klage statt und begründete dies mit abmahnfähigen Marktverhaltensregelungen der DSGVO. Das LG Magdeburg hingegen wies sie ab und begründete dies damit, dass DSGVO-Verstöße nicht abmahnfähig seien. Beide Verfahren landeten in der Berufungsinstanz beim OLG Naumburg. Das Oberlandesgericht entschied, dass DSGVO-Verstöße sehr wohl abmahnfähig seien.

In einer Revision landete der Fall beim BGH, welcher das Verfahren 2020 aussetzte, um eine EuGH-Entscheidung abzuwarten. Dieser entschied, dass Verbraucherverbände nach dem UWG vorgehen können. Ob Mitbewerber ebenfalls DSGVO-Verstöße abmahnen dürfen, ließ der EuGH offen. Seit September 2022 ist das Verfahren vor dem BGH anhängig. Wie dazu entschieden wird, bleibt abzuwarten.

Vorangegangene Urteile zu DSGVO-Verstößen

Eine erste Entscheidung zu Abmahnungen bei DSGVO-Verstößen traf das LG Würzburg. Das Gericht entschied, dass Verstöße gegen die DSGVO – in dem entschiedenen Fall eine fehlende Datenschutzerklärung und ein unverschlüsseltes Kontaktformular – sehr wohl abgemahnt werden können.

Das LG Bochum äußerte 2018 dazu eine andere Ansicht und entschied, dass DSGVO-Verstöße zumindest nicht von Wettbewerbern über das UWG abgemahnt werden können, LG Bochum Az. 12 O 85/18. Die DSGO enthält zu Ansprüchen von Mitbewerbern spezielle Regelungen, die hier vorrangig greifen.

In einem anderen Fall ging es um einen Streit zweier Unternehmen aus der Pharmabranche, die sich gegenseitig Verstöße gegen den Datenschutz vorgeworfen hatten. Konkret ging es um die datenschutzkonforme Gestaltung von Bestellprozessen und die Frage der korrekten Einwilligung/Pseudonymisierung bei der Übertragung von Nutzerdaten.

Bereits in der ersten Instanz im Jahr 2017 hatte das LG Hamburg (327 O 148/16) in diesem Fall entscheiden, dass Datenschutzverstöße immer dann abgemahnt werden können, wenn es sich um die entsprechenden Normen um „Markverhaltensregeln“ handelt. In erster Instanz wurden dann auch beide (!) Unternehmen wegen Verstößen gegen das Datenschutzrecht verurteilt (es ging hier um eine Klage mit so genannter Widerklage).

In zweiter Instanz war dann das OLG Hamburg (Az. 3 U 66/17) dran. Auch das OLG Hamburg ist 2018 der Auffassung, dass DSGVO-Datenschutzverstöße durch Wettbewerber abgemahnt werden können. Und zwar immer dann, wenn es sich bei den entsprechenden Normen um „Markverhaltensregeln“ handelt.

5. Ist eine Abmahnung laut DSGVO überhaupt berechtigt?

Diese Fragen haben die Gerichte in den letzten Jahren sehr unterschiedlich entschieden – wie die vorangegangenen Urteile beweisen. Die Konsequenz war, dass (auch kleinere) Datenschutzverstöße von Wettbewerbern und Abmahnverbänden abgemahnt werden konnten. Wer sich nicht an den Datenschutz hält, der hat einen Wettbewerbsvorteil gegenüber Unternehmen, die sich an die strengen gesetzlichen Vorgaben halten.

WICHTIG

Bei Abmahnungen von Mitbewerbern geht es bei Verstößen gegen die DSGVO gleichzeitig auch um einen Verstoß gegen das Wettbewerbsrecht. Deshalb muss jeder Fall individuell geprüft werden. Für Abgemahnte ist es daher immer ratsam, einen Anwalt zu Rate zu ziehen.

Datenschutzverstoß = Wettbewerbsverstoß = Abmahnung?

Seitdem die DSGVO in Kraft getreten ist, haben sich europaweit die Bußgelder für Verstöße drastisch erhöht. Auch wenn kein wettbewerbsrechtlicher Verstoß vorliegt, kann eine DSGVO-Abmahnung berechtigt sein. Laut Art. 80 Abs. 2 DSGVO kümmern sich allein die Datenschutzbehörden um Beschwerden. Allerdings erkennen die Gerichte eine DSGVO-Abmahnung von Abmahnverbänden oder Anwälten von Mitbewerbern ebenfalls an.

Generell führt eine Abmahnung bei Abgemahnten erstmal für Unsicherheit. Ist die Abmahnung überhaupt rechtens? Es wird wahrscheinlich immer schwarze Schafe geben, die Abmahnungen ohne Berechtigung verschicken. Einfach weil nicht jeder Abgemahnte sich auch eine Klärung vor Gericht leisten kann und daher lieber das Bußgeld auf der DSGVO-Abmahnung in Kauf nimmt.

PRAXIS TIPP

Es kann auch sein, dass entsprechende Abmahnungen als rechtsmissbräuchlich eingestuft werden. Hierbei sollte auch erwähnt werden, dass bestimmte Tools und Plugins, die in der Datenschutzerklärung erwähnt werden, nicht zwangsläufig auch nach deutschem oder EU-Recht zulässig sein müssen. Speichern die Tools personenbezogene Nutzerdaten, reicht ein Hinweis in der Datenschutzerklärung nicht aus, dass diese Tools automatisch datenschutzkonform sind.

Das bekannteste Beispiel sind die Facebook-Plugins. Obwohl es seit 2016 ein Urteil des LG Düsseldorf gibt, das klar stellt, dass die Facebook like- und share-Buttons gegen Datenschutzrecht verstoßen, werden diese weiterhin auf unzähligen Webseiten eingebunden.

Können nun alle Datenschutzverstöße abgemahnt werden?

Es bleibt abzuwarten, wie der BGH im laufenden Verfahren entscheidet. Da der EuGH bereits Verbraucherverbänden das Go für DSGVO-Abmahnungen gab, kann durchaus zu erwarten sein, dass Mitbewerber ebenfalls abmahnen dürfen. Eine Abmahnwelle wegen DSGVO-Verstößen ist daher nicht auszuschließen.

Grundsätzlich wird bei DSGVO-Verstößen stets geprüft werden müssen, ob die Verstöße einen wettbewerbsrechtlichen Bezug bzw. einen „marktverhaltensregelnden Charakter“ haben. Das macht die Einschätzung rechtlicher Risiken von Webseiten und Geschäftsprozessen in der Praxis leider nicht einfacher.

Sören Siebert
Sören SiebertRechtsanwalt

6. Checkliste: Was können Seitenbetreiber und Webdesigner jetzt tun?

Für Entwarnung sorgen die aktuellen Urteile also nicht. Unternehmen und Seitenbetreiber sollten weiterhin datenschutzrechtliche Vorgaben wie eine aktuelle Datenschutzerklärung, Verschlüsselung von Kontaktformularen, Abschluss von AV-Verträgen usw. einhalten.

Checkliste
Seitenbetreiber sollten so schnell wie möglich die datenschutzrechtlichen „Basics“ auf Ihrer Webseite umsetzen. Das bedeutet konkret:
  • eine individuelle und DSGVO-konforme Datenschutzerklärung auf der Seite einstellen,
  • weitere DSGVO Anforderungen wie verschlüsselte Kontaktformulare umsetzen,
  • die eigene Seite auf nicht datenschutzkonforme PlugIns und Dienste prüfen,
  • Abläufe wie Bestellprozesse und Newsletter auf DSGVO-Verstöße prüfen,
  • wenn nötig AV-Verträge mit Dienstleistern und/oder eigenen Kunden abschließen.

Vor allem Webdesigner und Agenturen - die nach Ansicht der Gerichte auch für rechtliche Fehler auf Kundenseiten haften – sollten jetzt handeln.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge, DSGVO-Schnellstarter-Paket
  • Abmahn-Check, Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

Größeren Unternehmen mit komplexeren Abläufen und Strukturen empfehlen wir einen anwaltlichen DSGVO-Check in Auftrag zu geben. Sie können sich dazu gern an die Kanzlei Siebert Lexow wenden.

7. FAQ: DSGVO-Abmahnung

Wann kann eine DSGVO-Abmahnung ausgesprochen werden?

Haben Sie auf Ihrer Website oder in Ihrem Online-Shop gegen die Datenschutzgrundverordnung (DSGVO) verstoßen, können Sie abgemahnt werden. Eine Abmahnung wegen fehlender Datenschutzerklärung oder fehlenden Kontaktangaben im Impressum ist denkbar. Aber auch die fehlerhafte Einbindung von Google Fonts kann ein Abmahngrund sein.

Darf ich eine DSGVO-Abmahnung als Privatperson ausstellen?

Die Rechtsprechung weist dahingehend keine klare Linie auf. Die meisten Gerichte sind aber der Auffassung, dass eine Privatperson eine DSGVO-Abmahnung aussprechen darf, wenn der Verstoß sich auf eine rechtswidrige Verarbeitung von personenbezogenen Daten bezieht. Durchsetzbar ist der Unterlassungsanspruch allerdings nur, wenn der Antrag hinreichend bestimmt ist und deutlich dargelegt wird, was der Abgemahnte zukünftig unterlassen oder tun soll.

Ich habe eine DSGVO-Abmahnung erhalten. Wie soll ich mich jetzt verhalten?

Zunächst einmal ruhig bleiben und den Eingang der Abmahnung dokumentieren. Holen Sie sich rechtliche Unterstützung von einem Anwalt. Dieser kann die Fristen und die Abmahnung zum Datenschutzverstoß prüfen. Ggf- können Beweise gesichert und Zeugen gesucht werden, um gegen das Schreiben vorzugehen. Sollte tatsächlich ein Verstoß vorliegen, sollen Sie das rechtswidrige Handeln schnellstens einstellen und von Ihrem Anwalt die Unterlassungserklärung überprüfen lassen, die sich dann oftmals nicht vermeiden lässt. Prüfen Sie anschließend unbedingt noch einmal, ob Sie keinen anderen DSGVO-Verstoß auf Ihrer Seite vorliegen haben.

Muss ich tatsächlich eine Unterlassungserklärung unterschreiben?

Wenn die DSGVO-Abmahnung berechtigt ist, dann ja. Unterschreiben Sie die Unterlassungserklärung aber niemals voreilig und lassen Sie diese besser von einem Anwalt überprüfen. Oftmals lässt sich die Erklärung zu Ihrem Gunsten anpassen. In dem Fall können Sie eine modifizierte Unterlassungserklärung abgeben.

 

 

Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details