DSGVO Abmahnung - Das müssen Sie wissen

Die Anzahl der Gerichtsentscheidungen zu DSGVO-Schadensersatzansprüchen steigt und steigt. 2023 sah einen zuvor ungeahnten Anstieg der Gerichtsentscheidungen. 2024 setzt sich der Trend nahtlos fort. Bei Verstößen können die Behörden hohe Bußgelder mit erheblichen finanziellen Folgen für Unternehmen verhängen. Nach jahrelanger Starre reagieren die deutschen Aufsichtsbehörden jetzt aber zunehmend stark. Bußgelder im Millionenbereich sind keine Seltenheit mehr.

Zugleich können natürliche Personen bei einem DSGVO-Verstoß Schadensersatz verlangen. Über Art. 82 DSGVO steht betroffenen Personen ein eigener deliktischer Anspruch gegen datenverarbeitende Unternehmen zu. Bedenkt man, dass DSGVO-Verstöße oftmals große Datenbestände und somit häufig tausende oder gar hunderttausende Personen betreffen, können sich die Ansprüche kumulieren und in der Summe schnell die Bußgeldrisiken übersteigen.

Unternehmen sind gut beraten, wenn sie sich daher auf der rechtlich sicheren Seite bewegen und alles daran setzen, vor allem datenschutzrechtliche Instrumente mit erkennbarer Außenwirkung im Wettbewerb wie die Datenschutzerklärung datenschutzrechtlich konform zu gestalten.

Der Unterschied zwischen der DSGVO Abmahnung und den Strafen in der DSGVO

Die DSGVO sieht für Verstöße gegen datenschutzrechtliche Vorschriften einen bestimmten Kanon an Sanktionen vor. Tatsächlich droht die DSGVO maximal mit Bußgeldern bis zu 4 Prozent des weltweiten Unternehmensumsatzes, beziehungsweise mit einem Betrag von bis zu 20 Millionen EURO. Dabei soll der jeweils höhere Wert anzusetzen sein. Bei der Festlegung der Geldbuße im Einzelfall wird es auf die individuellen Umstände ankommen und die Maximalwerte werden selten erreicht. Viele Rechtsexperten verweisen in diesem Zusammenhang darauf, dass auch die maximale Geldbuße von 300.000 EUR nach dem alten Bundesdatenschutzgesetz in der Rechtspraxis für absolute Ausnahmefälle vorgesehen war. Dieser Gedanke darf jedoch nicht dazu führen, dass Unternehmen ihre datenschutzrechtlichen Pflichten leichtfertig vernachlässigen.

Eine DSGVO Abmahnung ist dagegen ein ganz anderes Rechtsinstrument. Hier werden bei Datenschutzverstößen nicht die Behörden tätig, sondern ein Wettbewerber, der sich durch einen Datenschutzrechtsverstoß wettbewerbsrechtlich benachteiligt fühlt oder ein Verband. Der Wettbewerber macht dann gegen den Datenschutzverletzer einen Unterlassungsanspruch geltend, wenn dieser beispielsweise mit einer Datenschutzerklärung auffällt, die nicht nach den Vorschriften der DSGVO ausgestaltet ist.

Die DSGVO Abmahnung – eine reale Bedrohung?

Die DSGVO selbst stellt in Art. 80 Abs. 2 DSGVO fest, dass die DSGVO die Rechtsfolgen eines Datenschutzverstoßes abschließend regeln soll. Bereits die Öffnung für ergänzende Regelungen im neuen Bundesdatenschutzgesetz - also auf nationaler Ebene - durchbricht diesen Grundsatz. Eine Abmahnung ist rechtssystematisch möglich, wenn der DSGVO neben ihrem Charakter als Ordnungsvorschrift auch eine marktregulierende Zielrichtung zugeschrieben wird. Tatsächlich lässt sich zurzeit nicht abschließend beurteilen, ob eine DSGVO Abmahnung tatsächlich ihre Berechtigung haben kann.

In Deutschland verschärft sich das Problem der DSGVO Abmahnung durch die bekannte Abmahnbegeisterung vieler Unternehmen sowie spezialisierter Abmahnkanzleien und auch der Tatsache, dass 2016 ein Verbandsklagerecht in Datenschutzsachen eingeführt wurde.

Wer haftet im Unternehmen?

Die Abmahnung wird grundsätzlich gegenüber dem Unternehmen an sich ausgesprochen, was aber im Falle von Einzelunternehmen eine Identität mit dem Unternehmer selbst bedeutet. Besonders bei juristischen Personen und Vereinen können neben den Geschäftsführern auch interne Datenschutzbeauftragte und leitende Mitarbeiter in den Sog von Haftungstatbeständen geraten. Insbesondere, wenn es um Freiheitsstrafen nach dem neuen Bundesdatenschutzgesetz geht, sind hiervon per se Personen betroffen und nicht Unternehmen als juristische Gebilde. Unternehmen sollten für ihre Führungskräfte und Organe deshalb frühzeitig entsprechende Rechtsschutzversicherungen abschließen, die sich auch auf Datenschutzangelegenheiten erstrecken und gegebenenfalls auch eine D&O Versicherung in Betracht ziehen.

Was ist zu tun im Fall der Fälle?

Wer sich mit einer Abmahnung im Bereich der DSGVO konfrontiert sieht, sollte einen im Wettbewerbsrecht spezialisierten Rechtsanwalt zurate ziehen. Auch im Falle eines Bußgeldes, beziehungsweise bereits bei Bekanntwerden behördlicher Ermittlungsmaßnahmen empfiehlt sich der sofortige Kontakt zu einem entsprechend spezialisierten Rechtsanwalt. Räumen Sie keine Datenschutzverstöße gegenüber Behörden ein und unterzeichnen Sie keine Unterlassungserklärung ohne anwaltlichen Rat. Beachten Sie, dass Datenschutzlecks mit Meldepflichten gegenüber den Betroffenen verbunden sind, in denen Sie als Unternehmen in bestimmten Zeiträumen aktiv werden müssen. Insgesamt kann sich proaktives Handeln von unternehmerischer Seite bei der Bewertung von Datenschutzpannen und Datenschutzversäumnissen bei Behörden positiv auswirken.