Seit dem 24.02.2016 sind gesetzliche Änderungen in Kraft, die es z.B. den Verbraucherschutzverbänden erlauben, gegen Datenschutzverstöße vorzugehen. Shop-Betreiber sollten nicht nur ihre Datenschutzerklärung überprüfen, sondern auch die Datenverarbeitung im täglichen Geschäftsbetrieb.
War es Verbänden in der Vergangenheit lediglich möglich, fehlerhafte AGB-Klauseln zum Datenschutz zu beanstanden, ist es ihnen seit dem 24.02.2016 auch erlaubt, gegen konkrete Datenschutzverstöße durch Unternehmen vorzugehen. Werden also beispielsweise personenbezogene Daten von sog. „Bestellabbrechern“ ohne Erlaubnis weiterhin gespeichert oder Werbung an Kunden versandt, die dieser Datennutzung ausdrücklich widersprochen oder ihr schon gar nicht wirksam zugestimmt haben, drohen nunmehr Abmahnungen.
Keine neuen Vorgaben aber neue Abmahngefahren
Die gesetzlichen Änderungen bedeuten für Unternehmen, die personenbezogene Daten erheben und weiterverarbeiten, keine neuen Verpflichtungen. Sie sollen jedoch dazu führen, dass die bestehenden datenschutzrechtlichen Vorgaben eingehalten und Verstöße wirksamer geahndet werden. Nach Ansicht des Bundesverbandes der Verbraucherzentralen (vzbv) konnten Unternehmen in der Vergangenheit viel zu oft, das Recht auf Datenschutz der Verbraucher übergehen, ohne Konsequenzen zu fürchten. Das soll sich nun ändern.
Online-Händler müssen Umgang mit Daten überprüfen
Ein klares Signal auch an Online-Händler nicht nur ihre Datenschutzerklärung zu überprüfen, sondern auch den täglichen Geschäftsbetrieb. Die Prozesse zur Datenerhebung und –weiterverarbeitung müssen den gesetzlichen Vorgaben entsprechen. Wer also Werbung an seine Kunden versenden will, etwa in Form von Newslettern, muss sich dafür ihre Einwilligung einholen. Interessierte, die ihre Bestellung im Webshop nicht abgeschlossen haben, dürfen nicht durch sog. „Bestellabbrecher-Mails“ zurück in den Shop gelockt werden. Automatisch versendete Eingangsbestätigungen sollten werbefrei sein.
Schwierigkeiten bei der Nutzung us-amerikanischer Webtools
Probleme könnten sich auch bei der Nutzung von Diensten, etwa zum Newsletter-Versand oder Tracking oder auch bestimmter Shopsysteme, Online-Marktplätze und/oder Cloud-Lösungen ergeben, wenn dafür personenbezogene Daten in die USA übermittelt werden. Denn seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 06.10.2015 (AZ: C-362/14) ist ein solcher Datentransfer nicht mehr auf Grundlage des sog. Safe-Harbor-Abkommens möglich. Wer entsprechende us-amerikanische Dienstleister nutzt, muss im Zweifel die Nutzungsbedingungen neu vereinbaren oder alternative Anbieter suchen.
Beschränkungen von Klagen wegen Safe-Harbor-Verstößen
Im Zuge der gesetzlichen Neuregelung wurde auf die Safe-Harbor-Problematik Rücksicht genommen. Eine Abmahnung oder Klage wegen der Übermittlung personenbezogener Daten in die USA, die vor dem 06.10.2015 auf das Safe-Harbor-Abkommen gestützt wurde, ist bis zum 30.09.2016 ausgeschlossen. Wer aber weiterhin Datentransfers in die Vereinigten Staaten auf das vom EuGH für unwirksam erklärte Abkommen stützt, kann durchaus abgemahnt werden.
Aktuelle Abmahnfallen
Unabhängig von den Folgen des Safe-Harbor-Urteils des EuGH können sich auch weitere Gerichtsentscheidungen durch die Gesetzesänderung zur Abmahnfalle entwickeln. Etwa der Beschluss des Landgerichts (LG) Köln vom 26.11.2015, wonach das Fehlen einer Datenschutzerklärung auf einer Webseite wettbewerbswidrig ist (AZ: 33 O 230/15). Oder das Urteil des Bundesgerichtshofs (BGH) vom 15.12.2015 (AZ: VI ZR 134/15), das Werbung in Autoreply-E-Mails für unzulässig erklärt.
Datenschutzbehörden sind vor Gericht anzuhören
Beachtlich ist auch die neue Regelung, dass die zuständigen Datenschutzbehörden in ein entsprechendes gerichtliches Verfahren einzubeziehen sind. Die Behörden werden dadurch nicht nur auf den Verstoß aufmerksam gemacht und könnten zusätzliche –behördliche – Sanktionen wie Bußgelder verhängen. Es besteht zudem die Gefahr, dass geprüft wird, ob weitere Datenschutzverstöße begangen wurden und dass das Unternehmen künftig „im Auge“ behalten wird.
Eine Einbeziehung der Datenschutzbehörden ist jedoch nicht in Verfahren auf Erlass einer einstweiligen Verfügung ohne mündliche Verhandlung – wie sie bei Unterlassungsklagen weit verbreitet sind – vorgeschrieben. Die Anwendbarkeit der Vorschrift ist folglich wohl auf wenige Fälle beschränkt.
Abmahnungen sollten nicht ungeprüft akzeptiert werden
Auch wenn Unternehmen aus diesem Grund bestrebt sein könnten, ein Gerichtsverfahren zu vermeiden, ist es nicht ratsam, die Bedingungen des Abmahners einfach ungeprüft zu akzeptieren. Vielfach ist die bereits vorformulierte Unterlassungserklärung, die der Abgemahnte abgeben soll, für diesen nachteilig. Wird sie unterschrieben und werden im Anschluss weitere – wenn auch nur ähnliche – Verstöße begangen, wird eine Vertragsstrafe fällig, die meist im mittleren vierstelligen Bereich liegt.
Regelung soll Abmahn-Missbrauch verhindern
Um einen Missbrauch der neuen Befugnisse zu vermeiden, hat der Gesetzgeber eine Klausel in Kraft gesetzt, die rechtsmissbräuchliche Abmahnungen für unzulässig erklärt. Ähnlich wie im Gesetz gegen den unlauteren Wettbewerb (UWG) ist eine Geldendmachung von Unterlassungs- und Beseitigungsansprüchen im Zusammenhang mit Datenschutzverstößen insbesondere dann missbräuchlich, wenn sie vorwiegend dazu dient, Ersatzansprüche – etwa bzgl. entstandener Rechtsanwalts- oder Bearbeitungskosten – entstehen zu lassen. Der Nachweis dürfte allerdings – wie auch im Wettbewerbsrecht – schwierig sein.
Fazit
Unternehmen müssen in Zukunft darauf achten, auf ihrer Webseite eine rechtskonforme Datenschutzerklärung zur Verfügung zu stellen und auch die anderweitigen datenschutzrechtlichen Vorgaben für den Umgang mit personenbezogenen Daten einzuhalten. Was eigentlich selbstverständlich sei sollte wird ab sofort noch intensiver kontrolliert werden. Denn während ein behördliches Vorgehen – wohl auch mangels staatlicher Ressourcen – in der Vergangenheit nicht weit verbreitet war, ist davon auszugehen, dass etwa der Bundesverband der Verbraucherzentralen Verstöße verstärkt ahnden wird.