Veröffentlicht von:
Auch ein Schreiben von der Datenschutzaufsicht erhalten? Ich berate Sie.
- 6 Minuten Lesezeit
Wenn Sie als Online-Händler ein Schreiben von einer Datenschutzaufsichtsbehörde erhalten haben, sollten Sie schnell reagieren. Sonst drohen teure Weiterungen. In dem folgenden Beitrag erläutere ich einen typischen Fall und die Möglichkeiten für das Vorgehen:
Ein typischer Fall
Der Kunde hat in einem Online-Shop eine Ware erworben. Nehmen wir als Beispiel ein Kosmetik-Produkt. Kurze Zeit später erhält der Kunde Werbung per E-Mail für eine Ware aus einem gänzlich anderen Produktsortiment. Nehmen wir hierfür als Beispiel ein Autopolitur-Produkt. Wenn der Kunde keine Einwilligung für die Übersendung von Werbung per E-Mail erteilt hat, dann ist die Werbe-E-Mail unzulässig. In bestehenden Vertragsverhältnissen wäre die Nutzung der E-Mail-Adresse des Kunden für Werbung nämlich nur zulässig gewesen, (1) wenn die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware erlangt wurde, (2) wenn die E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren verwendet wird, (3) wenn der Kunde der Verwendung nicht widersprochen hat und (4) wenn der Kunde bei Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. In dem Beispiel oben fehlt es bereits an der Ähnlichkeit zwischen der ursprünglich erworbenen Ware und der anschließend per E-Mail beworbenen Ware.
Früher wurde Werbung per E-Mail oft einfach ignoriert. Inzwischen kommt es jedoch recht häufig vor, dass der Kunde sich bei dem Versender der E-Mail meldet, über die unzulässige Nutzung seiner E-Mail-Adresse beschwert und in diesem Zusammenhang gleich mal zu einer Auskunft über die Verarbeitung seiner personenbezogenen Daten auffordert.
Ein typischer Fehler
Bei Mitteilungen, in denen es um die Verarbeitung personenbezogener Daten in Ihrem Unternehmen geht, müssen Sie und Ihre Mitarbeiter immer sehr genau hinsehen. Wenn die Mitteilung als ein datenschutzrechtliches Auskunftsersuchen verstanden werden kann, sollte hierauf entsprechend reagiert werden. Ganz wichtig: Für die Erteilung der datenschutzrechtlichen Auskunft gilt grundsätzlich eine Frist von einem Monat.
Ist der Kunde wie in dem dargestellten Fall aufgrund einer unzulässigen Nutzung seiner E-Mail-Adresse ohnehin schon aufgebracht, lautet das Gebot der Stunde: Deeskalation. Prüfen Sie den Sachverhalt und nehmen Sie das Anliegen des Kunden ernst. Antworten Sie dem Kunden in jedem Fall in einem höflichen Ton. Dies gilt insbesondere für den Fall, dass das Anliegen des Kunden berechtigt ist. Wenn der Kunde den Eindruck gewinnt, dass er und sein Anliegen nicht ernst genommen werden, sind Weiterungen fast so sicher wie das Amen in der Kirche.
Ein ebenso typischer wie vermeidbarer Fehler: Ein datenschutzrechtliches Auskunftsersuchen wird nicht als solches erkannt und als Antwort auf die entsprechende Anfrage erfolgt lediglich ein lapidarer Verweis auf die Informationen in der Datenschutzerklärung.
- Problem 1: Der Kunde ist nach wie vor unzufrieden.
- Problem 2: In der unzureichenden Auskunftserteilung liegt ein weiterer Datenschutzverstoß.
In der Datenschutz-Grundverordnung (DSGVO) ist vorgegeben, welche Angaben im Rahmen einer datenschutzrechtlichen Auskunft mitzuteilen sind. Informationen zur Erteilung einer datenschutzrechtlichen Auskunft habe ich in einem gesonderten Beitrag für Sie zusammengestellt:
Wenn Sie in der Antwort an den Kunden den richtigen Ton treffen und die erforderliche datenschutzrechtliche Auskunft erteilen, besteht durchaus die Chance, dass der Kunde die Angelegenheit damit auf sich beruhen lässt. Anderenfalls besteht die Gefahr, dass der Kunde sich mit einer Beschwerde an die Datenschutz-Aufsichtsbehörde wendet.
Eine typische Reaktion des Betroffenen
Wenn Sie Glück haben, wird die Beschwerde bei einer Datenschutz-Aufsichtsbehörde zunächst angedroht, um der Aufforderung zur Erteilung der datenschutzrechtlichen Auskunft Nachdruck zu verleihen. Spätestens jetzt sollten Sie die Angelegenheit ernst nehmen. Eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde bedeutet für die betroffene Person nämlich keinen großen Aufwand und kostet auch kein Geld. Kein Wunder, dass immer mehr Betroffene von dieser Möglichkeit Gebrauch machen.
Post von der Datenschutzaufsicht: was tun?
Nachdem die Datenschutz-Aufsichtsbehörde aufgrund einer Beschwerde ein Verfahren eingeleitet hat, gibt sie zunächst Gelegenheit zu einer Stellungnahme (Anhörung wegen eines mutmaßlichen Datenschutzverstoßes). Das Schreiben kann folgende Inhalte haben:
- Sachverhalt, der Grund der Beschwerde ist,
- Fragen zum Sachverhalt,
- Fragen zur Verarbeitung personenbezogener Daten der betroffenen Person,
- Bitte um Stellungnahme mit Frist,
- Hinweis auf die datenschutzrechtlichen Verpflichtungen, insbesondere die Verpflichtung zur Zusammenarbeit mit den Datenschutzaufsichtsbehörden,
- Verweis auf die Möglichkeit des Erlasses eines Auskunftsheranziehungsbescheides,
- Hinweis auf das Auskunftsverweigerungsrecht in bestimmten Fällen (wenn die Beantwortung die Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten bedeuten würde)
Aufgrund der laufenden Frist sollten Sie spätestens jetzt die folgenden Maßnahmen veranlassen:
- Frist notieren!
- Sofern Sie in Ihrem Unternehmen einen internen oder externen Datenschutzbeauftragten haben: den Datenschutzbeauftragten hinzuziehen,
- Sachverhalt klären und mit der Darstellung in dem Schreiben der Datenschutz-Aufsichtsbehörde abgleichen,
- erforderliche Informationen und Unterlagen vorbereiten
Ob die Hinzuziehung eines im Datenschutzrecht tätigen Rechtsanwaltes erforderlich ist, hängt davon ab, wieviel Erfahrung Sie bereits mit entsprechenden Verfahren haben. Sofern der fragliche Sachverhalt im Vorfeld noch nicht unter datenschutzrechtlichen Aspekten überprüft worden ist oder bei der streitgegenständlichen Gestaltung aus wirtschaftlichen Gründen ein „risikobasierter Ansatz“ gewählt worden ist, empfiehlt sich die Hinzuziehung eines Anwaltes nach meiner Erfahrung jedoch üblicherweise, um Fehler in der Kommunikation mit der Datenschutz-Aufsichtsbehörde zu vermeiden.
Bei den Datenschutz-Aufsichtsbehörden arbeiten Menschen, die ihre Fälle mit begrenzten Ressourcen bearbeiten müssen. Dies sollten Sie bei der Entscheidung über die Reaktion auf das Schreiben an die Aufsichtsbehörde berücksichtigen:
- Ist der Fall eindeutig, kann es Sinn machen, zuvor versäumte Maßnahmen gegenüber dem Beschwerdeführer nachzuholen und sowohl hierzu als auch zu den weiteren veranlassten Maßnahmen zur Gewährleistung der zukünftigen Vermeidung entsprechender Datenschutzverstöße gegenüber der Aufsichtsbehörde Stellung zu nehmen.
- Sind die maßgeblichen datenschutzrechtlichen Fragen dagegen nicht abschließend geklärt und soll eine Klärung dieser Fragen trotz der hiermit verbundenen Risiken erfolgen, kann es Sinn machen, die eigene Rechtsposition offensiv zu vertreten.
- Sollen Weiterungen dagegen trotz noch nicht abschließend geklärter datenschutzrechtlicher Aspekte nach Möglichkeit vermieden werden, kann es Sinn machen, zur eigenen Rechtsposition Stellung zu nehmen und Änderungen an der bisherigen Gestaltung anzubieten.
Sofern Änderungen an den Gestaltungen und Rechtstexten erforderlich sind, wird hierfür Zeit benötigt. Dies sollten Sie wegen der laufenden Frist für die Stellungnahme gegenüber der Aufsichtsbehörde unbedingt mit einplanen, damit in der Stellungnahme gegebenenfalls auf bereits erfolgte Änderungen verwiesen werden kann.
Und auch für die Antwort gegenüber der Aufsichtsbehörde gilt: Die Antwort sollte in jedem Fall in einem höflichen Ton erfolgen. Dies gilt insbesondere für den Fall, dass die Beschwerde des Beschwerdeführers berechtigt ist. Wenn bei den Mitarbeitenden in der Aufsichtsbehörde der Eindruck entsteht, dass die Angelegenheit nicht ernst genommen wird, drohen Weiterungen. Bitte beachten Sie insoweit, dass die Position der Datenschutz-Aufsichtsbehörden inzwischen deutlich gestärkt worden ist und dass den Datenschützern dies auch durchaus bewusst ist. Letzten Endes arbeiten in den Datenschutz-Aufsichtsbehörden jedoch Menschen, die Fälle bearbeiten und abschließen müssen. In Fällen, in denen ein Datenschutzverstoßes unzweifelhaft vorliegt, empfiehlt sich nach meiner Erfahrung in aller Regel eine professionelle Kommunikation mit Fokus auf mögliche Lösungen.
Deshalb: rechtzeitig und richtig auf Anfragen reagieren!
Gern unterstütze ich Sie, wenn Sie als Online-Händler Post von einer Datenschutz-Aufsichtsbehörde erhalten haben.
Die „richtige“ Reaktion auf ein solches Schreiben hängt von verschiedenen Faktoren ab. Gern erörtere ich mit Ihnen die Rechtslage und die Möglichkeiten für das weitere Vorgehen. Selbstverständlich erhalten Sie von mir in diesem Zusammenhang auch konkrete Empfehlungen.
Zu mir und meiner Tätigkeit:
Ich berate als Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter bei Internetrecht-Rostock.de ständig Online-Händler unter anderem zu datenschutzrechtlichen Fragen.
Weitere Informationen zu mir und meiner Tätigkeit können Sie meinen Rechtstipps und meinem Bewertungsprofil entnehmen.
Ich berate Sie bundesweit auch kurzfristig telefonisch.
Sie wünschen eine Beratung?
Sie wünschen ein Angebot für eine konkrete Beratung?
- Rufen Sie mich einfach an: 0381 260 567 30
- Schicken Sie mir eine E-Mail an: rostock@internetrecht-rostock.de
- Oder lassen Sie mir über die Funktion „Nachricht senden“ eine Mitteilung zukommen.
Andreas Kempcke
Rechtsanwalt
Fachanwalt für IT-Recht
Möglicherweise auch interessant für Sie:
Artikel teilen: