Zur Navigation springen Zum Inhalt springen Zum Footer springen

6 Monate DSGVO – Kurioses, erste Bußgelder und wo bleibt die Abmahnwelle?

(29)
(29)
6 Monate DSGVO – Kurioses, erste Bußgelder und wo bleibt die Abmahnwelle?
Seit 25. Mai 2018 gilt in den EU-Ländern und sei 20. Juli 2018 zudem in Norwegen, Island und Liechtenstein.
  • Kuriose Meldungen wie ein Namensverbot an Klingelschild erwiesen sich als falsch.
  • Höchstes Bußgeld mit 400.000 Euro noch weit von 20.000.000 Euro entfernt.
  • Abmahnungen wegen DSGVO-Verstößen beurteilen die Gerichte unterschiedlich.

Die Abmahnwelle und Millionenbußgelder sind ein halbes Jahr, seitdem die Datenschutzgrundverordnung nun gilt, ausgeblieben. Allerdings zeigen erste Urteile zur Abmahnung von DSGVO-Verstößen, dass sich etwas bewegt. Und auch sonst hat sich seit dem 25. Mai 2018 einiges getan. Zeit für einen Überblick.

Schuld ist die DSGVO, oder?

Neun von zehn Personen haben inzwischen von der DSGVO gehört. Nur wenige verstehen die 99 Artikel umfassende Verordnung jedoch vollständig. Kein Wunder, dass zahlreiche Kuriositäten um die DSGVO kursieren.

Bestätigen Sie den Empfang, sonst müssen wir Sie löschen

Ende Mai ergoss sich eine E-Mail-Flut über nahezu jedes Postfach mit einem Wunsch: den Empfang eines bereits abonnierten – und auch so manchen nie abonnierten – E-Mail-Newsletters zu bestätigen. Sonst bekomme man diesen nicht mehr.

Ziel war der Erhalt einer nachweisbaren Einwilligung. An diese stellt die DSGVO tatsächlich höhere Anforderungen. Sie knüpft die Erlaubnis zum Newsletter-Versand jedoch nicht ausschließlich an eine Einwilligung. Diese ist vielmehr eine wettbewerbsrechtliche Voraussetzung für E-Mail-Werbung. Und für diese musste schon vorher eine nachweisbare Einwilligung vorliegen. Viele der E-Mails waren zumindest im Lichte der DSGVO daher gar nicht notwendig und Folge eines Mitmach-Effekts. Andererseits ersparten sie so manche Abmeldung und zeigten, wer alles so mit den eigenen Daten hantiert.

Klingelschilder und Wunschzettel ohne Namen

Namen auf Klingelschildern müssen weg. Schuld sei die DSGVO. Diese Meldung machte im Oktober die Runde. Auslöser war eine entsprechende Beschwerde eines Wiener Mieters, der in einer von 220.000 Wohnungen einer Wiener Wohnungsbaugesellschaft lebte. Diese will darauf an deren Klingelschildern Nummern statt Namen anbringen. Die bayerische Datenschutzbehörde bezeichnete das Verbot von Namen an Klingenschildern klar als Unsinn. Aus der DSGVO folge kein derartiges Verbot. Andere Datenschutzbehörden sehen es genauso.

Update 12.12.18: Die Austauschaktion in Wien wurde inzwischen gestoppt. Mehr als 10.000 bereits mit Nummern versehene Klingelschilder erhalten jetzt wieder Namen. Wer das nicht wolle, solle sich schriftlich melden. Neue Wohnungen sollen dagegen eine Nummer erhalten.

Auch Wunschzettel zu Weihnachten soll die DSGVO verbieten – jedenfalls in Roth in der Nähe des für den Christkindlesmarkt bekannten Nürnberg. Auf dem Rother Marktplatz steht ein Weihnachtsbaum, an den Kinder ihren Wunschzettel mit Name, Alter und Adresse hängen können. Die Stadt Roth gibt Wunschzettel an Partner weiter, die diese erfüllen. Das Anhängen der Wunschzettel und gar Wunschzettel an sich verbietet die DSGVO nicht. Erst anschließend kann diese relevant werden, wenn die Angaben zu den Kindern in Computern verarbeitet oder strukturiert gespeichert werden, etwa in einer Liste.

Erste Bußgelder weit unter 20 Millionen Euro

Bekannteste Neuerung der DSGVO dürften die stark erhöhten Bußgelder sein. Verglichen mit den maximal 300.000 Euro, die das Bundesdatenschutzgesetz zuließ, sind die Millionensummen wirklich eine neue Hausnummer. Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes bei Unternehmen für Verstöße sind laut DSGVO zulässig.

Höchstes Bußgeld bisher 400.000 Euro

Bisher wegen DSGVO-Verstößen verhängte Bußgelder bewegen sich jedoch erheblich darunter. 400.000 Euro soll ein Krankenhausbetreiber in Portugal zahlen, weil zu viele Personen dort zu leicht auf Patientendaten Zugriff hatten. Obwohl Gesundheitsdaten laut DSGVO besonders zu schützen sind, ist das Bußgeld dennoch weit von 20 Millionen Euro entfernt. Den Fall verhandelt nun erstmal ein portugiesisches Gericht.

20.000 Euro in Deutschland

In Deutschland muss das Unternehmen knuddels.de als erstes ein Bußgeld nach der DSGVO in Höhe von 20.000 Euro zahlen. Beim Online-Communitybetreiber konnten Hacker im Juli Nutzerdaten vor allem in Form von E-Mail- Adressen, Passwörtern und Namen erbeuten. Anschließend veröffentlichten sie sie im Netz.

Mitschuld daran waren unverschlüsselt gespeicherte Zugangsdaten – ein Verstoß gegen die DSGVO-Vorschriften zur Datensicherheit. Infolge der guten Zusammenarbeit von knuddels.de mit der Datenschutzbehörde soll das Bußgeld jedoch geringer ausgefallen sein. Datenlecks sind möglichst innerhalb von 72 Stunden nach ihrer Entdeckung der zuständigen Datenschutzbehörde zu melden.

Klares Jein zu DSGVO-Abmahnungen durch Wettbewerber

Noch größere Befürchtungen als Bußgelder lösten nur Abmahnungen aus. Ab dem 25. Mai sollten diese über alle hereinbrechen, die die DSGVO in irgendeiner Weise befolgen müssen. Statt einer Abmahnwelle folgte nicht einmal eine kleine Woge.

Abmahnungen durch Wettbewerbsverbände und Verbraucherverbände sind ohne Weiteres möglich. Viel entscheidender ist, ob auch konkurrierende Unternehmen Datenschutzverstöße abmahnen können.

Abmahnfähig? Landgericht Bochum sagt Nein, Landgericht Würzburg sagt Ja

Diese Frage, ob Wettbewerber DSGVO-Verstöße abmahnen können, klärt sich erst allmählich. Den Anfang machte das Landgericht Bochum. Durch Mitbewerber sei keine Abmahnung wegen Verletzung der DSGVO möglich und lehnte damit den Streit zweier Online-Händler über Informationspflichten ab. Denn die Ansprüche wegen Verletzungen regle die Datenschutzgrundverordnung abschließend. Von Mitbewerbern sei dabei keine Rede. Und es gebe aufgrund umfangreicher Sanktionsmöglichkeiten dafür auch keine Notwendigkeit (LG Bochum, Urteil v. 7.8.2018, Az. 12 O 85/18).

Anderer Ansicht war das Landgericht Würzburg. Im September bejahte es die Abmahnfähigkeit einer unzureichenden Datenschutzerklärung und eines unverschlüsselten Kontaktformulars (LG Würzburg, Beschluss v. 13.9.2018, Az. 11 O 1741/18).

Nach OLG Hamburg entscheidet der Datenschutzverstoß

Geht es nach dem Oberlandesgericht Hamburg, entscheidet der konkrete Verstoß über die Abmahnfähigkeit (OLG Hamburg, Urteil v. 25.10.2018, Az.: 3 U 66/17). Die DSGVO sei jedenfalls nicht abschließend. Abmahnungen sind jedoch nur möglich, wenn die verletzte DSGVO-Vorschrift das Marktverhalten regele. Wann das der Fall ist, müssen im Einzelfall die Gerichte klären. Im Fall stritten zwei Wettbewerber darüber, ob eine ausreichende Einwilligung von Patienten zur Verarbeitung personenbezogener Gesundheitsdaten vorlag. Am Ende verurteilte das OLG beide Seiten wegen solcher Verstöße.

Im November lehnte das Landgericht Wiesbaden wiederum eine Abmahnfähigkeit ab. Eine Auskunftei hatte eine Konkurrentin abgemahnt. Das Gericht verneinte eine Klagemöglichkeit der abmahnenden Auskunftei, weil die DSGVO keinen Unterlassungsanspruch für Konkurrenten vorsehe.

Anti-Abmahn-Gesetz könnte Abmahnungen verhindern

Damit steht es 2:2 unentschieden zwischen den Gerichten. Anstelle des Bundesgerichtshofs könnte den Streit vorzeitig ein Gesetz klären. Das bereits durch Bayern über den Bundesrat eingebrachte Anti-Abmahngesetz soll Abmahnungen wegen DSGVO-Verstößen generell verbieten.

(GUE)

Foto : ©Shutterstock.com/GaudiLab


Rechtstipp vom 26.11.2018
Aktualisiert am 12.12.2018
aus der Themenwelt Marketing und Internet und den Rechtsgebieten IT-Recht, Wettbewerbsrecht

Rechtstipps zum Thema