DSGVO: Abmahnwelle und Sanktionspraxis – Keine Panik!

Müssen Unternehmen Angst vor Abmahnungen haben? Wie sollten sich Unternehmen in einem solchen Fall verhalten?

Hamburg: Seit die neue Datenschutz-Grundverordnung (DSGVO) in Kraft ist, herrscht noch immer große Unsicherheit. Viele Unternehmen fürchten sich vor sogenannten „Abmahnanwälten“ und angekündigten Bußgeldern in Höhe von mehreren tausend Euro. Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein, und Christopher Kunke, Rechtsanwalt und Referent für Datenschutz bei der TÜV NORD Akademie, erläutern, ob Unternehmen Angst vor Abmahnungen haben müssen und wie damit umzugehen ist.

Als am 25. Mai 2018 die Frist ablief, um die neue DSGVO im eigenen Unternehmen umzusetzen, herrschte große Verunsicherung – passende Schulungen waren auf Monate im Voraus ausgebucht und das Internet voll von Meldungen, bei der jede etwas anderes zu raten schien. Für zusätzliche Bedenken sorgte außerdem die prognostizierte Abmahnwelle, die Unternehmen angeblich Unsummen kosten sollte. Drei Monate später: Wie berechtigt sind diese Bedenken nach Ablauf der Frist? Müssen sich Betriebe, Vereine und Unternehmen vor „Abmahnanwälten“ und Aufsichtsbehörden fürchten? Oder ist mittlerweile Zeit zum Aufatmen?

Abmahnung – oder doch nicht?

Rechtsanwalt Christopher Kunke, Datenschutz-Referent der TÜV NORD Akademie, schildert einen beispielhaften Fall: Als Herr W. den Briefkasten leert und ein Anwaltsschreiben in den Händen hält, ist er erschrocken und verunsichert. 12.500 Euro fordert der Anwalt eines Mitbewerbers, weil Herr W. angeblich die DSGVO nicht eingehalten habe. Außerdem solle er die beiliegende Unterlassungserklärung unterschreiben, um weitere Konsequenzen zu verhindern. Verunsichert zahlt Herr W. die geforderte Summe und unterschreibt das Dokument – ohne zu wissen, dass er das vielleicht nicht gemusst hätte.
„Sobald man als Unternehmen ein Anwaltsschreiben und eine damit verbundene Abmahnung erhält, gilt es vor allen Dingen Ruhe zu bewahren und nicht überstürzt zu handeln. Ein juristisches Abmahnschreiben ist noch kein Grund in Panik zu verfallen“, sagt Kunke. „Der erste Schritt muss immer sein, den Vorwurf selbst juristisch prüfen zu lassen. Auf gar keinen Fall sollten Betroffene eine Unterlassungserklärung unterschreiben oder gar die geforderte Summe bezahlen“, rät er. Selbst eine kleine Anzahlung von wenigen Euro könne bereits als Anerkennung des Gesamtanspruchs ausgelegt werden. „Und dann ist nicht mehr viel zu retten“, erläutert der Experte.

Bislang keine „Abmahnwelle“


„Obwohl einige Anwälte versuchen im großen Stil Geldzahlungen zu erwirken, ist die befürchtete Abmahnwelle in Deutschland bisher nicht eingetroffen“, ergänzt Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein. „Das bedeutet allerdings nicht, dass das so bleibt. Die Verantwortlichen sollten darauf achten, die DSGVO zu erfüllen und so erst gar keine Angriffsfläche für Abmahnanwälte zu bieten“, sagt die Landesdatenschutzbeauftragte.

Für Unternehmen bedeutet das erst einmal Aufatmen. Christopher Kunke erklärt: Eine Abmahnung muss zunächst einmal beauftragt werden. Als Beispiel: Ein Kläger gibt seiner Anwältin den Auftrag, ein bestimmtes Unternehmen abzumahnen. Das ist in der Regel ein Mitbewerber des Betroffenen. Im ersten Schritt fordert die Juristin die Zahlung einer Pauschale sowie eine unterschriebene Unterlassungserklärung. Die Pauschale entspricht dem Anwaltshonorar und bleibt damit komplett bei der abmahnenden Juristin. Manche Anwälte erliegen dabei der Versuchung mithilfe eines konstruierten Klienten, beispielsweise durch eine sogenannte „Briefkastenfirma“, zahlreiche Abmahnungen zu verschicken und sich entsprechend hohe Pauschalen zu erwirtschaften. Da es hinter dieser Masche allerdings keinen tatsächlichen Kläger gibt, ist es entsprechend unwahrscheinlich, dass es in diesen Fällen wirklich zu einem Prozess kommt. „Grundsätzlich sind aber auch vor diesem Hintergrund zunächst alle Abmahnschreiben ernst zu nehmen und juristisch zu prüfen“, rät Kunke. Denn ob eine Abmahnung gerechtfertigt sei oder nicht, sei so nicht erkennbar.

Berechtigte Abmahnung – was jetzt?

Wenn sich bei der juristischen Prüfung einer Abmahnung ergibt, dass diese berechtigt ist und tatsächlich ein Verstoß vorliegt, ist der erste Schritt, diesen Verstoß entsprechend zu beheben. Des Weiteren macht es Sinn der abmahnenden Seite zu zeigen, dass man selbst ebenfalls einen Anwalt oder eine Anwältin eingeschaltet hat und weitere Drohschreiben damit sinnlos sind. Anschließend sollte eine eigene Unterlassungserklärung aufgesetzt werden und diese dem Klagenden bzw. dessen Rechtsvertretung zugeschickt werden.

Auch wenn eine Abmahnung bis zu den Aufsichtsbehörden durchdringt oder diese eigenständig auf einen Betrieb aufmerksam werden, müssen die Verantwortlichen keine Angst haben, erläutert Marit Hansen: „Bevor tatsächlich ein Bußgeld gezahlt werden muss, wird zunächst der Sachverhalt ermittelt: Liegt wirklich ein Datenschutzverstoß vor? Dazu gehört auch eine Anhörung des Betriebs durch die verantwortliche Datenschutzaufsichtsbehörde. Oft geschieht dies im schriftlichen Verfahren. Erst wenn in dieser Anhörung ein Verstoß gegen die DSGVO festgestellt wird, trifft die Aufsichtsbehörde angemessene Maßnahmen. Dies kann bedeuten, dass ein Bußgeldbescheid erlassen wird. Gegen diesen Bescheid können Betroffene gerichtlich vorgehen, sofern sie ihn für unberechtigt halten. Andernfalls ist die festgelegte Summe als Bußgeld zu zahlen“, erläutert Hansen das Vorgehen der Aufsichtsbehörden. Auch die Aufsichtsbehörden stellen sich aktuell entsprechend der modifizierten Anforderungen neu auf; bei komplexeren Fällen könne es einige Zeit dauern, bis es zu einer entsprechenden Anhörung komme.

In der Regel agieren Anwältinnen und Anwälte sowie Aufsichtsbehörden übrigens vollkommen unabhängig voneinander. Oftmals ist die zuständige Behörde über die Abmahnung gar nicht informiert.

Insgesamt lässt sich sagen, dass eine Abmahnung kein Grund ist, in Panik zu verfallen. Die Devise lautet: Ruhig bleiben und einen Anwalt oder eine Anwältin einschalten. Allerdings bedeutet das nicht, dass die DSGVO nicht ernst zu nehmen ist. Jede Instanz, die personenbezogene Daten verarbeitet, ist verpflichtet, sich an die europaweiten Vorgaben zu halten. Hilfe erhalten die Betroffenen dabei entweder direkt bei den zuständigen Aufsichtsbehörden oder in passenden Seminaren, wie sie beispielsweise die TÜV NORD Akademie anbietet. Weitere Informationen dazu sind unter www.tuev-nord.de/ds-seminare verfügbar.

 

 

Über die TÜV NORD GROUP

Als anerkannter Technologie-Dienstleister stehen wir weltweit für Sicherheit und Vertrauen. Dabei haben wir die digitale Zukunft fest im Blick. Unabhängige Ingenieure und IT-Security-Fachleute bieten exzellente Lösungen für Sicherheit, Qualität und eine hervorragende Position im Wettbewerb. In mehr als 70 Ländern stärken wir Unternehmen und Partner bei der Wahrnehmung ihrer Verantwortung für Menschen, Technologie und Umwelt.