Die Unternehmen und die Datenschutzgrundverordnung (DSGVO) – Was bisher geschah…und nicht geschah

Anfänglich war die Aufregung in Bezug auf die Datenschutzgrundverordnung (DSGVO) sehr groß und viele Ängste wurden geschürt. Man kann auch durchaus von „Panik“ in bei Unternehmern sprechen. Einen diesbezüglichen Erfahrungsbericht in Bezug auf die bisherige Umsetzung der DSGVO in digitalen Unternehmen schildert Rechtsanwalt Björn Thorben M. Jöhnke aus der Hamburger Kanzlei Jöhnke & Reichow Rechtsanwälte aus Hamburg.

Die DSGVO trat bereits am 24. Mai 2016 in Kraft. Seit dem 25. Mai 2018 ist nun auch die Übergangsfrist abgelaufen. Doch sind nun alle digitalen Unternehmen auch „DSGVO-konform“? Die Antwort kann vorweggenommen werden: Nein.

Anfang des letzten Jahres wurden viele Angstszenarien geschürt, wie zum Beispiel: „Die Abmahnwelle kommt!“, „Verhängung hoher Bußgelder von bis 20 Millionen Euro“, „Behörden werden Unternehmen überprüfen“. Seit bald nunmehr fast einem Jahr hat die DSGVO ihre praktische Geltung. Doch dem Grunde nach ist es still in Bezug auf die vorgenannten Szenarien geblieben.

Ausbleiben von Massenabmahnungen

Die gefürchteten Massenabmahnungen sind bis heute ausgeblieben, wofür mehrere Gründe einschlägig sein könnten:

Zum einen galten Datenschutzvorschriften nach der bisherigen Rechtslage als sogenannte Marktverhaltensregeln und konnten mittels wettbewerbsrechtlicher Abmahnungen verfolgt werden. Markverhaltensregeln haben eine auf die Lauterkeit des Wettbewerbs bezogene Schutzfunktion und sichern die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen.

Doch aktuell gibt es diesbezüglich einen juristischen Streit, der von vielen Gerichten unterschiedlich beurteilt wird. Dabei geht es um die Frage, ob denn nun die neuen DSGVO-Verschriften überhaupt Marktverhaltensregeln darstellen können. Würde man dieses verneinen, hätte dieses zu Folge, dass man aufgrund der DGSVO unter Konkurrenten keine Abmahnungen mehr aussprechen könnte. Dieses wäre für Unternehmer vorteilhaft, da sie sich in Sicherheit wägen könnten. Ob das rechtlich vorteilhaft wäre, ist an dieser Stelle eine völlig andere Diskussion.

Gerichtsentscheidungen zur DSGVO

Die Landgerichte Würzburg, Frankfurt und Hamburg sowie das OLG Hamburg vertreten aktuell die Ansicht, dass die DSGVO drittschützend sei und deswegen Abmahnungen darauf gestützt werden könnten. Das LG Bochum und das LG Wiesbaden vertreten aktuell die Ansicht, die DSGVO sei gerade nicht drittschützend. Im Ergebnis ist bisher festzuhalten, dass absolute Rechtsunsicherheit besteht. Hierzu werden in den künftigen Jahren weitere Urteile folgen und man wird schauen müssen, wie sich dieser Streit letzten Endes entscheiden wird.

Auch gibt es diesbezüglich aktuell eine Empfehlung an den Bundesrat aus dem Ausschuss für innere Angelegenheiten und dem Wirtschaftsausschuss, dass wettbewerbsrechtliche Abmahnungen wegen Verstößen gegen Datenschutzvorschriften nicht mehr möglich sein sollen. Diese politische Diskussion wird man auch weiter zu verfolgen haben.

Auf der anderen Seite könnte das Ausbleiben von Massenabmahnungen damit begründet werden, dass abmahnende Unternehmer als Wettbewerber selbst „DSGVO-konform“ sein müssten um sicher sein zu können, nicht eine Gegenabmahnung zu erhalten. Dieses Risiko ist aktuell viel zu groß, denn mangels genauer Auslegungsmöglichkeiten der DSGVO kann aktuell auch keine absolute Rechtssicherheit vorherrschen.

Auskunftsverlangen von Betroffenen

Seit dem 25.05.2018 wurden einige – vermeintlich bestehende -Auskunftsansprüche von – vermeintlichen – Betroffenen an Unternehmen versendet. Auch diese Verfahren verliefen relativ harmlos, denn häufig wurden keine Daten über die betroffenen Personen überhaupt gespeichert, denn der Anfragende war nicht mal Kunde des Unternehmens. Diese Anfragen konnte man so dann mit dem Hinweis, der Anfragende möchte seine Identität nachweisen, damit nicht personenbezogene Daten in unzulässiger Weise an Dritte herausgeben werden, im Keim ersticken. Handelte es sich dabei jedoch um einen Kunden des Unternehmens, so musste lediglich und ausschließlich eine Auskunft über die gespeicherten Daten geben werden. Dieser Anspruch bestand auch schon vor Inkrafttreten der DSGVO.

Vorsicht vor Abonnement – Fallen

Natürlich ließen „schwarze Schafe“ nicht lange auf sich warten und es wurden Schreiben von vermeintlichen „DATENSCHUTZ-ZENTRALEN“ versendet, diese per Telefax im „Kleide“ einer – vermeintlichen – Datenschutz-Auskunft-Zentrale. Mittels dieser Schreiben wurden Unternehmen aufgefordert ein diesem Schreiben beigefügtes Formular zu unterschreiben, um „der gesetzlichen Pflicht zur Umsetzung der DSGVO“ nachzukommen.

Diese Schreiben beinhalteten jedoch ein Abonnement in Höhe von 498 Euro pro Jahr, mit der man ein Leistungspaket „Basisdatenschutz“ erhalten würde. Hierbei handelte es sich lediglich im den Versuch Unternehmen in „Abo-Fallen“ zu drücken. Derartige Schreiben konnte also unproblematisch „entsorgt“ werden.

Verhängung von Bußgeldern

Ebenfalls wurden Anfang des Jahres mit den hohen Bußgeldern der DGSVO „Angst und Panikmache“ betrieben, welche in Art. 83 Abs. 4 und Abs. 5 DSGVO „von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes“ bzw. „von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes“ normiert wurden. An dieser Stelle darf darauf hingewiesen werden, dass der Gesetzgeber von der „bis zu“ – Möglichkeit Gebrauch gemacht hat. Er hat sich also dagegen entschieden, dass ein Bußgeld zwingend zu verhängen „ist“.

Der Gesetzgeber wollte damit bewirken, dass Bußgelder stets im Einzelfall von der zuständigen Behörde zu prüfen sind. Die Verhängung von Geldbußen müssen nämlich verhältnismäßig, den Umständen des Einzelfalls entsprechend unter anderem nach Art, Schwere und Dauer des Verstoßes erfolgen, vgl. Art. 83 Abs. 1 und Abs. 2 DSGVO.

Damit sollte klar sein, dass nicht der normale und durchschnittliche Unternehmer im Fokus der Datenschützer steht, sondern vielmehr die großen digitalen Unternehmen wie Facebook, Amazon, Google.de, etc.;

Newsletterversand und Direktwerbung

Auch mit der DSGVO bleibt die grundsätzliche Pflicht zur Einholung einer Einwilligung im Rahmen des Versandes von Newslettern bestehen. Aus diesem Grunde sollten Vermittler diesbezüglich stets eine wirksame Einwilligung vom Kunden einholen, sofern eine Kommunikation mit dem Kunden mittels Email stattfinden soll.

Darüber hinaus bestehen weitere Pflichten in Bezug auf die Einwilligung des Kunden, denn der Makler hat, wenn er besondere Kategorien von personenbezogenen Kundendaten verarbeitet (z.B. Gesundheitsdaten im Sinne des Art. 9 DSGVO), eine entsprechende Einwilligung von seinem Kunden einzuholen. Im Datenschutzrecht gilt der Grundsatz des Erlaubnisvorbehalts. Das bedeutet, dass die Verarbeitung personenbezogener Daten stets verboten ist, es sei denn, es liegt ein Erlaubnistatbestand vor. Ein solcher Erlaubnistatbestand liegt in der Einwilligung (vgl. Art. 6 Abs.1 a) DSGVO) selbst.

Sehr oft haben Unternehmer jedoch keine Einwilligung für Direktwerbung von dem Kunden eingeholt. Demnach ist fraglich, ob Direktwerbung ohne das Vorliegen einer konkreten Einwilligung verboten ist. Die DSGVO bietet jedoch noch weitere Erlaubnistatbestände, zum Beispiel über Interessensabwägungen, mit welchen der Versender im Vorwege eine Abwägung zu treffen hat, nämlich danach wessen Interesse höher zu gewichten ist: Interesse des Versenders am Vermitteln von werblichen Informationen, oder das Interesse des Kunden am Nichterhalt von Werbung durch den Versender, vgl. Art. 6 Abs.1 f): sog. „berechtigte Interessen“.

Man könnte dabei wie folgt argumentieren: Derjenige, der personenbezogene Daten verarbeiten möchte, hat ein berechtigtes Interesse, das höher einzustufen ist als das des Betroffenen, seine Daten zu schützen, wenn es um Bestandskunden des jeweiligen Vermittlers geht. Ein solches Interesse kann auch wirtschaftlicher Natur sein. So können zum Beispiel Onlinemarketingmaßnahmen zulässig sein, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. Diese Abwägung hat der Unternehmer für sich selbst zu machen, zu argumentieren und zu vertreten.

Die DSGVO eröffnet dabei in dem Erwägungsgrund 47 folgendes: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dieses ist ein klarer Verweis auf § 7 Abs. 3 UWG, welcher wiederum gewisse Voraussetzungen hat:

  • die E-Mail-Adresse wurde im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung angegeben,
  • diese Adresse wird nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  • der Nutzung seiner E-Mail-Adresse ist nicht widersprochen worden,
  • bei Eingabe der E-Mail-Adresse sowie in jedem Newsletter wird klar und deutlich darauf hingewiesen wird, dass der Verwendung jederzeit widersprochen werden kann.

Liegen diese Voraussetzungen kumulativ vor, so dürfte Direktwerbung des Vermittlers zulässig sein. Damit könnte im Ergebnis also die E-Mail-Werbung an Bestandskunden zu rechtfertigen sein. Zwingend dabei zu beachten jedoch, dass die betroffenen Personen ausdrücklich auch auf ihr Widerspruchsrecht hingewiesen werden müssen, vgl. Art. 21 DSGVO.

Von diesen Fällen der Direktwerbung sind jedoch die klaren Fälle der „Kaltakquise“ (vgl. § 7 Abs. 2 Ziff. 3 UWG) abzugrenzen. Diese sind selbst nach dem UWG unzulässig, nach der DSGVO sowieso. Auch in Fällen, in denen Bestandskunden zu neuen, vom Vertragsgegenstand abweichenden Produkten angeschrieben oder Neukunden angesprochen werden sollen, bedarf es einer ausdrücklichen Einwilligung des Kunden.

Ist Werbung mittels Brief nach der DSGVO erlaubt?

Die Antwort ist ja: Briefwerbung bleibt nach wie vor ohne Einwilligung nach der DSGVO erlaubt. Werbebriefe können also unter Nutzung bereits vorhandener Adressdaten auch weiterhin ohne Einwilligung verschickt werden, denn der Versender der Werbung kann sich hierbei auf sein berechtigtes Interesse an persönlicher Direktwerbung stützen (s.o.), vgl. Art. 6 Abs.1 f) DSGVO. Widerspricht der Empfänger jedoch dem Erhalt von Werbebriefen, so müssen die Werbebriefe unverzüglich abgestellt werden.

Von der vorgenannten Briefwerbung unter Nutzung von Kundendaten ist jedoch die „Briefkastenwerbung“ zu unterscheiden. Bei dieser Werbeform werden willkürlich in einem bestimmten Einzugsgebiet jedem Anwohner Werbepost in den Briefkasten gelegt. Die Werbung wird dabei also nicht an einzelne, selektierte Adressen zugestellt. Die Briefkastenwerbung ist jedoch dann unzulässig, wenn der Empfänger etwa mittels Aufkleber „Keine Werbung und kostenlose Zeitschriften“ auf seinem Briefkasten dem Erhalt solcher Wurfsendungen im Vorwege widersprochen hat.

Gelten bisherige Einwilligungen nach der DSGVO fort?

Bereits nach dem „alten“ Datenschutzrecht gab es strenge Herausforderungen an einen rechtlich „sauberen“ Newsletterversand: z.B. mittels Double-Opt-In-Verfahren (DOI), mit welchem die Einwilligung für den Newsletter-Versand protokolliert wurde. Dieses geschieht regelmäßig in zwei Schritten: 1.) Abspeicherung der Eintragung des Nutzers zum Newsletter und der verwendeten Mailadresse sowie 2.) Abspeicherung des Anklickens des Bestätigungslinks in der Verifizierungsmail mit Zeitstempel und IP-Adresse des verwendeten Endgeräts. Diese gespeicherten Informationen werden sodann für die registrierte Mailadresse zusammengeführt, so dass damit hinreichend protokolliert ist, dass der tatsächliche Inhaber des Mailaccounts, für den die Anmeldung erfolgt ist, die Anmeldung höchstpersönlich vollzogen, also seine Einwilligung in den Erhalt von Werbemails selbst erteilt hat.

Über das DOI – Verfahren wirksam eingeholte Einwilligungen haben auch weiterhin Geltung. Die erneute Einwilligung ist somit grundsätzlich nicht erforderlich, denn die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung wurden durch die DSGVO nicht verändert, lässt den man den minderjährigen Schutz außer Betracht.

Bestehen jedoch Zweifel an dem Vorliegen einer wirksamen Einwilligung im „Kunden-Datenbestand“ des Vermittlers, so sollte für Werbemaßnahmen regelmäßig eine rechtswirksame Einwilligung eingeholt und für Bedarfszwecke archiviert / protokolliert werden.

Was hat der Unternehmer denn nun zu beachten?

Auch wenn möglicherweise eher die großen Unternehmen zur „Raison“, bzw. „zur Kasse gebeten“ werden sollen, so bedeutet dieses nicht, dass kleine digitale Unternehmern die DSGVO und die damit verbundenen Pflichten ignorieren sollte. Zwar ist es nach Ablauf der Umsetzungsfrist etwas ruhiger um die DSGVO geworden. Dennoch gibt es grundlegende „Hausaufgaben“, die der erledigt haben sollte, um sich nicht angreifbar zu machen. Hierzu zählt natürlich das entsprechende Datenschutzkonzept. Dieses sieht bei kleinen Unternehmen entsprechend kleiner aus, bei großen großen entsprechend größer.

Was beinhaltet ein Datenschutzkonzept für Unternehmen?

Ein allgemeines Datenschutzkonzept fängt bei einem schlüssigen Verarbeitungsverzeichnis über digitale Verarbeitungsvorgänge an, welches grundlegend einmal erstellt und so dann stetig um neue digitale Verarbeitungsvorgänge ergänzt werden sollte. Hinzu kommen die Dokumente des Unternehmers (Verträge, Bedingungen, Einwilligungen etc.), die einmal überarbeitet, bzw. angepasst werden sollten.

Dabei sollte nicht vergessen werden, dass auch die eigene Webseite ebenfalls überarbeitet werden sollte, hierbei insbesondere die Datenschutzerklärung, Online-Rechner und Kontaktformulare. Entsprechend sollte auch ein Notfall-Plan für Datenschutzverstöße (vgl. Beschwerdemanagement) entwickelt werden, damit auch Mitarbeiter sofort wissen, was zu tun ist. Auch alle Mitarbeiter sollten nunmehr wissen, was in Bezug auf Daten gerade unterlassen werden sollte. Folglich hat firmenintern eine Datenschutzsensibilisierung stattzufinden sowie auch entsprechende Datenschutzschulungen.

Hilfestellungen für Vermittler

Diese kurze Einschätzung und Aufzählung ist natürlich nicht abschließend zu verstehen und ersetzt eine individuelle datenschutzrechtliche Beratung nicht. Weitere Hilfsstellungen für Unternehmer können hier eingesehen und genutzt werden. Auch sollten sich Unternehmer, sofern sie mit sensiblen Kundendaten arbeiten, an den jeweilig zuständigen Landesdatenschutzbeauftragten wenden und um verbindliche Einschätzung dahingehend bitten, ob denn überhaupt ein Datenschutzbeauftragter nach Art. 37 DSGVO, § 38 BDSG zu bestellen ist. Hierzu kann gern ein entsprechender Musterbrief genutzt werden. Die Antwort darauf sollte der Unternehmer sich gut archivieren, falls die Datenschutzbehörde das „Datenschutz-Konzept“ einmal überprüfen sollte.

Auch kann gern die DSGVO – Checkliste genutzt werden, um nochmal zu prüfen, ob noch weitere Maßnahmen zu treffen sind. Auch sollte die Entwicklung und gesetzliche Umsetzung der ePrivacy-Verordnung im Auge behalten werden, welche eventuell in 2019, möglicherweise auch in 2020 in Kraft treten wird. In wie weit der Unternehmer von dieser Verordnung betroffen sein wird, kann unter „ePrivacy-Verordnung: Werden Vermittler von der EU-Verordnung direkt betroffen sein?“  nachgelesen werden.

Fazit zur weiteren Umsetzung der DSGVO

Zwar sind noch keine gravierenden Datenschutz – Fälle bekannt. Dennoch sollte man die neuen Pflichten im Rahmen der Umsetzung der DSGVO beachten und entsprechend handeln. Gerade auch vor dem Hintergrund, dass bekanntermaßen die Landesdatenschutzbehörden auch Personal „aufgestockt“ haben um den Aufsichts- und Kontrollpflichten nachkommen zu können. So ist mit Sicherheit zu erwarten, dass die Behörden Auskünfte von Unternehmen dazu einholen werden, wie intern der Datenschutz – also das „Datenschutzkonzept“ – geregelt ist. Auch wird damit zu rechnen sein, dass durchaus Bußgeldbescheide erlassen werden, sollten gravierende Verstöße festgestellt werden. Aber Genaueres wird die Zeit mit sich bringen, so dass Unternehmer gut beraten sind ihre „Hausaufgaben“ entsprechend zeitnah umzusetzen, sollte dieses abschließend noch nicht geschehen sein.

Die Rechtsanwälte der Kanzlei Jöhnke & Reichow haben sich auf den Bereich des Datenschutzrechts sowie Informationstechnologierechts spezialisiert. Weitere Informationen zum Thema Datenschutz & DSGVO finden Sie auch in unserem „News“ Bereich.

Zum Autor: Rechtsanwalt Björn Thorben M. Jöhnke

Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.

Zum Anwaltsprofil

Rechtsanwalt berichtet über Erfahrungen bei Umsetzung der DSGVO.

Mandantenstimmen:

Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.

Hinweise zu Kundenbewertungen

Bleiben Sie informiert – unser Newsletter!

Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.