Datenschutz-Grundverordnung

Es ist für die deutschen Unternehmen – egal ob groß oder klein – nicht einfach, die seit 25.05.2018 gültigen Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) umzusetzen. Inzwischen steigen sowohl Bußgelder der Datenschutzaufsichtsbehörden wie auch Schadenersatzurteile der Zivilgerichte an. Da sowohl Betroffene als auch Abmahnvereine, Verbraucher- und Wettbewerbsvereine DSGVO-Verstöße unter Umständen geltend machen können – sowohl zivilrechtlich als auch über Beschwerden bei den Aufsichtsbehörden. Seit Juni 2022 gibt es in Österreich und Deutschland auch eine Abmahnwelle wegen Nachladen von Google Servern für Google Fonts und anderen Google Apis auf der Internetseite  (siehe Beitrag Handlungsempfehlungen wegen Abmahnwelle Google Fonts) in einem Umfang, der es wahrscheinlich macht, dass nicht nur die bereits bekannten vereinzelten Klagen und einstweiligen Verfügungen kommen, sondern weitere Klagen folgen z.B. zu DSGVO-Konformität von Webseiten.

Die umfangreichen Informations- und Auskunftsansprüche, Datenschutzerklärungen als auch teilweise erforderlichen Auftragsverarbeitungsverträge nach Art. 28 DSGVO, Kooperationsverträge und Joint Controller Ship Vereinbarungen nach Art. 26 DSGVO oder Betriebsvereinbarungen über die Einführung und Betrieb von IT-Tools, die zur Arbeitsüberwachung geeignet sind, können die Unternehmen in der Regel nicht ohne fachanwaltliche Prüfung und Beratung sachgerecht aufsetzen. Hier unterstütze ich gerne.

Warum Datenschutz?

Aus Verbrauchersicht z.B. der Mitarbeiter geht es um informationelle Selbstbestimmung z.B. Schutz vor (oft falschem odere irreführenden) Profiling, Kontrolle über die von ihnen benutzten Geräte und IT-Systeme, informationelle Freiheit, Schutz vor Spam, Mobbing und anderem Übel wie Jobverlust oder Kreditabsagen.

Aus Unternehmersicht: Vermeidung von erheblichen Bussgeldern, Rufschaden, Glaubwürdigkeitsverlusten und Schadenersatzklagen wegen Datenpannen. Solche Folgen von Verstößen gegen die Datenschutzgrundverordnung (EU-DSGVO) nehmen zu und können das Unternehmen gefährden

Einige Unternehmen haben die seit 25.05.2018 gültige EU-Datenschutzgrundverordnung aus Gründen immer noch nicht richtig umgesetzt und es ist ja auch ein stetiger begleitender Prozess. Interessenkollisionen haben hier viel behindert. Es ist auch herausfordernd und erfordert eine laufendes Datenschutz-Management aller Fachabteilungen oder des Einzelunternehmers, qualifizierte interne und externe Berater zur Technik und Recht und die gute laufende Abstimmung der Teams, um alle Prozesse, bei denen personenbezogene Daten eine Rolle spielen, datenschutzkonform zu gestalten und hier angemessene, zumutbare und praktikable Lösungen zu finden. Entgegen einer häufig leider in der Vergangenheit anzutreffenden Meinung mancher Marktteilnehmer, ist ein Vorsprung durch Rechtsbruch nicht anzuraten. Er kommt das Unternehmen oft sehr teuer zu stehen. In Zeiten von Whistleblowing ist es auch nicht intelligent wenn schlechte Geschäftsleiter und ihre Dienstleister glauben, Verstöße und Pannen werden auf Dauer sicher geheim bleiben.

Auftragsverarbeiter z.B. die Webagentur müssen vertraglich und mit sinnvollen Weisungen gebunden werden und es sollten auch regelmäßig Berichte angefordert werden, um Handlungsbedarf rechtzeitig zu identifizieren. Viele Unternehmer und manche Agenturen wissen gar nicht genau, wie und wo die Dienstleister die Daten ihrer Kunden und Mitarbeiter verarbeiten. Das ist dann immer ein Alarmsignal für Nachlässigkeit und den Kontrollverlust.

Die Risiken für Nachlässigkeiten in diesem Bereich sind jedoch für die Geschäftsleitung gravierend, oft auch nicht versicherbar und machen die Umsetzung zur Chefsache. Es droht ein hoher Rufschaden, wenn keine risikoadäquaten technischen und organisatorischen Massnahmen zur Vorbeugung einer Datenpanne getroffen worden sind und später meldepflichtige Datenschutzpannen bekannt werden. Aufsichtsbehörden einiger Länder versenden stichprobenartig oder bei Beschwerden Fragebögen und prüfen Unternehmen insbesondere dann, wenn Beschwerden von Betroffenen oder (ehemaligen) Mitarbeitern eingehen. Aus den Tätigkeitsberichten der Datenschutzbeauftragten geht hervor, dass der Informationsaustausch bei länderübergreifenden Prozessen zwischen den Behörden an Fahrt aufnimmt. Die Datenschutzaufsichtsbehörden dürfen nach der DSGVO auch anlassunabhängig prüfen. Hervorzuheben sind insgesamt folgende Aspekte für Unternehmen:

    • Pflicht für eine umfassende, klare verständliche und richtige Datenschutzerklärung, die stets aktualisiert werden muss
    • Auftragsverarbeitungsverträge mit Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten
    • Kooperationsverträge bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und Info an Betroffene
    • Pflicht zur Nachweisbarkeit eines ordentlichen Datenschutzmanagements – ausreichende Schulung und Dokumentation
    • Verschärfung der Rechenschaftspflichten – nicht der Betroffene muß die Pflichtwidrigkeiten nachweisen, wenn eine Panne zu einem Schaden bei dem Betroffenen geführt hat
    • Bußgelder und Haftungsrisiken sind für eine nachlässige Geschäftsleitung nicht versicherbar
    • Ausweitung der Betroffenenrechte einschließlich Vermögensschadenersatzansprüche mit Beweislastumkehr (Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht und nach Art. 82 Abs. 3 DSGVO haftet das Unternehmen für jeden Schaden aufgrund einer Datenschutzverletzung, wenn er nicht nachweist, dass er nicht verantwortlich dafür ist)
    • sehr hohe Bußgelder nach Artikel 83 bei Verstößen in Höhe von bis 4 % des weltweiten Umsatzes im Unternehmensverbund oder 20 Mio. EURO. Aktuell veröffentlichte Bussgelder der Aufsichtsbehörden können Sie hier verfolgen: https://www.enforcementtracker.com
    • Nach Art. 82 DSGVO hat ein geschädigter Betroffener bei einer Datenpanne, die auf pflichtwidrige Nachlässigkeiten des Unternehmens oder seiner Auftragsverarbeiter zurückzuführen sind, einen Anspruch auf immateriellen Schadenersatz. Einzelheiten dazu sind umstritten, aber fest steht, dass diese nach derzeitigem Stand der Rechtsprechung alleine, also unabhängig von materiellen Schäden, mit Beträgen von derzeit 100 Euro bis 5.000 Euro, je Betroffener von den Gerichten bewertet werden. Die Zahl der Schadenersatzurteile in diesem Bereich nimmt zu. Bei Datenpannen können sich die Beträge hier ebenfalls summieren. Aktuelle Urteile und News finden Sie dazu auch in meinem Blog unter hagendorff.org

Handlungsempfehlungen aus Anlass der Abmahnwelle wegen Google Fonts

Handlungsempfehlungen zum richtigen Umgang mit den #Abmahnungen wegen Google #Webfonts #DSGVO #Webseitenchecks #Abmahnwelle

Hintergrund: Webfonts sind Schriften, die für Webseiten entweder lokal auf den eigenen Webservern gespeichert sind oder dynamisch bei Google, Adobe oder anderen Anbietern kostenlos abgerufen werden können. Letzteres ist eindeutig nicht vereinbar mit der DSGVO und § 25 TTDSG (dem deutschen Datenschutzgesetz für Webseitenbetreiber), weil dann beim Aufruf der Seite die Google Schriften von den dortigen Servern nachgeladen werden und hiermit personenbezogene Nutzerdaten unbefugt an Google gesendet werden. Seit Juni 2022 versenden einige Abmahner Aufforderungsschreiben an Firmen und Vereine, die eine Webseite betreiben und Google Dienste ohne Zustimmung des Nutzers bei Aufruf der Seite nachladen. Auslöser war ein Urteil des Landgerichts München, das einem Nutzer 100 Euro Schadenersatz nach Art. 82 DSGVO zugesprochen hat wegen datenschutzrechtswidrigem Nachladen von Google Diensten wie Webfonts von den Google Servern bei Aufruf der Webseite des beklagten Unternehmens. Dadurch werden Nutzerdaten wie die IP-Adresse und weitere Profildaten an die Google Server in die USA zum Abruf der dort gespeicherten Schriften nachgeladen. Dies ist nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG nicht zulässig, weil diese dynamische Einbindung der Schriften nicht technisch notwendig ist und Google zu großen Mengen an Daten darüber liefert, welche Nutzer wann welche Seiten im Internet aufgerufen haben. Inzwischen ist bekannt geworden, dass die Abmahner auch vor Gericht Widerspruch gegen eine einstweilige Verfügung des Landgerichts Baden Baden eingelegt haben und vor dem Landgericht Mosbach ein Klage auf Auskunft, Unterlassung und Schadenersatz eingereicht haben. Es ist also ab kommenden Jahr mit weiteren Gerichtsverfahren zu rechnen.

Sind die Abmahnungen berechtigt?: Die meisten sind es nicht, aber das kann ich nur im individuellen Einzelfall prüfen. Bei den massenweise versendeten Abmahnungen einzelner Auftraggeber ist dies jedenfalls hinsichtlich des Schadenersatzbegehrens nicht der Fall. Aber der Nachweis des Rechtsmißbrauch ist erfahrungsgemäß vor Gericht nicht einfach. Zwar sind Abmahnungen dieser Art dann rechtsmißbräuchlich, wenn die Nutzer gezielt mit einem Webcrawler Webseiten aufsuchen, um die Betreiber zur Zahlung von Schadenersatz aufzufordern. Zeitungsartikel mit Berichten über #Abmahnwellen sind jedoch vor Gericht kein Beweismittel. Zudem können die Betroffene ihre Ansprüche an Inkassodienstleister abtreten. Wenn aber ein einzelner Betroffener gezielt massenweise Webseiten aufsuchen lässt, nur um den Schadenersatz als Einnahmen massenweise einzufordern, wird ein Rechtsmißbrauch anzunehmen sein. Denn dann geht es den Abmahnern nicht um die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung nach der DSGVO, sondern um ein Geschäftsmodell zur Generierung von Einnahmen. Dies ist nach § 242 BGB rechtsmißbräuchlich und dürfte einen rechtswidrigen Eingriff in den Gewerbebetrieb des Seitenbetreibers sein. Deshalb sollten Sie den geforderten Schadenersatz – selbst wenn es „nur“ 170 Euro sind – nicht an die abmahnende Anwaltskanzlei bezahlen, sondern helfen, Beweise für die massenhafte Versendung durch einen Webcrawler zu sichern. Lassen Sie sich durch diese Bagatellbeträge nicht in die Irre führen, denn die Abmahner sammeln wahrscheinlich massenweise Gelder ein und werden wahrscheinlich auch klagen. Das haben andere Abmahnwellen nach meiner anwaltlichen Erfahrung im Bereich Urheberrecht oder Wettbewerbsrecht in den letzten Jahren gezeigt.

Handlungsempfehlungen:

  1. Werfen Sie das Abmahnschreiben mit Umschlag und den Anlagen nicht weg, sondern geben Sie es lieber mir. Die Beweise für die massenweise Versendung sollten gesammelt werden, weil eine Klagewelle in den nächsten Jahren wahrscheinlich ist. Gerne können Sie mir mißbräuchliche Abmahnschreiben zum Sammeln der Beweise des Rechtsmißbrauchs der Abmahner vorsorglich für den Fall einer späteren Klage kostenlos an info@it-fachanwaeltin.de oder an meine Kanzleiadresse zusenden. Meine Postadresse finden Sie hier https://it-fachanwältin.de/impressum/. Ich bin anwaltlich zur Verschwiegenheit verpflichtet und verwende die Daten nur, um anhand der anonymisierten Daten für den Fall einer Klagewelle vor Gericht für die späteren Beklagten Parteien mit Aussicht auf Erfolg nachweisen zu können, ob der Kläger einen Webcrawler verwendet hat und deshalb mißbräuchlich vorgegangen ist.
  2. Falls die Schreiben auch Auskunftsverlangen enthalten, ist Vorsicht geboten. Dann ist anwaltlicher Rat sinnvoll. Hierzu berate ich Sie gerne, denn ein falscher Umgang mit den Auskunftsersuchen kann das Risiko einer Schadenersatzklage unnötig erhöhen.
  3. Lassen Sie Ihre Webseite von einem geeigneten IT-Sicherheitsdienstleister überprüfen und scannen und senden Sie die Berichte Ihrem Webdesigner mit der Bitte, diese Datenschutzverstöße zu beheben. Falls kein Verstoß feststellbar ist, dokumentieren Sie auch diese Scans zu Ihrer Entlassung und archivieren Sie diese in Ihrem Ordner für das Datenschutzmanagement. Die regelmäßige Kontrolle ist auch unter IT-Sicherheitsaspekten in Ihrem eigenen Interesse. Fragen Sie Ihren Webdesigner oder wenden sich an geeignete IT-Dienstleister, die professionelle IT-Schwachstellenanalysen und Google Webfont Scans einschließlich aller Unterseiten mit der Analyse etwaigen Handlungsbedarfs diesbezüglich anbieten, z.B. locaterisk.com, https://sicher3.de/  https://54gradsoftware.de/blog/google-fonts-checker oder https://dr-dsgvo.de/webseiten-check/
  4. Falls die gegnerische Anwaltskanzlei oder ein Betroffener eine DSGVO-Auskunft verlangt und behauptet, der Auftraggeber habe zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse Ihre Webseite aufgerufen, können Sie auf die hoffentlich korrekte Datenschutzerklärung verweisen, da Sie den Nutzer ja in der Regel nicht identifizieren können und daher keine individuelle Auskunft möglich ist bzw. nur eine sogenannte Negativauskunft. Achten Sie darauf, dass Logfiles über die Zugriffe auf Ihre Webseite nicht 30 Tage oder länger gespeichert werden. Logfiles mit den Protokolldaten, die bei Aufruf der Webseite kurz gespeichert werden, um den Dienst zu erbringen und aus Gründen der IT-Sicherheit und Funktionsfähigkeit Fehler der Website zu analysieren und ggfs. abzuwehren, dürfen nur eine kurze Zeit für diese Zwecke gespeichert werden und müssen danach automatisch gelöscht werden.
  5. Bitte keine Checkboxen mit einer „Einwilligung in Datenschutzbestimmungen“. Häufig ist auch die Datenschutzerklärung nicht korrekt oder es werden fälschlicherweise Checkboxen zur „Einwilligung“ in die „Datenschutzbestimmungen“ bei Kontaktformularen verwendet. Das ist nicht ratsam und sollten Sie ändern.
  6. Ohne Zustimmung aktivierte Cookies und falsch eingebundene Cookie-Banner: Klar, die Cookie-Banner sind nervig. Aber Jammern hilft nichts. Entgegen der insoweit eindeutigen Rechtslage nach Art. 5, 6 DSGVO i.V.m. § 25 TTDSG werden auf vielen Webseiten in der Datenschutzerklärung bei Aufruf der Webseite Cookies auf Basis einer Interessenabwägung gesetzt, ohne danach zu unterscheiden, ob sie technisch unbedingt notwendig sind oder nur für statistische und Marketingzwecke oder Mediendienste erwünscht. Der Nutzer muss jedoch die Wahl haben und eine informierte Zustimmung in Marketing-Cookies zu erteilen oder die Möglichkeit haben, diese abzulehnen oder Details abzurufen und auch die Änderungen seiner Zustimmung zu speichern.Nach insoweit gefestigter höchstrichterlicher Rechtsprechung sind die nicht unbedingt notwendigen Cookies oder sonstigen Tracker nur mit einer freiwilligen, informierten vorherigen Zustimmung des Nutzers erlaubt.Fazit: Typische Fehler dieser Art führen zu Abmahnungen und dies wird künftig auch zunehmen, daher sollten Sie die Verstöße auf Ihrer Webseite beheben und sich auf mögliche Klagewellen vorbereiten. Nach einem aktuellen Urteil des Landgerichts München kann jeder Nutzer (also nicht ein Webcrawler, der im Auftrag mißbräuchlicher Abmahner, die Webseiten scannt nur um Schadenersatzansprüche zu „generieren“) 100 Euro immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO vom Webseitenbetreiber verlangen. Die Tendenz der anderen Gerichte ist noch nicht eindeutig, aber immer mehr Gerichte sprechen immateriellen Schadenersatz zu, um die effektive Durchsetzung der Datenschutzvorschriften im Interesse der Betroffenen zu erreichen.Das Urteil des Landgerichts München hat Serienabmahnungen wie aktuell z.B. diejenigen des Rechtsanwalt Kilian Lenard aus Berlin im Auftrag von Martin Ismail aus Hannover und anderer Abmahner ausgelöst, die voraussichtlich nach der Taktik der Abmahner auch zu Klagen führen wird. Auch wenn es lästig ist, also nicht einfach nur in die Tonne treten, sondern sich auf künftige Abmahnwellen oder Klagen vorbereiten und der Community helfen mit gutem Austausch der Informationen.
  7. Oft finden Betroffene oder Abmahner noch weitere Fehler in der Datenschutzerklärung z.B. das Fehlen des Hinweises auf das Recht des Betroffenen, bei einem Datenschutzverstoß eine Beschwerde nach Art. 12 DSGVO bei einer Aufsichtsbehörde nach Art. 77 DSGVO einzureichen.
  8. Gewerbetreibende oder Freiberufler mit zulassungspflichtigen Berufen, machen auch häufig Fehler bei den Pflichtangaben im Impressum. Nach § 5 Abs. 1 Nr. 5 TMG müssen bei Berufen, die wie z.B. bei Heilpraktikern oder einem Elektromeister entsprechende Dienstleistungen nur mit einem Befähigungsnachweis einer gesetzlich zuständigen Stelle wie etwa Gesundheitsamt oder Handwerkskammer angeboten werden dürfen, weitere Angaben machen. Es ist die für Sie zuständige Aufsichtsbehörde oder Stelle anzugeben, also etwa Handwerkskammer oder Innung oder Gesundheitsamt mit den Kontaktdaten, die gesetzliche Berufsbezeichnung und der Staat, in dem die Berufsbezeichnung verliehen worden ist und die Bezeichnung der berufsrechtlichen Regelungen und Links zu den Vorschriften, denen der Anbieter für diesen Beruf unterliegt.
  9. Es ist auch nicht sinnvoll, zu der Datenschutzerklärung mit einer Checkbox die Einwilligung einzuholen, da es sich bei der Datenschutzerklärung um Pflichtangaben nach Art. 12 DSGVO handelt und nicht AGB. Sie wollen und müssen ja jeweils bei Änderungen der Webseite oder Fehlern ohne Zustimmung und besondere Benachrichtigung der Nutzer die Datenschutzerklärung aktualisieren können. Die Datenschutzhinweise sind also nicht zu verwechseln mit AGB, die nur unter ganz engen Voraussetzungen bei laufenden Geschäftsverbindungen einseitig geändert werden können. Die Datenschutzhinweise sollten hier einfach als Link bereitgestellt werden zur Information über den Datenschutz auf der Webseite und beim Umgang mit den Kontaktanfragen.

Ich hoffe, die Tipps helfen Ihnen weiter. Wenn ich Ihnen mit einem rechtlichen Webseitencheck oder Sie weitere Fragen haben, schreiben Sie mir gerne dazu eine Nachricht oder sprechen Sie mich an.
Herzliche Grüße Stefanie Hagendorff – www.it-fachanwaeltin.de – Rechtsanwältin und Fachanwältin für IT-Recht Am Straßbach 2 61169 Friedberg (Hessen) kontakt@it-fachanwaeltin.de