Datenschutz Archive - Recht energisch

Der erste DSGVO-Bußgeldbescheid

Wir wetten, die deutschen Unternehmen fürchten sich vor der Datenschutzgrundverordnung (DSGVO) mehr als der Prophet Mohammed persönlich vor einem Prager Schinken. Hakt man nach, hört man die unglaublichsten Anekdoten, was nun alles nicht mehr gehen soll, denn – so sagt der kaufmännische Volksmund – es drohen die unglaublichsten Strafen in Millionenhöhe, wenn nicht gar der sofortige Ruin.

Diesem Schreckensszenario wird das erste auf Grundlage der DSGVO nun verhängte Bußgeld nicht gerecht. 20.000 EUR muss das Netzwerk „Knuddels“ zahlen, das besonders von Kindern und Jugendlichen genutzt wird. Diesem Netzwerk waren durch einen Hackerangriff Daten von 330.000 Nutzern, u. a. E‑Mailadressen und Passwörter, abhanden gekommen. Das Unternehmen meldete das, der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wurde aktiv, und dann stellte sich heraus, dass es zu dem Leck wohl gekommen war, weil das Netzwerk auf die Passwörter nicht richtig aufgepasst hatte, es hatte sie entgegen Art. 32 Abs. 1 lit a DS-GVO unverschlüsselt gespeichert.

Das Unternehmen warf sich vor dem LfDI quasi in den Staub. Innerhalb weniger Wochen brachte es seine Datenverarbeitung auf neuesten Stand, es kooperierte so vorbildlich, dass das sogar in der Pressemitteilung des LfDI lobend erwähnt wird, und es gab für die Aufarbeitung und die Erneuerung der Datenverarbeitungsstruktur einen sechsstelligen Betrag aus. All das fiel bei der Bemessung des Bußgeldes ins Gewicht. Zudem handelt es sich um ein kleineres, deutsches Netzwerk, dessen Jahresumsätze weit, weit entfernt sind von denen der kalifornischen Giganten.

Es geht aus Art. 83 Abs. 2 DSGVO hervor, dass alle diese Punkte sich auf die Höhe des Bußgeldes auswirken sollen. Im Übrigen muss ein Bußgeld stets wirksam, verhältnismäßig und abschreckend sein, so steht es in Art. 83 Abs. 1 DSGVO. Gerade die Verhältnismäßigkeit, also die Angemessenheit von Zweck und Mittel, begrenzt die Höhe der Bußgelder. Mit anderen Worten: Auch eine Datenschutzbehörde darf niemanden köpfen, nur weil er sich eine leichte Schusseligkeit zuschulden hat kommen lassen. Das bedeutet: Die in Art. 83 Abs. 4 DSGVO genannten Obergrenzen für Bußgelder von 10 Mio. EUR bzw. 2% der weltweiten Umsätze im vorangegangenen Geschäftsjahr sind für schwere Fehler und maximal unkooperative Verantwortliche gedacht.

All das ist in die Bemessung der 20.000 EUR Bußgeld eingeflossen. Zusammen mit den von der Behörde erwähnten sechsstelligen Kosten dürfte der Schaden für das Unternehmen zuzüglich des Rufschadens trotzdem erheblich sein, auch wenn zumindest ein Teil des Geldes schon vor dem 25.05.2018 für mehr Datenschutz hätte ausgegeben werden müssen. Es gibt also keinen Grund, sich beruhigt wieder hinzulegen und den Datenschutz gedanklich in den Keller zu schicken. Die verbreitete Panik, man dürfe jetzt gar nichts mehr tun, weil ansonsten der Ruin droht, wird aber, wie dieser Bußgeldbescheid zeigt, ebenfalls der Sache nicht gerecht.

Miriam Vollmer2018-11-23T00:23:44+01:0023. November 2018|Datenschutz, Wettbewerbsrecht|

Bundesrat und Datenschutz

Kaum hat das erste Gericht einen Datenschutzsünder auf eine Konkurrentenabmahnung zur Unterlassung verurteilt, rudert die Politik zurück: So hat man es sich mit dem Datenschutz dann offenbar doch nicht vorgestellt. Datenschutz ja, aber soll wirklich jeder jeden Wettbewerber wegen eines Verstoßes gegen die teilweise doch sehr detaillierten Regeln der DSGVO kostenpflichtig abmahnen können?

Manche meinen, das sei ohnehin gar nicht möglich. Denn die DGVO sei in Hinblick auf die Folgen von Verstößen abschließend. Fürchten müsste man sich dann nur vor den Datenschutzbehörden, aber vor neidischen Konkurrenten sei man sicher. Nun gut, wir werden sehen, was eines schönen, aber vermutlich fernen Tages der BGH dazu sagt.

Der Bundesrat will nun klare Verhältnisse schaffen. Auf S. 6 der hier verlinkten Ausschussempfehlungen für den 19.10.2018 verlangen die Bundesratsausschüsse etwas verklausuliert, dass Wettbewerber keine Datenschutzabmahnungen aussprechen können sollen.

Damit wäre der Datenschutz entgegen aller Ängste aus dem Frühjahr ein deutlich zahnloserer Tiger als früher. Denn das BDSG enthielt anerkannterweise Marktverhaltensregelungen, die abgemahnt werden konnten. Da es viel mehr Konkurrenten gibt als Datenschutzbehörden, und die meist rund 1.500 EUR Abmahnkosten auch mehr schmerzen als ein Hinweis und das oft nicht gar so hohe Bußgeld würde die Motivation vieler Unternehmen, sich datenschutzrechtlich nach der Decke zu strecken, doch deutlich abnehmen. Es bleibt also spannend, wie der Bundesrat sich positioniert und was der Bundestag dann daraus macht.

Miriam Vollmer2018-10-11T22:54:49+02:0011. Oktober 2018|Allgemein, Wettbewerbsrecht|

Abmahnung wegen DSGVO-Verstoß

Erinnern Sie sich an diese Welle der Panik im Frühjahr? Die Datenschutzgrundverordnung (DSGVO) musste bis zum 25.05.2018 umgesetzt werden, und alle, die über mehrere Jahre hinweg den Datenschutz auf die sehr leichte Schulter genommen hatten, befiehl die Angst. Lauerten etwa im Dickicht der vielen neuen (und manchmal auch nur gefühlt neuen) Pflichten schon die Abmahnanwälte, um Unternehmen, die beispielsweise ihre Datenschutzerklärung nicht bis ins letzte korrekt gefasst hatten, kostenpflichtig abzumahnen?

Schon damals wurde diskutiert, ob das überhaupt rechtmäßig möglich sei. Unter anderem der Vater der DSGVO, der grüne Europapolitiker Jan Philipp Albrecht (heute Minister in Kiel) verneinten dies. Art. 80 Abs. 2 die DSGVO ordne nämlich an, dass die DSGVO die Rechtsfolgen von Verstößen abschließend regele. Abmahnungen sind in der DSGVO aber nicht erwähnt. Die Datenschutzbehörden sind hier vielmehr als Wächter des Datenschutzes installiert, faktisch sind sie aber weit weniger gefürchtet als die Glücks-und Gebührenjäger, die im Auftrag von Konkurrenten tätig werden.

Schon damals im Mai war durchaus zweifelhaft, ob diese beruhigende Auskunft wirklich stimmt. Denn schließlich war auch in der Vergangenheit über § 3a UWG der Datenschutzverstoß als wettbewerbswidriger Rechtsbruch abmahnbar. Entsprechend ist es keine wirkliche Überraschung, dass das Landgericht (LG) Würzburg am 13.9.2018 (Az.: 11 O 1741/18) als erstes Landgericht eine Abmahnung wegen fehlerhafter Datenschutzerklärung für rechtmäßig erklärt und den Verwender der unzureichenden Datenschutzerklärung zur Unterlassung verurteilt hat. Die größte Überraschung an diesem Verfahren ist höchstens, dass nicht nur der Abmahnende, sondern auch der abgemahnte ein Rechtsanwalt ist.

Doch natürlich ist in dieser Sache das letzte Wort noch nicht gesprochen. Unabhängig von der Frage, ob der hier Unterlegene die Angelegenheit überprüfen lässt, wird es sicherlich weitere Verfahren und irgendwann ober- und höchstgerichtlicher Entscheidungen geben. Doch mindestens bis zu diesem Zeitpunkt muss man davon ausgehen, dass Abmahnungen wegen Datenschutzverstößen eine ernst zu nehmendes Risiko darstellen. Entsprechend heißt es jetzt: Wer sich immer noch nicht sicher ist, ob der Datenschutz in seinem Unternehmen, auf jeden Fall aber auf seiner Homepage, so aussieht, wie die DSGVO es verlangt, sollte unbedingt nachlegen.

Miriam Vollmer2018-10-05T00:21:52+02:005. Oktober 2018|Wettbewerbsrecht|

12 Vor

Dr. Miriam Vollmer ist Rechtsanwältin und Fachanwältin für Verwaltungsrecht. Sie vertritt seit 2006 rund um die Themen Klima, Umwelt, Wettbewerb und Energie. Frau Dr. Vollmer ist Lehrbeauftragte der Universität Bielefeld, leidenschaftliche Prozessanwältin, Vortragsrednerin mit breiter Erfahrung von Fortbildungsveranstaltungen bei Unternehmen und Verbänden bis zur re:publica und Verfasserin zahlreicher Publikationen.

Mehr über Frau Dr. Vollmer finden Sie hier.

Dr. Olaf Dilling ist Rechtsanwalt. Er blickt auf eine lange Wissenschaftskarriere zurück. So hat er am Umweltforschungszentrum (UFZ) Leipzig zu Stickstoffemissionen geforscht, hat nach einer Promotion über grenzüberschreitende Produktverantwortung eine Vertretungsprofessur in Oldenburg wahrgenommen, in Georgien und Mazedonien die Regierung beraten, einen Lehrauftrag an der Uni Bremen und eine Station beim Sachverständigenrat für Umweltfragen (SRU) absolviert.
Er hat breite Erfahrungen als Sprecher und Berater, kennt sich vom Umweltrecht bis zu Digitalthemen wie der Wikipedia aus und hat umfangreich publiziert.

Mehr über Herrn Dr. Dilling finden Sie hier.

Dr. Christian Dümke ist seit 2007 als Rechtsanwalt im Energierecht tätig. Sein Schwerpunkt liegt dabei in der Vertragsgestaltung und der zivilgerichtlichen Prozessführung, einschließlich der Durchsetzung wettbewerbsrechtlicher Ansprüche mit energierechtlichem Bezug. Zudem ist Herr Dr. Dümke spezialisiert in dem sich ständig fortentwickelnden Recht der erneuerbaren Energien (EEG/KWK) und der passenden rechtlichen Ausgestaltung von dezentralen Energieversorgungskonzepten in geschlossenen Verteilernetzen und Quartieren. Herr Dr. Dümke berät überwiegend kommunale Energieversorgungsunternehmen, Anlagenbetreiber und Industrieunternehmen aber auch Vertreter der Immobilienwirtschaft.

Mehr über Herrn Dr. Dümke finden Sie hier.

Dirk Buchsteiner ist Rechtsanwalt seit 2019 und seit über zehn Jahren im Umweltrecht aktiv. Er begleitet Unternehmen und die öffentliche Hand vor allem im Immissionsschutz- und Kreislaufwirtschaftsrecht, hat aber auch reiche Erfahrung im Planungs‑, Wasser- und Bergrecht. Buchsteiner führt Infrastrukturprojekte von der ersten Machbarkeitsstudie bis zur Inbetriebnahme und kämpft die Belange seiner Mandanten auch vor den Verwaltungsgerichten zum Erfolg. Dirk Buchsteiner ist auch ein gefragter Referent, der auch regelmäßig Immissionsschutz- und Abfallbeauftragte schult.

Mehr über Herrn Dirk Buchsteiner finden Sie hier.