Kein Ende der Abmahnwellen im Datenschutz!

by|20. März 2023|Aktuelles

Im vergangenen Jahr erhielten tausende Website-Betreiber Abmahnungen wegen eines vermeintlichen Datenschutz-Verstoßes vor dem Hintergrund des Urteils des Landgericht München hinsichtlich der fehlerhaften Einbindung von Google Fonts (vgl. Urteil vom 20.01.2022 – Az. 3 O 17493/20).

Inzwischen sind neue Abmahnwellen gegen die Nutzung unzulässiger Tools (beispielsweise für E-Mail Newsletter wie Klaviyo, Sendinblue, Mailchimp etc.) mit der Übertragung von Daten der Besucher in ein unsicheres Drittland, der USA zu erkennen. Diese erlauben nicht nur das bequeme Erstellen und Versenden der E-Mail Newsletter direkt über den Web Client. Auch weitergehende Trackingmöglichkeiten werden angeboten.

Hier werden ebenfalls Abmahnungen versendet. In der Vorgehensweise haben diese aus den Fehlern der Akteure aus dem vergangenen Jahr gelernt und belegen nun, dass die Website von der betroffenen Person aufgerufen und dort Dienste mit unzulässiger Datenübertragung genutzt wurden. In diesen Fällen wird es schwieriger, die Abmahnungen zurückzuweisen, bzw. Argumentationen für die Unzulässigkeit der Abmahnung zu finden.

Wie ist die Vorgehensweise?

Ein Website-Besucher meldet sich für den Newsletter an. Daraufhin sendet er ein Schreiben mit einem Auskunftsersuchen nach Art. 15 DSGVO. Auf dieser Grundlage macht die Person das Recht auf Auskunft über alle zu seiner Person verarbeiteten personenbezogenen Daten geltend. Insbesondere möchte er auch wissen, ob ihn betreffende personenbezogene Daten an ein drittes Unternehmen gesendet werden.

Mit diesen Daten wird dann eine entsprechende Abmahnung vorbereitet. Der abmahnende Anwalt behauptet, Ihr Mandant habe einen Unterlassungsanspruch wegen einer Verletzung seines Rechts auf informationelle Selbstbestimmung. Sie behaupten, die Übermittlung der den Mandanten betreffenden personenbezogenen Daten an ein US-amerikanisches Unternehmen – hier Klaviyo – sei von keiner Rechtsgrundlage gedeckt.

Zum einen verlangt der Anwalt die Abgabe einer strafbewehrten Unterlassungserklärung. Das verbietet es den Website-Betreiber dann nach der Abgabe praktisch, dieses E-Mail Tool weiter zu nutzen. Zum anderen verlangen sie Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, also 1728,48 €. Und weil das noch nicht genug wäre: ein Schmerzensgeld in Höhe von 5000 € für die erlittenen „seelischen Schäden“ aufgrund der Übermittlung personenbezogener Daten an ein US-amerikanisches Unternehmen.

Wenn innerhalb einer angemessenen Frist keine Antwort eintrifft, wird damit gedroht, den DSGVO-Vorfall an die zuständige Datenschutzbehörde zu melden. Dies könnte, so der Anwalt, zu unangenehmen Folgen wie einer Geldbuße bis zu 20.000.000 Euro bzw. einem Gewerbeverbot führen.

Eben diese Mitverantwortlichkeit führt in der Praxis nun dazu, dass sowohl Meta als auch die Fanpage-Betreibenden die Vorschriften der DSGVO beachten und einhalten müssen.

Art. 26 DSGVO legt sogar fest, dass eine gemeinsame Vereinbarung über die beiderseitige Verantwortung geschlossen werden muss. Da diese Bedingungen von Facebook jedoch nicht ermöglicht werden (es ist beispielsweise immer noch unklar, in welchem Umfang die personenbezogenen Daten verarbeitet werden), können Betreiber*innen demnach nicht sicherstellen und nachweisen, dass die gesammelten Daten auch rechtmäßig verarbeitet werden.

Besonders im Fokus steht hierbei die Übermittlung der personenbezogenen Daten in Drittstaaten, also in nicht EU-Länder, da das Datenschutzniveau dort oftmals nicht angemessen ist und der Schutz der Daten folgend nicht ausreichend gewährleistet werden kann.

Wie ist die Rechtslage?

Unabhängig davon, ob die Forderungen und das Schmerzensgeld berechtigt oder überzogen sind, besteht auf jeden Fall derzeit eine rechtliche Unsicherheit bei der Nutzung dieser Tools, denn

  • es existiert zurzeit kein Angemessenheitsbeschluss zum Datenschutz zwischen der EU und den USA
  • die Standardvertragsklauseln (SCC) nach Art. 46 DSGVO sind nicht „ausreichend“, weil es im Einzelfall auf ausreichende Garantien für die Übertragung ankommt.
  • Es bleibt also nur die explizite Einwilligung der Nutzer mit dem Hinweis der Datenübermittlung in die USA, einem unsicheren Drittland.

Wie kann es weitergehen?

Jedenfalls räumt die Executive Order 1408 von Präsident Biden seit ihrer Geltung 2022 den Betroffenen deutlich mehr Rechtsschutzmöglichkeiten ein als früher.

Zudem hat der EuGH in seinem Urteil Schrems II nicht gesagt, dass Standardvertragsklauseln nicht geeignete Garantie für eine Datenübermittlung in ein unsicheres Drittland wie die USA sein können.

Und zusätzlich muss der EuGH erst darüber entscheiden, ob eine nicht erteilte Auskunft überhaupt die Bagatellgrenze für ein Schmerzensgeld im Datenschutz überschreitet. Tendenziell eher nein.

Abwarten ist keine Lösung!

Das Abwarten und Nichts-Tun ist hier keine Lösung, denn auf ein Auskunftsersuchen muss reagiert werden und Abmahnschreiben sollte man auch nicht einfach ignorieren.

Jeder Website-Betreiber sollte für sich prüfen, ob und welche Tools überhaupt auf der eigenen Webseite genutzt oder z. B. für Newsletter verwendet werden.

Im Anschluss ist zu prüfen, ob es nicht gleichwertige datenschutzkonforme Funktionen und Tools aus Deutschland oder dem europäischen Raum gibt. Wenn man das nicht möchte, muss über transparente Einwilligungen mit dem Hinweis auf die Datenübermittlung in die USA die rechtliche Basis für die Nutzung hergestellt werden.

Fazit

Weiterhin besteht ein hohes Risiko bei nicht korrekter Einbindung und Nutzung von Tools und Funktionen auf den Webseiten, wenn dabei Daten in unsichere Drittländer übertragen werden.

Das können Funktionen, Tools und Einbindungen sein, wie:

  • Google-Fonts
  • Google-Maps
  • YouTube
  • Klaviyo
  • Sendinblue
  • Mailchimp.

Ob ggf. andere Tools betroffen sein könnten, muss immer im Einzelfall geprüft und bewertet werden. Diese Prüfung sollte aber auf jeden Fall vorgenommen werden, um nicht eines Tages von unerwünschter Post im Briefkasten überrascht zu werden.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)

PRev 06-2022: Die europäische Polizeibehörde Europol warntPRev 02-2023: Data Protection by Design / by Default im Unternehmen