Kein Ende der Abmahnwellen im Datenschutz!
Im vergangenen Jahr erhielten tausende Website-Betreiber Abmahnungen wegen eines vermeintlichen Datenschutz-Verstoßes vor dem Hintergrund des Urteils des Landgericht München hinsichtlich der fehlerhaften Einbindung von Google Fonts (vgl. Urteil vom 20.01.2022 – Az. 3 O 17493/20).
Inzwischen sind neue Abmahnwellen gegen die Nutzung unzulässiger Tools (beispielsweise für E-Mail Newsletter wie Klaviyo, Sendinblue, Mailchimp etc.) mit der Übertragung von Daten der Besucher in ein unsicheres Drittland, der USA zu erkennen. Diese erlauben nicht nur das bequeme Erstellen und Versenden der E-Mail Newsletter direkt über den Web Client. Auch weitergehende Trackingmöglichkeiten werden angeboten.
Hier werden ebenfalls Abmahnungen versendet. In der Vorgehensweise haben diese aus den Fehlern der Akteure aus dem vergangenen Jahr gelernt und belegen nun, dass die Website von der betroffenen Person aufgerufen und dort Dienste mit unzulässiger Datenübertragung genutzt wurden. In diesen Fällen wird es schwieriger, die Abmahnungen zurückzuweisen, bzw. Argumentationen für die Unzulässigkeit der Abmahnung zu finden.
Wie ist die Vorgehensweise?
Ein Website-Besucher meldet sich für den Newsletter an. Daraufhin sendet er ein Schreiben mit einem Auskunftsersuchen nach Art. 15 DSGVO. Auf dieser Grundlage macht die Person das Recht auf Auskunft über alle zu seiner Person verarbeiteten personenbezogenen Daten geltend. Insbesondere möchte er auch wissen, ob ihn betreffende personenbezogene Daten an ein drittes Unternehmen gesendet werden.
Mit diesen Daten wird dann eine entsprechende Abmahnung vorbereitet. Der abmahnende Anwalt behauptet, Ihr Mandant habe einen Unterlassungsanspruch wegen einer Verletzung seines Rechts auf informationelle Selbstbestimmung. Sie behaupten, die Übermittlung der den Mandanten betreffenden personenbezogenen Daten an ein US-amerikanisches Unternehmen – hier Klaviyo – sei von keiner Rechtsgrundlage gedeckt.
Zum einen verlangt der Anwalt die Abgabe einer strafbewehrten Unterlassungserklärung. Das verbietet es den Website-Betreiber dann nach der Abgabe praktisch, dieses E-Mail Tool weiter zu nutzen. Zum anderen verlangen sie Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, also 1728,48 €. Und weil das noch nicht genug wäre: ein Schmerzensgeld in Höhe von 5000 € für die erlittenen „seelischen Schäden“ aufgrund der Übermittlung personenbezogener Daten an ein US-amerikanisches Unternehmen.
Wenn innerhalb einer angemessenen Frist keine Antwort eintrifft, wird damit gedroht, den DSGVO-Vorfall an die zuständige Datenschutzbehörde zu melden. Dies könnte, so der Anwalt, zu unangenehmen Folgen wie einer Geldbuße bis zu 20.000.000 Euro bzw. einem Gewerbeverbot führen.
Eben diese Mitverantwortlichkeit führt in der Praxis nun dazu, dass sowohl Meta als auch die Fanpage-Betreibenden die Vorschriften der DSGVO beachten und einhalten müssen.
Art. 26 DSGVO legt sogar fest, dass eine gemeinsame Vereinbarung über die beiderseitige Verantwortung geschlossen werden muss. Da diese Bedingungen von Facebook jedoch nicht ermöglicht werden (es ist beispielsweise immer noch unklar, in welchem Umfang die personenbezogenen Daten verarbeitet werden), können Betreiber*innen demnach nicht sicherstellen und nachweisen, dass die gesammelten Daten auch rechtmäßig verarbeitet werden.
Besonders im Fokus steht hierbei die Übermittlung der personenbezogenen Daten in Drittstaaten, also in nicht EU-Länder, da das Datenschutzniveau dort oftmals nicht angemessen ist und der Schutz der Daten folgend nicht ausreichend gewährleistet werden kann.
Wie ist die Rechtslage?
Unabhängig davon, ob die Forderungen und das Schmerzensgeld berechtigt oder überzogen sind, besteht auf jeden Fall derzeit eine rechtliche Unsicherheit bei der Nutzung dieser Tools, denn
- es existiert zurzeit kein Angemessenheitsbeschluss zum Datenschutz zwischen der EU und den USA
- die Standardvertragsklauseln (SCC) nach Art. 46 DSGVO sind nicht „ausreichend“, weil es im Einzelfall auf ausreichende Garantien für die Übertragung ankommt.
- Es bleibt also nur die explizite Einwilligung der Nutzer mit dem Hinweis der Datenübermittlung in die USA, einem unsicheren Drittland.
Wie kann es weitergehen?
Jedenfalls räumt die Executive Order 1408 von Präsident Biden seit ihrer Geltung 2022 den Betroffenen deutlich mehr Rechtsschutzmöglichkeiten ein als früher.
Zudem hat der EuGH in seinem Urteil Schrems II nicht gesagt, dass Standardvertragsklauseln nicht geeignete Garantie für eine Datenübermittlung in ein unsicheres Drittland wie die USA sein können.
Und zusätzlich muss der EuGH erst darüber entscheiden, ob eine nicht erteilte Auskunft überhaupt die Bagatellgrenze für ein Schmerzensgeld im Datenschutz überschreitet. Tendenziell eher nein.
Abwarten ist keine Lösung!
Das Abwarten und Nichts-Tun ist hier keine Lösung, denn auf ein Auskunftsersuchen muss reagiert werden und Abmahnschreiben sollte man auch nicht einfach ignorieren.
Jeder Website-Betreiber sollte für sich prüfen, ob und welche Tools überhaupt auf der eigenen Webseite genutzt oder z. B. für Newsletter verwendet werden.
Im Anschluss ist zu prüfen, ob es nicht gleichwertige datenschutzkonforme Funktionen und Tools aus Deutschland oder dem europäischen Raum gibt. Wenn man das nicht möchte, muss über transparente Einwilligungen mit dem Hinweis auf die Datenübermittlung in die USA die rechtliche Basis für die Nutzung hergestellt werden.
Fazit
Weiterhin besteht ein hohes Risiko bei nicht korrekter Einbindung und Nutzung von Tools und Funktionen auf den Webseiten, wenn dabei Daten in unsichere Drittländer übertragen werden.
Das können Funktionen, Tools und Einbindungen sein, wie:
- Google-Fonts
- Google-Maps
- YouTube
- Klaviyo
- Sendinblue
- Mailchimp.
Ob ggf. andere Tools betroffen sein könnten, muss immer im Einzelfall geprüft und bewertet werden. Diese Prüfung sollte aber auf jeden Fall vorgenommen werden, um nicht eines Tages von unerwünschter Post im Briefkasten überrascht zu werden.