Abmahn-Risiko bei Datenschutzverstößen abgemildert

Für viele Unternehmen dürfte es ein deutlich vernehmbares Aufatmen geben. Am 10. September 2020 hat der Bundestag ein Gesetz zur Stärkung des fairen Wettbewerbs beschlossen (siehe auch in der Pressemitteilung des Bundestags: https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2020/091020_Staerkung_fairer_Wettbewerb.html).

Nur „echte“ Konkurrenten anspruchsberechtigt

Einen Erstattungsanspruch für Abmahngebühren kann ein Konkurrent danach nur noch unter sehr eingeschränkten Bedingungen geltend machen. Die Frage der Anspruchsberechtigung wurde spürbar verschärft. Anspruchsvoraussetzung ist nicht mehr nur ein irgendwie geartetes Konkurrenzverhältnis, etwa wenn ein Branchenfremder eine neue Shopseite mit konkurrierenden Produkten vorübergehend online gestellt hat. Gefordert wird nunmehr der „nicht nur gelegentlich[e]“ Handel „in nicht unerheblichem Maße“ mit konkurrierenden Waren oder Dienstleistungen. Es muss also ein echtes, realistisches, nicht nur vorübergehendes Konkurrenzverhältnis bestehen.

Keine Kostenerstattung von Konkurrenten bei kleineren Unternehmen

Ist der Konkurrent anspruchsberechtigt, hat er damit erst einmal nur das Recht, eine Unterlassung zu fordern. Handelt es sich um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO), hat er keine Möglichkeit, gegenüber Unternehmen mit weniger als 250 Mitarbeitern eine Erstattung für seine Kosten zu fordern. Grundsätzlich nicht erstattungsfähig für Konkurrenten auch gegenüber größeren Konkurrenten sind Kosten für Unterlassungsansprüche bei Versäumnissen bei der Informations- und Kennzeichnungspflicht im Internet, z.B. Impressum oder Datenschutzinformation auf der Webseite, Informationspflichten bei Fernabsatzverträgen oder nach der Preisangabenverordnung.

Nur noch eingetragene Wirtschaftsverbände

Daneben wurden auch die Voraussetzungen für „Abmahnvereine“ und Co. verschärft. Das Bundesamt für Justiz führt nunmehr eine Liste mit qualifizierten Wirtschaftsverbänden, die dort nur als Anspruchsberechtigte aufgenommen werden können, wenn (neben anderen Voraussetzungen) deren Zweck nicht vorwiegend in der Erzielung von Einnahmen aus Abmahnungen und Vertragsstrafen besteht.

Um die Rechtschaffenheit der Tätigkeit überprüfen zu können, unterliegen die eingetragenen Wirtschaftsverbände einer umfassenden Berichtspflicht gegenüber dem Bundesamt über u.a. Anzahl der Abmahn- und Klageverfahren, der getroffenen Unterlassungsvereinbarungen mitsamt der vereinbarten Vertragsstrafe. Die Verletzung dieser Berichtspflichten ist zudem für die Wirtschaftsverbände bußgeldbewehrt.

Das Geschäftsmodell einer reinen Abmahn-„produktion“ wird durch die neuen Regelungen deutlich erschwert.

Kein fliegender Gerichtsstand mehr

Auch uninteressanter geworden sind die Abmahn-Praktiken aufgrund der Einschränkungen des sogenannten „fliegenden Gerichtsstands“. Da Verstöße im Internet von überall aus wahrgenommen werden können, war es bislang möglich, sich den Gerichtsstand für Klagen quasi selbst auszusuchen, sei es wegen der Rechtsprechungspraxis eines bestimmten Bezirks, sei es wegen Bequemlichkeit. Im neu beschlossenen Gesetzesentwurf ist der Gerichtsstand nunmehr festgelegt auf den Ort des Abgemahnten, so dass der Abmahner seine Tätigkeiten nicht mehr an einem Ort bündeln kann.

Rache ist süß

Hinzugetreten sind erleichterte Möglichkeiten, sich gegen ggf. unberechtigte Abmahnungen zur Wehr zu setzen. Beispielsweise wurden Regelbeispiele aufgenommen, wann von einer missbräuchlichen und damit unberechtigten Abmahnung ausgegangen werden kann. Dies stellt eine deutliche Beweiserleichterung für unrechtmäßig Abgemahnte dar. Die Kosten für die Rechtsverteidigung gegen missbräuchliche Abmahnungen können gleichermaßen gegen den Abmahner geltend gemacht werden, selbst dann wenn nur formale Mängel in der Abmahnung vorliegen.

Aussicht

Diese Gesetzesänderungen decken eine Flanke ab, die Sie bislang durch Abmahnungen zu fürchten hatten. Das Risiko von einer Abmahnwelle mitgerissen zu werden, ist damit deutlich gesunken. Der neue Gesetzesvorstoß entbindet Sie natürlich nicht davon, rechtskonform zu handeln. Nach wie vor gibt es Möglichkeiten, für Datenschutzverletzungen belangt zu werden. Schadensersatzansprüche sind von der Novelle nicht berührt, darunter können Ansprüche Betroffener genauso wie tatsächlich angefallene Schadensersatzansprüche von Konkurrenten fallen. Weiterhin hat auch die Datenschutz-Behörde das Recht, Sie für Datenschutzverstöße z.B. auf Ihrer Webseite zu belangen. All diese Ansprüche werden allerdings nach konkreten vorher feststehenden Kriterien bemessen und boten damit kein vergleichbar zu fürchtendes Risiko wie es manche Abmahnwelle mit sich brachte.

Der Gesetzesentwurf ist ein guter Schritt in Richtung fairer Wettbewerb und reduziert einen Risikofaktor. Wenn Sie auch die verbleibenden Risiko-Faktoren eliminieren wollen (Bußgeld und Schadensersatzforderungen), besprechen Sie sich mit Ihrem Datenschutzbeauftragten über möglicherweise noch bestehende Datenschutz-Lücken.

Ass.iur Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH

 

Kontrolle der Auftragsverarbeiter

Sie setzen Auftragsverarbeiter ein? Dann müssen Sie diese regelmäßig kontrollieren gemäß Art. 28 III 2 lit. h DSGVO! Als Auftraggeber bleiben Sie verantwortlich für alle Datenverarbeitungen, die durch den Dienstleister durchgeführt werden, und haften gegenüber den Betroffenen für eventuelle Schäden, die durch den Auftragsverarbeiter verursacht werden könnten. Ihre Haftung bleibt von ggf. bestehenden Regress-Forderungen an den Dienstleister unberührt.

Pflicht zur Kontrolle des Auftragsverarbeiters

Als Auftraggeber haben Sie nicht nur das Recht Ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DSGVO) sondern auch die Pflicht.

Denn Art. 28 I DSGVO erlaubt nur die Zusammenarbeit mit solchen Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags aus noch die einmalige Kontrolle.  Vielmehr hat die DSGVO eine laufende Kontrollverpflichtung verankert (Auftragskontrolle). Sie müssen das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und ggf. Änderungen der technischen und organisatorischen Maßnahmen bewerten.

Eine Verletzung dieser Pflicht kann nach Art. 83 IV lit. a DSGVO mit einem Bußgeld geahndet werden.

Inhalt der Kontrolle

Die Schutzziele der DSGVO sind nur mittels eines vollumfänglichen Datenschutzmanagements zu erreichen, weshalb diese grundsätzlichen Vorgaben beim Auftragsverarbeiter überprüft werden sollten. Als Auftraggeber sollten Sie insbesondere folgendes prüfen:

  • Vertraulichkeit Ihrer Daten, also wie wird sichergestellt, dass Dritte nicht unbefugt von Ihren Daten Kenntnis erlangen können. (Schutz der Vertraulichkeit ihrer Daten)
  • Integrität Ihrer Daten, also wie wird sichergestellt, dass die Daten nicht (nachträglich) unautorisiert modifiziert werden können.
  • Verfügbarkeit und Belastbarkeit der Systeme (also Sicherung der Datenverarbeitungsprozesse, Speicherung der Daten, Backup-Verfahren, Art und Weise der Archivierung, Sicherstellung der Widerstandsfähigkeit der IT).

Vor der Durchführung der Kontrolle des Auftragsverarbeiters sollten Sie überprüfen, ob Ihre Dienstleisterliste noch aktuell ist.

Häufigkeit und Art der Kontrolle

Aus der DSGVO ergibt sich nicht, wie oft der Auftragsverarbeiter kontrolliert werden muss. Im Hinblick auf das Risiko der Verarbeitung sind  geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Im Grundsatz gilt, je kritischer die Auftragsverarbeitung, desto häufiger ist eine Kontrolle notwendig. In der Regel sollte alle ein bis zwei Jahre eine Kontrolle durchgeführt werden.

Die DSGVO schreibt auch die Art der Kontrolle nicht vor, daher sind verschiedene Kontrollmittel zulässig, z B.:

  • Die Selbstbewertung des Auftragsverarbeiters anhand einer Checkliste
  • Die Kontrolle Vor-Ort
  • Die Überprüfung durch eine dritte Stelle (z.B. durch Ihren Datenschutzbeauftragten)
  • Vorlage von aktuellen Zertifizierungen
  • Auskünfte des Datenschutzbeauftragten des Auftragsverarbeiters

Wir haben für Sie eine Checkliste erstellt, die alle relevanten Prüfungspunkte enthält, die Sie an Ihren  Auftragsverarbeiter senden können. Bei Bedarf versenden wir die Checkliste und übernehmen die weitere Kommunikation mit Ihren Dienstleistern. Die Checkliste finden Sie in myGindat unter Punkt 9.07 in Ihrem Gesamtpaket.

Ergebnis der Kontrolle

Am Ende der Kontrolle muss bewertet werden, ob der Auftragsverarbeiter die vertraglich zugesicherten Garantien zum Schutz Ihrer Daten einhält. Ist das nicht der Fall, ist der Auftragsverarbeiter zur Umsetzung aufzufordern, andernfalls sollte die geschäftliche Beziehung beendet werden. Denn Sie haften als verantwortliche Stelle zumindest teilweise für Schäden, die der Auftragsverarbeiter verursacht.

Prüfpflicht des Datenschutzbeauftragten

Als bestellte Datenschutzbeauftragte haben wir gemäß Art. 39 I b DSGVO eine Prüfpflicht. Daher überprüfen wir, ob Sie die Auftragskontrolle auch durchgeführt haben.

Unterstützung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann Sie bei der Kontrolle des Auftragsverarbeiters umfassend unterstützen. Dazu gehören u. a. folgende Leistungen:

  • Bewertung der Auftragsverarbeiter im Hinblick auf die Kritikalität der Auftragsverarbeitungen. Diese Bewertung ist erforderlich um die Häufigkeit der Kontrollen festlegen zu können.
  • Kontaktaufnahme mit Ihren Auftragsverarbeitern und Versendung der Checkliste in Ihrem Auftrag
  • Dokumentation der Kontrollen

Das Gebot der Nachweisbarkeit nach Art. 24 I1, Art. 5 II DSGVO verlangt, dass Sie die Kontrolle des Auftragsverarbeiters dokumentieren (z.B. Art der Kontrolle, Ergebnisse, welche Nachweise hat der Auftragsverarbeiter erbracht)

  • Datenschutzrechtliche Bewertung der Kontrollergebnisse mit anschließender Handlungsempfehlung

Bitte teilen Sie uns mit, ob Sie die Auftragskontrolle selbständig durchführen oder ob Sie unsere Unterstützung benötigen.

 

 

Falschen Kontaktdaten in der Gastronomie, unter anderem Darth Vader

Viele Menschen geben bei den Kontaktlisten in Gastronomien falsche Namen und/oder Telefonnummern an. Unter anderem werden Bezeichnungen wie Darth Vader, Lucky Luke, Donald Duck oder Max Mustermann aufgeführt, was im Ernstfall die Rückverfolgung erschwert.

So wurde im Hamburger Schanzenviertel in einer Bar im Zeitraum vom 5. bis 9. September mehrere Angestellte Corona-positiv getestet. Von den etwa 600 Gästen, die sich potenziell angesteckt haben könnten, fehlen rund 100 korrekte Kontaktdaten.

Gastronomen in Hamburg müssen ein Bußgeld zahlen, wenn sich Gäste nicht in die Kontaktlisten eintragen, sind jedoch nicht für deren Wahrheitsgehalt verantwortlich. In Berlin kommen zukünftig 50 bis 500 Euro Bußgeld auf Gäste mit falschen oder unvollständigen Angaben zu.

Ob diese Daten aus Spaß oder aus Protest gegen die Datenerhebung so angegeben wurden, sei dahingestellt. Denn neben Gesundheitsämtern greift auch die Polizei zwecks Strafverfolgung auf die Kontaktlisten zurück. Gesetzlich ist das gegenwärtig zulässig, stößt aber auf Kritik in der Bevölkerung.

Das Gesundheitsamt ruft die Gäste mit ungeklärter Identität auf, sich freiwillig zu melden.

Weitere Informationen finden Sie hier: https://www.golem.de/news/corona-gaesteliste-gesundheitsbehoerden-auf-der-suche-nach-darth-vader-2009-150950.html

Corona Ransomware

Polizei, Sicherheits­verbände und die IHK warnen eindringlich vor einer neuen Form von Ramsomware. Eine E-Mail mit der Absenderadresse: poststelle@­bundes­ministerium-gesund­heit.com soll angeblich neue Arbeitsschutz­regeln zu Corona thematisieren. Die beigefügte ZIP-Datei mit dem Namen Arbeitsschutzregel-Corona-September.pdf.js verursacht nach dem Öffen/­Ausführen eine Verschlüsselung der auf dem jeweiligen Rechner befindlichen Dateien. Zusätzlich wird in der E-Mail darauf hingewiesen, diese Benachrichtigung auch an weitere Empfänger weiterzuleiten. Es handelt sich hierbei um einen Downloader für eine Schad­software, welche erhebliche Schäden verursacht. Eine Analyse der ZIP-Datei sowie die verwendetet Ver­schlüsselung wurde noch nicht durchgeführt.

Wichtig: Öffnen Sie in keinem Fall das ZIP-Archiv. Löschen Sie die E-Mail und informieren Sie alle Mitarbeiter im Unternehmen.

Weitere Informationen finden Sie hier:
https://www.pcwelt.de/news/Polizei-warnt-Mails-zum-Corona-Schutz-verbreiten-Malware-10882756.html

Facebook unter Druck

Die irische Datenschutz­behörde verlangt in einem noch vorläufigen Erlass von Facebook, die Übertragung von personen­­­bezogenen Daten in die USA zu unterlassen. Da das Datenschutz­­abkommen „Privacy Shield“ im Juli durch den Europäischen Gerichtshof für ungültig erklärt wurde, wäre dies die Konsequenz der Entscheidung. Facebook schrieb auf einem Blog­beitrag, dass sie zunächst so weiter­machen wollen wie bisher. Grund dafür könnte sein, dass das Unternehmen sich juristisch noch gegen den Erlass zur Wehr setzen kann. Noch ist es nach den Standard­vertragsklauseln möglich, personen­bezogen Daten unter Beachtung eines „angemessenen Schutzniveaus“ an Drittländer zu übertragen. Sollte der Datentransfer verboten werden, könnte dies Auswirkungen auf andere Unternehmen haben, warnt Facebook. So könnte zum Beispiel kein Cloud-Anbieter aus den USA rechtskonform genutzt werden.

Der Internet-Branchenverband Eco betrachtet das Interesse der Datenschützer ebenso als Risiko, da das EuGH-Urteil zu Rechts­unsicherheit führe. Der Verband verlangt von der EU, entsprechende Rahmen­­bedingungen zu schaffen, welche für Unternehmen zu mehr Planungs­sicherheit im Daten­austausch führt. Aktuell wären rund 5000 Unternehmen durch die Forderung der irischen Datenschutz­­behörde betroffen.

Weitere Informationen finden Sie hier:
https://www.spiegel.de/netzwelt/web/facebook-daten-von-eu-buergern-datenschuetzer-verlangen-uebertragungsstopp-in-die-usa-a-fbcf77c2-41e0-4204-b51f-ef1c43fe3c91