Vorsicht: Abmahnung wegen fehlender Datenschutzerklärung

Seit dem 23. Februar 2016 existiert ein Gesetz, nach dem es möglich ist, wegen einer unvollständigen Datenschutzerklärung abgemahnt zu werden. Die Initiative dazu kann von Verbraucherverbänden oder auch von Wettbewerbern ausgehen.

 

Ein Gesetz mit spürbaren Konsequenzen

Von vielen praktisch unbemerkt wurde das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts erlassen. Doch das neue Gesetz hat weitreichende Konsequenzen. Eine Folge für Betreiber von Webseiten können Abmahnungen sein, wenn die Datenschutzerklärungen auf diesen entweder nicht vorhanden oder unvollständig sind. Dabei spielt die Größe des Fehlers nur eine untergeordnete Rolle. Eine Abmahnung ist bereits möglich, wenn die Datenschutzerklärung in einer bestimmten Auflösung auf einer einzigen Unterseite der Internetpräsenz nicht vorhanden ist.

Auf diese Weise können Verbraucherverbände gegen Webseiten vorgehen, die den Datenschutz nicht ausreichend berücksichtigen. Die frühere Regelung gab hierzu wesentlich weniger Möglichkeiten als die neue Verordnung, die seit Februar 2016 gilt.

Aber nicht nur Verbraucherverbände können Verstöße gegen das Datenschutzrecht zur Rechenschaft ziehen. Auch Wettbewerber können einen Konkurrenten abmahnen, wenn dieser eine fehlerhafte oder unvollständige Datenschutzerklärung auf seiner Webseite hat. Dies hielt das Oberlandesgericht Köln in seinem Urteil vom 11. März 2016 (Az.: 6 U 121/15) fest.

Wann droht eine Abmahnung?

Die Gefahr einer Abmahnung besteht in erster Linie dann, wenn eine Datenschutzerklärung völlig fehlt oder die Angaben zu personenbezogenen Daten darin nicht vollständig sind. Dies betrifft zum Beispiel:

  • Bei Newslettern: Hinweis zur Datenverwendung, Abbestellmöglichkeit.
  • Bei Kontaktformularen: Verwendung der Daten.
  • Allgemeine Klauseln wie Auskunftsrecht, Widerrufsrecht, das Recht auf Löschung und Sperrung von Daten müssen explizit erwähnt werden.
  • Analyse-Tools wie Google Analytics, Piwik, eTracker oder WebTrekk bedürfen Erklärungen zu ihrer Datenverwendung, zum Löschen erhobener Daten (wann?) und zum Opt-Out für die Zukunft (etwa über Cookies).
  • Kunden- und Bestelldaten.

Allerdings sind nicht nur direkt abgefragte bzw. sichtbare Inhalte abmahnwürdig. Dasselbe gilt inzwischen selbst für dynamische IP-Adressen. Diese gelten nach Urteil des BGH seit 2017 als personenbezogen.

Ab dem 25. Mai 2018 um 00.00 Uhr wird sich die Lage weiter verschärfen: Dann tritt die neue EU Datenschutzrichtlinie in Kraft. Diese nimmt auch Datentransfers ins Ausland kritisch unter die Lupe. Das Verarbeiten und Speichern auf Servern, die nicht in Europa liegen und damit nicht dem EU-Recht unterstehen, wird dann problematisch. Außerdem kommen zu den bisherigen Pflichtangaben weitere hinzu, zum Beispiel ein notwendiges Verzeichnis der Verarbeitungstätigkeiten für Unternehmen, welches das bisherige Verfahrensverzeichnis ablöst. Mit Dienstleistern des Unternehmens muss dann jeweils ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen werden.

Die neuen gesetzlichen Anforderungen verändern auch die Situation beim Einsatz von Web Analytics Tools. Bisher stand hier Google Analytics unangefochten auf Platz eins, doch aus datenschutzrechtlichen Gründen wird sich dies wahrscheinlich bald ändern.

2019-09-17T16:21:21+02:00