Foto: Shutterstock

22.05.2019

DSGVO – wie ist die aktuelle Lage?

Gut ein Jahr ist es her, seit die DSGVO in Kraft getreten ist. Unser Rechtsexperte Sven Kobbelt gibt einen Zwischenstand.

Ich habe vor einigen Tagen in einem Geschäft um die Ecke etwas bestellt. „Geeerda“, rief der freundliche Verkäufer, „haben wir die Dinger noch, die Familie Maier und der Schulze letzte Woche gekauft haben?“ Wir wohnen in einem kleinen Ort. Ich kenne Familie Maier und auch den Schulze. Jetzt weiß ich, dass beide Geschmack haben. Außerdem weiß ich, dass gewissen Datenlecks auch mit der besten Datenschutzgrundverordnung (DSGVO) nicht beizukommen ist.
    Egal, ob Arzt, Unternehmer, Rechtsanwalt oder Vorstand im Verein – erwähnt man die Monate April und Mai 2018 folgt ein entnervtes Augenrollen und ein geseufztes ­„Datenschutz“. Viel ist damals publiziert worden, auch wir haben im Heft 12 die DSGVO unter die Lupe genommen. Viel ist geschimpft worden auf das neue bürokratische Monster und noch mehr Energie ist in die Aufarbeitung der Datenverarbeitung investiert worden.
    Und wie wirkt sich die DSGVO nun in der Praxis aus? Auf den ersten Blick nur durch mehr Verwaltungsaufwand. Zu Beginn eines neuen Auftrages, einer neuen Kundenbeziehung, eines neuen Vertrages wird inzwischen fast immer auch eine Datenschutzerklärung vorgelegt. Hand aufs Herz: Wir alle haben solche Erklärungen schon blindlings und ohne Lektüre unterschrieben. Ob wir die Einwilligung zur Weitergabe zu kommerziellen Zwecken erklärt haben? Wir wissen es nicht. Beim Handwerker, Friseur, Arzt und Einzelhändler um die Ecke bin ich geneigt darauf zu wetten, dass er oder sie auch weiterhin gut mit den Daten umgeht. Bei den Global Playern des Digitalzeitalters bin ich ebenso geneigt darauf zu wetten, dass Daten weiterhin vor allem eines sind: ein Entgelt für die Dienstleistung. Mit entsprechender kommerzieller Nutzung. Nur dass dies inzwischen mit unserem Einverständnis erfolgt.

Unerfreulicher Praxisfall

Außer Spesen nichts gewesen also und die DSGVO damit ein Thema zum Vergessen? Mitnichten. Von einem Leser aus dem Ruhrgebiet erreicht uns folgender Bericht aus der Praxis:

Über das auf der Homepage eingerichtete Kontaktformular meldet sich ein Kunde im Salon und bittet um Terminvorschläge in der kommenden Woche. Unter der Nachricht ist der Vor- und Zuname angegeben, außerdem ist die Eingabe einer E-Mail-Adresse erforderlich. Automatisch erhält der Kunde eine Kopie der Nachricht auf die angegebene E-Mail-Adresse.
    Danach passiert eine Weile nichts. Bis 19 Tage später ein Brief im Salon eingeht. Darin rügt der Kunde die fehlende SSL-Verschlüsselung der Homepage, eine fehlende Datenschutzerklärung auf der Homepage und den sorg­losen Umgang mit seinen sensiblen Daten. Mit Letzterem meint er seinen Namen und seine E-Mail-Adresse, welche er – wir erinnern uns – selbst über das Kontaktformular auf der nicht SSL-verschlüsselten Seite übersandt hat.
    Aufgrund der Verstöße verlangt er einen nicht näher begründeten Schadenersatz in Höhe von knapp 200 Euro und unterstreicht seine Forderung mit der Drohung, den Datenschutz­beauftragten zu informieren, den Salon im Netz schlecht zu bewerten und Klage erheben zu ­wollen.

Massenklage mit System?

Das aus Textbausteinen gefertigte und mit allerlei Fußnoten, rechtlichen Begriffen und Normverweisen geschmückte Schreiben lässt den Eindruck entstehen, dass es massen­weise versandt wurde. Eine Terminvereinbarung scheint jedenfalls nicht die Absicht des Absenders gewesen zu sein. Dass dem Leser in diesem Zusammenhang der Begriff „Erpressung“ einfällt, ist nachvollziehbar.
    Auch einen meiner Mandanten hat es erwischt. Ein Kunde, der sich mittels unwirksamer Kündigung aus einem Vertrag verabschieden wollte, drohte mit der Einschaltung des Datenschutzbeauftragten, der Geltendmachung von Schadenersatzansprüchen und der klageweisen Einforderung umfangreicher Auskünfte zu den verarbeiteten Daten, wenn der Kündigung nicht zugestimmt würde.

Keine leere Drohung

Was haben wir in der Vergangenheit nicht alles an kuriosen Aufforderungen zur Zahlung irgendwelcher Gelder erlebt. Einträge in dubiose Telefonbücher, für die astronomische Summen verlangt wurden; Schadenersatz für angeblich illegal heruntergeladene Pornos nebst Drohung, die Liste der angeblich gesehenen Filmchen zu veröffentlichen; kenianische Prinzen, deren Vermögen nur durch schnelle Überweisung des eigenen Vermögens gerettet werden kann. Bislang alles höchstens Anlass, über die teils merkwürdigen Formulierungen und Übersetzungsfehler zu lächeln und den Spamfilter nachzujustieren.

Die vorgenannten Fälle haben aber eine andere Qualität. Die in der DSGVO geregelten Auflagen zur Datensicherheit und Daten­information sind geltendes Recht. Jeder Betroffene einer Datenverarbeitung kann seine Rechte aus der DSGVO geltend machen. Daher ist auch der Kunde aus dem Fall des Lesers zunächst im Recht. Nutzt der Leser tatsächlich eine unverschlüsselte Homepage und stellt ein Kontaktformular zur Verfügung, ohne zugleich darauf hinzuweisen, wie die mit dem Kontaktformular übermittelten Daten genutzt werden, werden die Vorgaben der DSGVO verletzt.

In der Folge kann der Betroffene Schadenersatz verlangen und den Datenschutz­beauftragten des jeweiligen Bundeslandes informieren. Theoretisch kann dieser sogar ein Bußgeld verhängen. Auch wenn es wie ­„Erpressung“ anmutet, ist die Ankündigung, gegen die Verletzung des Datenschutzes vorzugehen, keine leere Drohung und ernst zu nehmendes Signal an den Unternehmer, sich der Thematik anzunehmen.

Unrecht macht DSGVO nicht hinfällig

Kommt es zu einem Prozess, wird das Gericht nicht umhinkommen, der Klage zumindest hinsichtlich der Auskunftsverlangen stattzugeben. Der verklagte Unternehmer muss dann detailliert darlegen, welche Daten er erhebt, wie diese Daten verarbeitet werden, wie und wo die Daten gespeichert sind und nach welcher Dauer die Daten gelöscht werden. Was auf den ersten Blick harmlos klingt, erreicht schnell den Umfang mehrerer Arbeitstage. Wird die Auskunft trotz entsprechender Verurteilung nicht erteilt, droht die Festsetzung eines Zwangsgeldes. Auch wenn das Verhalten der Betroffenen in beiden (realen!) Fällen verwerflich erscheinen mag und insbesondere im vom Leser geschilderten Fall schon fast eine Geschäftstätigkeit in der bewussten Provokation von Datenverstößen zu vermuten ist: Dieses (gefühlte) Unrecht macht nicht die Geltung der DSGVO hinfällig.

Kostenrisiko (noch) begrenzt

Zwei kleine Trostpflaster gibt es aber: Zum einen erfordert auch der aus einer Verletzung der DSGVO geltend gemachte Schadenersatz einen tatsächlichen Schaden. Das begründungslose Verlangen irgendeines Geldbetrages genügt nicht. An dieser Stelle wird der geschäftstüchtige „Geschädigte“ aus dem Leser-Fall vermutlich im gerichtlichen Verfahren scheitern. Denn er hat wissentlich über eine unverschlüsselte Verbindung seinen Namen und die E-Mail-Adresse übersandt.
    Zum anderen gibt es eine erste Rechtsprechung, die sich mit dem Streitwert eines Auskunftsanspruches beschäftigt. Das OLG Köln bestätigt einen vom LG Köln angenommenen Streitwert von 500 Euro für die Klage auf ­Erteilung von Auskünften nach der DSGVO. Aus dem Streitwert bemessen sich sowohl die Gerichts- als auch die Anwaltskosten. Beide sind bei einem Betrag von 500 Euro sehr überschaubar. Erfolgt also eine Verurteilung zur Erteilung der Auskunft, ist zumindest das Kostenrisiko begrenzt.

Mein Fazit

Auch knapp ein Jahr später kann man die dringlichen Appelle aus dem Mai 2018 nur wiederholen: Bitte beschäftigen Sie sich mit den Vorschriften der DSGVO!

  • Erstellen Sie ein Verzeichnis der Verarbeitung.
  • Lassen Sie jeden, dessen Daten Sie verarbeiten, eine Datenschutzerklärung unterschreiben.
  • Verschlüsseln Sie Ihre Homepage.
  • Nutzen Sie kein Kontaktformular auf der Homepage und wenn doch, dann nur mit umfangreicher Erklärung, was mit den übermittelten Daten geschieht.
  • Ergänzen Sie das Impressum Ihrer Homepage um eine Datenschutzerklärung.
  • Investieren Sie in die überschaubaren Kosten einer Software, die die auf Ihrem Server oder PC im Salon hinterlegten Daten vor unbefugtem Zugriff schützt.

Auch wenn es bei der Einschätzung bleibt, dass bei der DSGVO in vielen Fällen mit Kanonen auf (die falschen!) Spatzen geschossen wurde: Es bleiben Kanonenschüsse. Und vor deren Einschlägen sollten Sie sich durch entsprechende Vorsorge schützen.

Sven Kobbelt

ist Rechtsanwalt und Experte für mittelständische Unternehmen. In unserer Rubrik „Urteil des Monats“ untersucht er spannende Gerichtsurteile.