Ein normaler Tag im Unternehmen. Sie kommen ins Büro, der Tagesplan steht, die Termine warten. Plötzlich kommt ein Brief dazwischen auf dem groß und deutlich das Wort Abmahnung steht. Es ist die Rede von Abmahngebühren und einer Unterlassungs- und Verpflichtungserklärung sowie einer Vertragsstrafen Regelung von 4.000,- Euro. Damit ist der Tag erst einmal gelaufen.

Was ist passiert? Eine sogenannte Interessengemeinschaft Datenschutz hat es sich zur Aufgabe gemacht, sich für die Datenschutzinteressen der Verbraucher in Deutschland einzusetzen und gegen Datenschutzverstöße vorzugehen. Dabei hat sich der Verein aktuell auf die SSL Verschlüsselung der Webseiten, bzw. auf das Fehlen derselbigen konzentriert. Auf seiner Seite erklärt der Verein, dass er lediglich geringe Abmahngebühren (285,60 Euro) verlangt, um die Arbeit des Vereins zu finanzieren. Aktuell spricht der Verein nach eigenen Angaben von 500 Hinweisschreiben und 450 Abmahnungen die er zum Schutz der Bürger verschickt hat. Letztere wurden nur versendet, wenn personenbezogene Daten unverschlüsselt, beispielsweise beim Kontaktformular, übertragen wurden.

Wir wollen die Arbeit des Vereins nicht bewerten, es ist ja durchaus möglich, dass die Gründer und über 100 Mitglieder ehrbare Ziele verfolgen. Kritisch sehen wir aber den Umstand, dass dem Schreiben eine Unterlassungs- und Verpflichtungserklärung beigefügt ist, die es dem Verein ermöglicht, sollte sie denn unterschrieben werden, das Unternehmen lebenslang zu überwachen und bei Verstößen mit Vertragsstrafen in Höhe von mehreren tausend Euro zu belegen. Zusätzlich versucht der Verein dabei, die Repräsentanten, also die Geschäftsführung des Unternehmens persönlich mit in die Pflicht zu nehmen. Davon erzählt der Verein auf seiner Webseite nichts, aber auch das wollen wir nicht bewerten.

Grundsätzlich ist es so, dass es juristisch noch nicht eindeutig geklärt ist, wer denn was abmahnen darf. Streng genommen dürfen nur betroffene Verbraucher Abmahnungen veranlassen. Hier benennt der Verein jedes Vereinsmitglied als betroffenen Verbraucher um sich selbst die Legitimation zu verschaffen. Auch dies wollen wir nicht bewerten.

Unsere Empfehlung: Grundsätzlich ist es richtig, dass die Betreiber, bzw. Verantwortlichen für die Verarbeitung personenbezogener Daten gemäß Artikel 32 der DSGVO unter Berücksichtigung des Stands der Technik geeignete Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierzu zählt auch die Verschlüsselung der personenbezogenen Daten. Weiterhin empfehlen wir auch gemäß dem Grundsatz der Datenminimierung nur ein absolutes Mindestmaß an Informationen abzufragen. Also beim Kontaktformular lediglich die E-Mail-Adresse als Pflichtfeld festzulegen und den Rest als freiwillige Angaben zu deklarieren. Ziehen Sie in jedem Fall Ihren Datenschutzbeauftragten zu Rate, um Ihren aktuellen Stand bezüglich der DSGVO Vorgaben zu überprüfen. Sollten Sie dennoch Post mit dem Betreff Abmahnung erhalten, empfehlen wir Ihnen, sich auf jeden Fall juristisch beraten zu lassen, bevor Sie auf diese Schreiben antworten.

  1. Homepage technisch auf Datenschutzrichtlinien prüfen
  2. Reduzieren der Informationserhebung auf Mindestmaß
  3. Vorgehen mit Datenschutzbeauftragten abstimmen
  4. Bei Abmahnung immer juristischen Rat aufsuchen