Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
DSGVO: Was tun bei einer Abmahnung?
1. DSGVO: Was tun bei einer
Abmahnung?
04.09.2018
Michael Rohrlich
Lexware Akademie
2. Ihr Referent
Rechtsanwalt
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?2 |
Zulassung als Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 2012
Mitglied im Fachausschuss IT-Recht und GRUR des Aachener Anwaltvereins
Fachautor & Dozent seit 1997
Michael Rohrlich
Video-Trainer bei video2brain (LinkedIn Learning / Microsoft) seit 2012
3. 1
2
3
4
5
6
Einführung / Überblick
Verhalten bei einer Abmahnung
Rechte der Betroffenen & Pflichten der Unternehmen
Abmahnbare Verstöße
Begriffe & Prinzipien
Andere potentielle Sanktionen
Agenda
7 Vorlagen und Praxistipps zur DSGVO
5. Einführung / Überblick
Arbeitsrecht
Urheberrecht
Markenrecht
Äußerungsrecht
Wettbewerbsrecht
Datenschutzrecht (?)
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?5 |
Abmahnung = Aufforderung, eine tatsächliche oder eine vermutete Rechtsverletzung zu
unterlassen. Soll einen Rechtsstreit außergerichtlich & verbindlich regeln.
Abmahnungen grdsl. möglich u.a. im…
6. Einführung / Überblick
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?6 |
derzeit noch umstritten: Datenschutzverstöße zugleich unlauteres Verhalten, also kostenpflichtig
abmahnbar?
Pro: bis zum 25. Mai 2018 waren Verstöße gegen Datenschutzrecht in Deutschland regelmäßig
zugleich als unlauteres Verhalten anzusehen und daher durch Konkurrenten abmahnbar
Kontra: DSGVO regelt Sanktionen abschließend, daher kein Raum für wettbewerbsrechtliche
Abmahnungen, so dass ggf. Verbraucherschutzinstitutionen abmahnen können, nicht aber
Konkurrenzunternehmen
7. Einführung / Überblick
Abmahnberechtigung (Urheber? Arbeitgeber? Konkurrent? Betroffener? …)
Schilderung des Sachverhalts / Rechtsverstoßes
Aufforderung zur Unterlassung (ggf. vorformulierte Unterlassungserklärung)
Fristsetzung
ggf. Aufforderung zur Auskunft
ggf. Forderung von Schmerzensgeld
i.d.R. Schadensersatzforderung (z.B. Anwaltskosten, entgangene Lizenzkosten…)
Vollmacht des abmahnenden Anwalts
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?7 |
Voraussetzungen einer korrekten Abmahnung:
8. Einführung / Überblick
Fazit:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?8 |
Eine Abmahnung ist eine „gelbe Karte“ / letzte Chance für die außergerichtliche Klärung einer Streitigkeit
Erfolgt keine Einigung, bleibt i.d.R. nur ein Gerichtsverfahren („rote Karte“), d.h. weitere Anwaltskosten,
Gerichtskosten etc.
9. Einführung / Überblick
Mögliche Reaktionen auf eine Abmahnung:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?9 |
Keine Reaktion („Vogel-Strauß-Taktik“)
Zurückweisung / Richtigstellung
Abgabe der (modifizierten) strafbewehrten Unterlassungserklärung
Abgabe der (modifizierten) strafbewehrten Unterlassungserklärung + Zahlung von Schadensersatz
Abgabe der (modifizierten) strafbewehrten Unterlassungserklärung + Zahlung von Schadensersatz +
Auskunftserteilung, Zahlung von Schmerzensgeld o.ä. (je nach Forderung)
ggf. negative Feststellungsklage
Hinweis: Bei tatsächlichem Verstoß lässt nur eine strafbewehrte Unterlassungserklärung die sog.
Wiederholungsgefahr entfallen – geschieht dies nicht, kann der Abmahnende ein Gerichtsverfahren
einleiten.
11. Begriffe
Abmahnungen grdsl. möglich im Datenschutzrecht durch:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?11 |
Betroffene Person
Konkurrenz
Bestimmte Verbraucherschutzinstitutionen
Wichtig: Datenschutzrechtliche Grundlagen kennen, um Verstöße zu vermeiden!
12. Begriffe
Wichtige „Vokabeln“ zum Verständnis des Datenschutzrechts (in Art. 4 DSGVO werden
über 20 Begriffe definiert).
Zentrale Begriffe der DSGVO sind:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?12 |
„personenbezogene Daten“
„betroffene Person“
„verantwortliche Stelle“
„verarbeiten“
13. Begriffe
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO):
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
(der sog. „Betroffene“).
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?13 |
Sehr weitgehender Begriff
Nahezu alle Daten haben Personenbezug gem. DSGVO
„Besondere Kategorien personenbezogener Daten“ = besonders sensible Daten (Gesundheitsdaten,
Religionszugehörigkeit, Gewerkschaftszugehörigkeit etc.)
14. Begriffe
Nur reine Unternehmensdaten werden nicht darunter gefasst, wie z.B.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?14 |
Faustregel: Im Zweifel davon ausgehen, dass Daten Personenbezug haben!
Bilanzen
Konstruktionspläne
o.ä.
15. Begriffe
Verantwortlicher / verantwortliche Stelle (Art. 4 Nr. 7 DSGVO):
Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder
gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet.
D.h. Unternehmen sind für die Daten der eigenen Mitarbeiter, Kunden, Vertragspartner etc.
verantwortlich.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?15 |
Faustregel: Das Unternehmen ist für die Daten verantwortlich, die es für eigene Zwecke
verarbeitet!
16. Begriffe
Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO):
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit
personenbezogenen Daten.
Sehr weitgehender Begriff, der nahezu jeden Einzelvorgang umfasst (vom Erheben über Speichern
und Übermitteln bis hin zum Vernichten) – egal, ob es sich um normale oder besondere
personenbezogene Daten handelt.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?16 |
Faustregel: Im Zweifel davon ausgehen, dass eine Tätigkeit als „Verarbeitung“ i.S.d. DSGVO gilt!
17. Prinzipien
Zentrale DSGVO-Grundsätze (Art. 5, 6, 32 DSGVO):
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?17 |
Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
Transparenz
Treu und Glauben
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit (Sicherheit der Verarbeitung)
Rechenschaftspflicht
18. Prinzipien
Viele Maßnahmen gem. DSGVO haben keine „Außenwirkung“, d.h. kaum Abmahnpotential. Allerdings ist eine
Abmahnung bei Verstößen gegen DSGVO-Prinzipien grdsl. möglich.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?18 |
Beispiel: Verstoß gegen den Rechtmäßigkeitsgrundsatz kann ggf. abgemahnt werden, sofern der
Betroffene davon erfährt.
20. Rechte der Betroffenen
Betroffenenrechte (Art. 12-23 DSGVO):
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?20 |
Auskunft
Widerspruch
Widerruf einer erteilten Einwilligung
Berichtigung
Einschränkung der Verarbeitung
Mitteilung (z.B. bei Berichtigung oder Löschung von Daten)
Recht auf Datenübertragbarkeit (Datenportabilität)
Sperrung
Löschung (Recht auf Vergessenwerden)
21. Rechte der Betroffenen
Aktuell hohe Praxisrelevanz: Auskunftsrecht (Art. 15 DSGVO)
Umfang des Auskunftsanspruch:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?21 |
Auskunft, ob Daten verarbeitet werden oder nicht
Zwecke der Datenverarbeitung
Erfasste Daten-Kategorien
Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch
offengelegt werden
Geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer
Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf Einschränkung der Verarbeitung
Bestehen des Widerspruchsrechts gegen die Verarbeitung
Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
Alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst
erhoben werden
ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
22. Rechte der Betroffenen
Praxis-Tipp:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?22 |
Muster-Vorlage für Antwortschreiben bei Ausübung der Betroffenenrechte fertigen (lassen)
Arbeitsanweisung an Mitarbeiter, wie diese sich im Fall der Ausübung von Betroffenenrechten verhalten sollen
Datenschutzbeauftragten (falls vorhanden) in jedem Fall mit einbeziehen
Muster-Vorlage + Arbeitsanweisung dienen a) der Arbeitserleichterung, b) der Möglichkeit zur zeitnahen
Reaktion und c) als Nachweis der Einhaltung der DSGVO
23. Pflichten der Unternehmen
Zentrale Pflichten im Unternehmen:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?23 |
Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit
Implementierung von Prozessen zur Sicherstellung der Compliance
Dokumentation von Datenverarbeitungsvorgängen
Risikoanalyse über Folgen der Datenverarbeitung
Geeignete technische und organisatorische Maßnahmen (TOM)
Durchführung von Datenschutz-Folgenabschätzungen (bei hohen Risiken für Betroffene)
Bereitstellung von Informationen (z.B. Datenschutzerklärung auf Website, allg. Datenschutzhinweise)
ggf. Bestellung eines Datenschutzbeauftragten
Gewährleistung der Betroffenenrechte (Auskunft, Widerruf…)
„Privacy by design“
„Privacy by default“
Regelmäßige Überprüfung der eigenen Datenschutz-Maßnahmen (ca. 1-2 pro Jahr & bei entsprechendem
Anlass)
24. Pflichten der Unternehmen
Immer hohe Praxisrelevanz: Informationspflicht (Art. 13 DSGVO)
Umfang der Informationspflicht:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?24 |
Namen & Kontaktdaten des Verantwortlichen
ggf. Kontaktdaten des Datenschutzbeauftragten
Zwecke der Datenverarbeitung & deren Rechtsgrundlage
ggf. Empfänger oder Kategorien von Empfängern
ggf. Absicht der Übermittlung an Drittland oder intern. Organisation + Grundlage für deren Zulässigkeit
ggf. Angabe des berechtigten Interesses
ggf. Zweckänderung
Dauer der Datenspeicherung bzw. Kriterien für die Festlegung dieser Dauer
Info über Recht auf Widerruf einer erteilten Einwilligung
Info über Beschwerderecht bei Aufsichtsbehörde
Infos über weitere Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch & Datenportabilität)
ggf. Info über Bestehen automatisierter Entscheidungsfindung (einschl. Profiling) & aussagekräftige Infos über involvierte Logik,
Tragweite und Auswirkungen
ggf. Hinweis auf gesetzl. oder vertragl. Pflicht zur Bereitstellung der Daten & Folgen der Nichtbereitstellung
bei Online-Datenschutzerklärung: + eingesetzte Technologien (Google Analytics, Kontaktformular, Cookies, SSL / TLS, Newsletter…)
26. Abmahnbare Verstöße
Potentielle Abmahngefahr insbesondere bei:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?26 |
Fehlender Online-Datenschutzerklärung
Falscher / unvollständiger Online-Datenschutzerklärung
Fehlenden / falschen allg. Datenschutzhinweisen
Fehlender SSL- / TLS-Verschlüsselung der Website
Verstoß gegen Betroffenenrechte
Verstoß gegen Unternehmenspflichten
ggf. Verstoß gegen DSGVO-Grundsätze
27. Abmahnbare Verstöße
Die Gefahr einer Abmahnung ist z.Zt. relativ gering, da die bestehende Rechtsunsicherheit für alle gleich ist.
Bislang gab es zwar schon einige Abmahnungen, z.B. wegen
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?27 |
Tipp: Zuerst Dinge mit Außenwirkung an die DSGVO-Vorgaben anpassen (Datenschutzerklärung, ggf.
DSB…)
fehlender Online-Datenschutzerklärung
fehlerhafter Online-Datenschutzerklärung
fehlender SSL- / TLS-Verschlüsselung
Sie wurden jedoch bislang erfolgreich zurückgewiesen bzw. wieder zurückgezogen.
Achtung: Das bedeutet nicht, dass Sie sich entspannt zurücklehnen können!
29. Andere potentielle Sanktionen
Welche Sanktionen können Aufsichtsbehörden verhängen?
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?29 |
Erteilung von Anweisungen
Durchführung von Untersuchungen
Überprüfung von Zertifizierungen
Erteilung von Hinweisen
Zugang zu allen erforderlichen Daten & Infos
Zutritt zu Geschäftsräumen, EDV-Anlagen etc.
Erteilung von Warnungen
Ausspruch von Verwarnungen
Erteilung von Anweisungen
Verhängung von temporären oder permanenten Beschränkungen von Verarbeitungsvorgängen
Anordnung der Löschung oder Berichtigung von Daten
Widerruf von Zertifizierungen
Verhängen von Geldbußen
Anordnung der Aussetzung einer Datenübermittlung in Drittstaaten
30. Andere potentielle Sanktionen
Wie hoch können die Geldbußen ausfallen?
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?30 |
leichte Ordnungswidrigkeiten (z.B. fehlendes / fehlerhaftes Verarbeitungsverzeichnis, kein DSB trotz
Benennungs-Pflicht, unzureichende TOMs...):
max. 10 Mio. € oder 2% des weltweit erzielten Jahres-Konzernumsatzes*
schwere Ordnungswidrigkeiten (z.B. Verstoß gegen Datenschutzgrundsätze oder gegen Betroffenenrechte):
max. 20 Mio. € oder 4% des weltweit erzielten Jahres-Konzernumsatzes*
* je nachdem, welcher Betrag höher ist
32. Verhalten bei einer Abmahnung
Wie verhalte ich mich bei einer Abmahnung:
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?32 |
Vorab: Sicherstellung von Rechtskonformität
Ruhe bewahren: nicht hektisch werden, aber zeitnah handeln, Abmahnungen nie auf die „leichte Schulter“
nehmen, ggf. Fristverlängerung beantragen
Rechtsrat einholen: idealerweise Fachmann hinzuziehen, Prüfung der Rechtmäßigkeit der Abmahnung
Dokumentieren: Notieren des Datums der Zustellung der Abmahnung (kommt i.d.R. per „normaler“ Post, aber
grdsl. auch per E-Mail zulässig)
Prüfen: Überprüfen der Abmahnberechtigung des Abmahnenden, des enthaltenen Vorwurfs, der Höhe des
Streitwerts, etwaiger Anzeichen für Rechtsmissbrauch usw., ggf. Beweise sichern (Screenshots anfertigen, Zeugen
suchen etc.)
Handeln: trifft der Vorwurf zu, sollte fristgerecht a) die rechtswidrige Handlung zeitnah eingestellt werden und
b) eine Unterlassungserklärung abgegeben werden
Weiteren Verstoß vermeiden: gleiche oder ähnliche Verstöße zukünftig vermeiden, da sonst eine Vertragsstrafe
fällig werden kann
33. Verhalten bei einer Abmahnung
Abmahnungen können zeitaufwendig, nervig & teuer werden.
Auf jeden Fall sollten Sie reagieren (auch wenn Vorwurf nicht zutrifft)!
Im Zweifel sollten Sie einen spezialisierten Anwalt konsultieren und diesen prüfen lassen, ob die Abmahnung korrekt
oder ggf. rechtsmissbräuchlich ist.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?33 |
Tipp: Auf „Nr. Sicher“ gehen und einen (Datenschutz-) Fachmann hinzuziehen!
34. Verhalten bei einer Abmahnung
Anzeichen für Rechtsmissbrauch u.a.
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?34 |
Fehlende bzw. fragwürdige Abmahnberechtigung
Überhöhter Streitwert
Unzureichende Begründung des vorgeworfenen Rechtsverstoßes
Forderung von nicht angefallenen bzw. nicht erstattungsfähigen Anwaltsgebühren
Gleiches Datum für Frist zur Abgabe der Unterlassungserklärung und Erstattung der Abmahnkosten
Fehlende Originalvollmacht
Große Anzahl gleicher oder ähnlicher Abmahnungen (Massenabmahnung?)
Verwendung von Textbausteinen
Deutliches Missverhältnis zwischen tatsächlichen Umsätzen des Abmahnenden und Kostenrisiko durch die
Abmahnung(en)
Betreiben eines „Fake-Webshops“ zur Herbeiführung eines Wettbewerbsverhältnisses zum Abgemahnten
Je mehr der genannten Faktoren zutreffen, desto eher kann von einer rechtsmissbräuchlichen Abmahnung
ausgegangen werden (diese muss allerdings nachgewiesen werden).
36. Vorlagen & Praxistipps zur DSGVO
Geballtes Fachwissen und Vorlagen rund um die DSGVO finden Sie auf der Lexware Themenseite DSGVO!
www.lexware.de/dsgvo
04.09.2018 | DSGVO: Was tun bei einer Abmahnung?36 |
37. Vielen Dank.
Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern.
In Kürze in Ihrer Mediathek:
Video-Aufzeichnung der Online-Schulung
Fragen & Antworten-Dokument
38. Zeit für Ihre Fragen
Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts: In Ihrer
Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
39. Weitere Schulungen, die Sie interessieren könnten
€ 49,95
Unternehmerwissen zur
Elternzeit – kompakt und
leicht verständlich
Mi, 19.09.18 / 10:00 Uhr
ca. 80 Min.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!39 |
Empfehlung für Sie Empfehlung für Sie
€ 49,95
Richtig kalkulieren mit
Arbeits- und
Maschinenstundenrechnung
Mo, 24.09.18 / 09:00 Uhr
ca. 80 Min.
€ 49,95
Elektronische Rechnungen
– rechtssichere Einführung
in der Praxis
Fr, 28.09.18 / 09:00 Uhr
ca. 80 Min.
€ 49,95
Bilanzen lesen, BWAs
verstehen!
Di, 02.10.18 / 09:00 Uhr
ca. 80 Min.
Empfehlung für SieEmpfehlung für Sie