Der Wechsel von Verantwortlichen im Datenschutz
Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.
Dieses und letztes Jahr hatten Shop-Betreiber*innen wie in keinen Jahren zuvor mit Abmahnungen zu kämpfen. Im Mittelpunkt standen Google Fonts und diverse Newsletter-Anbieter*innen. In einigen Fällen ging mit den Abmahnungen auch eine Beschwerde vor der Datenschutzbehörde einher. Die Angelegenheit wurde nicht nur langwierig für Shop-Betreiber*innen, sondern auch teuer.
Wer gerne einen Überblick über die Abmahnungen haben möchte, kann detaillierte Informationen dazu im Blogbeitrag „Aktuelle Abmahngefahr für Newsletter-Anmeldung" nachlesen.
Der heutige Beitrag soll Ihnen einen Überblick geben, was sich dieses Jahr alles in dem Bereich geändert hat und was Sie beachten sollten.
Schaden & DSGVO
Als Schaden kommen materielle Schäden (z. B. Vermögensverlust) sowie immaterielle Schäden (z. B. Rufschädigung, Ängste, Stress etc.) in Betracht. Unter welchen Voraussetzungen ein Betroffener diesen Anspruch gegen Sie geltend machen kann, hat der Europäische Gerichtshof (EuGH) mit dem Urteil C-300/21 vom 04.05.2023 dieses Jahr klargestellt.
Die Voraussetzungen sind,
- ein vorhandener Schaden
- dass der Betroffene diesen Schaden nachweisen darlegen kann
- und ein kausaler Zusammenhang zwischen der Datenschutzverletzung und dem Schaden.
Welche Bedeutung hat das Urteil für Sie?
Ein Verstoß gegen die DSGVO allein begründet keinen Schadensersatzanspruch nach Art. 82 DSGVO! Vielmehr müssen die oben genannten Voraussetzungen erfüllt sein.
Neben dieser Klarstellung hat sich der EuGH zur Erheblichkeitsschwelle geäußert. Die Erheblichkeitsschwelle spielt bei Schadensersatzansprüchen eine Rolle. Fallen diese gering aus und liegen unter der Erheblichkeitsschwelle (sog. „Bagatellschäden“), so sind sie i. d. R. nicht erstattungsfähig. Der EuGH sieht keine Erheblichkeitsschwelle nach der DSGVO. Das bedeutet, dass Betroffene durch aus Klagen wegen kleineren Schadensersatzbeträgen z.B. € 100,00 bei Gericht einreichen können. Das ein solcher Fall nicht unrealistisch ist, zeigt das Urteil vom Landgericht München I zu Google Fonts.
Die Entscheidung des Europäischen Gerichtshofs ist kein Freifahrtschein für Datenschutzverstöße. Die Hürde an Schadensersatzklagen ist damit höher, verhindert aber nicht Abmahnungen, Rechtsanwaltskosten, Vertragsstrafen und/oder Verfahren vor der Datenschutzbehörde.
Ob die Abmahnungen in dem Bereich abnehmen werden, ist schwer abzusehen. Trotz der Entscheidung gibt es Unklarheiten. Dem EuGH liegen einige Verfahren zum Thema Schadensersatz vor. Je nachdem wie die Urteile ausfallen, kann es zu einem Aufschwung bei Abmahnungen kommen oder auch nicht.
Davon abgesehen, besteht immer das Risiko, dass bei Verstoß Bußgelder von den Datenschutzbehörden verhängt werden.
Beliebte Gründe für Schadensersatzforderungen
Rechtswidrige Datenübermittlung in Drittländer
Wenn Sie einen Dienstleisternutzen, dessen Anbieter*in in den USA ihren Sitz hat, so brauchen Sie i. d. R. einen AV-Vertrag und Sie müssen Standardvertragsklauseln („SCCs“) vereinbaren. Letztere haben für viel Kopfzerbrechen gesorgt, zumal sie nicht rechtskonform vereinbart wurden. Das zeigt das Urteil des Landgerichts Köln vom 23.03.2023. Die Verbraucherzentrale NRW hatte den Beklagten abgemahnt und verklagt, unter anderem, weil eine Datenübermittlung in die USA erfolgt ist, ohne dass wirksame Standardvertragsklauseln vereinbart wurden.
Die Problematik wurde seit Juli 2023 etwas entschärft, da die Datenübermittlung in Drittländer nun auf den Angemessenheitsbeschluss („Data Privacy Framework“) gestützt werden kann. Voraussetzung hierfür ist, dass die Dienstleister*innen zertifiziert sind.
Der Vorteil? Die bisherigen Garantien Standardvertragsklauseln, waren mit viel Aufwand verbunden (Verhandlung, TOMs etc.), den man sich aufgrund des Angemessenheitsbeschlusses nun sparen kann.
Dauerbrenner Auskunftsersuchen
Durch die rapide Zunahme von Klagen im datenschutzrechtlichen Bereich, fehlt es auch nicht an Rechtsprechung zu diesem Thema. Mittlerweile gibt es einen wahren Dschungel an Urteilen. Hier finden Sie die wichtigsten Konstellationen:
Werden Auskunftsersuchen…
- nicht beantwortet, so steht dem Betroffenen ein Schadensersatzanspruch zu. So entschied das AG Düsseldorf am 24.08.2023.
- verspätet beantwortet, so steht dem Betroffenen ein Schadensersatzanspruch zu. So entschied das LAG Baden-Württemberg, Urteil vom 27.07.2023.
Es gab in der Vergangenheit ebenfalls Urteile zu unvollständigen und unrichtigen Auskünften. Ob und in welcher Höhe die Betroffenen Schadensersatz erhalten, hängt von den oben genannten Kriterien ab.
Wie können Sie als Shop-Betreiber*in das Risiko senken?
Datenübermittlung in Drittländer
Denken Sie daran, dass Ihre Webseite für jedermann zugänglich ist. Datenschutzverstöße lassen sich leicht ermitteln. Insbesondere bei Diensten, die Cookies platzieren. Prüfen Sie, ob Sie Ihre Dienstleister*innen die AV-Verträge aktualisiert haben und die Datenübermittlung auf den Angemessenheitsbeschluss gestützt wird. Dies gilt auch für die Dienstleister, die sich nicht über die Webseite überprüfen lassen. Passen Sie Ihre Datenschutzerklärung an. Bei fragwürdigen Dienstleistern sollten Sie sich nach einer Alternative umsehen.
Auskunftsersuchen bzw. Betroffenenanfragen
Die gute Nachricht ist, dass Sie durchaus mit wenig Aufwand das Risiko senken können. Betroffenenanfragen können Sie mittels standardisierter Prozesse nachkommen. Was Sie dabei beachten müssen, können Sie in unserem Blogbeitrag „Hilfesuchend rund ums Auskunftsersuchen“ nachlesen. 
Im datenschutzrechtlichen Bereich gibt es rasante Entwicklungen. Versuchen Sie, auf dem Laufenden zu bleiben, denn bezüglich dieses Themas wird es noch einige Änderungen geben.
24.11.23
