Seit fast einem Jahr gelten die Vorschriften der Datenschutzgrundverordnung (DSGVO) – und schon genauso lange machen sich viele Unternehmen nicht nur Gedanken über Kontrollen durch die Landesdatenschutzbehörden, sondern vor allem auch über Abmahnungen wegen möglicher Verstöße gegen die Datenschutzgrundverordnung. Ganz aktuell verschickt ein frisch gegründeter Verein aus Brandenburg Abmahnungen wegen Datenschutzverstößen auf Basis der DSGVO. Darauf weist unter anderem die Kanzlei Jöhnke & Reichow hin.

Der Hintergrund: Die IGD Interessengemeinschaft Datenschutz e.V. mit Sitz in Ludwigsfelde in Brandenburg verschickt reihenweise Abmahnungen wegen angeblicher Verstöße gegen die DSGVO im Zusammenhang mit fehlenden SSL-Verschlüsselungen auf Webseiten. Laut eigenen Angaben des Vereins sollen dies am 21. März bereits 450 gewesen sein (www.ig-datenschutz.com/copy-of-aktivlegitimation). „In den durch den IGD e.V. ausgesprochenen Abmahnungen wird den Betroffenen vorgeworfen, ihre Webseite ohne SSL-Verschlüsselung zu betreiben. Dadurch würde ein sicherer Transfer von Daten der Verbraucher / Nutzer nicht gewährleistet sein. Ob eine Webseite SSL verschlüsselt ist, erkennt man an der Adresse im Browser: ‚http://‘ bedeutet nicht verschlüsselt, ‚https://‘ bedeutet verschlüsselt“, schreibt Rechtsanwalt Björn Thorben Jöhnke aus der Kanzlei Jöhnke & Reichow in einem Beitrag.

Für Yvonne Quad, Rechtsanwältin, betriebliche Datenschutzbeauftragte und Geschäftsführerin der Beratungsgesellschaft für Datenschutz, Compliance und Organisation Tigges DCO in Düsseldorf, ist aber noch gar nicht klar, ob der Verein überhaupt abmahnberechtigt ist. Zunächst stelle sich laut der Expertin die Frage, ob es sich bei einem Verstoß gegen die DSGVO überhaupt um einen Verstoß handele, der über das Wettbewerbsrecht geahndet werden könne. Denn: „Ob DSGVO-Verstöße Wettbewerbsverletzungen darstellen, ist nach wie vor umstritten. Die Rechtsprechung der Instanzgerichte, die sich mit dieser Frage im Zusammenhang mit Abmahnungen von Wettbewerbern zu befassen hatte, ist insoweit uneinheitlich.“

Sollte dies gegeben sein, komme es darauf an, ob der Verein nach dem Gesetz gegen unlauteren Wettbewerb anspruchsberechtigt sei. Dies seien laut Yvonne Quad nur rechtsfähige Verbände zur Förderung gewerblicher oder selbständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, oder qualifizierte Einrichtungen im Sinne des Unterlassungsklagengesetzes. Eine Berechtigung eines Vereins zur Abmahnung eines Verstoßes gegen die DSGVO ergebe sich aus der DSGVO selbst nicht.

Yvonne Quad rät: „Im Falle einer Abmahnung sollte das abgemahnte Unternehmen nicht vorschnell reagieren, sondern sorgfältig die erhobenen Vorwürfe prüfen oder prüfen lassen. Treffen die Vorwürfe zu und ist der Verein überhaupt abmahnfähig? Aber selbst dann sollte die vom Abmahnenden mitgesandte Unterlassungserklärung nicht einfach unterzeichnet werden. Häufig enthält diese für das abgemahnte Unternehmen ungünstige Formulierungen. Bei der vorgelegten Unterlassungserklärung handelt sich lediglich um einen Vorschlag und es besteht keine rechtliche Notwendigkeit, diesen aufzugreifen. Besser ist es, die Ansprüche zunächst zurückzuweisen und sich beraten zu lassen.“

Nichtsdestotrotz sollten Unternehmer und Unternehmen den Umgang mit der Datenschutzgrundverordnung nicht auf die leichte Schulter nehmen, denn die Risiken sind groß. Bei administrativen Verstößen kann die Strafe bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes betragen, bei materiellen Verstößen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes. Unter administrativen Verstößen zählen beispielsweise Verstöße gegen die Dokumentationspflichten. Zu den materiellen Verstößen zählt insbesondere die Verarbeitung von Daten ohne rechtliche Grundlage. Ebenso können Betroffene von Datenschutzverstößen Haftungs- und Schadenersatzforderung geltend machen. Kurz gesagt: „Alle Vorgaben des Gesetzgebers müssen vorbehaltlos erfüllt werden“, warnt Rechtsanwältin Quad.

Bei allem Ärger über Aufwand, Risiken und Co. stellt Christian Vogt, Vorstandsvorsitzender des Sicherheitsverbandes Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen (ASW NRW), dennoch die Bedeutung des Datenschutzes für Unternehmen im Sinne des Wirtschaftsschutzes heraus. „Die DSGVO hat den Schutz des Einzelnen absolut in den Mittelpunkt gestellt und den Gedanken der Selbstbestimmung in den Fokus gerückt. Er muss unbedingt alles erfahren, was mit seinen Daten geschieht, auch wenn er einfach nur einwilligen will und keine Forderung nach Transparenz stellt. Und er kann jederzeit Datenportabilität verlangen, um zu einem anderen Anbieter eines Produktes oder einer Dienstleistung zu wechseln.“

Würden diese Grundbedingungen des Datenschutzes nicht eingehalten, könne dies neben den harten Sanktionen auch zu Rufschädigungen für das Unternehmen führen und zugleich die Zusammenarbeit mit anderen Organisationen beeinträchtigen. „Es ist durchaus möglich, dass verbundene Geschäftseinheiten oder aber Händlerstrukturen bei Nichtbeachtung oder schlechter Umsetzung des Datenschutzes durch Technikgestaltung und datenschutzfreundlicher Voreinstellungen nicht mehr bereit sind, ihre Kundendaten oder andere personenbezogene Daten in gemeinsame Datensysteme, beispielsweise CRM-Systeme, einzuspeichern. Das gilt umso mehr, weil es bei Verstößen bei gemeinsamer Verantwortung dann zum gemeinsamen Haftungsrisiko kommt.“ Risiken lägen laut Christian Vogt aber auch in einer Scheu vor Weiterentwicklung im Unternehmen selbst. Es könne passieren, dass Unternehmen sich beispielsweise nicht zutrauten, neue Big Data-Anwendungen aus Angst vor hohen Strafen und fehlender Rechtsgrundlagen umzusetzen,

Christian Vogt, im Hauptjob Sicherheitschef von Claas Landmaschinen, hält einen guten Datenschutz in Zeiten immer kritisch werdender Risiken für Datensicherheit daher für eine sehr gute Schutzfunktion für die Wirtschaft. „Die europäische Datenschutzgrundverordnung wird im Ausland als Meilenstein wahrgenommen. Wenn wir es schaffen die Praktikabilität zu leben, ist das Wirtschaftsschutz par excellence und hilft dabei, die Interessen von Wirtschaft und Gesellschaft voranzutreiben. Sicherheit und Datenschutz sind keine Gegenspieler!“