wie-reagieren-auf-beschwerde-datenschutz-dsgvo
Beschwerde ernst nehmen: Wie Sie auf ein Schreiben oder Beschwerde wegen des Vorwurfes Datenschutzverstoß reagieren sollten
Wenn Sie als Online-Händler ein Schreiben erhalten haben, mit dem Ihnen ein Datenschutzverstoß vorgeworfen wird, sollten Sie richtig reagieren. Sonst drohen teure Weiterungen. In dem folgenden Beitrag erläutern wir typische Fälle und Fehler, mögliche Konsequenzen und Ihre Reaktionsmöglichkeiten:
Typische Fälle, typische Fehler
Anders als bei einem Kauf im Ladengeschäft muss der Kunde bei einer Bestellung im Internet seine personenbezogenen Daten übermitteln, insbesondere seine E-Mail-Adresse. Erhält er anschließend Werbung per E-Mail und wendet sich deswegen wegen des Vorwurfes eines Datenschutzverstoßes an Sie als Shopbetreiber, dann häufig aus einem der folgenden Gründe:
1. Das Problem mit der Werbung für ähnliche Waren nach dem Kauf
Unter sehr engen Voraussetzungen ist die Nutzung der E-Mail-Adresse eines Kunden für Werbung nach einem Kauf zulässig: nämlich dann,
- (1) wenn die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware erlangt wurde,
- (2) wenn die E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren verwendet wird,
- (3) wenn der Kunde der Verwendung nicht widersprochen hat und
- (4) wenn der Kunde bei Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Alle vier Voraussetzungen müssen erfüllt sein. Natürlich müssen die erforderlichen Informationen zur Nutzung der E-Mail-Adresse von Kunden zu Werbezwecken auch in der Datenschutzerklärung enthalten sein.
Wurde der Bestellvorgang abgebrochen, fehlt es schon an einem Kauf. Wird für gänzlich andere Waren als die gekaufte Ware geworben, fehlt es an der erforderlichen Ähnlichkeit. Und manch ein Kunde teilt im Zusammenhang mit seinen Bestellungen (wahrscheinlich aufgrund schlechter Erfahrungen) sogar gleich standardmäßig mit, dass er einer Nutzung seiner E-Mail-Adresse zu Werbezwecken von vornherein widerspricht, was bei der Bearbeitung der Bestellung und für Werbe-Mailings gegenüber Bestandskunden also von vornherein berücksichtigt werden müsste. Sind alle drei der vorgenannten Voraussetzungen erfüllt, fehlt es nach unserer Erfahrung in aller Regel aber an der erforderlichen transparenten Information über die Widerspruchsmöglichkeit. Eine solche Information bei der Abfrage der E-Mail-Adresse ist nämlich ein echter Konversions-Killer.
2. Das Problem mit der fehlenden Werbe-Einwilligung
Natürlich kann man auch eine Werbe-Einwilligung des Kunden einholen. Zumindest in der Theorie, denn in der Praxis erteilen Kunden nach unserer Erfahrung vorsichtig ausgedrückt sehr selten eine entsprechende Einwilligung. Bedeutet im Klartext: Wenn ein Interessent keine Werbe-Einwilligung erteilt, darf seine E-Mail-Adresse auch nicht für Werbung per E-Mail genutzt werden. Sonst ist es schlicht und ergreifend Spam.
3. Das Problem mit voreingestellten und untergeschobenen Einwilligungen
Apropos Einwilligung: Einwilligung bedeutet freiwilliges, bewusstes und aktives Opt-in auf der Grundlage der erforderlichen Informationen. Voreingestellte Einwilligungen wie sie früher für den Bezug von Newslettern weitverbreitet waren und wie sie bei den Voreinstellungen von technischen Endgeräten nach wie vor häufig vorzufinden sind, sind ebenso unwirksam wie Einwilligungen, die mit entsprechenden Regelungen in Datenschutzerklärungen fingiert werden sollen. Also besser sein lassen.
Auf unzulässige Werbe-E-Mails folgen inzwischen häufig ein datenschutzrechtliches Auskunftsersuchen und eine Löschungsaufforderung
Die Reaktionen auf unerwünschte E-Mail-Werbung sind inzwischen recht vielfältig:
- Droht der Kunde eine Abmahnung zunächst nur für das nächste Mal der Übersendung von Werbung an oder teilt mit, dass er keine Werbung per E-Mail wünscht, sollte dies Warnung genug sein.
- Durchaus häufig kommt es inzwischen vor, dass der Kunde direkt eine Abmahnung ausspricht. In diesen Fällen wird üblicherweise eine Unterlassungs- und Verpflichtungserklärung gefordert, mitunter auch Schadenersatz. Wenn die Abmahnung über einen Anwalt ausgesprochen worden ist, werden meist auch Anwaltskosten geltend gemacht.
- Manche Kunden weisen allerdings auch direkt darauf hin, dass eine unerbetene E-Mail mit Werbung einen Datenschutzverstoß darstellt und fordern sodann zur Erteilung einer datenschutzrechtlichen Auskunft und zur Löschung ihrer Daten auf. Derartige Schreiben sind nach unserer Erfahrung mit besonderer Vorsicht zu behandeln, denn bei der Beantwortung lauern gleich mehrere Fettnäpfchen.
Wenn sich ein Kunde über unerwünschte E-Mail-Werbung aufregt und eine Abmahnung androht, kann der Ton schon mal etwas ruppiger sein. Letztlich ist eine solche Mitteilung jedoch harmlos für Sie, weil der Fall damit erledigt ist (Es sei denn, Sie nehmen die Warnung nicht ernst genug und übersenden erneut E-Mail-Werbung. Die Ausrede „erneutes Versehen“ wird man Ihnen dann wahrscheinlich nicht abkaufen.)
Bei einer Abmahnung stellt sich neben der Frage nach der Berechtigung des erhobenen Vorwurfes immer auch die Frage nach dem richtigen Vorgehen im Hinblick auf die geforderte Unterlassungs- und Verpflichtungserklärung. Immerhin droht bei einem Verstoß gegen die Erklärung eine Vertragsstrafe. Die entsprechenden Fragestellungen erläutern wir in einem eigenen Beitrag.
Auskunft und Löschung
Hier soll es um den Fall gehen, dass Sie wegen des Vorwurfes eines Datenschutzverstoßes zur Auskunftserteilung und zur Löschung aufgefordert werden. Auf diesen Fall sollten Sie und Ihre Beschäftigten vorbereitet sein, um Fehler zu vermeiden.
Eines vorweg: Eine datenschutzrechtliche Auskunft kann jede Person fordern. Es kommt nicht darauf an, ob die Person Kunde bei Ihnen ist oder nicht. Sie müssen ein Auskunftsersuchen also auch dann beantworten, wenn Sie zuvor keinen Kontakt zu der anfragenden Person hatten. Mitunter bestehen Zweifel an der Identität der anfragenden Person, z.B. wenn die Anfrage über eine E-Mail-Adresse gestellt wird, die nicht mit der im System zu einer Bestellung der Person hinterlegten E-Mail-Adresse übereinstimmt. In einem solchen Fall können Sie zunächst einen Identitätsnachweis verlangen.
Praxistipp 1: Wenn Sie keine personenbezogenen Daten zu einer anfragenden Person verarbeiten, dann genügt eine entsprechende kurze Mitteilung hierzu als sogenannte Negativauskunft leider nicht. Immerhin verarbeiten Sie die personenbezogenen Daten der anfragenden Person nunmehr ja zumindest zur Erfüllung Ihrer rechtlichen Verpflichtung zur Auskunfterteilung. Wenn Sie in der Vergangenheit bereits personenbezogene Daten zu einer anfragenden Person verarbeitet haben, müssen Sie sowohl zu der bisherigen Verarbeitung als auch zu der Verarbeitung zur Erfüllung Ihrer rechtlichen Verpflichtung zur Auskunftserteilung Stellung nehmen.
Praxistipp 2: Eine Auskunftserteilung muss grundsätzlich innerhalb einer Frist von einem Monat erfolgen und die gesetzlich vorgegebenen Informationen enthalten. Am besten erstellen Sie hierfür eine Vorlage, in der dann jeweils die erforderlichen konkreten Angaben zu den personenbezogenen Daten der anfragenden Person ergänzt werden können. Ein Hinweis auf die allgemeinen Informationen in der Datenschutzerklärung Ihres Unternehmens wäre keine ordnungsgemäße Auskunftserteilung. Folge: In der unzureichenden Auskunftserteilung liegt ein weiterer Datenschutzverstoß.
Praxistipp 3: Vorsicht bei Löschungsaufforderungen: Auch wenn Löschungsersuchen häufig mit sehr deutlichen Worten formuliert werden, können Sie nicht ohne weiteres sofort alle Daten der anfragenden Person löschen. Der Löschung von personenbezogenen Daten stehen nach einem Kauf nämlich zum Teil handels- und steuerrechtliche Aufbewahrungspflichten entgegen. Aus diesen Aufbewahrungspflichten ergeben sich für Sie – wie der Begriff schon sagt – nicht nur ein Recht zur weiteren Speicherung der Daten, sondern sogar entsprechende Verpflichtungen. Ganz so einfach ist die Sache dann jedoch leider nicht. Die Aufbewahrungspflichten betreffen nämlich z.B. nicht die E-Mail-Adresse des Kunden, sodass hinsichtlich der Löschung zu differenzieren ist. Und so schwer es in manchen Fällen auch sein mag: höflich bleiben.
Warum Sie unbedingt auf ein datenschutzrechtliches Auskunftsersuchen oder eine Löschungsaufforderung reagieren sollten
Wenn Sie auf ein datenschutzrechtliches Auskunftsersuchen oder eine Löschungsaufforderung nicht adäquat antworten, können eine Abmahnung oder eine Beschwerde bei der Aufsichtsbehörde folgen. Das macht dann üblicherweise noch mehr Arbeit und verursacht im schlimmsten Fall auch erhebliche Kosten.
Mit einer Abmahnung fordert die betroffene Person zur Unterlassung der Übersendung von Werbe-E-Mails und zur Abgabe einer Unterlassungserklärung auf. Erfolgt der Ausspruch der Abmahnung über einen Anwalt, werden mit der Abmahnung üblicherweise auch gleich Anwaltskosten mit geltend gemacht. Mitunter wird auch Schadenersatz gefordert. So kommen schnell unnötige Kosten von mehreren hundert, zum Teil auch mehreren tausend Euro zusammen. Nach unserer Erfahrung empfiehlt es sich, eine Abmahnung ernst zu nehmen, um unnötige Weiterungen zu vermeiden. Bei der Stellungnahme gegenüber dem Abmahner und seinem Anwalt sollten Sie allerdings berücksichtigen, dass Ihnen Ihre Äußerungen später in einer gerichtlichen Auseinandersetzung oder in einem aufsichtsbehördlichen Verfahren entgegengehalten werden könnten.
Mitunter wendet sich die betroffene Person auch einfach mit einer Beschwerde an die zuständige Datenschutz-Aufsichtsbehörde. Warum auch nicht: Die Beschwerde ist schnell geschrieben und kostet auch kein Geld. Um alles weitere kümmert sich die Aufsichtsbehörde, die dann üblicherweise ein Verfahren einleitet und zunächst Gelegenheit zu einer Stellungnahme gibt (Anhörung). Auch ein solches Schreiben sollten Sie ernst nehmen, denn die Position der Datenschutz-Aufsichtsbehörden ist inzwischen deutlich gestärkt worden. Letzten Endes arbeiten in den Datenschutz-Aufsichtsbehörden jedoch Menschen, die Fälle bearbeiten und abschließen müssen. Vor diesem Hintergrund empfiehlt sich nach unserer Erfahrung in aller Regel ein kooperatives Verhalten und ein Mitwirken an einer Lösung.
Deshalb: rechtzeitig und richtig auf Anfragen reagieren!
Entscheidend ist aus unserer Sicht, dass Anfragen richtig eingeordnet werden. Manch einer der hier in der Kanzlei vorliegenden Fälle hätte durch eine etwas geschicktere Antwort auf eine Anfrage wahrscheinlich geklärt werden können, bevor es zu Weiterungen kam.
Gern unterstützen wir Sie, wenn Sie als Online-Händler ein Schreiben erhalten haben, mit dem Ihnen ein Datenschutzverstoß vorgeworfen wird.
Die „richtige“ Reaktion auf ein solches Schreiben hängt von verschiedenen Faktoren ab. Gern erörtern wir mit Ihnen die Rechtslage und die Möglichkeiten für das weitere Vorgehen. Selbstverständlich erhalten Sie von uns in diesem Zusammenhang auch konkrete Empfehlungen.
Stand:31.05.2022
Ihre Ansprechpartner: Rechtsanwalt Andreas Kempcke