Gemischte Erfahrungen - Ein Jahr DSGVO

Namenlose Klingelschilder, geschwärzte Gesichter auf Gruppenfotos, Friseure, die am Telefon seitenlange Datenschutzerklärungen vorlesen, bevor sie einen Termin vereinbaren - die Umsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO ), die im Mai 2018 wirksam wurde, führte nicht selten zu Überreaktionen mit kuriosen Folgen.

„Es gibt viel zu viele selbst ernannte Datenschutzberater, die durch die Lande ziehen und irgend etwas behaupten“, ärgert sich Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht in Bayern (BayLDA), „und dabei stets auf die drohenden drakonischen Strafen verweisen.“ Für die Aufsichtsbehörden hätte dies zu einem „Wahnsinnsstress“ geführt. „Wir hatten im vergangenen Jahr einen enormen Beratungsaufwand.“ Vor allem Vereine zeigten sich verunsichert, wohl weil Medienberichten zufolge erste Abmahnwellen in erster Linie solche Organisationen trafen. Kranig hält diese Berichte für „völlig falsch“: „Abmahnungen gegen Vereine oder kleine Gewerbetreibende auf Basis der DSGVO sind überhaupt kein Thema.“

Diese Einschätzung teilt Medienrechtsanwalt Christian Solmecke, der sich auf die Beratung der Internet- und IT-Branche spezialisiert hat: „Wir haben schon vor der Anwendbarkeit der DSGVO keine ‚Abmahnwelle‘ befürchtet (…), doch das Ausmaß der tatsächlich versendeten Abmahnungen blieb noch hinter unseren Erwartungen zurück.“ Im März 2019 berichteten jedoch vermehrt Online-Händler und andere Webseitenbetreiber von Abmahnungen, die von der „IGD Interessengemeinschaft Datenschutz e. V.“ verschickt wurden. Wegen fehlender SSL-Verschlüsselung würden die Abgemahnten gegen die in der DSGVO verankerte Pflicht verstoßen, geeignete technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik zu verwenden. Die Betroffenen sollten eine Unterlassungserklärung abgeben sowie 285,60 Euro an den Verein überweisen. „Aus Sicht des LfDI BW der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen“, twitterte der Landesbeauftragte für Datenschutz und Informationssicherheit in Baden-Württemberg (LfDI BW) Stefan Brink.

Derzeit ist noch gar nicht entschieden, ob die DSGVO überhaupt eine Basis für Abmahnungen bietet. „Schon vor der DSGVO in Zeiten des Bundesdatenschutzgesetzes war umstritten, ob das Datenschutzgesetz sogenannte Marktverhaltensregeln enthält, die abmahnfähig sind“, erklärt Rechtsanwalt Solmecke. BayLDA-Präsident Kranig räumt den Abmahnern kaum Chancen ein: „Wir gehen davon aus, dass die DSGVO ein abschließendes Sanktions­regime definiert und Abmahnungen aus Datenschutzgründen daher gar nicht möglich sind.“

Dieser Auffassung folgten laut Solmecke auch mehrere Gerichte, etwa die Landgerichte Bochum und Wiesbaden, nicht jedoch das OLG Hamburg, das eine Einzelfallprüfung für notwendig hält. Auch wenn die Erfolgsaussichten vor Gericht hoch seien, sollte man Abmahnschreiben wegen DSGVO-Verstößen nicht auf die leichte Schulter nehmen, erklärt der Rechtsexperte: „Es ist wichtig, jede einzelne Abmahnung durch einen Rechts­anwalt prüfen zu lassen, der einschätzen kann, wie stichhaltig die Argumentation ist und wie man dagegen vorgeht.“