Dr. Wallscheid & Drouven Rechtsanwälte und Fachanwälte
0251 - 20 86 80 30
0251 - 20 86 80 30

Abmahnung von Datenschutzverstößen

Posted on

Rechtliche Einordnung und aktuelle Rechtsprechung

Die Datenschutz-Grundverordnung (DSGVO) hat seit 2018 zu einer erheblichen Zunahme an Rechtsstreitigkeiten im Bereich Datenschutz geführt. Neben aufsichtsbehördlichen Verfahren rücken vor allem Abmahnungen wegen Datenschutzverstößen in den Vordergrund. Diese bergen für Unternehmen nicht nur finanzielle, sondern auch erhebliche Reputationsrisiken. Als Fachanwalt für IT-Recht möchte ich die aktuelle Rechtslage, die einschlägige Rechtsprechung von EuGH und BGH sowie praktische Verteidigungs- und Präventionsstrategien darstellen.

1. Rechtliche Grundlage von Abmahnungen im Datenschutz

Abmahnungen im Datenschutzrecht bewegen sich an der Schnittstelle zwischen DSGVO und Wettbewerbsrecht (UWG).

  • Mitbewerber können Datenschutzverstöße abmahnen, wenn diese eine wettbewerbsrechtliche Relevanz haben.
  • Verbraucherschutzverbände sind nach § 8 Abs. 3 Nr. 3 UWG und Unterlassungsklagengesetz (UKlaG) klagebefugt.
  • Aufsichtsbehörden hingegen verhängen keine Abmahnungen, sondern Verwarnungen oder Bußgelder.

Die Abmahnung dient der vorgerichtlichen Streitbeilegung: Der Abgemahnte soll zur Abgabe einer strafbewehrten Unterlassungserklärung bewegt werden.

2. Typische Abmahnszenarien

In der Praxis treten insbesondere folgende Konstellationen auf:

  • fehlerhafte oder unvollständige Datenschutzerklärungen
  • unzulässige Cookie-Banner / fehlerhafte Consent-Lösungen
  • Versand von Newslettern ohne Double-Opt-in
  • fehlende Informationspflichten nach Art. 13 DSGVO
  • unzulässige Drittlandübermittlungen (z. B. Nutzung von US-Cloud-Diensten ohne ausreichende Garantien)

Diese Konstellationen sind prädestiniert für Abmahnungen, weil sie leicht überprüfbar und dokumentierbar sind.

3. Aktuelle Rechtsprechung des EuGH

a) Einwilligung bei Cookies – Planet49 (C-673/17, 01.10.2019)

Der EuGH stellte klar: Voreingestellte Checkboxen sind keine wirksame Einwilligung. Die Einwilligung muss aktiv, informiert und freiwillig erfolgen. Dies verpflichtet Webseitenbetreiber zu klaren Consent-Mechanismen mit dokumentierter Zustimmung.

b) Drittlandtransfers – Schrems II (C-311/18, 16.07.2020)

Das Privacy Shield wurde für unwirksam erklärt. Unternehmen dürfen personenbezogene Daten nur auf Grundlage von Standardvertragsklauseln (SCC) und nach Durchführung eines Transfer Impact Assessments übermitteln. Werden keine zusätzlichen Schutzmaßnahmen getroffen, liegt ein abmahnfähiger DSGVO-Verstoß vor.

c) Schadenersatz nach Art. 82 DSGVO

Der EuGH hat 2023/2024 entschieden:

  • Ein DSGVO-Verstoß begründet nicht automatisch einen Anspruch.
  • Ein konkreter Schaden (materiell oder immateriell) muss nachgewiesen werden.
  • Der „Kontrollverlust“ über Daten kann einen immateriellen Schaden darstellen, erfordert aber in der Regel eine Darlegung individueller Beeinträchtigungen.

4. Aktuelle Rechtsprechung des BGH

a) Kontrollverlust als immaterieller Schaden – BGH, VI ZR 10/24 (18.11.2024)

Der BGH hat entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten für einen immateriellen Schaden im Sinne von Art. 82 DSGVO ausreichen kann. Ein Nachweis konkreter weiterer Folgen ist nicht zwingend erforderlich.
– Damit erleichtert der BGH Betroffenen die Anspruchsdurchsetzung erheblich.

b) Abmahnbarkeit über das Wettbewerbsrecht

Der BGH hat zudem klargestellt, dass DSGVO-Verstöße wettbewerbsrechtlich relevant sein können. Damit ist der Weg für Mitbewerber und qualifizierte Verbände frei, Abmahnungen bei Datenschutzverstößen auszusprechen.

5. Spannungsverhältnis: EuGH vs. BGH

Es besteht derzeit ein deutlicher Rechtskonflikt:

  • Der EuGH fordert für Schadenersatz regelmäßig den Nachweis eines konkreten Schadens.
  • Der BGH erkennt den bloßen „Kontrollverlust“ bereits als Schaden an.

Für die Praxis bedeutet dies: In Deutschland sind Schadensersatzklagen und Abmahnungen besonders risikobehaftet, da die Rechtsprechung Betroffenen eine niedrigere Nachweisschwelle zugesteht.

6. Handlungsempfehlungen aus anwaltlicher Sicht

Prävention

  • Datenschutzerklärungen regelmäßig aktualisieren und anwaltlich prüfen.
  • Consent-Management-Systeme rechtssicher gestalten: aktive Zustimmung, jederzeit widerruflich, klarer „Ablehnen“-Button.
  • Drittlandtransfers dokumentieren, Standardvertragsklauseln implementieren, Transfer Impact Assessments erstellen.
  • Verarbeitungsverzeichnisse und AV-Verträge aktuell halten.
  • Mitarbeiterschulungen durchführen, um Verstöße aus Unkenntnis zu vermeiden.

Im Falle einer Abmahnung

  1. Frist im Blick behalten, aber nicht vorschnell handeln.
  2. Anwaltliche Prüfung veranlassen.
  3. Unterlassungserklärung niemals ungeprüft abgeben; ggf. modifizierte Version verwenden.
  4. Prüfung der Berechtigung der Abmahnung – viele Schreiben sind überzogen oder rechtsmissbräuchlich.
  5. Dokumentation verbessern, um künftige Angriffsflächen zu vermeiden.

Kostenlose Ersteinschätzung bei Abmahnung wegen DSGVO Verstoß

Die Rechtsprechung von EuGH und BGH hat die Rechtslage erheblich verschärft: Während der EuGH hohe Anforderungen an den Schadensnachweis stellt, hat der BGH mit seiner Entscheidung zum „Kontrollverlust“ die Tür für weitreichende Schadensersatzforderungen und Abmahnungen in Deutschland geöffnet.

Für Unternehmen bedeutet dies:

  • Das Abmahnrisiko ist real und hoch.
  • Fehler in der Datenschutzerklärung oder im Consent-Management können erhebliche Kosten auslösen.
  • Eine präventive, anwaltlich begleitete Datenschutz-Compliance ist die wirksamste Verteidigung gegen Abmahnungen.

Nutzen Sie unsere kostenlose Ersteinschätzung durch einen Fachanwalt für IT-Recht.

Kontakt   
Consent Management Platform von Real Cookie Banner