FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
Viele Unternehmen sorgen sich vor kostspieligen Schadensersatzansprüchen und Bußgeldern wegen Datenschutzverstößen. In unserer Beratungspraxis sehen wir vermehrt die Geltendmachung von Schadensersatzansprüchen durch Verbraucher gegenüber Unternehmen, die Datenschutzverstöße begangen haben sollen. Die IT-Recht Kanzlei gibt einen Überblick über die Lage und Tipps, wie Online-Händler Schadensersatzansprüche vermeiden können.
Inhaltsverzeichnis
- I. Wann besteht ein Anspruch auf Schadensersatz wegen DSGVO-Verstößen?
- II. Welche Schäden können durch Datenschutzverstöße eigentlich entstehen?
- III. Wie hoch können datenschutzrechtliche Schadensersatzansprüche sein?
- IV. Kann auch bei DSGVO-Verstößen durch externe Dienstleister, Mitarbeiter und Praktikanten ein Schadensersatzanspruch gegen mich bestehen?
- V. Kann auch neben einem DSGVO-Bußgeldbescheid eine Pflicht zum Schadensersatz bestehen?
- VI. Schadensersatzpflicht bei bestimmten Arten von Datenschutzverstößen
- 1. Schadensersatzpflicht bei fehlender DSGVO-Auskunft nach Art. 15. DSGVO
- 2. Schadensersatzpflicht bei unzulässigen Werbemails und Werbeanrufen
- 3. Schadensersatzpflicht bei unzulässiger Übermittlung von Kundendaten an Kreditscoringdienste (z.B. Schufa) zwecks Bonitätsprüfung
- 4. Schadensersatzpflicht bei Zugriff auf Kundendaten durch unbekannte Dritte
- 5. Schadensersatzpflicht bei Veröffentlichung von Daten ehemaliger Mitarbeiter auf der Website
- 6. Schadensersatzpflicht bei Nutzung des Dienstes Google Fonts
- VII. Wie kann ich als Händler DSGVO-Schadensersatzansprüche von Kunden vermeiden?
- VIII. Wie kann ich als Händler das Risiko einer DSGVO-Schadensersatzpflicht weiter vermindern?
I. Wann besteht ein Anspruch auf Schadensersatz wegen DSGVO-Verstößen?
Die zentrale Vorschrift der datenschutzrechtlichen Schadensersatzpflicht ist Art. 82 der EU-Datenschutz-Grundverordnung (EU-DSGVO). Darin ist geregelt:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen (…).“
„(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. (…)“
„(3) Der Verantwortliche (…) wird von der Haftung (…) befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Weiterführende Informationen zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches finden Sie in diesem Beitrag der IT-Recht Kanzlei.
II. Welche Schäden können durch Datenschutzverstöße eigentlich entstehen?
Der Wortlaut des Art. 82 DSGVO erwähnt ausdrücklich materielle und immaterielle Schäden.
Materielle Schäden meint vor allem Schäden, die ihrer Höhe nach bezifferbar sind und damit feststehen. Vorstellbar sind vor allem Schäden, die im Zusammenhang mit sog. Identitätsdiebstählen, -betrügen oder sonstigen Identitätsmissbräuchen entstehen, wenn z.B. Kundendaten gehackt, gefischt oder anderweitig rechtswidrig abgegriffen und dazu verwendet werden, Bestellungen auf fremde Kosten vorzunehmen oder sonstige kostenpflichtige Leistungen zu buchen. Dies betrifft insbesondere die Verwendung fremder Zahlungsdaten, wie z.B. Kreditkarteninformationen.
Immaterielle Schäden können beispielsweise in einer Rufschädigung, in psychischen Beeinträchtigungen, Angst und Stress bestehen. Im Unterschied zu materiellen Schäden steht bei immateriellen Schäden deren bezifferbare Höhe nicht als konkrete Vermögenseinbuße fest, sondern muss anderweitig bestimmt werden. Kompensiert werden können immaterielle Schäden im Rahmen eines sog. Schmerzensgeldes.
Über allen Datenschutzverstößen schwebt daher die große Frage, wie „schmerzhaft“ der jeweilige Verstoß ist und wie hoch das Schmerzensgeld daher ausfallen sollte. Da die DSGVO immer noch ein recht junges Gesetz ist, und die deutschen Gerichte sich bislang nicht selten nur mit der Bestimmung der Höhe von Schmerzensgeldern bei Verstößen gegen deutsche Gesetze auseinandersetzen mussten, und nicht mit Verstößen gegen EU-Recht, wird es aller Voraussicht nach auch in den nächsten Jahren noch zu einer Reihe von teils stark voneinander abweichenden Gerichtsentscheidungen hinsichtlich der Höhe des Schmerzensgeldes bei Datenschutzverstößen kommen. Verantwortliche i.S.d. Datenschutzrechts, wie etwa auch Online-Händler, sind daher dem Risiko mehr oder weniger hoher Schmerzensgelder ausgesetzt.
III. Wie hoch können datenschutzrechtliche Schadensersatzansprüche sein?
Während bei materiellen Schäden, die durch Datenschutzverstöße entstehen, schlichtweg die konkreten, durch den jeweiligen Datenschutzverstoß verursachten Vermögenseinbußen zu ermitteln und auszugleichen sind, ist die Bemessung der Höhe von immateriellen Schäden ungleich schwieriger. Bei immateriellen Schäden dienen – grob gesagt – vor allem die Schwere und die Dauer des jeweiligen Datenschutzverstoßes als Grundlage für die Bemessung der Schadenshöhe.
Da es sich bei dem datenschutzrechtlichen Schadensersatzanspruch aus Art. 82 DSGVO nicht um eine Schadensnorm des deutschen Zivilrechts handelt, sondern um eine Regelung aus dem EU-Recht, müssen bei der Bemessung des Schadens zudem dessen Besonderheiten berücksichtigt werden. So soll der DSGVO-Schadensersatz nicht nur die entstandenen finanziellen und sonstigen Nachteile des Geschädigten ausgleichen, sondern zudem auch abschrecken und weitere Datenschutzverstöße unattraktiv machen. Daher fallen DSGVO-Schadensersatzansprüche tendenziell höher aus als ähnliche Schadensersatzansprüche, die sich aus dem deutschen Zivilrecht ergeben, etwa bei Verletzungen des allgemeinen Persönlichkeitsrechts.
IV. Kann auch bei DSGVO-Verstößen durch externe Dienstleister, Mitarbeiter und Praktikanten ein Schadensersatzanspruch gegen mich bestehen?
Grundsätzlich ja. Der Verantwortliche im Sinne des Datenschutzrechts, der dem Schadensersatzanspruch aus Art. 82 DSGVO unterliegt, haftet grundsätzlich für sämtliche Datenschutzverstöße, die durch das Unternehmen bzw. die Organisation des Verantwortlichen verursacht werden.
Dabei spielt es keine Rolle, welche Person den Datenschutzverstoß begangen hat, solange der Verstoß dem Verantwortlichen zuzurechnen ist. In welchen Konstellationen dies der Fall ist, und in welchen nicht, ist im Detail allerdings noch nicht hinreichend geklärt, sondern wird in vielen einzelnen Konstellationen durch die Rechtsprechung zu klären sein.
V. Kann auch neben einem DSGVO-Bußgeldbescheid eine Pflicht zum Schadensersatz bestehen?
Ja, dies ist möglich. Der Anspruch von betroffenen Personen auf Schadensersatz im Falle von Datenschutzverstößen besteht vollkommen unabhängig und neben etwaigen Bußgeldbescheiden und sonstigen Maßnahmen von Datenschutzbehörden.
Bei Datenschutzverstößen drohen somit nicht nur Schadensersatzansprüche betroffener Personen, sondern auch – teils nicht nur unerhebliche – Bußgelder. Daneben sind im Übrigen auch noch Abmahnungen durch Mitbewerber möglich.
VI. Schadensersatzpflicht bei bestimmten Arten von Datenschutzverstößen
1. Schadensersatzpflicht bei fehlender DSGVO-Auskunft nach Art. 15. DSGVO
Das AG Düsseldorf hat in einem Fall dem Kunden eines Online-Shops EUR 500,00 zugesprochen, weil der Shop-Betreiber dem Kunden keine DSGVO-Auskunft gemäß den Vorgaben aus Art. 15 DSGVO erteilt hatte (Urteil vom 24.08.2023 - Az. 51 C 206/23).
Im Online-Shop wurden u.a. Software, Computerzubehör, Druckerpatronen, Haushalts- und Lifestyle-Artikel verkauft. Der Kunde kaufte in dem Shop Waren im Wert von EUR 76,93, bezahlte diese aber nicht, sondern forderte die Erteilung einer Auskunft nach Art. 15 DSGVO über die Verarbeitung von personenbezogenen Daten des Kunden durch den Online-Shop. Dieser Aufforderung kam der Online-Shop nicht nach. Dies war kein Einzelfall; vielmehr ging der Kunde systematisch vor und machte auch gegenüber anderen Unternehmen in entsprechender Weise Schadensersatzansprüche geltend.
Das Gericht entschied, der Kunde habe gegen den Online-Shop grundsätzlich einen Anspruch auf Herausgabe einer Kopie sämtlicher Daten, die dort über ihn verarbeitet werden, sowie auf Auskunftserteilung, an welche anderen Unternehmen der Webshop seine Daten übermittelt hat gemäß Art. 15 Abs. 1 und 3 DSGVO. Die Nicht-Erfüllung dieser Ansprüche führe zu einem Anspruch auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO in Höhe von 500,00 EUR.
Das Gericht berücksichtigte die systematische Verfolgung von Verstößen gegen die DSGVO durch den Kunden bei der Höhe des Schadenersatzes, sah darin aber keinen Grund für einen Ausschluss des Anspruchs wegen rechtsmissbräuchlichen Handelns. Ein immaterieller Schadensersatz, wie der in Art. 82 DSGVO, diene der Genugtuung, solle aber keine Einnahmequelle darstellen. Weiter komme es bei der Höhe des Betrages nicht darauf an, wie wirtschaftlich potent der Anspruchsgegner sei. Der immaterielle Schadensersatzanspruch des Geschädigten habe insoweit keine Straffunktion, so dass es auf eines "abschreckende" Wirkung nicht ankomme.
2. Schadensersatzpflicht bei unzulässigen Werbemails und Werbeanrufen
Das LG Heidelberg hat in einem Fall dem Empfänger von unzulässiger E-Mail-Werbung einen Anspruch auf Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 25,00 zugesprochen (Urteil vom 16. März 2022 – Az. 4 S 1/21).
Der Kläger hatte auf seine berufliche E-Mail-Adresse eine Werbemail erhalten, worin er zuvor nicht eingewilligt hatte, weshalb nach Ansicht des Gerichts neben einem UWG-Verstoß gegen § 7 Abs. 2 Nr. 2 UWG auch ein Datenschutzverstoß gegen Art. 6 DSGVO vorlag.
Nach Auffassung des Gerichts sei dem Kläger dadurch ein Schaden entstanden, dass er sich mit den unerwünschten Werbemails der Beklagten auseinandersetzen, deren Herkunft ermitteln, sich um eine Auskunft der Beklagten mittels eines Schreibens bemühen und die unerwünschten E-Mails löschen musste. In der Höhe sei zur Entschädigung der erlittenen Beeinträchtigungen die Zahlung von EUR 25,00 angemessen – ähnlich der in Verkehrsunfällen für die Umstände und Aufwendungen im Zusammenhang mit der Schadensabwicklung üblichen Auslagenpauschale.
Bemerkenswert ist, dass in diesem Fall die berufliche E-Mail-Adresse des Empfängers der Werbemails betroffen war. Gehen unzulässige Werbemails hingegen bei Verbrauchern ein, stellt dies normalerweise ein noch größerer Rechtsverstoß dar, der daher auch zu höheren Schadensersatzansprüchen führen kann.
3. Schadensersatzpflicht bei unzulässiger Übermittlung von Kundendaten an Kreditscoringdienste (z.B. Schufa) zwecks Bonitätsprüfung
Das OLG Koblenz hat entschieden, dass ein Unternehmen gemäß Art. 82 DSGVO Schadensersatz in Höhe von EUR 500,00 an eine Kundin zahlen muss, weil es eine Forderung der Kundin in datenschutzrechtlicher Hinsicht unzulässig an die privatwirtschaftliche deutsche Wirtschaftsauskunftei SCHUFA gemeldet hatte (Urteil vom 18. Mai 2022 – Az. 5 U 2141/21).
Nach einem Rechtsstreit zwischen dem Unternehmen und seiner später klagenden Kundin über bestimmte Forderungen des Unternehmens meldete das Unternehmen die Forderungen an die SCHUFA, obwohl es dazu nicht berechtigt war. Da die Hausbank der Kundin später in einer anderen Sache die Verhandlungen über die Gewährung eines Darlehens wegen der SCHUFA-Einträge der Kundin abbrach, verlangte diese von dem Unternehmen insgesamt EUR 6.000,00 Schadensersatz.
Nach Ansicht des Gerichts sei die Kundin durch die widerrechtliche Weitergabe ihrer Daten an die SCHUFA und der anschließenden Veröffentlichung ihrer Daten als zahlungsunfähige oder jedenfalls zahlungsunwillige Kundin stigmatisiert worden. Die so entstandene Rufschädigung sei eine Verletzung ihres Allgemeinen Persönlichkeitsrechts, die auch als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO anzusehen sei.
Allerdings sei die von der Kundin geforderte Höhe völlig überzogen und stehe insbesondere außer Verhältnis zu immateriellen Ersatzansprüchen im Kontext anderer Schädigungshandlungen, wie etwa bei Körperverletzungen. Das Gericht hielt ein Schmerzensgeld in Höhe von EUR 500,00 für angemessen, und auch ausreichend, um der sog. Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes zu genügen, und auch der generalpräventiven Funktion des immateriellen Schadensersatzes hinreichend Rechnung zu tragen.
Vor diesem Hintergrund wird spannend sein, ob sich diese Herangehensweise zur Bestimmung der Höhe des Anspruchs auf immateriellen Schadensersatz, also Schmerzensgeld, auch bei anderen Gerichten, und damit in der Praxis insgesamt, durchsetzen wird. Das OLG Koblenz hat bei der Bestimmung der Schadenshöhe auf die Regelungen und Maßstäbe des deutschen Schadensrechts zurückgegriffen. Die DSGVO ist aber EU-Recht und daher unabhängig von den nationalen Vorschriften der einzelnen EU-Mitgliedstaaten auszulegen und anzuwenden.
Nicht zuletzt auch deshalb hat das AG München jüngst einige Fragen zur Auslegung des datenschutzrechtlichen Schadensersatzanspruchs aus Art. 82 DSGVO dem EuGH zur Entscheidung vorgelegt (Beschluss vom 2. März 2022 – Az. 132 C 1263/21). Diese EuGH-Entscheidung liegt noch nicht vor, wird voraussichtlich aber erhebliche Auswirkungen darauf haben, wie groß das Risiko für Unternehmen tatsächlich ist, bei Datenschutzverstößen Schadensersatz zahlen zu müssen.
Das OLG Hamburg (Urteil vom 10. Januar 2024 - Az. 13 U 70/23) hat zudem wegen unberechtigter Meldungen von Forderungen an eine Wirtschaftsauskunftei und deren Weigerung der Löschung des falschen Negativeintrages entschieden, dass die Wirtschaftsauskunftei dem Betroffenen Schadensersatz in Höhe von EUR 2.000 je pflichtwidriger Forderungsanmeldung, also im konkreten Fall insgesamt EUR 4.000 zahlen muss.
4. Schadensersatzpflicht bei Zugriff auf Kundendaten durch unbekannte Dritte
Nach einer Entscheidung des LG Köln muss ein Neobroker wegen eines Datenschutzverstoßes im Zusammenhang mit einem unberechtigtem Zugriff auf Kundendaten durch unbekannte Dritte nach Art. 82 DSGVO Schadensersatz in Höhe von EUR 1.200,00 an einen seiner Kunden zahlen (Urteil vom 18. Mai 2022 – Az. 28 O 328/21).
In einem ähnlichen Fall hatte das LG München I schon zuvor entschieden, dass derselbe Neobroker wegen des Datenschutzverstoßes sogar Schadensersatz in Höhe von EUR 2.500,00 an einen Kunden zahlen muss (Urteil vom 9. Dezember 2021 – Az. 31 O 16606/20).
In beiden Fällen ging es um einen Datenschutzverstoß des Neobrokers, über den er seine Kunden im Oktober 2020 informiert hatte. Zuvor hatten unbekannte Dritte bestimmte Informationen der Kunden gestohlen bzw. Zugriff auf diese erhalten. Hierzu gehörten etwa Ausweisdaten, Name und Adresse, Wertpapierabrechnungen sowie auch steuerliche Daten.
Sowohl das LG München I als auch das LG Köln entschieden, dass der Neobroker seine datenschutzrechtlichen Sorgfaltspflichten aus Art. 32 DSGVO, insbesondere zur Einrichtung und Unterhaltung von technischen und organisatorischen Schutzmaßnahmen zum Schutz der durch ihn verarbeiteten personenbezogenen Daten und zur Gewährleistung einer sicheren Datenverarbeitung verletzt hatte und daher zum Ersatz des daraus entstandenen Schadens verpflichtet sei. Zu einem nachweisbaren Missbrauch der gestohlenen Daten kam es bis zu den jeweiligen Zeitpunkten der Entscheidungen nicht.
Bei der Bemessung der Höhe des immateriellen Schadensersatzes haben die Gerichte zwar einerseits berücksichtigt, dass die Daten noch nicht zu Lasten der Kläger missbraucht worden waren, und daher bloß eine mehr oder weniger hohe Gefährdung – insbesondere für einen Identitätsmissbrauch – angenommen werden konnte. Andererseits ließen die Gerichte aber ausdrücklich auch die vom EU-Gesetzgeber beabsichtigte abschreckende Wirkung des Schadensersatzes in die Bemessung der Höhe des Anspruchs einfließen.
Mit anderen Worten: Kommt es nach einem Datendiebstahl zu einem Identitätsmissbrauch und dadurch zu konkreten bezifferbaren Schäden, muss davon ausgegangen werden, dass die Gerichte den betroffenen Personen neben dem Ersatz der beziffer- und nachweisbaren Vermögenseinbußen auch Schmerzensgelder in nicht nur unerheblicher Höhe zusprechen werden.
5. Schadensersatzpflicht bei Veröffentlichung von Daten ehemaliger Mitarbeiter auf der Website
In einem Fall hat das Arbeitsgericht Neuruppin (Urteil vom 14.12.2021 – Az. 2 Ca 554/21) den Arbeitgeber zur Zahlung von Schadensersatz in Höhe von EUR 1.000,00 verpflichtet, weil er die Daten einer ausgeschiedenen Mitarbeiterin über mehrere Monate hinweg weiterhin auf der Website veröffentlichte, was nach Ansicht des Gerichts eine Datenschutzverletzung gewesen ist. Betroffen war der Name der ehemaligen Mitarbeiterin, den der Arbeitgeber trotz Aufforderung zur Löschung weiterhin auf seiner Webseite angegeben hatte.
Nach Ansicht des Gerichts ist ein Arbeitgeber nach Beendigung des Arbeitsverhältnisses auch ohne gesonderte Aufforderung durch den ehemaligen Mitarbeiter bereits von Gesetzes wegen dazu verpflichtet, sämtliche im Zusammenhang mit der Mitarbeiterin veröffentlichten Daten von der Website des Arbeitgebers zu entfernen. Dies sie nicht bloß eine datenschutzrechtliche Pflicht, sondern auch eine allgemeine Nebenpflicht aus dem Arbeitsverhältnis nach § 241 Abs. 2 BGB.
Bei der Bestimmung der Höhe des Schadensersatzanspruchs berücksichtigte das Gericht, dass der Datenschutzverstoß mehrerer Monate andauerte und fahrlässig, und damit schuldhaft begangen worden sei. Unerheblich für die Höhe des Anspruchs sei hingegen, dass die ehemalige Mitarbeiterin im Gerichtsprozess keine immateriellen Beeinträchtigungen vorgetragen habe, da der datenschutzrechtliche Schadensersatzanspruch auch eine Warn- und Abschreckungsfunktion habe.
Vor diesem Hintergrund dürfte die datenschutzrechtswidrige Veröffentlichung etwa auch von Fotos ehemaliger Mitarbeiter auf der Website einen noch größeren Verstoß darstellen und zu höheren Schadensersatzansprüchen führen. Wir empfehlen daher, im Offboarding-Prozess vorzusehen, dass die personenbezogenen Daten des ausscheidenden Mitarbeiters auf der Website und ggf. auch in anderen Publikationen standardmäßig im Zuge des Ausscheidens gelöscht werden.
6. Schadensersatzpflicht bei Nutzung des Dienstes Google Fonts
Das LG München I hat entschieden, dass der Betreiber einer Website für die Weitergabe einer IP-Adresse des klagenden Nutzers beim Laden der Webfonts bei Einsatz des Dienstes Google Fonts ohne Vorliegen einer entsprechenden datenschutzrechtlichen Einwilligung des Nutzers einen Datenschutzverstoß begeht, der auch zur Folge habe, dass dem betroffenen Nutzer Schadensersatz in Höhe von EUR 100,00 zu zahlen sei (Urteil vom 20. Januar 2022 – Az. 3 O 17493/20).
Aus Sicht des Gerichts sei die Übermittlung der IP-Adresse des Nutzers, die im Übrigen ein personenbezogenes Datum sei, nur auf Grundlage einer datenschutzrechtlichen Einwilligung nach Art. 6 (1) S. 1 lit. a DSGVO zulässig. Eine Rechtfertigung der Übermittlung der IP-Adresse aufgrund der Rechtsgrundlage der berechtigten Interessen des Website-Betreibers, die Website grafisch möglichst ansprechend zu gestalten, nach Art. 6 Abs. 1 lit. f DSGVO sei hingegen bereits deshalb keine taugliche Rechtsgrundlage für die Datenübermittlung, weil diese Übermittlung für die Erreichung des Zwecks nicht erforderlich sei. Durch die einwilligungslose Übermittlung der IP-Adresse des Nutzers an Google im Wege der Verbindungsaufnahme mit Google beim Laden der Webfonts sei das Recht auf informationelle Selbstbestimmung des Nutzers als Teil dessen allgemeinen Persönlichkeitsrecht verletzt worden, so dass dem Nutzer deshalb ein Schadensersatzanspruch zusteht.
Weitere Informationen zu diesem Fall finden Sie auch in diesem Beitrag der IT-Recht Kanzlei.
Mittlerweile ist das datenschutzrechtliche Problem hinter der Nutzung von Google Fonts entschärft worden. Im Juli 2023 trat das sog. EU U.S. Data Privacy Framework in Kraft, das Datenübermittlungen an Google in den USA wieder ermöglicht. Aktuell muss daher nicht mehr mit der Geltendmachung von Schadensersatzforderungen durch Verbraucher gerechnet werden.
VII. Wie kann ich als Händler DSGVO-Schadensersatzansprüche von Kunden vermeiden?
Gleich die bittere Wahrheit vorneweg: Als Online-Händler, der von Kunden und Mitbewerbern wahrgenommen wird, stehen Sie im Fokus und sind schon allein deshalb angreifbar. Sie werden daher nicht vermeiden können, dass Sie datenschutzrechtliche Anfragen und auch Beschwerden erhalten, unabhängig davon, ob diese berechtigt sind oder nicht.
Daher werden Sie nicht vollständig vermeiden können, auch (unberechtigten) Forderungen auf Zahlung von DSGVO-Schadensersatz ausgesetzt zu sein. Aber natürlich können Sie sehr wohl das Risiko vermindern, dass solche Forderungen berechtigt sind, indem Sie die Daten Ihrer Kunden gemäß den datenschutzrechtlichen Vorgaben verarbeiten und schützen.
Dabei müssen Sie zwei Dinge unterscheiden und auseinanderhalten: Den quasi für jeden sichtbaren Datenschutz auf der einen, und den etwas versteckten auf der anderen Seite. Wenig überraschend: der sichtbare Datenschutz ist zunächst einmal der für Sie in der Praxis etwas wichtigere.
Sieht man einem Webshop, der Datenschutzerklärung und der elektronischen Kommunikation (und dabei vor allem der Einbindung des Newsletters) bereits auf den ersten Blick an, dass der Händler keinen besonderen Wert auf die Einhaltung der datenschutzrechtlichen Vorgaben legt, besteht ein nicht nur geringes Risiko von
- Untersuchungen durch Datenschutzbehörden,
- Abmahnungen durch Mitbewerber und eben auch
- Geltendmachung von Betroffenenrechten von Kunden
und - in deren Folge oder auch davon unabhängig - von Schadensersatzansprüchen. Denn Website und Datenschutzerklärung sind für jeden ohne großen Aufwand jederzeit einsehbar. Daher ist unsere dringende Empfehlung, zumindest diese Dinge in bester Ordnung zu halten.
Hinweis: Die Mandanten der IT-Recht Kanzlei erhalten nicht nur eine DSGVO-Datenschutzerklärung, sondern haben über unser Mandantenportal zudem auch Zugriff auf zahlreiche Leitfäden und Muster zum Datenschutz, einschließlich Musterformulierungen zur Kommunikation mit den Kunden über datenschutzrechtliche Themen.
VIII. Wie kann ich als Händler das Risiko einer DSGVO-Schadensersatzpflicht weiter vermindern?
Neben dem bereits angesprochenen, für jeden sichtbaren Datenschutz auf der Website sollten Online-Händler vor allem auch den für Behörden und einzelne Kunden sichtbaren Datenschutz wahren.
Dies betrifft in jedem Fall die Einhaltung der datenschutzrechtlichen Mindeststandards. Hierzu gehören insbesondere
- die Erstellung und Pflege eines Verarbeitungsverzeichnisses und
- die fristgemäße, formgerechte und inhaltlich richtige Beantwortung von Betroffenenanfragen, wie vor allem Auskunftsersuchen nach Art. 15 DSGVO und Löschungsanfragen nach Art. 17 DSGVO.
Hinweis: Auch hierfür finden unsere Mandanten Leitfäden und Muster in unserem Mandantenportal. Denn das Allerwichtigste ist, sich in angemessenem Umfang vorzubereiten und im Fall der Fälle gut gerüstet zu sein.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare