Die am häufigsten gestellten Fragen (FAQ) zur DSGVO

Im Rahmen unserer täglichen praktischen Arbeit werden wir immer wieder mit sehr ähnlichen Fragen rund um die DSGVO konfrontiert. Da die Entwicklungen zur Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz im Fluss und die Gerichtsentscheidungen noch rar sind, haben wir diesen laufend aktualisierten Text mit den häufigsten Fragen und Antworten zum Datenschutzrecht und zur Datenschutz-Grundverordnung zusammengestellt.

Sollten auch Sie datenschutzrechtliche Fragen allgemeiner Natur haben, können Sie uns diese gerne an info@wbs-law.de mailen. Wir werden die Fragen dann beantworten und die FAQ dann entsprechend erweitern!

  1. Für wen gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung gilt für jeden, der personenbezogene Daten von natürlichen Personen verarbeitet. Es muss sich also um Daten von Menschen handeln. Nicht umfasst sind damit Daten juristischer Personen wie Unternehmen in den verschiedenen gesellschaftsrechtlichen Formen (GmbH, AG OHG etc.), wohl aber die Daten der Personen, die Teil der juristischen Person sind oder bei ihr beschäftigt sind. Davon unabhängig ist auch, wo die Datenverarbeitung erfolgt: Wer Daten in seinem Ladenlokal verarbeitet, ist ebenso an die Datenschutz-Grundverordnung gebunden wie der, der seine Daten in Zusammenhang mit dem Vertrieb seiner Produkte über Online-Plattformen wie eBay, Amazon oder dem eigenen Online-Shop vertreibt. Dabei kommt es nicht darauf an, wie umfangreich Ihre unternehmerische Tätigkeit ist – auch Kleinunternehmer müssen die Regelungen beachten. Die Datenschutz-Grundverordnung gilt für Sie jedoch dann nicht, wenn Sie die Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vornehmen.

  1. Welche Daten dürfen nicht erfasst werden?

Ähnlich der bisherigen Regelung im ehemals geltenden Bundesdatenschutzgesetz sieht nun auch Art. 9 DSGVO besondere Kategorien von Daten vor, die grundsätzlich nicht verarbeitet werden dürfen. Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen. Die Kategorien sind weiter als die im Bundesdatenschutzgesetz alter Fassung, insbesondere fallen auch biometrische Daten wie Fingerprint, Stimmerkennung etc. nun darunter.

Die Verarbeitung dieser Daten ist allerdings dann erlaubt, wenn ein Ausnahmetatbestand einschlägig ist. Im Wesentlichen ist das der Fall, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist. Dieser Erlaubnistatbestand ist – anders als früher im Bundesdatenschutzgesetz – nicht mehr auf die gerichtliche Geltendmachung oder Abwehr beschränkt.

  1. Gilt die Datenschutz-Grundverordnung auch für Alt-Daten?

Die Datenschutz-Grundverordnung findet auch auf die Daten Anwendung, die Sie rechtmäßig vor Ablauf der Umsetzungsfrist am 25. Mai 2018 erhoben haben – sogenannte Alt-Daten. Sind die Datenverarbeitungsvorgänge vor diesem Datum rechtmäßig erhoben und verarbeitet wurden, resultieren für Sie in der Regel keine großen Veränderungen. Denn die Rechtfertigungsgründe des bisherigen Bundesdatenschutzgesetzes stimmen vielfach mit den neuen gesetzlichen Ausnahmen überein. Auch zuvor rechtmäßig eingeholte Einwilligungen gelten dann weiterhin fort. Anders sieht die Rechtslage hingegen aus, wenn die Datenverarbeitungsvorgänge zum Stichtag noch nicht abgeschlossen wurden. In diesen Fällen muss eine Anpassung an die neue Rechtslage erfolgen.

  1. Was passiert bei Verstößen gegen die Datenschutz-Grundverordnung?

Um einen hohen Datenschutz-Standard zu gewährleisten, hat der europäische Gesetzgeber den Rahmen für Bußgelder erheblich erhöht: Während die Obergrenze grundsätzlich mit bis zu 20.000.000 Euro ohnehin schon sehr hoch ausfallen können, ist sogar noch eine Erweiterung dieses Rahmens bei Unternehmen vorgesehen. Für die kann ein Bußgeld auch – je nach Verstoß und dessen Schwere – bis zu 4 Prozent des weltweiten Umsatzes des vergangenen Jahres betragen, wenn dieser Betrag höher als 20.000.000 Euro ist. An dieser Stelle ist ganz entscheidend, wie der Begriff des Unternehmens in diesem Kontext genau zu definieren ist. Es ist davon auszugehen, dass für den Unternehmensbegriff nur eine wirtschaftliche Einheit vorliegen muss – so wie es bei Unternehmensgruppen und Konzernen der Fall ist. Grundlage der Berechnung des Bußgeldes ist demnach nicht nur der Umsatz des unmittelbar am Datenschutzverstoß beteiligten Unternehmens, sondern der des gesamten Konzerns. Dies führt zu einer erheblichen Steigerung des Geldbußenrahmens. Daneben müssen Sie mit aufsichtsrechtlichen Anordnungen und Abmahnungen durch Konkurrenten ebenso rechnen wie mit Schadensersatzklagen Betroffener.

  1. Was ist die e-Privacy-Verordnung?

Die e-Privacy-Verordnung ist insbesondere im Bereich des Online-Handels ein häufiges Thema. Ziel dieser Verordnung ist es, den Bürgern der Europäischen Union in Zukunft wieder mehr Kontrolle über gerade die personenbezogenen Daten zu geben, die sie oft ganz beiläufig und zumeist unwissentlich im Internet und realen Leben hinterlassen.

Dabei handelt es sich um eine europäische Verordnung, die sich derzeit noch in Abstimmung befindet und dessen äußerst nutzerfreundlicher Entwurf im Oktober 2017 vom EU-Parlament verabschiedet wurde. Ursprünglich sollte die ePrivacy-Verordnung im Mai 2018 in Kraft treten, jedoch wird sich dieser Termin angesichts der noch ausstehenden sogenannten Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und dem Rat der europäischen Union wahrscheinlich auf das Jahr 2019 verschieben. Erst im Rahmen dieser Verhandlungen wird die wahrscheinlich endgültige Fassung gefunden werden und dann ebenso wie die Datenschutz-Grundverordnung unmittelbare Wirkung in den Mitgliedstaaten der europäischen Union entfalten.

  1. In welchem Verhältnis steht die Datenschutz-Grundverordnung zur e-Privacy-Verordnung?

Auch nach Erlass der e-Privacy-Verordnung gilt die Datenschutz-Grundverordnung natürlich fort. Die Datenschutz-Grundverordnung schafft – wie der Name schon vermuten lässt – Grundstandards im Datenschutzrecht und kann in speziellen Bereichen durch weitere Regelungen ergänzt werden. Im Regelungsbereich der e-Privacy-Verordnung ist diese spezieller und kommt dann vorrangig zur Anwendung.

  1. Wie können Daten im Unternehmen geschützt werden?

Sie können in Ihrem Unternehmen mehrere Sicherheitsmaßnahmen ergreifen, um einen hohen Datenschutzstandard gewährleisten zu können. Zunächst empfehlen wir Ihnen, über ein umfassendes Datenschutz- und Datensicherheitskonzept verfügen, in dem die zentralen Anforderungen zu Datenschutz und Datensicherheit beschrieben sind, und das für die Mitarbeiter verbindlich ist. Daneben bieten sich auch punktuelle Vorkehrungsmaßnahmen wie die Verschlüsselung des Internets und die Beschränkung des Zugangs zu personenbezogenen Daten auf einen Kreis berechtigter Personen. Auch sollten Sie Vorkehrungen zum Schutz gegen Viren bereithalten und geschäftliche Kommunikation nur über vertrauenswürdige Dienste abwickeln. Sofern Sie nicht ohnehin zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, kann es sich anbieten, die regelmäßige Kontrolle der Datenverarbeitungsanlagen durch geschultes Fachpersonal sicherzustellen. Die schriftliche Verpflichtung der Mitarbeiter auf das Datengeheimnis ist jedoch zwingend und sollte in jedem Falle in die Wege geleitet werden. Auch bei der Verwendung von Cloud-Diensten sollten Sie vorsichtig sein – insbesondere wenn es sich um sensible Daten handelt.

  1. Benötigen Unternehmen immer ein Sicherheitskonzept?

Ein Sicherheitskonzept ist eigentlich immer eine gute Sache – damit können Sie nichts falsch machen. Wenn es nun darum geht, ob Sie dies auch unbedingt benötigen, so hängt die Beantwortung dieser Frage maßgeblich von der Größe Ihres Unternehmens ab. Je größer Ihr Unternehmen ist und je mehr Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, um so wichtiger ist, Ihre Mitarbeiter beim rechtskonformen Umgang mit den Daten anzuleiten. Denn mit einer steigenden Größe des Unternehmens fällt es der Unternehmensleitung schwerer die Einhaltung datenschutzrechtlicher Regelungen einzuhalten. Als Richtwert der Mitarbeiterzahl können Sie die Zahl Zehn nehmen, da diese letztlich auch bei der Bestellung eines Datenschutzbeauftragten entscheidend ist.

  1. Was wird aus den bisherigen Datenschutzzertifikaten?

In der Vergangenheit gab es bereits eine Vielzahl von Zertifizierung verschiedener Organisationen, jedoch haben Kontrollen von Aufsichtsbehörden ergeben, dass anhand dieser Zertifikate nicht genau nachvollzogen werden kann, inwieweit die gesetzlichen Standards eingehalten werden. Aus diesem Grund soll ein einheitliches Zertifizierungsverfahren nun Abhilfe schaffen. Dies bedeutet aber auch, dass die bereits erteilten Zertifikate nicht übertragen werden können. Denn diese können jedenfalls nicht im Hinblick auf die Einhaltung der neuen Datenschutz-Grundverordnung als Grundlage für ein neues Zertifikat dienen. Berücksichtigung werden sie wohl jedoch sicherlich im Rahmen eines neuen Datenschutzaudits bekommen.

  1. Muss jede Datenschutzerklärung angepasst werden?

Um eine Anpassung der Datenschutzerklärung kommen Sie nicht umhin. Denn neben den rechtlichen Grundlagen der Datenverarbeitung haben sich auch Betroffenenrechte und Informationspflichten geändert, die in der Datenschutzerklärung angepasst werden müssen. Und wer bisher noch keine Datenschutzerklärung erstellt hat, sollte dies spätestens jetzt tun.

  1. Ist der Einsatz eines Datenschutz-Generators sinnvoll?

Die Antwort auf diese Frage lautet: Es kommt darauf an! Natürlich kann man sich nicht auf jeden Datenschutz-Generator, der im Internet angeboten wird, auch verlassen. Das ist hier nicht anders als in anderen Bereichen – bei Angeboten im Internet ist Vorsicht geboten. Möchten Sie einen Datenschutz-Generator einsetzen, sollten Sie einen vertrauenswürdigen Anbieter finden. Wir können Ihnen zwei Datenschutz-Generatoren empfehlen, die beide von der Rechtsanwaltskanzlei »Wilde Beuger Solmecke« mitgestaltet wurden. Es handelt sich dabei einerseits um den Rechtstexter der »Trusted Experts« (abrufbar unter http://wbs.is/romrechtstexter) und den der »Deutschen Gesellschaft für Datenschutz« (abrufbar unter http://wbs.is/dsgenerator). Beachten Sie dabei jedoch bitte, dass diese Generatoren in der Regel nur Texte zu den standardmäßig eingesetzten Plug-Ins bereithalten. Fast jeder Website–Betreiber hat noch besondere Plug-Ins, die von den Generatoren nicht erfasst werden. Die dafür erforderlichen Erläuterungen müssen dann noch individuell erstellt werden – im Idealfall von einem Datenschutzanwalt.

  1. Woher weiß ich, welche Plug-Ins ich in meine Datenschutzerklärung aufnehmen muss?

Inzwischen gibt es im Internet nicht nur Generatoren zur Erstellung einer Datenschutzerklärung auf Basis von Fragen an den Verwender, sondern auch ein Tool zur Erstellung einer Datenschutzerklärung, bei dem im Vorfeld eine Überprüfung der verwendeten Dienste (z.B. Google Analytics, Facebook Pixel oder DoubleClick) auf Ihrer Website erfolgt.

  1. Wer benötigt einen Datenschutzbeauftragten?

In der Regel benötigen Sie für Ihr Online-Business einen Datenschutzbeauftragten, wenn in Ihrem Unternehmen mindestens zehn Personen ständig personenbezogene Daten automatisiert verarbeiten.

  1. Welche Mitarbeiter sind bei der Berechnung der Zehn-Personen-Grenze für einen Datenschutzbeauftragten einzubeziehen?

Grundsätzlich kommt es nicht auf die Zahl der Mitarbeiter insgesamt an, sondern auf die Zahl der Mitarbeiter, die ständig mit der Datenverarbeitung befasst sind. Ein bloßes „In-Berührung-Kommen“ mit personenbezogenen Daten reicht hingegen nicht aus. Damit kommt es nicht pauschal auf die Anzahl der Mitarbeiter an. Mitarbeiter, die typischer weiter darunter fallen sind solche aus den Bereichen Auftragsbearbeitung, Buchhaltung, Marketing und Versandmanagement. Auch auf die Art des Anstellungsverhältisses (Festangestellt/Auszubildender/Praktikant) oder den Umfang der Beschäftigung (Vollzeit/Teilzeit) kommt es nicht an – jeder Mitarbeiter zählt voll.

  1. Wer kann Datenschutzbeauftragter werden?

Grundsätzlich kann jede natürliche Person Datenschutzbeauftragter werden, wenn er die persönlichen Voraussetzungen dafür erfüllt. Dabei ist besonders wichtig, dass die Personen über das nötige Fachwissen verfügen, welches sie durch Schulungen erwerben können. Ausgeschlossen sind hingegen juristische Personen als Datenschutzbeauftragte. Bei internen Datenschutzbeauftragten müssen Sie insbesondere beachten, dass kein Interessenkonflikt entsteht. Dies ist insbesondere bei Personen aus der Unternehmensführung oder der internen IT-Abteilung der Fall, da diese sich andernfalls selbst kontrollieren würden. Daneben können aber auch externe Personen Datenschutzbeauftragte werden – sie müssen nicht Teil des Unternehmens werden.

  1. Muss der Datenschutzbeauftragte schriftlich bestellt werden?

Eine solche Voraussetzung sieht die europäische Datenschutz-Grundverordnung nicht vor. Wir empfehlen Ihnen jedoch dennoch aus Beweiszwecken die Bestellung schriftlich vorzunehmen. Auch muss der Datenschutzbeauftragte bei den Aufsichtsbehörden angemeldet werden. Denn auch die bloße Nichtmeldung stellt einen Datenschutzverstoß dar – auch wenn Sie tatsächlich einen Datenschutzbeauftragten bestellt haben.

  1. Was passiert mit vor der Datenschutzreform bestellten Datenschutzbeauftragten?

Wer nach altem Recht einen Datenschutzbeauftragten bestellt hat, der muss keine Änderungen vornehmen. Denn die Bestellung nach altem Recht wird mit Inkrafttreten der Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes nicht unwirksam, vielmehr besteht das Rechtsverhältnis fort.

  1. Was ist bei der Einholung einer Einwilligung nach neuem Recht zu beachten?

Zur Einholung von Einwilligungen hat der europäische Gesetzgeber klare Vorstellungen. Zunächst einmal muss der Einwilligende einwilligungsfähig sein, wovon auszugehen ist, wenn eine Person das sechzehnte Lebensjahr vollendet hat. Für die Wirksamkeit der Einwilligung erforderlich ist, dass die Betroffenen zuvor umfassend informiert werden, insbesondere über ihr jederzeitiges Widerrufsrecht, und sie die Einwilligung freiwillig und ausdrücklich abgegeben wird. Die Informationspflichten sind sehr umfassend und mit der rechtmäßigen Erteilung der Informationen steht und fällt die Wirksamkeit der Einwilligung. Aus diesem Grund ist auch eine ordnungsgemäße Protokollierung des Ganzen zwingend.

  1. Was ist mit Einwilligungen, die vor der Datenschutz-Grundverordnung erteilt wurden?

Bisher ist davon auszugehen, dass diese weiterhin gelten, wenn Sie rechtskonform gestaltet wurden. Somit kann diese Frage eigentlich nicht pauschal beantwortet werden, sondern bedarf einer Beurteilung im Einzelfall. Jedenfalls aber gibt es keine Regel, dass grundsätzlich alle Einwilligungen wertlos sind und neu eingeholt werden müssen. Denn der sogenannte Düsseldorfer Kreis, ein Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich, hat sich dieser Frage angenommen und in einem Beschluss im Jahre 2016 (abrufbar unter https://www.lda.bayern.de/media/dk_einwilligung.pdf) entschieden, dass bisher rechtswirksam eingeholte Einwilligungen weiterhin gelten. Dabei sei auch nicht problematisch, dass die nach altem Recht eingeholten Einwilligungen den neuen Informationspflichten nicht gerecht werden, da sie keine Bedingungen seien. Besondere Beachtung finden müsse jedoch die Voraussetzung der Freiwilligkeit und die Altersgrenze von 16 Jahren. Entscheidend ist allein, dass auch schon alte Einwilligungen korrekt protokolliert worden sind. Ist dies nicht der Fall, müssen die Einwilligungen unter Beachtung der neuen Rechenschaftspflichten noch einmal eingeholt werden.

  1. Müssen Einwilligungen protokolliert werden und wie kann dies elektronisch erfolgen?

Ja! Sie müssen nachweisen können, dass Sie die Datenverarbeitung auf rechtssicherem Boden durchgeführt haben. Die Einwilligung ist insbesondere dann wichtig, wenn keine gesetzliche Ausnahmevorschrift für die Datenverarbeitung vorliegt. Wenn Sie die Einwilligung elektronisch eingeholt haben, dann erfolgt die Protokollierung ebenfalls elektronisch, nämlich mindestens durch die Abspeicherung des Einwilligungstextes und des Opt-Ins unter Angabe der Zeit und der IP-Adresse des verwendeten Endgeräts. Wenn Sie diesen Nachweis nicht erbringen können, drohen rechtliche Konsequenzen.

  1. Können Kontaktformulare künftig weiter genutzt werden?

Ja, wenn Sie dabei auch weiterhin die datenschutzrechtlichen Anforderungen erfüllen. Denn angesichts der Tatsache, dass die Kontaktaufnahme aktiv von dem Betroffenen selbst ausgeht und er selbst entscheidet, welche Daten er angibt, ist anzunehmen, dass hier die Ausnahme eines berechtigten Interesses greift, wonach eine Einwilligung zur Datenverarbeitung dann nicht mehr erforderlich ist. Beachten sollten Sie aber, dass auch weiterhin eine Verschlüsselung der Daten erfolgen sollte, um den Datenschutzgrundsätzen der Integrität und Vertraulichkeit der Daten gerecht zu werden. Zudem sollte ein Hinweis auf die Datenverarbeitung über Kontaktformulare in Ihrer Datenschutzerklärung enthalten sein.

  1. Was ist beim Einsatz einer ausländischen Cloud zu beachten?

Das Cloud-Computing ist als Auftragsverarbeitung ausführlich in Art. 28 DSGVO geregelt und muss demnach insbesondere auf Grundlage eines Auftragsverarbeitungsvertrages erfolgen, der alle Weisungen an den Cloud-Anbieter in Textform enthält. Neben der Problematik, dass der Gesetzgeber einen Datentransfer in Drittstaaten grundsätzlich nur unter strengen Voraussetzungen erlaubt, spielen gerade bei ausländischen Cloud-Diensten eine Reihe haftungsrechtlicher Aspekte im Falle einer Datenpanne eine Rolle. Denn zwar ist ein vollständiger Haftungsausschluss in den AGB des Cloud-Anbieters nach deutschem Recht ausgeschlossen, es stellt sich jedoch die Frage, ob ein möglicher Anspruch überhaupt praktisch durchsetzbar wäre. Denn zunächst einmal müssen Sie darlegen und beweisen, worin Ihr Schaden genau liegt und wie hoch dieser ist. Bei ausländischen Cloud-Diensten muss zudem der ohnehin teure Rechtsstreit auch noch in einem fremden Land mit einem anderen Rechtssystem geführt werden. Ebenfalls problematisch ist die Frage nach den Folgen einer Insolvenz des Cloud-Anbieters.

  1. Was ist das Privacy Shield-Abkommen?

Das Privacy Shield-Abkommen ist im Grunde genommen der rechtskonforme Nachfolger des sogenannten Safe-Harbor-Abkommen. Nachdem der Europäische Gerichtshof (Urteil vom 06.10 2015, Az. C-362/14) entschieden hat, dass das Safe-Harbor-Abkommen ungültig sei, weil es nicht den geltenden gesetzlichen Voraussetzungen entspreche, ist es mit dem Privacy Shield-Abkommen zu einem neuen Datenschutzabkommen zwischen Europa und den USA gekommen, dessen endgültige Fassung die Kommission am 12.07.2016 offiziell als Angemessenheitsentscheidung zu verabschieden. Bei dem Privacy Shield-Abkommen handelt es sich ebenso wie beim Vorgänger nicht um ein rechtsverbindliches Abkommen, sondern eher um einen rechtlichen Rahmen, zu dessen Einhaltung sich Unternehmen in den USA seit dem 01.08.2016 durch Eintragung in die sogenannte Privacy Shield-Liste verpflichten können. Konkret verpflichten sich die teilnehmenden Unternehmen dazu, die Regeln und Prozesse des Abkommens einzuhalten. Tun sie dies nicht, können sie nach US-Recht dafür belangt werden. Website-Betreiber, die Datenübermittlungen in die USA vornehmen, können somit auf Grundlage dieses Abkommens gegenüber den von der Datenverarbeitung Betroffenen nachweisen, dass sie die gesetzlichen Anforderungen an ein dem europäischen Standard entsprechendes Datenschutzniveau einhalten.

  1. Was ist Big Data?

Big Data beschreibt große Datensammlungen, die sich aus einzelnen Datenbeständen zusammensetzen. Den Weg in die Tagesberichterstattung hat Big Data durch die zunehmenden Möglichkeiten der automatisierten Auswertung von Datensammlungen gefunden. Mit den entsprechenden Möglichkeiten kann Big Data dazu genutzt werden, Kategorisierungen und Verhaltensprofile hinsichtlich der Interessen, des Kaufverhaltens, der Bewegungsdaten, der finanziellen Verhältnisse oder anderen relevanten Faktoren zu erstellen. Der Anbieter einer bestimmten Dienstleistung könnte zum Beispiel anhand der Datensammlungen den lukrativsten Kundenstamm ermitteln. Durch Informationen über Alter, Geschlecht, Interessen und finanzielle Verhältnisse lassen sich zum Beispiel die geeignetsten Orte zur Platzierung von Werbung ermitteln. Dies ist datenschutzrechtlich jedoch problematisch, da es sich aufgrund der Vielfalt der Daten und ihrer möglichen Verknüpfungen kaum mit hinreichender Sicherheit ausschließen lässt, dass durch die Kombination einzelner Informationen nicht doch Rückschlüsse auf die Identität einzelner Personen gezogen werden und diese damit reidentifizierbar gemacht werden können. Dies hätte eine Beeinträchtigung der Privatsphäre der betroffenen Personen zur Folge.

  1. Muss man Abmahnungen fürchten?

Ja, denn Verstöße gegen das Datenschutzrecht können einen Wettbewerbsvorteil darstellen und berechtigen dann zum Beispiel Konkurrenten zur Abmahnung. Besonders anfällig für Abmahnungen in Ihrem Online-Business sind Einwilligungserklärungen und Datenschutzerklärungen, weshalb diese immer in Einklang mit dem geltenden Datenschutzrecht stehen sollten, wenn Sie Abmahnungen vermeiden möchten.

  1. Sollte man überhaupt auf eine Abmahnung reagieren?

Bei Erhalt einer Abmahnung ist die richtige Vorgehensweise das A und O. Keine Reaktion ist dabei die denkbar schlechteste Vorgehensweise. Auch wenn dies gelegentlich gut ausgehen kann, besteht dennoch das Risiko eines gerichtlichen Verfahrens. Dieses sollten Sie aufgrund des damit verbundenen Kostenrisikos vermeiden, zumal in vielen Bereichen keine einheitliche Rechtsprechung besteht.

  1. Was passiert, wenn man keine Unterlassungserklärung abgibt?

Geben Sie die Unterlassungserklärung nicht oder nicht fristgemäß ab, so kann der Abmahnende seinen Anspruch auch im Wege der einstweiligen Verfügung vor Gericht durchsetzen. Gerade im Urheber- und Wettbewerbsrecht sind solche Eilverfahren üblich. Dies ist für Sie oft nachteilig, denn in der Regel werden Sie wegen der Eilbedürftigkeit vom Gericht nicht angehört. Ein solches Verfahren können Sie nur durch die vorsorgliche Hinterlegung einer sogenannten Schutzschrift verhindern. Oft verfolgen die abmahnenden Kanzleien den Unterlassungs- und Schadensersatzanspruch außergerichtlich weiter, wenn eine Erklärung nicht oder nicht in ausreichender Weise abgegeben wird. Dabei steigen die Forderungen deutlich, teilweise sogar um das Doppelte; zudem ist zu befürchten, dass Inkasso-Büros eingeschaltet werden, die Ihnen in der Folgezeit das Leben schwer machen.

  1. Sollte man die Unterlassungserklärung der Gegenseite unterschreiben?

Geben Sie eine Unterlassungserklärung ab, so raten wir Ihnen jedoch von der Abgabe in der vom Abmahnenden vorgeschriebenen Form ab. Sie sollten zwar Ihrer Unterlassungserklärungspflicht nachkommen, sich die Bedingungen vom Abmahner aber nicht diktieren lassen. Denn das mit der Unterlassungserklärung verbundene Strafversprechen ist eine vertragliche Vereinbarung, deren Wirksamkeit von der Berechtigung der ursprünglichen Abmahnung nicht abhängt. Es ist daher sehr schwierig, eine einmal abgegebene Erklärung wieder rückgängig zu machen. Die gestellten Erklärungen gehen oft zu weit und sind daher für Sie von Nachteil. Zum einen erkennen Sie durch die uneingeschränkte Abgabe der Unterlassungserklärung auch die Kosten der Gegenseite an und müssen diese übernehmen. Zum anderen ist die bestimmte Vertragsstrafe in den meisten Fällen zu hoch. Außerdem beinhaltet das Erklärungsformular häufig ein Schuldanerkenntnis. Hat der Abgemahnte selbst oder durch seinen Anwalt eine Unterlassungserklärung abgegeben, hat er einen unbegrenzt gültigen Vertrag abgeschlossen. Trotz verbreiteter Unwissenheit im Internet bindet die Unterlassungserklärung den Abgemahnten nicht „nur“ für 30 Jahre, sondern grundsätzlich lebenslang, so der Bundesgerichtshof. Der so zustande gekommene Unterlassungsvertrag zwischen dem Abgemahnten und dem Rechteinhaber ist nämlich ein Dauerschuldverhältnis wie z. B. ein Mietvertrag und unterliegt daher keinerlei Verjährung oder zeitlichen Beschränkung. Oder haben Sie schon einmal gehört, dass jemand nach 30 Jahren aus seiner Wohnung ausziehen musste, weil der Mietvertrag verjährt war? Dieses Beispiel macht deutlich, wie unsinnig die These mit der 30jährigen Verjährung ist. Der Abgemahnte hat sich daher mit Abgabe der Unterlassungserklärung lebenslang gebunden und der Gefahr von Vertragsstrafen ausgesetzt. Dringend zu empfehlen ist daher die fristgerechte Abgabe einer modifizierten Unterlassungserklärung, die dem Unterlassungsanspruch einerseits Rechnung trägt, andererseits nicht mehr erklärt, als von Ihnen gefordert werden kann.

  1. Wie kann man auf eine einstweilige Verfügung reagieren?

Bei einer einstweiligen Verfügung gibt es zwei Reaktionsmöglichkeiten: Ahnen Sie bereits, dass ein Dritter eine einstweilige Verfügung gegen Sie beantragen möchte oder bereits beantragt hat, so kann Ihnen eine sogenannte Schutzschrift dabei helfen, sich dagegen zu verteidigen. Die zweite Möglichkeit, nämlich der Widerspruch gegen die einstweilige Verfügung, ist erst dann möglich, wenn eine solche bereits erlassen wurde.

  1. Was ist zu tun, wenn man eine Klageschrift erhält?

Spätestens an dieser Stelle können wir Ihnen nur raten einen Rechtsanwalt einzuschalten, der die für Ihre Situation und Rechtslage beste Lösung findet. Denn werden Sie im Klagewege mit Ansprüchen auf Unterlassung, Beseitigung oder Schadensersatz konfrontiert, dann haben Sie dabei verschiedene Möglichkeiten, dagegen vorzugehen. Zu denken ist dabei neben einer die Verteidigung gegen die Klage auch ein Anerkenntnis der Forderung, eine sogenannte Flucht in die Säumnis oder das Begleichen der Forderung vor der mündlichen Verhandlung. Dies komplexen Möglichkeiten sollten Sie gerade im Hinblick auf kostenrechtliche Unterschiede mit Ihrem Rechtsanwalt besprechen. Allerdings gilt auch hier: Keine Reaktion ist keine ernsthafte Option.

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (199 Bewertungen, Durchschnitt: 3,19 von 5)