Checkliste und Kosten von Verstößen
Dieser Artikel setzt unseren Artikel vom 30.06.2023 fort und ergänzt ihn um zwei wichtige Themen. Zum einen soll eine Checkliste den Fokus auf das Wesentliche setzen, zum anderen müssen wir Bußgelder und Schadenersatz thematisieren.
Checkliste
-
Impressum mit Registerangaben, Kontaktdaten, presserechtlich Verantwortlichem
-
ggf. Aufsichtsbehörden oder im Endkundenbereich Pflichtangaben beispielsweise zur Schiedsstelle
-
Hilfreich ist der Impressum-Generator von eRecht24.
-
-
eingebundene Dienste
-
zusammen mit Buchung des Dienstes
-
Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO abschließen
-
ggf. Standardvertragsklauseln (SVK) für unsichere Drittländer verwenden & Datenschutzfolgeabschätzung (DFA) durchführen
-
Speicher- bzw. Löschfristen festlegen
-
IP-Anonymisierung verwenden, soweit möglich
-
Kontrolle: Lädt der Dienst andere Dienste nach, die in den TOM des AVV nicht genannt wurden?
-
-
Verarbeitungsverzeichnis ergänzen
-
Datenschutzerklärung und Cookie-Einwilligungs-Text anpassen
-
-
Einwilligung
-
immer wirklich vor Beginn der Datenverarbeitung
-
Zwecke der Einwilligung nennen
-
Datenschutzerklärung verlinken
-
für Cookies etc., wie etwa Google Analytics 4
-
Datenschutzerklärung ohne Cookies erreichbar
-
dabei nicht vergessen:
-
die nachgeladenen Drittinhalte
-
Statistikfunktionen (Tracking)
-
-
Cookie-Banner richtig einsetzen
-
-
für Rundbriefe etc.:
-
Zwecke ehrlich nennen (Werbung, Statistik)
-
kein verdecktes Tracking
-
-
für Mitarbeiterfotos: Alternativen abwägen
-
-
Datenschutzerklärung
-
immer leicht mit maximal zwei Klicks erreichbar (auch von Facebook, LinkedIn und Co. aus)
-
mit Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
-
besonders betonen: Betroffenenrechte nach Art. 12 ff. DSGVO,
-
wie etwa Auskunftsrecht
-
-
Für jede Leistung
-
Zwecke
-
Kategorien verarbeiteter Daten und Betroffener
-
Rechtsgrundlagen
-
Löschfristen (wenigstens allgemein)
-
-
für Auftragsverarbeiter zusätzlich
-
Information über Verarbeitung in Drittländern und Sicherheitsmaßnahmen dafür
-
Für USA, bitte neues TADPF berücksichtigen
-
-
-
Besondere Pflichtangaben für Shopbetreiber
-
Urheberrecht für Fotos beachten
Welche Folgen drohen bei Verstößen?
Für datenschutzrechtliche Verstöße drohen Bußgelder nach Art. 83 DSGVO, Schadenersatzforderungen der Betroffenen nach Art. 82 DSGVO sowie Imageschäden durch die Ermittlungen der Aufsichtsbehörde. Meta, der Konzern zu dem Facebook, Whatsapp und Instagram gehören, hat Bußgeldbescheide in Höhe von mehr als zwei Milliarden Euro erhalten (also >2.000.000.000 €, siehe Enforcementracker).
Wer die Betroffenen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet oder personenbezogene Daten unrechtmäßig verarbeitet, dem droht ein Bußgeld von bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes.
Wie die Google-Fonts-Entscheidung des Landgerichts München gezeigt hat, sind Schadenersatzansprüche der Seitenbesucher schon für kleine Fehler möglich.
Fehlende oder fehlerhafte Impressi, Datenschutzerklärungen oder sonstige Pflichtangaben stellen darüber hinaus wahrscheinlich einen Verstoß nach § 3 UWG gegen das Wettbewerbsrecht dar und können daher nach § 8 UWG abgemahnt werden. Die abschließende Klärung ob auch Datenschutz abmahnfähig ist, hat der BGH gerade dem EuGH vorgelegt (BGH, I ZR 222/19, I ZR 223/19 vom 12.01.2023). Daneben können Interessenverbände schon jetzt selbst gegen Datenschutzverstöße klagen (EuGH, C-319/20 vom 28. April 2022).
Die Abmahnwelle wegen der dynamischen Einbindung von Google Fonts konnte zwar vorerst gestoppt werden, aber es ist nur eine Frage der Zeit, bis die immer aktiver werdenden Legal-Tech-Firmen Wege finden, mehrere solcher Kunden zusammen zu vertreten und so eine zusätzliche Gefahr werden. Fotos hingegen, die rechtswidrig verwendet werden, werden bereits erfolgreich systematisch abgemahnt.
Weiterführend
-
e-Recht24.de: Impressum-Generator
-
GDD: Praxishilfe DSGVO – ePrivacy und Datenschutz beim Onlineauftritt
Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 31.07.2023