Ist Ihr Bußgeldbescheid anfechtbar? ➠ Jetzt überprüfen!Die Wahrung der datenschutzrechtlichen Anforderungen hat in den letzten Jahren eine enorme Bedeutung für Unternehmen erlangt. Der Datenschutz ist heute ein wichtiges Thema für Betriebe jeder Größe. Die Gründe hierfür umfassen nicht nur die deutlich verschärften gesetzlichen Regelungen, sondern auch ein gesteigertes Bewusstsein von Verbrauchern und Geschäftspartnern für den Schutz ihrer persönlichen Daten.
Die rechtlichen Grundlagen: DSGVO und BDSG
Die rechtliche Grundlage für den Datenschutz bildet die Datenschutz-Grundverordnung (DSGVO), die als europäische Verordnung unmittelbare Geltung entfaltet. Sie wird ergänzt durch das Bundesdatenschutzgesetz (BDSG), das die Vorgaben der DSGVO in bestimmten Bereichen konkretisiert und nationale Öffnungsklauseln nutzt. Im Kern des Datenschutzrechts steht der Grundsatz des Verbots mit Erlaubnisvorbehalt. Dies bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich untersagt ist, es sei denn, es liegt ein spezifischer Erlaubnistatbestand vor. Solche Erlaubnistatbestände finden sich primär in Art. 6 DSGVO und umfassen beispielsweise die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages oder die Wahrung berechtigter Interessen des Unternehmens.
Herausforderungen und Pflichten der DSGVO
Die Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 anzuwenden ist, hat die Art und Weise, wie Unternehmen personenbezogene Daten verarbeiten, grundlegend verändert. Sie etabliert strenge Anforderungen an die Datenerhebung, -verarbeitung und -speicherung und verlangt von Unternehmen die Implementierung umfassender Datenschutzmaßnahmen. Zu den Kernpflichten gehört die Einhaltung der Grundsätze aus Art. 5 DSGVO - wie Datenminimierung, Zweckbindung und Transparenz. Darüber hinaus müssen Unternehmen umfangreiche Informationspflichten (Art. 13, 14 DSGVO) erfüllen, ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) führen und durch geeignete technische und organisatorische Maßnahmen (Art. 32 DSGVO) die Sicherheit der Verarbeitung gewährleisten.
Rolle des Datenschutzbeauftragten
Eine der wichtigen Verpflichtungen, die sich aus dem Datenschutzrecht ergibt, betrifft die Bestellung eines Datenschutzbeauftragten. Nach § 38 BDSG ist dies erforderlich, wenn im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von dieser Mitarbeiterzahl ist ein Datenschutzbeauftragter nach Art. 37 DSGVO auch dann zu benennen, wenn die Kerntätigkeit des Unternehmens in Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich machen, oder wenn in großem Umfang besondere Kategorien von Daten (wie Gesundheitsdaten) verarbeitet werden. Die Definition von „personenbezogenen Daten“ ist dabei sehr weit gefasst und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Bestellung und Aufgaben des Datenschutzbeauftragten
Die Bestellung eines Datenschutzbeauftragten muss schriftlich erfolgen. Es empfiehlt sich, die wesentlichen Rechte und Pflichten beider Seiten in diesem Dokument festzuhalten, um als Nachweis für die Einhaltung der gesetzlichen Vorgaben zu dienen. Der Datenschutzbeauftragte spielt eine entscheidende Rolle im Unternehmen. Er ist dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen. Zu seinen Kernaufgaben gehören die Beratung der Geschäftsführung und der Fachabteilungen in allen Fragen des Datenschutzes, die Schulung der Mitarbeiter, die Überprüfung von Datenschutzmaßnahmen und die Funktion als Ansprechpartner für die Datenschutz-Aufsichtsbehörden. Gleichzeitig ist der Datenschutzbeauftragte die zentrale Anlaufstelle für betroffene Personen, deren Daten verarbeitet werden, beispielsweise bei Anfragen oder Beschwerden. Er muss in der Lage sein, auf solche Anliegen angemessen zu reagieren und gegebenenfalls interne Maßnahmen zur Behebung von Verstößen anzustoßen.
Sanktionen bei Verstößen
Die Missachtung datenschutzrechtlicher Pflichten kann für Unternehmen teure Konsequenzen haben. Während das alte Bundesdatenschutzgesetz noch vergleichsweise geringe Bußgelder vorsah , ermöglicht Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder, im Fall eines Unternehmens, von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Der Gerichtshof der Europäischen Union hat hierzu klargestellt, dass die Verhängung einer Geldbuße ein schuldhaftes Verhalten voraussetzt, der Verstoß also vorsätzlich oder fahrlässig begangen worden sein muss. Es ist dabei nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Kenntnis davon hatte; eine juristische Person haftet auch für Verstöße, die von Personen begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit handeln. Besonders relevant für Konzerne ist die Feststellung des Gerichts, das bei der Berechnung der Geldbuße auf den gesamten Jahresumsatz des Konzerns abzustellen ist, zu dem der Adressat gehört (EuGH, 05.12.2023 - Az:
C-807/21).
Immaterieller Schadensersatz nach Art. 82 DSGVO
Neben den Bußgeldern durch Aufsichtsbehörden drohen Unternehmen auch zivilrechtliche Klagen von betroffenen Personen. Art. 82 Abs. 1 DSGVO sieht einen Anspruch auf Ersatz des materiellen oder immateriellen Schadens vor, der einer Person wegen eines Verstoßes gegen die Verordnung entsteht. Lange Zeit war unklar, ob bereits der bloße Verstoß gegen die DSGVO, etwa der Erhalt einer einzelnen unerwünschten Werbe-E-Mail, einen solchen Schadensersatzanspruch auslöst. Der Bundesgerichtshof hat hierzu entschieden, dass ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO voraussetzt, dass der Betroffene einen konkreten immateriellen Schaden substantiiert. Ein bloßer Verstoß gegen die Datenschutz-Grundverordnung genügt hierfür nicht. Zwar darf keine Bagatellgrenze gefordert werden, jedoch ist ein tatsächlicher, erlittener Schaden erforderlich, beispielsweise in Form eines erlittenen Kontrollverlusts über die eigenen Daten oder einer konkret nachgewiesenen, belastenden Befürchtung. Das bloße Gefühl der Belästigung oder eine abstrakte Sorge vor künftiger Datenverwendung reicht hingegen nicht aus, um einen immateriellen Schaden zu begründen (BGH, 28.01.2025 - Az:
VI ZR 109/23).
Datenschutz im Online-Marketing: Einwilligung und Cookies
Besondere Fallstricke lauern im Bereich des Online-Marketings. Der Bundesgerichtshof hat in einer Entscheidung die Anforderungen an die Einwilligung in die Speicherung von Cookies präzisiert (BGH, 28.05.2020 - Az:
I ZR 7/16). Demnach stellt eine Einwilligung mittels eines voreingestellten Ankreuzkästchens, das der Nutzer zur Verweigerung abwählen muss, keine wirksame Einwilligung dar. Erforderlich ist eine aktive, informierte Handlung des Nutzers (Opt-In). Dies gilt unabhängig davon, ob es sich bei den gespeicherten Informationen unmittelbar um personenbezogene Daten handelt. Auch die Einwilligung in Telefonwerbung muss hohen Transparenzanforderungen genügen. Eine Einwilligung ist nicht „in Kenntnis der Sachlage“ und „für den konkreten Fall“ erteilt, wenn der Verbraucher zwar eine Liste von Werbepartnern einsehen kann, aber durch ein aufwendiges Auswahlverfahren davon abgehalten werden soll und stattdessen dem Veranstalter die Auswahl überlässt. Weiß der Verbraucher nicht, die Produkte welcher Unternehmer die Einwilligung erfasst, ist diese unwirksam.
Widerspruch gegen die werbliche Nutzung von Daten
Erhalten Unternehmen Werbung, stellt dies nicht nur einen Datenschutzverstoß dar, sondern kann auch einen Eingriff in das allgemeine Persönlichkeitsrecht begründen. Das allgemeine Persönlichkeitsrecht schützt den Bereich privater Lebensgestaltung und gibt dem Betroffenen das Recht, im privaten Bereich in Ruhe gelassen zu werden. Eine Kontaktaufnahme per E-Mail zu Werbezwecken gegen den eindeutig erklärten Willen des Betroffenen ist daher rechtswidrig. Hat ein Kunde oder Nutzer der werblichen Nutzung seiner Daten widersprochen, muss das Unternehmen dies unverzüglich umsetzen. Der Widerspruch ist an keine bestimmte Form gebunden und kann beispielsweise formlos per E-Mail erfolgen. Das Unternehmen kann den Kunden nicht darauf verweisen, diesen Widerspruch zusätzlich in einem Kundenverwaltungssystem selbst eintragen zu müssen; die Verwaltung der Kundendaten obliegt allein dem Unternehmen und kann nicht auf den Kunden abgewälzt werden (AG München, 05.08.2022 - Az:
142 C 1633/22).
Recht auf Löschung oder Vergessenwerden
Betroffene Personen haben unter bestimmten Voraussetzungen ein „Recht auf Löschung“ (Art. 17 DSGVO), oft auch als „Recht auf Vergessenwerden“ bezeichnet. Dies ist beispielsweise der Fall, wenn die Daten für die ursprünglichen Zwecke nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung widerruft. Die Pflichten des Unternehmens enden jedoch nicht bei der Löschung der Daten in den eigenen Systemen. Der Gerichtshof der Europäischen Union hat entschieden, dass der für die Verarbeitung Verantwortliche (das Unternehmen) angemessene Maßnahmen ergreifen muss, um andere Verantwortliche, denen er die Daten übermittelt hat, über den Löschungsantrag zu informieren. Dies kann auch die Pflicht umfassen, Suchmaschinenanbieter über das Löschbegehren zu informieren. Stützen sich mehrere Verantwortliche auf dieselbe Einwilligung, genügt es, wenn sich die betroffene Person an einen beliebigen dieser Verantwortlichen wendet, um die Einwilligung zu widerrufen (EuGH, 27.10.2022 - Az:
C-129/21).
Wettbewerbsrechtliche Abmahnungen bei Datenschutzverstößen
Eine in der Rechtsprechung umstrittene Frage ist, ob Mitbewerber Datenschutzverstöße eines Konkurrenten wettbewerbsrechtlich, etwa über das Gesetz gegen den unlauteren Wettbewerb (UWG), abmahnen können. Die Rechtslage ist hierzu nicht eindeutig.
Einige Gerichte vertreten die Auffassung, dass Mitbewerber Verstöße gegen die DSGVO nicht geltend machen können. Diese Ansicht argumentiert, dass die DSGVO in den Artikeln 77 bis 84 eine abschließende Regelung der Rechtsbehelfe enthalte, die Ansprüche von Mitbewerbern ausschließe (vgl. LG Bochum, 07.08.2018 - Az:
I-12 O 85/18).
Andere Gerichte hingegen bejahen die Befugnis von Mitbewerbern, Datenschutzverstöße im Wege eines wettbewerbsrechtlichen Unterlassungsanspruchs geltend zu machen, da ein Verstoß gegen die DSGVO zugleich eine unlautere Handlung im Wettbewerb darstellen könne (vgl. LG Würzburg, 13.09.2018 - Az:
11 O 1741/18 UWG).
Diese Rechtsunsicherheit stellt für Unternehmen ein zusätzliches Risiko dar.
Datenschutz als Wettbewerbsvorteil
Abgesehen von den erheblichen rechtlichen Verpflichtungen und Risiken sollten Unternehmen den Datenschutz auch als Chance und wichtigen Wettbewerbsvorteil begreifen. Ein transparenter und sorgsamer Umgang mit personenbezogenen Daten ist ein Qualitätsmerkmal, das das Vertrauen von Kunden und Geschäftspartnern nachhaltig stärkt. In einer digitalisierten Wirtschaft, in der Daten eine zentrale Währung darstellen, kann ein nachweislich hohes Datenschutzniveau zu einem positiven Image führen und eine langfristige Kundenbindung sowie stabile Geschäftsbeziehungen fördern.
