Die Datenschutzerklärung kannst Du für Deine eigene Website und auch für die Deiner Kunden ganz einfach mit dem Generator von easyRechtssicher erstellen. Aber wozu ist jeder einzelne Schritt im Generator gedacht? Und was passiert, wenn Du einmal etwas falsch einstellst? Um das zu verstehen, möchten wir uns die rechtlichen Hintergründe nun genauer anschauen.
I. Verantwortliche Stelle
Im Feld verantwortliche Stelle musst Du eintragen, wer für die Datenverarbeitung auf Deiner Website verantwortlich ist. Hintergrund ist, dass der Betroffene in seinen Rechten gestärkt werden soll.
Aber was passiert, wenn Du die verantwortliche Stelle nicht richtig angibst? Klar ist zunächst einmal, dass Du dann gegen die DSGVO verstoßen hast. Genauer gesagt hast Du die Informationspflicht nach Art. 14 Abs. 1 lit. a DSGVO nicht erfüllt. Daher kann ein Bußgeld gegen Dich verhängt werden und Du kannst abgemahnt werden.
Daher kann ein Bußgeld gegen Dich verhängt werden und Du kannst abgemahnt werden. Beim letzteren Punkt ist noch einiges umstritten.
1. Bußgeld
Das bedeutet, dass die Behörde ein Bußgeld gegen Dich verhängen kann. Diese Bußgelder können recht hoch ausfallen, mehr dazu, wie man sie bestimmt findest Du hier.
Ist die verantwortliche Stelle nicht korrekt angegeben, kann das gem. Art. 83 Abs. 5 lit. b DSGVO ein Bußgeld in Höhe „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ bedeuten. Damit wurde ein Verstoß gegen die Informationspflichten nach Art. 13, 14 DSGVO in die höchste Bußgeldstufe eingeordnet. Dabei handelt es sich natürlich nur um den maximalen Bußgeldrahmen. In der Praxis wird die Behörde deutlich darunter bleiben, aber dennoch können die Bußgelder nach der DSGVO empfindlich sein.
Am besten einfach unseren DSE-Generator ausfüllen und Frieden mit der DSGVO genießen.
DSGVO-Frieden genießen
2. Abmahnung
Außerdem kannst Du von der betroffenen Person oder von Verbraucherschutzverbänden abgemahnt werden. Im Einzelnen ist hier aber noch einiges umstritten. Das wollen wir uns nun genauer anschauen.
a) Wer kann überhaupt klagen?
Zunächst stellt sich die Frage, wer eigentlich den Rechtsweg bestreiten kann, wenn Deine Datenschutzerklärung nicht korrekt ist.
aa) Die betroffenen Personen
Klagen kann zunächst die Person, deren Rechte verletzt wurden. Ihr steht jedenfalls ein Anspruch auf Unterlassung und eventuell auch Schmerzensgeld zu. Auch beim Schmerzensgeld ist aber noch einiges ungeklärt, besonders die Frage, ob für den Schaden aufgrund des Datenschutzverstoßes eine Erheblichkeitsschwelle erreicht werden muss (s. hier unter VII).
bb) Verbraucherschutzverbände
Lange Zeit war umstritten, ob neben den von der Datenschutzverletzung Betroffenen auch Verbraucherschutzverbände klagen können.
Das juristische Problem ist, dass Verbraucherschutzverbände nicht selbst in ihren Rechten betroffen sind, wenn sie auf Deiner Website nicht korrekt über die Datenverarbeitung aufgeklärt wurden.
Das deutsche Wettbewerbsrecht räumt Interessenverbänden, wie eben Verbraucherschutzverbänden, in § 8 Abs. 3 Nr. 3 UWG das Recht ein, sozusagen für die einzelnen Verbraucher zu klagen. Die Verbände können selbst klagen, ohne von einem Verbraucher beauftragt zu sein und ohne in eigenen Rechten verletzt zu sein. Im Prozessrecht ist das eine seltene Ausnahme.
Gestritten wurde darüber, ob dieser § 8 Abs. 3 Nr. 3 UWG neben Art. 80 DSGVO noch anwendbar ist oder nicht.
Damit müssen wir uns aber an dieser Stelle nicht mehr weiter im Detail beschäftigen. Der EuGH hat im April 2022 entschieden, dass Verbraucherschutzverbände auch dann klagebefugt sind, wenn „die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus der DSGVO beeinträchtigen kann“. Es ist also nicht nötig, dass Verbraucherschutzverbände von einer betroffenen Person beauftragt werden (wie Art. 80 Abs. 1 DSGVO es fordert); sie können auch ohne konkrete Rechtsverletzung klagen.
cc) Können auch Mitbewerber klagen?
Aber sind daneben sogar Mitbewerber klagebefugt? Verbraucherschutzverbände zeichnet aus, dass sie keine Gewinnerzielungsabsicht haben. Im zitierten Urteil zu den Verbraucherschutzverbänden geht der EuGH nicht auf die Frage ein, ob Art. 80 DSGVO das deutsche Recht verdrängt. Diese Frage müsste der EuGH im Fall der Mitbewerber aber beantworten. Das hat er im zitierten Urteil noch nicht getan.
Gegen eine Klagebefugnis der Mitbewerber spricht, dass nur natürliche Personen von der DSGVO geschützt werden sollen (vgl. Art. 1 DSGVO). Es geht bei der DSGVO primär um den Schutz des Einzelnen und seiner Grundrechte, besonders das Recht auf informationelle Selbstbestimmung. Aus Art. 80 DSGVO lässt sich gerade nicht ablesen, dass der Schutz auch anderen Marktteilnehmern zukommen soll. Man könnte jedenfalls argumentieren, dass der europäische Gesetzgeber die Mitbewerber absichtlich nicht erwähnt hat. Möglicherweise wollte er gerade eine Abmahnwelle durch Mitbewerber verhindern. In diesem Fall enthält Art. 80 DSGVO eine abschließende Regelung und für die Anwendung des § 8 UWG ist daneben kein Raum mehr.
Für die Klagebefugnis der Mitbewerber kann man aber den Grundsatz des sog. effet utile ins Spiel bringen. Nach diesem Grundsatz des Unionsrechts (s. Art. 4 Abs. 3 EUV und Art. 197 Abs. 1 AEUV) sind die Mitgliedsstaaten dazu verpflichtet, das Unionsrecht möglichst effektiv durchzusetzen. Dann stehen die Rechtsbehelfe nach der DSGVO einfach neben denen des nationalen Rechts, hier insbesondere neben § 8 Abs. 3 Nr. 1 UWG. § 8 Abs. 3 Nr. 1 UWG kommt sozusagen zu Art. 80 Abs. 1 DSGVO dazu und verleiht einer zusätzlichen Gruppe, nämlich eben den Mitbewerbern, die Klagebefugnis. So argumentierte, in meinen Augen durchaus vertretbar, jedenfalls das OLG Stuttgart in einem Urteil zur Abmahnung eines Wettbewerbsverbandes (d.h. es ging um § 8 Abs. 3 Nr. 2 UWG und um die Mitbewerber nach Nr. 1). Die Aufgabe des effet utile werde durch ein engmaschiges Netz aus Kontrolle und Rechtsverfolgung besser erfüllt (OLG Stuttgart Urt. v. 27.02.2020, Az., 2 U 257/19). Das heißt, die Klagebefugnis der Mitbewerber verbessert die Durchsetzbarkeit der DSGVO.
Letztlich wird auch hier nur eine EuGH – Entscheidung Klarheit bringen. Um auf der sicheren Seite zu sein und Rechtsstreitigkeiten zu vermeiden, solltest Du davon ausgehen, dass auch Mitbewerber Dich abmahnen können. Wenn Deine Website DSGVO – konform ist und Du Dich an die Datenschutzbestimmungen hältst, kann Dir insoweit nichts passieren.
b) Sind die Vorschriften der DSGVO Marktverhaltensregeln?
Sodann stellt sich die Frage, ob die Vorschriften der DSGVO Marktverhaltensregeln sind. Wenn Du gegen Marktverhaltensregeln verstößt, kannst Du nach dem UWG abgemahnt und auf Unterlassung in Anspruch genommen werden (§ 8 UWG). Du begehst dann nämlich eine sog. unlautere Handlung. Schauen wir uns einmal § 3a UWG an, der einen Fall der unlauteren Handlung definiert:
Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.
ba) Regeln die Vorschriften der DSGVO das Marktverhalten?
Marktverhaltensregeln sind also zunächst Regeln, die auch das Marktverhalten regeln. Marktverhalten ist eine Tätigkeit, die der Absatzförderung dient und durch die Du als Unternehmer auf andere Marktteilnehmer einwirkst. Marktteilnehmer sind insbesondere auch Verbraucher.
Dagegen, dass die DSGVO das Marktverhalten regelt, spricht wieder ihr Zweck. Sie soll eher die Grundrechte des Einzelnen schützen und eher nicht ein Marktverhalten regeln.
Allerdings ist Dir vielleicht schon beim Lesen das Wort auch aufgefallen. Es genügt, wenn eine Marktverhaltensregel eben auch das Marktverhalten regelt. Das Marktverhalten muss nicht einmal im Vordergrund stehen. Und weil die DSGVO oft oder sogar in aller Regel im Zusammenhang wirtschaftlicher Betätigung zur Anwendung kommt, ist es nicht ausgeschlossen, dass hier das Marktverhalten mit geregelt wird.
Dafür spricht auch Erwägungsgrund 9 S. 2, 3 der DSGVO :
Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. 3Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern.
Letztendlich kann man nicht pauschal beantworten, ob alle Vorschriften der DSGVO Marktverhaltensregel darstellen. Jede Vorschrift muss einzeln darauf untersucht werden, ob sie das Marktverhalten regelt oder nicht (OLG Stuttgart Rn. 79).
bb) Liegt auch eine spürbare Beeinträchtigung vor?
Wenn das bejaht wird, ist in einem zweiten Schritt zu untersuchen, ob wie von § 3a UWG gefordert, das Interesse von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar beeinträchtigt wird. Auch hier kommt es auf den Einzelfall an.
Allerdings dürfte die Rechtsprechung hier nicht allzu streng sein und davon ausgehen, dass der Verbraucher eine wesentliche Information in der Regel für eine geschäftliche Entscheidung benötigt. Dann ist eine spürbare Beeinträchtigung gegeben.
Was aber zum Beispiel passiert, wenn nur ein kleiner Teil der Datenschutzerklärung fehlerhaft ist, ist noch nicht abschließend geklärt. Hier müsstest Du als Unternehmer wohl beweisen, dass die Information für den Verbraucher nicht wesentlich war, um eine geschäftliche Entscheidung zu treffen. In manchen Fällen könnte Dir das gelingen. Unser Rat: Lass es besser nicht darauf ankommen.
Dafür Du nutzt einfach unseren DSE-Generator. Wir haften für alle Rechtsfälle.
Zum Datenschutz-Generator
3. Ok, aber was passiert denn nun, wenn ich die verantwortliche Stelle nicht richtig angebe?
Dann besteht die Gefahr, dass Du abgemahnt wirst. Die Angabe der verantwortlichen Stelle ist nämlich eine Marktverhaltensregel nach § 3a UWG.
Darunter versteht man eine Tätigkeit, die der Absatzförderung dient und durch die Du als Unternehmer auf andere Marktteilnehmer einwirkst. Marktteilnehmer sind insbesondere auch Verbraucher.
Die Information über die verantwortliche Stelle nach Art. 14 Abs. 1 lit. a DSGVO dient der Kommunikation mit dem Unternehmen, also auch dem Verbraucherschutz. Damit weist sie einen wettbewerblichen Bezug auf.
Fehlt die Angabe ganz, ist von einer spürbaren Beeinträchtigung nach § 3a UWG auszugehen.
Was gilt, wenn nur einzelne Teile wie z.B. die Rechtsform der Gesellschaft, fehlen oder falsch sind, ist derzeit noch nicht abschließend geklärt. Wenn die Information für die Entscheidung des Verbrauchers wesentlich ist, kannst Du jedoch abgemahnt werden. Um Rechtsstreitigkeiten zu vermeiden, solltest Du die Angaben vollständig und richtig machen.
Dabei hilft Dir die Benutzeroberfläche des Datenschutzgenerators von easyRechtssicher: Hier klicken, um zum Generator zu gelangen.
II Datenschutzbeauftragter
Allgemein musst Du einen Datenschutzbeauftragten benennen, wenn Dein Unternehmen mindestens 20 Mitarbeiter hat, die mit elektronischer Datenverarbeitung beschäftigt sind.
Ähnlich wie die Angabe der verantwortlichen Stelle dient auch die Angabe Deiner Datenschutzbeauftragten der Kommunikation mit Deinem Unternehmen. Daher stellt auch die Information über den Datenschutzbeauftragten eine Marktverhaltensregelung dar.
Wenn Du zur Benennung eines Datenschutzbeauftragten verpflichtet bist, die Information über den Datenschutzbeauftragten aber nicht gibst, kannst Du also angemahnt werden.
III Wird Werbung versendet?
Hintergrund dieser Einstellung des Generators ist nicht primär die DSGVO, sondern § 7 Abs. 2 Nr. 2 UWG. Danach brauchst Du in der Regel eine Einwilligung, wenn Du Werbung versendest, etwa per Newsletter. Ansonsten ist der Versand der E-Mail eine unzumutbare Belästigung und kann abgemahnt werden. Gleichzeitig hast Du damit gegen Art. 6 Abs. 1 lit. a DSGVO verstoßen, weil für den Newsletterversand auch eine datenschutzrechtliche Einwilligung erforderlich ist.
Wenn Du dieses Feld nicht zutreffend ankreuzt, die erforderlichen Informationen aber im Rahmen der Einwilligung gibst, besteht keine Gefahr einer Abmahnung für Dich.
IV Allgemeine Angaben
Verarbeitest Du Daten auf Deiner Website, musst Du dafür die erforderlichen Angaben machen. Dazu gehören nach Art. 13 Abs. 2 DSGVO Angaben zur Speicherdauer und die Aufklärung des Nutzers über seine Rechte (z.B. Beschwerderecht, Recht auf Auskunft über die gespeicherten personenbezogenen Daten), oder das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Diese Angaben sind im allgemeinen Teil der Datenschutzerklärung von easyRechtssicher enthalten. Wenn Du den Datenschutzgenerator nutzt, musst Du also nichts spezielles mehr einstellen, um die Angaben zu machen.
V Eigene Datenverarbeitung
Darüber hinaus sind Angaben zur Datenverarbeitung ansich erforderlich. Diese Angaben betreffen insbesondere die Zwecke Datenverarbeitung, die Rechtsgrundlage der Verarbeitung und ggf. das besondere Interesse nach Art. 6 Abs. 1 lit. f DSGVO und bei Datenübermittlung in ein Drittland das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission und ggf. ein Verweis auf die Standardvertragsklauseln.
Wenn Du selbst Daten verarbeitest und z.B. über Kontakt – und Registrierungsformulare speicherst, musst Du dazu die entsprechenden Einstellungen im Generator vornehmen.
Vergisst Du hier eine Angabe, kannst Du abgemahnt werden.
Viel spricht nämlich dafür, davon auszugehen, dass es sich auch bei all diesen Informationspflichten um Marktverhaltensregeln handelt.
Zur Erinnerung, eine Marktverhaltensregel ist eine Regel, die das Verhältnis der Marktbeteiligen regelt. Informationspflichten regeln das Marktverhalten, wenn sie das Informationsinteresse und die Entscheidungs- und Verhaltensfreiheit in Bezug auf die Marktteilnahme schützten. Und wenn nun ein Verbraucher sich auf Deiner Website informiert, wird dadurch ein Geschäftskontakt angebahnt. Die Informationen in Deiner Datenschutzerklärung erleichtern es ihm zu entscheiden, ob er überhaupt auf Deiner Seite verweilen will. Nach der gut vertretbaren Ansicht des OLG Stuttgart genügt das für die Annahme einer Marktverhaltensregel.
VI Datenverarbeitung durch Tools
Etwas umständlich formuliert müssen nach der DSGVO die Empfänger personenbezogener Daten angegeben werden, Art. 13 Abs. 1 lit. e DSGVO. Dabei handelt es sich im Wesentlichen um Tools auf Deiner Website, die z.B. von Deinen Auftragsverarbeitern zur Verfügung gestellt werden. Die Daten werden also insoweit an Dritte weitergegeben, und das muss in der Datenschutzerklärung erwähnt werden.
Außerdem musst Du zu diesen Tools natürlich auch die Angaben aus dem vorhergehenden Abschnitt machen.
Alls diese Angaben sind in der Datenschutzerklärung von easyRechtssicher in den Texten zu den einzelnen Tools enthalten.
Wenn Du hier ein Tool vergisst, das auf Deiner Website verwendet wird, kannst Du abgemahnt werden. Es ist davon auszugehen, dass mit ähnlicher Argumentation auch die Angabe der Empfänger personenbezogener Daten eine Marktverhaltensregel ist.
VII Cookies
Die Information über Cookies dient auch der Information über die Datenverarbeitung auf Deiner Website. Wenn Du nicht notwendige Cookies benutzt, musst Du dafür eine Einwilligung nach § 25 TTDSG einholen.
Nicht alle erforderlichen Informationen können und müssen in einem Cookie Banner angegeben werden.
VII Fazit
Wer Rechtsstreitigkeiten vermeiden will, sollte eine Datenschutzerklärung verwenden, die in jeder Hinsicht den Anforderungen der DSGVO entspricht. Dafür kannst Du gerne unseren Datenschutzgenerator verwenden. Weil wir ihn laufend aktualisieren, brauchst Du Dich nach der Einrichtung um Deine Datenschutzerklärung nicht mehr zu kümmern.
Zum Datenschutz-GeneratorAlle Deine Fragen zur Datenschutzerklärung beantworten wir hier ausführlich.
Kolja Strübing, Rechtsanwalt. Kolja hat in Freiburg und Leipzig seine juristische Ausbildung absolviert. In Freiburg war er lange als studentische Hilfskraft an einem Lehrstuhl tätig. Nun unterstützt er Paragraf 7 als Rechtsanwalt. Sein Vordiplom in Mathematik hilft ihm dabei, auch die technischen Hintergründe zu verstehen. Er ist nun in der Welt zu Hause und lernt gerade surfen.