Nachdem die große Welle von DSGVO-Abmahnungen wegen des Einsatzes von Google-Fonts abgeebbt ist, baut sich am Horizont scheinbar die nächste Welle auf. Diesmal geht es um den Dienst Klaviyo, also einem Dienstleister für den Versand von E-Mail-Newsletter. Es gibt erste Meldungen, dass Unternehmen, die diesen Dienst einsetzen, von einer Kanzlei aus Berlin abgemahnt wurden. Die Rede ist von Ansprüchen auf Unterlassung, Ersatz von immateriellen Schäden in Höhe von 5.000 EUR und Erstattung der außergerichtlichen Rechtsanwaltskosten.
Wann droht eine DSGVO-Abmahnung wegen Klaviyo?
Dabei erfolgt das Vorgehen der Abmahner in mehreren Schritten.
Schritt 1: Anmeldung zum Newsletter
In einem ersten Schritt meldet sich eine natürliche Person auf der Website eines Unternehmens für den Newsletter an. Damit kommt es zwangsläufig zu einer Verarbeitung seiner personenbezogenen Daten und löst die Rechte und Pflichten aus der DSGVO aus.
Schritt 2: Auskunftsbegehren nach Art. 15 DSGVO
Nach Eintragung in den Newsletter kommt es zu einem Auskunftsbegehren nach Art. 15 DSGVO. Im Rahmen dieser Auskunftsanfrage muss das Unternehmen nicht nur darüber informieren, welche Empfänger die personenbezogene Daten erhalten, sondern auch, ob eine Übermittlung der Daten in ein Drittland erfolgt. Setzt das Unternehmen Klaviyo ein, muss es dies im Rahmen der Auskunftserteilung mitteilen. Und damit schnappt die Falle zu.
Schritt 3: DSGVO-Abmahnung durch Rechtsanwälte aus Berlin
Wird die Auskunft wahrheitsgemäß erteilt, flattert im dritten und letzten Schritt die DSGVO-Abmahnung wegen der Verwendung von Klaviyo einer Rechtsanwaltskanzlei mit Sitz in Berlin ins Haus. Mit dieser DSGVO-Abmahnung werden zahlreiche Ansprüche für die betroffene Person geltend gemacht. So wird zunächst ein Anspruch auf Unterlassung geltend gemacht. Verlangt wird, dass es das Unternehmen künftig unterlässt, personenbezogene Daten des Betroffenen in die USA zu transferieren, ohne hierzu datenschutzrechtlich berechtigt zu sein.
Als weiterer Anspruch wird der Ersatz eines immateriellen Schadens nach Art. 82 DSGVO geltend gemacht. Mit wohl 5.000 EUR wird dieser deutlich höher beziffert, als in den Google-Fonts-Abmahnungen. Zuletzt wird auch die Erstattung der außergerichtlichen Rechtsanwaltskosten verlangt.
Rechtsberatung vom Anwalt für DatenschutzrechtUnsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden. Unsere Leistungen im Überblick:
Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch. |
Sind die DSGVO-Abmahnungen wegen Klaviyo berechtigt?
Da Klaviyo ein Dienstleister mit einem Sitz in den USA ist, kann es bei der Nutzung des Dienstes zu einer Übermittlung personenbezogener Daten auf Servern in den USA kommen. Die USA gelten derzeit immer noch als unsicheres Drittland im Sinne der DSGVO. Das führt dazu, dass eine Übermittlung nur nach den strengen Vorgaben aus den Art. 45 ff. DSGVO möglich ist.
Im Rahmen der Google-Fonts Abmahnungen stützen sich die Abmahner auf eine Entscheidung des Landgericht München (vom 20.1.2022 – 3 O 17493/20). Danach war die Nutzung von Google Fonts über eine dynamische Einbindung der Schrifttypen nach Ansicht des Gerichts datenschutzwidrig und führte zu einem Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO). Diese Überlegungen liegen wohl auch den aktuellen DSGVO-Abmahnungen wegen des Einsatzes von Klaviyo zugrunde.
Wird Klaviyo eingesetzt, kann es also in der Tat zu einer Übermittlung von personenbezogenen Daten in die USA kommen. Werden dabei die strengen Vorgaben der DSGVO nicht eingehalten, kann hierin auch ein Verstoß vorliegen, der zu den geltend gemachten Ansprüchen führen kann. Das ist allerdings nicht zwangsläufig so und muss daher im Einzelfall geprüft werden. Liegt auf der Hand, dass auch hier eine Anmeldung zum Newsletter nur zu dem Zweck erfolgt ist, eine DSGVO-Abmahnung aussprechen zu können, kann man dies bei der Beantwortung der Abmahnung einwenden. Gleichwohl sollte man sein Glück nicht allein auf die Karte „Rechtsmissbrauch“ setzen. Denn anders als bei den Google-Fonts-Abmahnungen wird (noch) nicht massenhaft und mit Unterstützung von Software abgemahnt. Was man in jedem Fall prüfen sollte ist, ob die betroffene Person vor Erhalt der Abmahnung bereits einen Newsletter erhalten hat bzw. ob die personenbezogenen Daten bereits an Klaviyo in die USA übermittelt wurden oder ob das noch nicht der Fall gewesen ist. Fehlt es bereits an einer konkreten Übermittlung, liegt auch der geltend gemachte Verstoß auch nicht vor.
Worauf müssen Unternehmen jetzt achten?
Erhält das Unternehmen ein Auskunftsbegehren nach Art. 15 DSGVO, muss dieses ernst genommen werden. Auskunftsbegehren müssen stets zeitnah, vollständig und richtig beantwortet werden. Selbst dann, wenn keine Daten verarbeitet werden, muss hierüber eine Auskunft erteilt werden. Kommt man seiner Pflicht zur Auskunftserteilung nicht nach, stellt dies bereits einen Datenschutzverstoß dar, der zu einem Schadenersatzanspruch nach Art. 82 DSGVO führen kann. Vor diesem Hintergrund darf und sollte ein Auskunftsbegehren nicht ignoriert werden.
Mehr zum Auskunftsrecht aus Art. 15 DSGVO im Blogbeitrag Das datenschutzrechtliche Recht auf Auskunft - Art. 15 DSGVO |
Wird die Auskunft ordnungsgemäß und wahrheitsgemäß erteilt, kann es zu den oben beschriebenen Abmahnungen kommen. Auch diese Abmahnung sollte auf keinen Fall ignoriert werden, denn dann droht die Einleitung gerichtlicher Schritte. Gleichzeitig sollte auch nicht vorschnell die verlangte strafbewehrte Unterlassungserklärung abgegeben werden. Dies führt nämlich zum Abschluss eines Unterlassungsvertrages, der zur Zahlung einer hohen Vertragsstrafe führt, sollte der behauptete Verstoß wiederholt werden.
Wer eine solche Abmahnung vermeiden möchte, sollte den Einsatz von US-Dienstleister wie Klaviyo oder Mailchimp überprüfen und kritisch hinterfragen. Zwar arbeitet die EU-Kommission fieberhaft an einem neuen Angemessenheitsbeschluss um einen Datentransfer in die USA zu ermöglichen, aktuell fehlt es hieran jedoch, sodass auch weiterhin das Risiko einer Abmahnung wegen eines vermeintlichen DSGVO-Verstoßes besteht.
Neben der Übermittlung von personenbezogenen Daten in ein unsicheres Drittland (wie z.B. die USA) müssen Unternehmen auch im Übrigen darauf achten, dass die Drittanbieter die Vorgaben der DSGVO einhalten. Hierzu gehört auch, dass eine ordnungsgemäße Einwilligung eingeholt wurde oder mit dem Drittanbieter eine DSGVO-konforme Auftragsverarbeitungsvereinbarung geschlossen wurde.
Update vom 17.2.2023
Auf der Seite www.wein.magazin.plus berichtet ein Kollege Näheres aus seinem Umfeld. Danach werden unter anderem zahlreiche Weinhändler bzw. deren Websites aufgesucht um sich dort zunächst für die Newsletter anzumelden. Unmittelbar nach Anmeldung wird das oben beschriebene Auskunftsbegehren formuliert. Kaum ist das geschehen, meldet sich nach dem Bericht eine berliner Anwaltskanzlei (brandt.legal) für einen Herrn Maximilian Größbauer. Es werden Schadenersatz und Erstattung der Rechtsanwaltskosten geltend gemacht. Begründet wird der Schadenersatzanspruch insbesondere damit, der Betroffene sei wegen des Datenschutzverstoßes genervt. Da stellt sich - unabhängig von der Frage eines Rechtsmissbrauchs - die spannende Frage, ob bloße Genervtheit ausreicht, um einen immateriellen Schaden zu begründne.
Der Beitrag des Kollegen ist hier abrufbar: Geldentschädigung für “Genervt sein”?
Rechtsberatung vom Anwalt für DatenschutzrechtUnsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche. Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden. Unsere Leistungen im Überblick:
Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch. |