Nach Google Fonts wird jetzt Klaviyo abgemahnt

Im vergangenen Jahr mussten sich Online-Händler mit Massenabmahnungen wegen der Nutzung von Google Fonts herumschlagen. Nun baut sich eine neue Abmahnwelle nach dem gleichen Muster auf. Auch diesmal geht es um die Übermittlung von Daten in die USA.

Massenabmahnungen sind ein regelmäßig auftretendes Problem, mit dem sich viele Online-Händler herumschlagen müssen. Die Absender sind zumeist alte Bekannte, die nach einer Runde nicht in der Versenkung verschwinden, sondern mit einem neuen Abmahngrund weitermachen.

So war es auch bei der letzten großen Welle im vergangenen Jahr, als massenweise DSGVO-Verstöße wegen der dynamischen Einbindung von Google Fonts abgemahnt und Schadensersatzforderungen verschickt wurden.

Einer der Protagonisten: Der Berliner Rechtsanwalt Philipp Brandt und seine Kanzlei brandt.legal. Dieser hatte bereits mit seiner Vorgänger-Kanzlei Baumgarten Brandt jahrelang im Bereich Tauschbörsen-Abmahnungen agiert, wie Christian Solmecke, Partner der Kölner Verbraucherkanzlei WBS, berichtete, der damals zahlreiche Mandanten in Tauschbörsen-Fällen vertreten hatte.

Nun sind die Abmahner von brandt.legal wieder aktiv und verschicken aktuell massenhaft DSGVO-Abmahnung wegen unzulässigen Eingriffs in das allgemeine Persönlichkeitsrecht aufgrund der Nutzung von Klaviyo. So liegen unter anderem dem Händlerbund entsprechende Schreiben vor.

Das Vorgehen wird wie folgt beschrieben. Eine Privatperson meldet sich zunächst für einen Newsletter an und macht danach von ihrem Recht Gebrauch, Auskunft über die personenbezogenen Daten zu erhalten. Wenn das Unternehmen dann darüber informiert, dass die Daten an Klaviyo, ein Marketing-Automation-Unternehmen mit Sitz in den USA, übermittelt wurden, folgt ein Anwaltsschreiben von brandt.legal.

Von ähnlichen Schreiben an seine Mandanten berichtet auch Rechtsanwalt Oliver Eiben von der Kanzlei Rieck & Partner: „Uns liegt ein Schreiben der brandt.legal Rechtsanwälte aus Berlin vor, die für einen Mandanten aus Wien datenschutzrechtliche Abmahnungen versenden. Unserer Mandantschaft wird vorgeworfen einen schweren Datenschutzverstoß aufgrund der Übermittlung von personenbezogenen Daten an das Technologieunternehmen Klaviyo in den USA begangen zu haben und es werden Unterlassungs- und Schadensersatzansprüche geltend gemacht. Der Schadenersatz beläuft sich auf immerhin 5.000 Euro.“ Außerdem werde die Erstattung von Rechtsanwaltsgebühren gefordert – ein zusätzlicher Geldbetrag von 1.728,48 Euro, so Eiben.

Er rät Betroffenen: „Lassen Sie die von den brandt.legal Rechtsanwälten gesetzten Fristen auf keinen Fall untätig verstreichen, aber lassen Sie sich auch nicht durch die hohen Forderungen und die von den Rechtsanwälten dargestellten drohenden Konsequenzen erschrecken. Geben Sie unter keinen Umständen übereilt eine Unterlassungserklärung ab, jedenfalls nicht ohne vorherige Prüfung des Sachverhalts durch einen Rechtanwalt. Zahlen Sie den geforderten Betrag keinesfalls, ohne die Abmahnung vorab gründlich anwaltlich prüfen zu lassen.“

Nicht selten konnte in der Vergangenheit in ähnlich gelagerten Fällen festgestellt werden, dass geltend gemachten Ansprüche nicht oder nicht in voller Höhe bestehen. Betroffene sollten zudem den Umfang des geforderten Unterlassungsversprechens sorgfältig prüfen lassen. Anderenfalls könne es passieren, dass Sie sich zu weitreichend verpflichten, obwohl bereits im Vornherein keine Ansprüche des Abmahners bestehen.

Vor wenigen Tagen hat der traditionsreiche Hersteller von Fahrrädern, die Prophete-Gruppe aus Rheda-Wiedenbrück, Konkurs angemeldet. Als einen Grund für die Pleite nennt der vorläufige Insolvenzverwalter gegenüber der Frankfurter Allgemeinen Zeitung einen Hacker-Angriff, der im Unternehmen über mehrere Wochen zu einem kompletten Betriebsausfall geführt haben soll. „Die daraus resultierenden Verluste waren für das Unternehmen nicht mehr zu bewältigen.“

BSI-Informationen zu Ransomware: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Fortschrittliche-Angriffe/Fortschrittliche-Angriffe_node.html

Auf ihrer 104. Konferenz hat die Datenschutzkonferenz die geänderte Fassung der Orientierungshilfe (OH) für Anbietende von Telemedien 2021 Version 1.1 beschlossen. Diese wurde nun zusammen mit einem umfassenden Auswertungsbericht veröffentlicht.

Zum Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) im Dezember 2021 verabschiedete die DSK die OH Telemedien 2021. Diese setzt sich ausführlich mit den Anforderungen des neuen Gesetzes sowie der Daten
schutz-Grundverordnung beim Betrieb von Webseiten auseinander und gibt Webseitenbetreibenden, Anbietenden von Telemedien sowie Nutzenden und Rechtsanwendenden Hilfestellungen für einen datenschutzkonformen Betrieb ihrer Webseiten.

Auf Webseiten und in Apps kommen regelmäßig Technologien zum Einsatz – häufig von Drittdienstleistenden – die es ermöglichen, personenbezogene Daten von Nutzenden zu verschiedenen Zwecken zu verarbeiten. Ein sehr praxisrelevantes Beispiel solcher Technologien sind sogenannte Cookies, die in den Anwendungsbereich des neuen §25 TTDSG fallen.

Im Anschluss an die Veröffentlichung der OH Telemedien 2021 hat die DSK ein öffentliches Konsultationsverfahren eingeleitet. Nach Auswertung der eingegangenen Stellungnahmen wurden entsprechende Anpassungen und Ergänzungen in der Ursprungsversion der OH Telemedien 2021 vorgenommen. Zudem wurde die OH Telemedien 2019 in die aktuelle Version 1.1 aufgenommen. Eine ausführliche Bewertung der Stellungnahmen findet sich im Auswertungsbericht des Arbeitskreis Medien „Konsultation zur Orientierungshilfe für Anbieter von Telemedien“.

Weitere Informationen zur Datenschutzkonferenz: www.datenschutzkonferenz-online.de

Mehr Rechtssicherheit im Bereich Auftragsverarbeitung – standardisierte Verhaltensregeln bieten Unternehmen Unterstützung bei der Anwendung der Datenschutz-Grundverordnung

LfDI Dr. Stefan Brink: „Selbstregulierung ist eine hervorragende Möglichkeit, Datenverarbeitung maßgenau auf die Bedürfnisse von Branchen abzustimmen – die DS-GVO gibt diese Möglichkeit, die wir jetzt umsetzen.“

Wer in Baden-Württemberg personenbezogene Daten verarbeitet, muss die europäischen Regeln der Datenschutz-Grundverordnung (DS-GVO) beachten. Für den Datenschutz verantwortliche Stellen nutzen regelmäßig Dienstleister, die in ihrem Auftrag personenbezogenen Daten verarbeiten – sogenannte Auftragsverarbeiter. Um hier mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI daher die neue nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ genehmigt. Unternehmen können sich fortan diese Verhaltensregeln zu eigen machen und nutzen damit die Möglichkeit, für sich mehr Rechtssicherheit zu schaffen.

Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ machen Auftragsverarbeiter nach außen sichtbar, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sich deren Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen. Die Überwachungsstelle ist Anlaufstelle für Beschwerden und kontrolliert regelmäßig die Einhaltung der Verhaltensregel. An der Entwicklung der „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ mit.

Die DS-GVO kennt das Instrument der Verhaltensregeln (Code of Conduct), welche der Konkretisierung von datenschutzrechtlichen Anforderungen dienen soll. Mit der Anerkennung der Verhaltensregel wurde auch die DSZ Datenschutz Zertifizierungsgesellschaft mbH als neue Überwachungsstelle akkreditiert. Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle und Bearbeitung von Beschwerden.

Weitere Informationen:

Der Landesbeauftragte berät Bürger_innen, Behörden, Unternehmen und bei Fragen des Datenschutzes. Seinen Beratungsansatz hat er zudem gestärkt, in dem er hauseigene Bildungszentrum BIDIB aufgebaut und erfolgreich etabliert hat, Handreichungen und Orientierungshilfen herausgibt und zuletzt etwa mit der Vorlage von Datenschutzicons die übersichtliche Gestaltung von Datenschutzhinweisen fördert. Mit seinem Tool DS-GVO.clever ermöglicht der Landesbeauftragte Vereinen und kleinen Unternehmen zudem, einfach und schnell Datenschutzhinweise zu erstellen.

Mit der Akkreditierung DSZ Datenschutz Zertifizierungsgesellschaft mbH folgt der Landesbeauftragte seinem praxisorientierten Ansatz zur einheitlichen und konsequenten Umsetzung und Anwendung der DS-GVO und bietet damit auch baden-württembergische Unternehmen die Möglichkeit, ihrer datenschutzrechtlichen Verantwortung mit der Einhaltung der Selbstverpflichtung wirksam nachzukommen. Auf der Webseite der DSZ unter https://www.verhaltensregel.eu/ finden Interessierte die Verhaltensregel Trusted Data Processor.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Auf Grund der technikneutralen Formulierung des DS-GVO finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.

Diese TOM können und werden von Verantwortlichen in sog. „Clean-Desk-Policies“ zusammengefasst und für die Einhaltung durch die Beschäftigten in Kraft gesetzt. Die Etablierung von TOM ist nicht nur für den Schutz von personenbezogenen Daten ein notwendiges Muss, sondern kann auch für den Schutz von sog. Geschäftsgeheimnissen eingesetzt werden.

Früher wurde es als ausreichend betrachtet, dass der Inhaber eines Geschäftsgeheimnisses den subjektiven Willen hatte, eine Information als Geschäftsgeheimnis zu schützen. Mit dem neuen Geschäftsgeheimnisgesetz reicht dies nicht mehr aus, da eine Information nur noch als Geschäftsgeheimnis betrachtet wird, sofern diese zum Gegenstand von tatsächlichen angemessenen Schutzmaßnahmen gemacht und explizit durch diese geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestandteil des organisatorischen Geheimnisschutzes ist in Unternehmen daher oftmals eine „Clean-Desk-Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.

Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen, die zum Schutz von Geschäftsgeheimnissen etabliert wurden, die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).

Im Kern ging der Kündigungsschutzklage ging es auch um die Frage, wann die Nichtbeachtung einschlägiger Clean-Desk-Policies zu einer Abmahnung oder aber auch in wiederholten Fällen zu einer Kündigung führen kann. Im Fall des LAG Sachsen war die Klägerin bei der Beklagten als Kreditsachbearbeiterin beschäftigt. Die von der Beklagten in Kraft gesetzter umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy wurde von der Klägerin (der Kündigungsschutzklage) zum wiederholten Male verletzt. Die Richtlinien enthielten Regelungen mit dem Inhalt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Nach Auffassung des Gerichts habe die Klägerin gegen die Hauptpflichten aus ihrem Arbeitsvertrag verstoßen. Unter Beachtung der vorhergehenden Abmahnungen handele es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen. Der Arbeitgeber sei nicht verpflichtet gewesen, erst noch eine weitere Abmahnung auszusprechen.

Der Fall macht die Bedeutung von verschriftlichten Regelungen rund um den Schutz von personenbezogenen Daten und auch Geschäftsgeheimnissen deutlich:
Verantwortliche finden wichtige Hinweise, welche Inhalte eine Clean-Desk-Policy enthalten sollte, u.a. auch in den Umsetzungshinweisen zum Baustein INF.7 Büroarbeitsplatz. Diese können selbstverständlich auch im Rahmen einer Home-Office-Regelung genutzt werden, wo das Thema Clean-Desk-Policy ebenfalls seine Daseinsberechtigung haben kann, wie am Arbeitsplatz im Unternehmen selbst. Hierfür kann das Dokument „Datenschutzrechtliche Regelungen bei Homeoffice – Checkliste mit Prüfkriterien nach DS-GVO“ des BayLDA empfohlen werden. Eine noch allgemeinere und umfangreichere Checkliste finden Interessierte in dem Dokument “ Good Practice bei technischen und organisatorischen Maßnahmen – Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit„, welches ebenfalls vom BayLDA angeboten wird.