Folgen von Datenschutzverstößen und Hinweispflicht gegenüber Kunden

Wie ernst muss ich als selbständiger Designer die vielfach in den Medien erwähnten Bußgelder in Millionenhöhe nehmen?

RA Cornelius Matutis: Die Aufsichtsbehörde wird hier zunächst mit Augenmaß vorgehen. Die hohen Bußgelder werden erst bei vorsätzlichen Taten und entsprechenden hohen Umsätzen der Unternehmen angesetzt. Die Regelungen gelten ja für den Kleinunternehmer genauso wie für die Weltkonzerne Google, Facebook oder SAP. Es ist in den nächsten 2 – 3 Jahren daher nicht zu erwarten, dass von den Aufsichtsbehörden unverhältnismäßig hohe Bußgelder festgesetzt werden. Zunächst wird die Aufsichtsbehörde (dies ist der jeweilige Landesdatenschutzbeauftragte im Sitzland des Designers) hier die finanziellen Verhältnisse des Designers in Verhältnis zu der Schwere des Datenschutzverstoßes setzen und dann auf dieser Basis ein angemessenes Bußgeld festsetzen. Nur wer einen mehrfachen Millionenumsatz tätigt, wird daher auch befürchten müssen eine Millionenstrafe bei vorsätzlichen Verstößen zahlen zu müssen.

Worauf sollte ich mich konzentrieren, um mich gegen Abmahnungen schützen zu können?

RA Cornelius Matutis: Abmahnende Verbände und Mitbewerber können nur an Hand der Datenschutzerklärung, dem Umgang mit Cookies, dem Fehlen eines ggf. erforderlichen Datenschutzbeauftragten oder einer fehlenden SSL-Verschlüsselung entsprechende Verstöße gegen die DSGVO feststellen. Deswegen sollte auch hierauf zwingend als erstes das Augenmerk richten. Die weiteren Vorgaben der DSGVO muss man vorwiegend dokumentieren, aber potentielle Abmahner haben hier kein Einsichtsrecht, so dass dort keine Abmahnrisiken liegen. Daher stellt meine Kanzlei mit dem Datenschutz-Gutachten unter www.anwalt-für-datenschutz.eu auch zunächst sicher, dass der Außenauftritt des jeweiligen Mandanten abmahnsicher ist und der Mandant dann durch die weiteren Angaben des Gutachtens den noch bestehenden Umsetzungsbedarf sieht und mittels des ihm durch uns zur Verfügung gestellten Handwerkszeugs dann sein Unternehmen auch insgesamt den Vorgaben der DSGVO anpassen kann.

Inwieweit haften die Designer gegenüber Kunden für die Datenschutzkonformität der Webseiten, die sie für sie erstellen bzw. in der Vergangenheit erstellt haben? Gibt es eine Hinweispflicht?

RA Fabian Braches: Grundsätzlich ist jeder Betreiber von Webseiten selbst verantwortlich für deren Inhalt sowie für die Einhaltung aller gesetzlichen Bestimmungen, einschließlich der Datenschutzbestimmungen nach der DSGVO. Soweit in dem jeweiligen Auftragsverhältnis zwischen dem Kunden und dem Designer nicht ausdrücklich etwas anderes vereinbart worden ist, schuldet der Designer keine »Datenschutzkonformität« der Webseite.

Eine rechtliche Beratung des Kunden im Einzelfall ist dem Designer ohnehin gesetzlich nicht erlaubt, so dass auch davon abgeraten wird, mehr zu tun, als den Kunden darauf hinzuweisen, dass er für seine Webseite bzw. deren »Datenschutzkonformität« selbst verantwortlich ist.

Wenn und soweit dem Designer im Rahmen der Zusammenarbeit auffallen sollte, dass die Webseite des Kunden  – aus Sicht des Designers – nicht datenschutzkonform ist, dürfte hier eine nebenvertragliche Hinweispflicht bestehen. Ein arglistiges Verschweigen sollte also nicht erfolgen. Der Designer sollte den Kunden daher (am besten nachweislich per Email) darauf hinweisen und ihm empfehlen, sich hierzu fachkundigen Rat (z.B. durch einen Rechtsanwalt) einzuholen.

Das Ganze gilt auch für »Altfälle«: Wenn der Designer vor fünf Jahren eine Webseite erstellt hat, war es damals nicht seine Aufgabe und ist es auch heute nicht, für die „Datenschutzkonformität“ der Webseite Sorge zu tragen. Selbst wenn dem aufgrund anderer Absprache so gewesen sein sollte, so dürfte das nicht für die jetzt neu greifenden Regelungen nach der DSGVO gelten. Für Fälle die mehr als drei Jahre zurückliegen, könnte hier im Übrigen auch schon eine Verjährung eingetreten sein.