Auskunftsersuchen nach Art. 15 DSGVO und Abmahnung durch Maximilian Größbauer durch die Berliner Kanzlei „brandt.legal“ wegen Nutzung des Newsletter-Services Klaviyo!
Um was geht es?
Vielleicht nutzt auch du gerne E-Mail Newsletter Tools wie Klaviyo, Sendinblue, Mailchimp etc. Diese erlauben nicht nur das bequeme Erstellen und Versenden der E-Mails direkt über den Web Client. Auch weitergehende Trackingmöglichkeiten bieten sie an.
Genau das gefällt aber einem Herrn aus Wien nicht. Er meldet sich bei entsprechenden Unternehmen für deren Newsletter an. Daraufhin sendet er Unternehmen dann ein Schreiben mit einem Auskunftsersuchen nach Art. 15 DSGVO.
Auf dieser Grundlage macht er das Recht auf Auskunft über alle zu seiner Person verarbeiteten personenbezogenen Daten geltend. Insbesondere möchte er auch wissen, ob ihn betreffende personenbezogene Daten an ein drittes Unternehmen gesendet werden.
Was passiert nach der Auskunft?
Wahrscheinlich hast du jetzt schon ein mulmiges Gefühl. Denn eines ist klar: dieser Herr möchte die Auskunft nicht einfach aus reiner Neugier bekommen. Er möchte damit eine Abmahnung vorbereiten. In der Regel folgt nämlich auf die erteilte Auskunft eine Abmahnung der Kanzlei „brandt.legal“ in Berlin.
Auf welcher Grundlage erfolgt die Abmahnung?
Die Kanzlei „brandt.legal“ behauptet, Ihr Mandant habe einen Unterlassungsanspruch wegen einer Verletzung seines Rechtr auf informationelle Selbstbestimmung. Sie behaupten, die Übermittlung der den Mandanten betreffenden personenbezogenen Daten an ein US-amerikanisches Unternehmen – hier Klaviyo – sei von keiner Rechtsgrundlage gedeckt.
Was verlangen die Abmahner genau?
Zum einen verlangt „brandt.legal“ die Abgabe einer strafbewehrten Unterlassungserklärung. Das verbietet es dir dann nach der Abgabe praktisch, dieses E-Mail Tool weiter zu nutzen.
Zum anderen verlangen sie Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, also 1728,48 €.
Und weil das noch nicht genug wäre: ein Schmerzensgeld in Höhe von 5000 € für die erlittenen „seelischen Schäden“ aufgrund der Übermittlung personenbezogener Daten an ein US-amerikanisches Unternehmen.
Wenn innerhalb einer angemessenen Frist keine Antwort eintrifft, sind die brandt.legal-Anwälte mit psychologischem Druck nicht sparsam. Sie drohen damit, dass sie den DSGVO-Vorfall an die zuständige Datenschutzbehörde melden werden. Dies könnte, so brand.legal, zu unangenehmen Folgen wie einer Geldbuße bis zu 20.000.000 Euro bzw. einem Gewerbeverbot führen.
Wie ist die Rechtslage?
Auch wenn natürlich der Anspruch auf Schmerzensgeld in Höhe von 5000 € vermutlich weit überzogen ist, besteht derzeit eine rechtliche Unsicherheit. Denn nur unter sehr engen Voraussetzungen ist es momentan zulässig und möglich, personenbezogene Daten an sogenannte „unsichere Drittländer“ zu übermitteln.
Hierzu zählen auch die USA.
- Zum einen existiert kein Angemessenheitsbeschloss zwischen der EU und den USA nach Art. 45 DSGVO. Ein solcher bestand auf Basis des Privacy Shield, wurde aber vom EuGH im Verfahren Schrems II gekippt)
- Die Standardvertragsklauseln (SCC) nach Art. 46 DSGVO sind nicht „felsenfest“ weil es in jedem Einzelfall darauf ankommt, ob ausreichende Garantien für die Rechte der betroffenen bestehen. Allerdings hat der EuGH im Urteil Schrems II nicht gesagt, dass die SCC keine sichere Rechtsgrundlage sind
- Darüber hinaus bleibt die Einwilligung des Betroffenen explizit auch in die Übermittlung personenbezogener Daten in das unsichere Drittland unter Hinweis auf alle bestehenden Risiken.
Es ist hier natürlich die Aufgabe des jeweiligen Unternehmens, eine haltbare Einwilligung einzuholen und zu dokumentieren oder die SCC mit dem Provider in den USA abzuschließen (flankiert von einem TIA, also einem transfer impact assessment).
Schau dir dazu auch mein YouTube-Video zum parallelen Fall Klaviyo an:
Sind die hohen Schmerzensgelder nun geschuldet wegen fehlender Auskunft oder eines – unterstellt: rechtswidrigen – Datentransfers in die USA?
Bislang haben deutsche Gerichte noch keine so erheblichen Schmerzensgelder (5.000 €) zugesprochen. Eine nicht geringe Zahl deutscher Gerichte betrachtet bei nur kurzfristigem Verlust der „Datenhoheit“ die Grenze zu einem Schadensersatz nach Art. 82 DSGVO nicht überschritten und lehnen vor allem den Charakter einer „Strafzahlung“ ab. Zudem haben mehrere Gerichte diese Frage dem EuGH vorgelegt mit dem Ziel einer einheitlichen Entscheidung. Ziel: Der EuGH soll eine „Bagatellgrenze“ festlegen, bei deren Unterschreiten noch kein Schmerzensgeld geschuldet ist.
Wie gehst du am besten vor?
Präventiv
Damit dieses Katz und Maus Spiel gar nicht erst entsteht bzw. damit du das Risiko minimierst, empfehle ich unter anderem:
- Prüfung / Anpassung der Datenschutzhinweise
- sorgfältig formulierte Einwilligung (Art. 49 DSGVO)
Beachte: diese spezielle Einwilligung geht über die „normale“ Einwilligung hinaus, insbesondere im Hinblick auf die Risiken beim Datentransfer in ein Drittland!
Wenn schon ein Auskunftsersuchen vorliegt
Es kommt wirklich ganz drauf an, was du erreichen möchtest. Auf alle Fälle solltest du diese 2 Dinge nicht tun:
- Das Auskunftsersuchen unbeantwortet lassen bzw. die Frist verstreichen lassen
- Auskunft erteilen, ohne eine Taktik damit zu verfolgen
Nicht ganz unberücksichtigt bleiben darf der Aspekt des Rechtsmissbrauchs. Dieser Herr aus Wien hat sich möglicherweise ein Geschäftsmodell daraus gemacht, die datenschutzrechtliche Auskunft nicht aus Sorge um seine Daten geltend zu machen sondern um seine Haushaltskasse aufzubessern. Das wiederum stellt einen möglichen Grund dar, dass Auskunftsersuchen zurückzuweisen.
Update (15.02.2023)
Nun liegen mir auch Auskunftsersuchen (Klaviyo / Mailchimp) von Nachahmern (Trittbrettfahrern) vor. Der Ball gerät scheinbar ins Rollen.
Update (17.02.2023): Rechtsmissbrauch durch Maximilian Größbauer?
Mittlerweile stellt sich heraus, dass es eine regelrechte „Masche“ eines Herrn Maximilian Größbauer zu sein scheint.
Einem Bericht von RA HAns-Peter Kröger zufolge soll sich Herr Größbauer in Newsletterlisten zahlreicher Weinhändler eingetragen haben um sie dann postwendend um Auskunft zu ersuchen. Mir selbst liegen zahlreiche Fälle aus der Kosmetikbranche vor. Heißt: Herr Größbauer meldet sich für Kosmetik-Newsletter an, um die Betreiber dann wie zuvor in Anspruch zu nehmen.
Die auf Auskunft in Anspruch Genommenen haben bislang in der Regel gemeinsam:
- Kosmetik- oder Food-Branche
- kleinere Unternehmen
- Newsletter werden über Mailchimp / Klaviyo versendet
Indizien für einen Rechtsmissbrauch sind aus meiner bisherigen Sicht:
- brandt.legal arbeitet mit Textbausteinen
- mittlerweile erhebliche Zahl an in Anspruch Genommenen
- exorbitante Schmerzensgeld-Forderungen, die innerhalb von Wochen zu einem mehrfachen Jahreseinkommen führen
- gezielte Inanspruchnahme von Mailchimp/Klaviyo-Nutzern
Angesichts der hohen Summen, um die es geht, liegt hier einerseits ein öffentliches Informationsinteresse im Hinblick auf die Berichterstattung über diesen Mann vor. Zum anderen wird der Rechtsmissbrauch immer offensichtlicher. Herr Maximilian Größbauer scheint sich hier eine sehr erträgliche Einkommensquelle geschaffen zu haben.
Update 15.03.2023
Herr Größbauer verschickt weiterhin fleißig Auskunftsgesuche (die letzten mir Bekannten datieren auf 04.03.2023). Zudem hat die Kanzlei brandt.legal am 13.03.2023 wieder ein ganzes „Bündel“ an Mahnschreiben versendet.
Du bist auch betroffen?
Wenn du Unterstützung bei der Abwehr einer solchen Anfrage an dein Unternehmen benötigst, melde dich gerne bei mir:
Vielen Dank für den guten Artikel Hr. Greger!
Wir haben auch Post von dem freundlichen Wiener Kollegen erhalten und überlegen wie wir weiter vorgehen. Da es mittlerweile einige Berichte über dieses Vorgehen gibt, sollte (aus einer Laien Perspektive) relativ klar sein, dass es um einen Rechtsmissbrauch geht..
Hi! Gerne bei mir melden. Selbst verhandeln … ja, aber nur wenn du weißt was du tust.