Klaviyo-Newsletter: Achtung DSGVO-Abmahnung durch brandt.legal

Auskunftsersuchen nach Art. 15 DSGVO und Abmahnung durch Maximilian Größbauer durch die Berliner Kanzlei „brandt.legal“ wegen Nutzung des Newsletter-Services Klaviyo!

Um was geht es?

Vielleicht nutzt auch du gerne E-Mail Newsletter Tools wie Klaviyo, Sendinblue, Mailchimp etc. Diese erlauben nicht nur das bequeme Erstellen und Versenden der E-Mails direkt über den Web Client. Auch weitergehende Trackingmöglichkeiten bieten sie an.

Genau das gefällt aber einem Herrn aus Wien nicht. Er meldet sich bei entsprechenden Unternehmen für deren Newsletter an. Daraufhin sendet er Unternehmen dann ein Schreiben mit einem Auskunftsersuchen nach Art. 15 DSGVO.

Auf dieser Grundlage macht er das Recht auf Auskunft über alle zu seiner Person verarbeiteten personenbezogenen Daten geltend. Insbesondere möchte er auch wissen, ob ihn betreffende personenbezogene Daten an ein drittes Unternehmen gesendet werden.

Was verlangt Brandt.Legal?

Wahrscheinlich hast du jetzt schon ein mulmiges Gefühl. Denn eines ist klar: dieser Herr möchte die Auskunft nicht einfach aus reiner Neugier bekommen. Er möchte damit eine Abmahnung vorbereiten. In der Regel folgt nämlich auf die erteilte Auskunft eine Abmahnung der Kanzlei „brandt.legal“ in Berlin. Aber es gibt auch Zwischenstufen.

Die Gegenseite verlangt Schmerzensgeld in folgender Abstufung:

• 500 € (unvollständige Auskunft)
• 1.000 € (keine Auskunft)
• 2.000 € (unzutreffende Negativauskunft)
• 5.000 € (nach erteilter Auskunft wegen Klaviyo/Mailchimp)

1. „Unvollständige“ Auskunft

Wenn du die Auskunft aus Sicht der Gegenseite nur unzureichend erteilst, also unvollständig, erfolgt ein Mahnschreiben. Die Gegenseite verlangt dann „nur“ 500 € Schmerzensgeld zuzüglich Rechtsanwaltsgebühren in Höhe von 719,95 € (berechnet aus insgesamt 5.500 € Streitwert). Das kann zum Beispiel der Fall sein, wenn du bei deiner Auskunft nicht die erforderlichen Metadaten mit angibst.

2. Nicht erteilte Auskunft

Wenn du gar keine Auskunft erteilst, verlangt die Gegenseite ein Schmerzensgeld in Höhe von 1.000 € sowie Rechtsanwaltsgebühren in Höhe von 719,95 € (berechnet aus insgesamt 6.000 € Streitwert).

3. Fälschliche Negativauskunft

eine weitere Zwischenstufe liegt vor, wenn du eine Negativauskunft erteilst, die Gegenseite aber davon ausgeht, dass du personenbezogene Daten verarbeitest.

Dann erfolgt ebenfalls ein Mahnschreiben, allerdings verlangt die Gegenseite dann 2.000 € Schmerzensgeld zuzüglich Rechtsanwaltsgebühren in Höhe von 819,91 € (berechnet aus insgesamt 7.000 € Streitwert).

4. Die Abmahnung

verteilst du nun die gewünschte Auskunft und teilst mit, dass du u. a. die E-Mail-Adresse von Herrn Größbauer an einen Provider wie Klaviyo oder Mailchimp übermittelt hast, folgt eine Abmahnung.

Zum einen verlangt „brandt.legal“ die Abgabe einer strafbewehrten Unterlassungserklärung. Das verbietet es dir dann nach der Abgabe praktisch, dieses E-Mail Tool weiter zu nutzen.

Zum anderen verlangen sie Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, also 1.728,48 €.

Und weil das noch nicht genug wäre: ein Schmerzensgeld in Höhe von 5.000 € für die erlittenen seelischen Schäden aufgrund der Übermittlung personenbezogener Daten an ein US-amerikanisches Unternehmen. Die Gegenseite argumentiert mit „Kontrollverlust“.

Wenn innerhalb einer angemessenen Frist keine Antwort eintrifft, sind die brandt.legal-Anwälte mit psychologischem Druck nicht sparsam. Sie drohen damit, dass sie den DSGVO-Vorfall an die zuständige Datenschutzbehörde melden werden. Dies könnte, so brand.legal, zu unangenehmen Folgen wie einer Geldbuße bis zu 20.000.000 Euro bzw. einem Gewerbeverbot führen.

Auf welcher Grundlage erfolgt die Abmahnung?

Die Kanzlei „brandt.legal“ behauptet, Ihr Mandant habe einen Unterlassungsanspruch wegen einer Verletzung seines Rechtr auf informationelle Selbstbestimmung. Sie behaupten, die Übermittlung der den Mandanten betreffenden personenbezogenen Daten an ein US-amerikanisches Unternehmen – hier Klaviyo – sei von keiner Rechtsgrundlage gedeckt.

Wie ist die Rechtslage?

Auch wenn natürlich der Anspruch auf Schmerzensgeld in Höhe von 5000 € vermutlich weit überzogen ist, besteht derzeit eine rechtliche Unsicherheit. Denn nur unter sehr engen Voraussetzungen ist es momentan zulässig und möglich, personenbezogene Daten an sogenannte „unsichere Drittländer“ zu übermitteln.

Hierzu zählen auch die USA.

• Zum einen existiert kein Angemessenheitsbeschloss zwischen der EU und den USA nach Art. 45 DSGVO. Ein solcher bestand auf Basis des Privacy Shield, wurde aber vom EuGH im Verfahren Schrems II gekippt)
• Die Standardvertragsklauseln (SCC) nach Art. 46 DSGVO sind nicht „felsenfest“ weil es in jedem Einzelfall darauf ankommt, ob ausreichende Garantien für die Rechte der betroffenen bestehen. Allerdings hat der EuGH im Urteil Schrems II nicht gesagt, dass die SCC keine sichere Rechtsgrundlage sind
• Darüber hinaus bleibt die Einwilligung des Betroffenen explizit auch in die Übermittlung personenbezogener Daten in das unsichere Drittland unter Hinweis auf alle bestehenden Risiken.

Es ist hier natürlich die Aufgabe des jeweiligen Unternehmens, eine haltbare Einwilligung einzuholen und zu dokumentieren oder die SCC mit dem Provider in den USA abzuschließen (flankiert von einem TIA, also einem transfer impact assessment).

Schau dir dazu auch mein YouTube-Video zum parallelen Fall Klaviyo an:

Sind die hohen Schmerzensgelder nun geschuldet wegen fehlender Auskunft oder eines – unterstellt: rechtswidrigen – Datentransfers in die USA?

Bislang haben deutsche Gerichte noch keine so erheblichen Schmerzensgelder (5.000 €) zugesprochen. Eine nicht geringe Zahl deutscher Gerichte betrachtet bei nur kurzfristigem Verlust der „Datenhoheit“ die Grenze zu einem Schadensersatz nach Art. 82 DSGVO nicht überschritten und lehnen vor allem den Charakter einer „Strafzahlung“ ab. Zudem haben mehrere Gerichte diese Frage dem EuGH vorgelegt mit dem Ziel einer einheitlichen Entscheidung. Ziel: Der EuGH soll eine „Bagatellgrenze“ festlegen, bei deren Unterschreiten noch kein Schmerzensgeld geschuldet ist.

Wie gehst du am besten vor?

Präventiv

Damit dieses Katz und Maus Spiel gar nicht erst entsteht bzw. damit du das Risiko minimierst, empfehle ich unter anderem:

• Prüfung / Anpassung der Datenschutzhinweise
• sorgfältig formulierte Einwilligung (Art. 49 DSGVO)

Beachte: diese spezielle Einwilligung geht über die „normale“ Einwilligung hinaus, insbesondere im Hinblick auf die Risiken beim Datentransfer in ein Drittland!

Wenn schon ein Auskunftsersuchen vorliegt

Es kommt wirklich ganz drauf an, was du erreichen möchtest. Auf alle Fälle solltest du diese 2 Dinge nicht tun:

• Das Auskunftsersuchen unbeantwortet lassen bzw. die Frist verstreichen lassen
• Auskunft erteilen, ohne eine Taktik damit zu verfolgen

Nicht ganz unberücksichtigt bleiben darf der Aspekt des Rechtsmissbrauchs. Dieser Herr aus Wien hat sich möglicherweise ein Geschäftsmodell daraus gemacht, die datenschutzrechtliche Auskunft nicht aus Sorge um seine Daten geltend zu machen sondern um seine Haushaltskasse aufzubessern. Das wiederum stellt einen möglichen Grund dar, dass Auskunftsersuchen zurückzuweisen.

Update (15.02.2023)

Nun liegen mir auch Auskunftsersuchen (Klaviyo / Mailchimp) von Nachahmern (Trittbrettfahrern) vor. Der Ball gerät scheinbar ins Rollen.

Update (17.02.2023): Rechtsmissbrauch durch Maximilian Größbauer?

Mittlerweile stellt sich heraus, dass es eine regelrechte „Masche“ eines Herrn Maximilian Größbauer zu sein scheint.

Einem Bericht von RA HAns-Peter Kröger zufolge soll sich Herr Größbauer in Newsletterlisten zahlreicher Weinhändler eingetragen haben um sie dann postwendend um Auskunft zu ersuchen. Mir selbst liegen zahlreiche Fälle aus der Kosmetikbranche vor. Heißt: Herr Größbauer meldet sich für Kosmetik-Newsletter an, um die Betreiber dann wie zuvor in Anspruch zu nehmen.

Die auf Auskunft in Anspruch Genommenen haben bislang in der Regel gemeinsam:

• Kosmetik- oder Food-Branche
• kleinere Unternehmen
• Newsletter werden über Mailchimp  / Klaviyo versendet

Indizien für einen Rechtsmissbrauch sind aus meiner bisherigen Sicht:

• brandt.legal arbeitet mit Textbausteinen
• mittlerweile erhebliche Zahl an in Anspruch Genommenen
• exorbitante Schmerzensgeld-Forderungen, die innerhalb von Wochen zu einem mehrfachen Jahreseinkommen führen
• gezielte Inanspruchnahme von Mailchimp/Klaviyo-Nutzern

Angesichts der hohen Summen, um die es geht, liegt hier einerseits ein öffentliches Informationsinteresse im Hinblick auf die Berichterstattung über diesen Mann vor. Zum anderen wird der Rechtsmissbrauch immer offensichtlicher. Herr Maximilian Größbauer scheint sich hier eine sehr erträgliche Einkommensquelle geschaffen zu haben.

Update 15.03.2023

Herr Größbauer verschickt weiterhin fleißig Auskunftsgesuche (die letzten mir Bekannten datieren auf 04.03.2023). Zudem hat die Kanzlei brandt.legal am 13.03.2023 wieder ein ganzes „Bündel“ an Mahnschreiben versendet.

Aktuell liegen mir rund 50 verschiedene Fälle vor. Auch andere Anwälte haben weitere Fälle auf dem Tisch liegen.

Update 14.04.2023

Es geht munter weiter, auch im April 2023. Immer nach dem gleichen Schema:

• mutmaßlich gezielte Anmeldung zum Newsletter (der über Klaviyo/Mailchimp versendet wird)
• Auskunftsgesuch
• Schreiben der Kanzlei Brandt.Legal

Die Zahl der Fälle dürfte nun schon eine dreistellige Zahl erreichen.

Update 02.05.2023

Herr Größbauer macht mit seiner Masche munter weiter. Das ist insbesondere vor dem Hintergrund interessant, als er ja bislang schon einiges an Rechtsanwaltskosten an die von ihm beauftragte Kanzlei bezahlt haben muss. Ob sich das Geschäft bislang schon gelohnt hat?

Angesichts der außergewöhnlichen Aggressivität, die die Kanzlei brandt.legal in ihren Schreiben an den Tag legt, war ein Mitarbeiter einer Mandantin kürzlich besonders verwundert: die Kanzlei-Website brandt.legal hatte auf seinem Rechner ein Facebook Pixel Cookie abgelegt. Damit dürften ja personenbezogener Daten an den META-Konzern in den USA übermittelt worden sein. Und das, obwohl die betroffene Person nicht in das Speichern von nicht-notwendigen Cookies eingewilligt hatte.

Ich kann das übrigens bestätigen. Ein in der Datenschutz-Szene bekannter und renommierter Kollege (Datenschutz-Guru) berichtet in seinem Blogartikel sogar über den Einsatz von Google Maps auf der Website der Kanzlei brandt.legal noch im Februar 2023.

Ob das mir persönlich seelischen Schaden zugefügt hat, mag dahinstehen. Bei anderen natürlichen Personen, die Kanzlei Website „brandt.legal“ bis mutmaßlich Ende März besucht haben, könnte das natürlich anders sein.

Verwunderlich bleibt, dass die Kanzlei brandt.legal fremde Datenschutz-Interessen in sehr aggressivem, drohenden Ton durchzusetzen versucht, in eigener Sache aber „entspannter“ zu sein scheint.

Update 19.07.2023: Angemessenheitsbeschluss

Zunächst mal ist festzuhalten: Die Masche geht munter weiter. Herr Größbauer meldet sich weiterhin zu Newslettern an und versendet Auskunftsgesuche. Die Zahl der mir bekannten Fälle steigt und steigt und steigt.

Seit 10.7.2023 gilt nun aber der Angemessenheitsbeschluss der EU-Kommission.

Das bedeutet folgendes:

Sowohl Klaviyo als auch Mailchimp stehen auf der Liste des „EU-U.S. Data Privacy Framework”. Wenn du ab sofort Datenübermittlungen an Klaviyo oder Inuit/Mailchimp auf Art. 45 DSGVO (Angemessenheitsbeschluss in Verbindung mit einer Zertifizierung) stützt, ist die Übermittlung von personenbezogenen Daten in die USA völlig legal.

Natürlich nur, wenn eine „normale“ Rechtsgrundlage existiert, also die Einwilligung nach Art. 6 I 1 a. DSGVO oder ein berechtigtes Interesse an Direktwerbung nach Art. 6 I 1 f. DSGVO.

Für Datentransfers vor dem 10.7.2023 gilt der Angemessenheitsbeschluss allerdings nicht. Da muss eine andere Rechtsgrundlage herangezogen werden.

Du bist auch betroffen?

Wenn du Unterstützung bei der Abwehr einer solchen Anfrage an dein Unternehmen benötigst, melde dich gerne bei mir: