Die Kanzlei brandt.legal (Rechtsanwälte.Insolvenzverwalter) mit Hauptstandort in Friedrichstraße 95, 10117 Berlin, sowie Standorten in Mumbai und China vollzieht eine neue Abmahnwelle, indem die Nutzung der Newsletter-Tools Klaviyo & Mailchip abgemahnt wird.
Brandt.legal versendet Abmahnschreiben im Auftrag Ihres Mandanten, eines Herrn M. G. aus Wien,, in denen Schadensersatzforderungen von 5000 Euro und Unterlassungsansprüche wegen eines schweren Datenschutzverstoßes geltend gemacht werden. Die betroffenen Unternehmen sollen an das Technologieunternehmen Klaviyo oder an das Unternehmen Mailchip personenbezogene Daten in die USA übermittelt haben.
Was sind Klaviyo und Mailchip und warum wird abgemahnt?
Die E-Mail-Marketing-Tools Klaviyo & Mailchip bieten eCommerce Plattformen, wie bspw. Shopify alle Möglichkeiten, um leistungsstarke E-Mail-Kampagnen zu erstellen.
Klaviyo und Mailchip sind cloudbasierte E-Mail-Marketing-Lösungen/Dienste für E-Commerce-Unternehmen, bspw. für das Newsletter-Management. Das Tool bietet eine Vielzahl unterschiedlicher Möglichkeiten, um Newsletter zu erstellen, zu verschicken, zu verwalten und zahlreiche Konfigurationen nach individuellen Anforderungen vorzunehmen.
Wichtig: Keinesfalls sollten Sie die Abmahnung ignorieren. Unterschreiben Sie und zahlen Sie nichts. Lassen Sie die Abmahnung prüfen.
Nun stellt sich die Frage, warum und wie genau abgemahnt wird?
Brandt.legal mahnt für einen Herrn aus Wien, genauer Herrn Maximilian G. die Nutzung der Newsletter-Tools Mailchip und/oder Klaviyo ab.
Durch die Nutzung der Tools sollen/werden angeblich Daten in die USA übermittelt.
Grundsätzlich werden immer Daten verarbeitet, gespeichert und übermittelt, wenn sich eine Person auf einer Webseite für einen Newsletter anmeldet. So auch bei den Newsletter-Tools Klaviyo und Mailchip.
Der Herr aus Wien meldet sich bei einem Newsletter an. Daraufhin erhält er von Klaviyo und/oder Mailchip automatisiert eine Mail.
Die Kanzlei brandt.legal stellt dann für den Mandanten gemäß Artikel 15 der DSGVO einen Auskunftsanspruch, um Auskunft über die zu seiner Person gespeicherten Daten zu erhalten.
Auf Verlangen einer betroffenen Personen oder dessen Vertreter müssen Unternehmen/Websitebetreiber gemäß der DSGVO Auskunft darüber erteilen, ob und in welchem Umfang personenbezogene Daten verarbeitet/gespeichert werden.
Wird der Person im vorliegend Fall mitgeteilt, dass aufgrund der E-Mail-Newsletter durch Klaviyo oder Mailchip eine Übermittlung der Daten zum Empfänger in die USA erfolgt, erfolgt durch die Kanzlei brandt.legal eine Abmahnung wegen der rechtswidrigen Übermittlung der Daten in die USA und dem damit einhergehend rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht des betroffenen Herrn aus Wien.
Gleichzeitig werden Unterlassungs- und Schadensersatzansprüche geltend gemacht.
Warum sind Klaviyo & Mailchip datenschutzrechtlich relevant?
Um Newsletter versenden zu können, müssen Webseitenbetreiber die E-Mail-Adresse von Empfängern – hier des Herrn aus Wien – erheben. Die E-Mail-Adresse zählt zu den personenbezogenen Daten und ist datenschutzrechtlich schützenswert.
Übermittlung personenbezogener Daten nach der DSGVO
Die Übermittlung personenbezogener Daten macht an den Landesgrenzen nicht halt.
Was sind personenbezogene Daten?
Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar, so bspw. IP-Adresse, Anschrift, Geburtsdatum, Tracking, etc.
Die DSGVO enthält Bestimmungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Daneben enthält sie 173 Erwägungsgründe, welche die jeweiligen Artikel näher erläutern und bei der Auslegung helfen sollen.
Wozu dient die DSGVO und ist ein Datentransfer erlaubt?
Die DSGVO dient der Vereinheitlichung des Datenschutzrechts. Zudem konnten die einzelnen Mitglieder der Europäischen Union zusätzlich nationale Datenschutzgesetzte erlassen, so bspw. Deutschland mit dem Bundesdatenschutzgesetz.
Dank der DSGVO ist ein Datentransfer innerhalt der EU – weitere Voraussetzungen wie die Auftragsverarbeitung ausgeklammert – zulässig.
Was sind Drittstaaten/Drittländer nach der DSGVO?
Hinsichtlich des internationalen Handels und Zusammenarbeit ist es in der heutigen Zeit unerlässlich Daten auch an Drittländer übermitteln zu können. Die Zulässigkeitsprüfung einer solchen Übermittlung erfolgt zweistufig.
Zunächst muss die Datenübermittlung an sich zulässig sein. Jedwede Verarbeitung von personenbezogenen Daten unterliegt einem Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung führt Art. 6 DSGVO weitere Rechtmäßigkeitsgründe, wie beispielweise die Erfüllung eines Vertrages oder den Schutz lebenswichtiger Interessen, an. Für besondere personenbezogene Daten, die eines höheren Schutzniveaus bedürfen, gelten die Erlaubnistatbestände des Art. 9 DSGVO.
Drittstaaten erfüllen grds. nicht die Vorgaben der DSGVO, sodass aufgrund der in den Drittländern geltenden Datenschutzbestimmungen das Datenschutzniveau abweichen kann.
Erfüllt die geplante Datenübermittlung die allgemeinen Voraussetzungen, ist im zweiten Schritt zu prüfen, ob eine Übermittlung in das Drittland zulässig ist. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zu den sicheren Drittstaaten gehören: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea. In diese ist die Datenübermittlung daher ausdrücklich gestattet.
Nach Art. 45 DSGVO kann ein Datentransfer in ein Drittland erfolgen, wenn seitens der EU ein Angemessenheitsbeschluss vorliegt. Solch ein Beschluss wird nur erteilt, wenn im Land adäquates Datenschutzniveau gewährleistet ist.
Klaviyo und Mailchip betreiben Ihrer Server, auf denen die personenbezogenen datenverarbeitet und gespeichert werden, in den USA. Die USA sind laut der DSGVO ein Drittland.
Sollte für ein Drittland kein Angemessenheitsbeschluss existieren, kann gemäß Art. 46 Abs. 1 DSGVO dennoch ein Datentransfer zulässig sein, wenn geeignete Garantien zum Schutz der Daten durch den Empfänger geboten sind. Dies können Binding Corporate Rules oder die von der EU Kommission verabschiedeten Standardvertragsklauseln sein.
Zwar bietet bspw. Mailchip EU-Standardvertragsklauseln an, um den Datentransfer rechtlich abzusichern, jedoch fehlt eine Überprüfung, ob weitere Maßnahmen erfolgt sind, um die Datenübermittlung DSGVO-konform zu gestalten, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im März 2021.
Über die Garantien hinaus müssen durchsetzbare und wirksame Rechtsbehelfe gegeben sein.
Sofern weder ein Angemessenheitsbeschluss noch andere geeignete Garantien vorliegen, bestehen nach Art. 49 DSGVO weitere Ausnahmetatbestände.
Eine Datenübermittlung in ein Drittland ist dann möglich, wenn die betroffene Person (der Website-Besucher und Anmelder eines Newsletters) dazu einwilligt.
Aber – die bloße Einwilligung genügt nicht, vorab gilt es die Person über die datenschutzrechtlichen Risiken, die aus dem fehlenden Angemessenheitsbeschluss und fehlenden Garantien resultieren, zu informieren.
Gemäß Art. 49 DSGVO kann ein Datentransfer in ein solches Drittland ebenfalls zulässig sein, wenn er aus wichtigen Gründen des öffentlichen Interesses notwendig ist.
Welche Forderung enthält die Abmahnung?
Brandt.legal verlangt im Schreiben die Löschung und die Unterlassung der Weitergabe der Daten. Zudem wird die Abgabe einer sog. strafbewehrten Unterlassungserklärung gefordert.
Info – Mit einer strafbewehrten Unterlassungserklärung soll sich der Schuldner (Website-Betreiber/Unternehmen) gegenüber dem abmahnenden Gläubiger (brandt.legal im Auftrag des Wiener Herren) verbindlich dazu verpflichten, ein bestimmtes wiederholtes rechtswidriges Verhalten künftig nicht mehr zu begehen.
Wie in derartigen Schreiben üblich, liegt eine Unterlassungserklärung zur Unterzeichnung bei. Sofern die beigefügte strafbewehrte Unterlassungserklärung abgegeben wird, hätte dies zur Folge, dass das E-Mail Tool nicht weiter genutzt werden darf.
Unternehmen/Websitebetreiber werden aufgefordert, die Datenübermittlung in Drittstaaten, insbesondere den USA zukünftig zu unterlassen. Zudem wird bei Zuwiderhandlung eine Vertragsstrafe von 5.100 EUR festgesetzt.
Wichtig: Keinesfalls sollten Sie die beigefügte Unterlassungserklärung unterzeichnen, da eine derartige Unterlassungserklärung einen lebenslangen Vertrag darstellt und Sie in Ihren rechten weitläufig einschränken kann/wird.
Weiter wird Schadensersatz wegen seelischer und/oder immaterieller Schäden gefordert, da durch den Datentransfer die Rechte des Betroffenen, des Herrn aus Wien, verletzt sind.
Der geforderte Schmerzensgeld-/Schadensersatzbetrag variiert von 15.000 € bis 25.000 €.
Hinsichtlich dieser Beträge wird auf die bereits erfolgte Rechtsprechung (Urteile) verweisen. Zum Ende wird jedoch ein Betrag von ca. 5.000 EUR gefordert.
Darüber hinaus werden Rechtsanwaltskosten für die Abmahnung aus einem Gegenstandswert von 30.000 €, somit ca. 1.700 € gefordert.
Sofern die abgemahnten Unternehmen/Websitebetreiber nicht innerhalb der Frist geantwortet wird, wird damit gedroht, den DSGVO-Verstoß an die zuständige Datenschutzbehörde zu melden. Dies könnte, so die Rechtsanwälte von brandt.legal, zu weitreichenden Folgen, wie einer Gewerbeuntersagung und Geldbußen von bis zu 20 Millionen Euro zur Folge haben.
Neuerliche Auskunftsschreiben
Die Kanzlei brandt.legal hat nun – Stand 15.3.2023 – wiederum zahlreiche Schreiben versendet.
In diesen Schreiben wird ein Auskunftsverlangen abgemahnt, welche nicht beantwortet wurden. In den neuerleiche Abmahnungen wird wegen der nicht beantworteten Auskunftsschreiben Schadensersatz von ca. 1.000 EUR und Anwaltskosten von über 700 EUR verlangt.
In den nicht beantworteten Auskunftsschreiben wird von Plattform-/Newsletter-Betreibern gefordert, Auskunft darüber zu erteilen, wann, ob und welche Daten von der angeblich betroffenen Person, des Herrn M. G. aus Wien, gespeichert und verarbeitet worden sind. Die Auskunft muss unverzüglich, jedoch innerhalb eines Monats erfolgen.
Was sollten Sie tun?
Sollte bereits ein Auskunfts- oder Abmahnschreiben vorliegen, dann nicht
- das Auskunftsersuchen unbeantwortet lassen bzw. die Frist verstreichen lassen,
- Auskunft erteilen, ohne eine rechtliche Prüfung/Beratung vorgenommen zu haben,
Warum – weil das Auskunftsersuchen rechtsmissbräuchlich ist, weil nicht der Datenverstoß das Anliegen ist, sondern die Abmahnung nur erfolgt, um Geld zu machen, sodass möglicherweise ein Grund vorliegt, dass Auskunftsersuchen zurückzuweisen.
Wir raten Ihnen dringend,
- sich nach Erhalt eines Abmahn-/Auskunftsschreibens anwaltlich beraten zu lassen,
- unterschreiben Sie keine Unterlassungserklärung und/oder zahlen irgendwelche Forderungsbeträge
- lassen Sie keine Fristen verstreichen.
LOIBL LAW verteidigt Sie, Wir sind jederzeit für Sie da.
WIR von LOIBL LAW haben zahlreiche Mandanten in Fälle in den sehr, sehr ähnlich gelagerten Abmahnungen des Berliner Anwalts Kilian Lenard und seinem Mandanten Martin Ismail und den Abmahnungen wegen der Google Fonts erfolgreich vertreten.
WIR beraten Sie bundesweit. WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!
Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.
Weitere Infos und Antworten zu arbeitsrechtlichen Fragen finden Sie auf unserer Website loibl-law.de
Ihr Team von LOIBL LAW!
Über uns
Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.
Sie haben Fragen?
Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.