Anzeige
Anzeige
Anzeige
Anzeige
Abmahnung-DSGVO
Betrüger nutzen die Verunsicherung durch die DSGVO aus, um Geld zu machen. (Foto: Stock-adobe.com)
DSGVO Marketing Email

DSGVO-Abmahnungen: So versuchen Betrüger, Geld mit der Verunsicherung zu machen

Drohungen, unrechtmäßige Auskunftsersuche, absurde Zahlungsaufforderungen: Ein Erfahrungsbericht eines Online-Marketers und ein Rechtsanwalt zeigen auf, was innerhalb der ersten 60 Tage nach Inkrafttreten der DSGVO in der Branche los war.

Anzeige
Anzeige
Anzeige

Das erste Halbjahr 2018 war aufregend: Je näher die DSGVO kam, desto stärker wurde bei Online-Marketern die Angst vor der sogenannten Abmahnindustrie. Zwar gab es vereinzelt erfolglose Versuche von Abmahnanwälten, Geld mit der DSGVO zu machen, doch die befürchtete Welle blieb bislang aus.

Tatsache ist: Noch wird unter Juristen gestritten, ob Verstöße gegen die DSGVO überhaupt abmahnfähig sind.

„Eine starke Meinung in der aktuellen Literatur zur DSGVO sagt: ‚Nein'“, erklärt Rechtsanwalt Martin Erlewein. „Verstöße gegen den Datenschutz können danach wegen den grundsätzlich abschließenden Regelungen zu Rechtsbehelfen, Haftung und Sanktionen in der DSGVO nicht auch noch von Wettbewerbern nach Wettbewerbsrecht abgemahnt werden. An dieser Meinung werden aber auch Zweifel geäußert – und die sind nicht unberechtigt. Bis das letztlich geklärt ist, werden voraussichtlich viele Jahre vergehen und Gerichtsverfahren bis zum Europäischen Gerichtshof verhandelt werden. Erst dann wissen wir das also sicher.“

Doch auch abseits von Abmahnungen versuchen Betrüger und zumindest reichlich unseriöse Menschen mit der DSGVO und Hinweisen auf den Datenschutz Geld aus Online-Marketern zu pressen. Solche Versuche gab es schon immer, auch schon vor der DSGVO unter dem alten Bundesdatenschutzgesetz (BDSG).

Anzeige

Doch seit dem 25. Mai haben sich die Zahlen bei ReachAd versechsfacht, weil die Betrüger die Unsicherheit ausnutzen möchten, die gerade noch herrscht. Das Gute ist: Die meisten dieser Versuche sind dilettantisch.

Hand auf digital: Die plumpe Zahlungsaufforderung

Die wohl einfachste Form, wie Betrüger mit der DSGVO Geld machen wollen, ist die Zahlungsaufforderung aus heiterem Himmel. Dabei wird in sehr bestimmendem Tonfall per Mail wegen eines „Verstoßes gegen die DSGVO“ eine Entschädigung verlangt.

Die Kontonummer steht auch schon drin, damit die Sache schnell vom Tisch ist. Üblicherweise ist so eine Mail eine Antwort auf ein Werbemailing. Worin der Verstoß bestehen soll, steht auch drin. Man habe „zu keiner Zeit der Verwendung personenbezogener Daten“ zugestimmt, heißt es so oder so ähnlich.

ReachAd, wie auch die allermeisten anderen Marketer, schreiben natürlich nicht einfach wildfremde Menschen an. Diese Nutzer wittern aber ihre Chance, weil sie sich nicht mehr daran erinnern oder nicht mehr zuordnen können, wann und wo sie die Einwilligung zum Werbemailing erteilt haben. Oder sie glauben, dass die Einwilligung, die sie irgendwann einmal erteilt haben, mit der DSGVO automatisch erloschen sei.

Dem ist aber nicht so, wie Rechtsanwalt Erlewein erklärt: „Eine vor dem 25. Mai 2018 erteilte Einwilligung gilt weiter, wenn ihre Abgabe bereits den wesentlichen Bedingungen der DSGVO für eine Einwilligung entsprach. Im Fall des E-Mail-Marketings erfordert dies mindestens, dass die Einwilligung freiwillig in einem für die betroffene Person transparenten Double-Opt-In-Verfahren mit entsprechender Protokollierung erteilt wurde.“

Für den Marketer heißt das konkret: Wenn die vor der DSGVO erteilte Einwilligung zur Datenverarbeitung Fortbestand hat und er den Nutzer innerhalb von zwölf Monaten mindestens einmal anschreibt, bleibt die Einwilligung bis zu ihrem Widderruf gültig.

Schadenersatzklage bizarr: Ein Nutzer wollte seelische Grausamkeit geltend machen

Die geforderte Schadenssumme bei solchen Zahlungsaufforderungen liegt meist bei mehreren Tausend Euro. Woraus sich diese Höhe ergibt? Das bleibt ein Rätsel.

„Tatsächlich hat jede natürliche Person nach der DSGVO einen Anspruch auf Schadenersatz, soweit ihr ein materieller oder immaterieller Schaden durch einen Verstoß gegen Regeln des Datenschutzes entstanden ist“, sagt Rechtsanwalt Erlewein.

„Das ist aber nichts Neues und hat sich durch die DSGVO in keiner Weise geändert. Spannend ist jedoch, welche konkreten Schäden zurzeit von den Anspruchstellern behauptet werden. Es gab bereits einen bizarren Fall, in dem ein Betroffener einen Anspruch wegen seelischer Grausamkeit geltend machen wollte, weil ein Kontaktformular auf einer Website nicht ausreichend verschlüsselt war.“

Dieser Trend, einfach mal eine satte Summe zu nennen, hängt auch mit den so oft zitierten Bußgeldern der DSGVO zusammen, die bis zu 20 Millionen Euro betragen können. Die Betrüger wittern: Da gibt es Geld zu holen.

Rechtsanwalt Erlewein: „Die tatsächliche Höhe der Bußgelder hängt natürlich von Art und Schwere der Verletzung des Datenschutzes ab. Die DSGVO fordert ausdrücklich, dass diese wirksam, verhältnismäßig und abschreckend sein sollen. Aber selbst, wenn es einen Verstoß gegeben haben sollte, bekommen Nutzer natürlich keinen Anteil am Bußgeld.“

Tatsächlich kann aber jede betroffene Person ein Unternehmen, das ihrer Meinung nach gegen die DSGVO verstößt, bei den Behörden melden. Die Aufsichtsbehörden werden dann aber üblicherweise einen Maßnahmenkatalog haben, dem sie folgen.

„Am Anfang stehen dann nicht Bußgelder“, sagt Rechtsanwalt Erlewein. „Eine erste Maßnahme wird in der Regel die Verwarnung verbunden mit der Aufforderung sein, sicherzustellen, dass der Verstoß beendet und nicht wiederholt wird. Das kann, muss aber nicht, verbunden sein mit einem Bußgeld.“

Auskunftspflicht: Mit Fragenkatalogen Unternehmen lahmlegen

Eine weitere beliebte Masche der Betrüger ist es, ihren Zahlungsaufforderungen Nachdruck zu verleihen, indem sie die Auskunftspflicht der DSGVO missbrauchen. Im Netz gibt es entsprechende Fragenkataloge zum Download. Zum Teil zahlen die Betrüger sogar einen kleinen Betrag für das Dokument.

Das Ziel: Die Unternehmen sollen möglichst viel Arbeit mit der Abarbeitung der Fragen haben, damit sie irgendwann entnervt einfach das geforderte Geld zahlen. Oft wird sogar eine bestimmte Form der Auskunft verlangt, zum Beispiel, dass sie per Post zugesandt wird. Was nochmal die Kosten dafür in die Höhe schrauben soll.

Eine Auskunftspflicht besteht nach DSGVO durchaus auch: Jeder Nutzer, dessen Daten ein Marketer gespeichert hat, darf erfahren, welche seiner personenbezogenen Daten gespeichert und verarbeitet werden. Auch muss der Marketer angeben, wann und über welche Webseite er die Zustimmung zur Speicherung und Verarbeitung erhalten hat.

Genau hier kann dann auch die Abmahnfalle zuschnappen. Ist es dem Marketer nicht möglich, das Auskunftsersuchen fristgerecht zu erfüllen und nachzuweisen, dass ihm eine gültige Einwilligung von einem Empfänger eines Newsletters erteilt wurde, kann er nach denselben Regeln von einem Wettbewerber abgemahnt werden, wie vor der DSGVO.

Doch aus der DSGVO ergibt sich keine Verpflichtung alle Fragen zu beantworten, die dem Nutzer in den Sinn kommen – oder die er als Formular runtergeladen hat. Solche Fragenkataloge müssen also überhaupt nicht beantwortet werden. In so einem Fall reicht dann die grundsätzliche Auskunft. Und die kann effizient und standardisiert aufgesetzt werden.

Die Auskunft erfolgt nur an die hinterlegte Adresse

Besonders absurd ist in solchen Fällen die Aufforderung, die Auskunft per Post an eine Adresse zu schicken. Der Nutzer hat überhaupt nicht das Recht zu bestimmen, wohin die Auskunft erfolgt und in welcher Form.

Mehr noch: Der Marketer darf die Auskunft sogar nur an die Adresse erteilen, die der Nutzer bei der Zustimmung zur Datennutzung selber angegeben hat. Und das ist im Netz üblicherweise die E-Mail-Adresse.

Das muss der Marketer auch dringend einhalten, um sicherzugehen, dass die Daten nicht in falsche Hände geraten. Und mehr noch: Es wären auch Fälle denkbar, in denen ein Marketer verlangen kann, dass sich der Nutzer bei ihm ausweist. Wenn er zum Beispiel berechtigte Zweifel hat, dass wirklich der Nutzer hinter der Anfrage steckt. Was, wenn sein Account gehackt wurde?

In diesen Fällen sollte der Anwalt unbedingt hinzugezogen werden

Die oben beschriebenen Sachverhalte sind meist einfache Fälle, in denen Marketer sich nach Prüfung entscheiden, gar nichts zu machen oder nur eine einfache Auskunft zu geben. Die Forderungen sind sehr oft mit einer Klagedrohung abgerundet, die aber in der überwiegenden Zahl der Fälle nicht wahr gemacht wird.

Doch wie oben beschrieben ist gegenwärtig noch unsicher, ob Wettbewerber nicht doch bestimmte Verstöße gegen die DSGVO auf dem Umweg über das Wettbewerbsrecht abmahnen können.

Und vor allem die Verstöße gegen die Regeln des Wettbewerbsrechts zur Zulässigkeit des Versands von Online-Newslettern bzw. Werbung per E-Mail generell sind weiterhin abmahnfähig. Das heißt: Wenn eine echte Abmahnung ins Haus flattert, sollten Marketer unbedingt den Anwalt einschalten.

Eine Abmahnung kommt aus Beweisgründen grundsätzlich per Post (Einschreiben). Sie muss außerdem durch einen Mitbewerber erfolgen oder in seinem Namen. Auch ein Anwalt, der sich auf Abmahnungen spezialisiert hat, darf das Geld also nicht für sich selbst einfordern. So einen Fall gab es bei ReachAd aber tatsächlich bereits im Mai.

Rechtsanwalt Erlewein rät: „Die üblichen Kanzleien und Kreise testen gerade aus, was möglich ist. Alles als unbegründet abzutun, wäre für Marketer fahrlässig. Ein Anwalt mit entsprechendem Fachwissen kann hier die Spreu vom Weizen trennen und bei der Abwehr unbegründeter Ansprüche unterstützen.“

Wer jetzt wieder Angst hat vor einer ausschließlich auf die DSGVO gestützten Abmahnwelle, dem sei gesagt: Diese Fälle sind bis jetzt selten. Der Grund: Die Unsicherheit, die bei der DSGVO besteht, betrifft auch die Abmahnanwälte.

Und auf eine Abmahnung kann eine Gegenabmahnung erfolgen. Wer auf gut Glück eine Abmahnung rausschickt, bleibt im Zweifelsfall auf seinen Kosten sitzen und muss sogar noch den Anwalt der Gegenseite bezahlen.

Es gibt erfreulicherweise sogar die ersten Fälle, in denen die Abmahnanwälte ihrerseits eine Verzichtserklärung für ihre Mandanten abgeben mussten und die Rechtsanwaltskosten, die bei der Abwehr entstanden sind, erstattet haben. In den Kanzleien wird schon geunkt, dass das doch ein neuer Geschäftszweig sein könnte: Gegenabmahnanwalt.

Fazit: Die ersten 60 Tage DSGVO

Die ersten 60 Tage DSGVO haben gezeigt: Den Online-Marketern ist nicht plötzlich das Geschäft weggebrochen. Zumindest denen nicht, die sich ordentlich vorbereitet haben.

Von daher lässt sich klar sagen: Auch als Online-Marketer lässt es sich mit der DSGVO, zumindest bis jetzt, leben. Auch wenn sie viel Arbeit macht. Allerdings hat die Unsicherheit auf dem Markt sehr viele Betrüger und unseriöse User sehr aktiv werden lassen. So etwas lässt sich vielleicht nicht vollständig verhindern.

Das Gefühl, dass der Gesetzgeber dahingehend mehr hätte tun können, bleibt trotzdem. Es gab viele Anfragen von Verbänden und Unternehmen, die um Aufklärung zu offenen Fragen baten, die nie beantwortet wurden. Dass immer noch nicht klar ist, ob Verstöße gegen die DSGVO selbst abmahnfähig sind, steht als Sinnbild dafür.

Zum Autor: Karl Ott ist CEO von ReachAd, einer Full-Service-Agentur für Digitalmarketing und Experte für E-Mail-Marketing.

Teilen
Jederzeit top informiert

Die wichtigsten LEAD Nachrichten per Messenger oder Newsletter

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote