In Anlehnung an die (auf einem Urteil des Landgerichts München, Az.: 3 O 17493/20 basierenden) Abmahnwelle zu Google Fonts (Bericht im Monatsdienst Juni 2022) mahnt aktuell ein Berliner Anwalt den Einsatz von US-Tools bei der Versendung von Newslettern (z.B. Klaviyo und Mailchimp) ab. Beanstandet wird dabei, dass Programme für die Versendung von E-Mail-Newslettern eingesetzt wurden, deren mögliche Serverstandorte sich in den USA befinden. Nach Auffassung des Anwalts ist diese personenbezogene Datenverarbeitung in den USA rechtswidrig, weshalb Schadensersatz (5.000 Euro) und Anwaltskosten (ca. 1.730 Euro) geltend gemacht werden. Sollten auch Kfz-Unternehmen von solchen Auskunftsersuchen und Abmahnungen betroffen sein, ist von einer vorschnellen Erfüllung der Forderungen (insbes. Zahlung) abzuraten und die Einholung von fachkundigem Rechtsrat unbedingt zu empfehlen.
Fazit:
1. Auskunftsanfragen von Betroffenen über erfolgte Datenverarbeitungen müssen von Unternehmen nach Art. 15 DSGVO grundsätzlich innerhalb von einem Monat beantwortet werden. Ansonsten riskiert man entsprechende Beschwerden der Betroffenen bei den Datenschutzaufsichtsbehörden sowie mögliche Schadenersatzforderungen.
2. Zwar ist dem ZDK bislang nicht bekannt, dass auch schon bei Kfz-Unternehmen Auskunftsersuchen oder Abmahnungen des Berliner Anwalts bzw. seines Mandanten eingegangen sind. Dennoch wird von einer vorschnellen Auskunft und vor allem Zahlung abgeraten, wenn ein Kfz-Betrieb von dort kontaktiert wird. Vielmehr sollten sich betroffene Unternehmen unbedingt fachkundigen Rechtsrat über das weitere Vorgehen einholen.
3. Mit dem Rechtsbeistand ist dann zu klären, ob die Höhe der Schadenersatzforderung und der Rechtsanwaltskosten nicht deutlich zu hoch ausfallen – wobei durchaus nicht unumstrittenen ist, ob überhaupt bei jeder möglichen Datenübermittlung in die USA ein Schadensersatzanspruch des Betroffenen entsteht. Auch müssen erst die nächsten Wochen zeigen, ob angesichts möglicher weiterer gleichlautend versandter Schreiben ggf. ein Abmahnmissbrauch bewiesen werden kann.
4. Versenden Unternehmen Newsletter, sollten diese unbedingt prüfen, ob bei ihnen ein Newsletter-Tool im Einsatz ist, welches die übermittelten Daten in einem Drittland ohne ausreichende Rechtsgrundlage (vgl. § 44 ff DSGVO) – also speziell in den USA – verarbeitet. Hierzu reicht es aus, wenn sich der für die Datenverarbeitung verwendete Server in den USA befindet.
5. Bei einer möglichen Datenverarbeitung auf Servern in den USA sollten betroffene Unternehmen klären, ob der Austausch des Newsletter-Tools gegen einen Anbieter möglich ist, bei dem die Datenverarbeitung ausschließlich auf Servern in der EU erfolgt. Soll das verwendete Newsletter-Tool mit einem Serverstandort in den USA trotzdem weiter benutzt werden, müssen die Betroffenen über die Datenübermittlung in das Drittland (USA) ausreichend informiert werden und in diese Datenübermittlung ausdrücklich einwilligen
(288-00/Julia Cabanis)