Abmahnungen sind leider wie der Elefant im Raum geworden, wenn es um den Datenschutz geht. An manchen Stellen tun sich Lücken oder Grauzonen auf, die dann ausgenutzt werden. Nicht umsonst, sollten Unternehmer und Gründende sich immer auf dem Laufenden in Sachen Datenschutz halten. Doch auch wenn Abmahnungen willkürlich scheinen, so können Sie doch einiges im Vorfeld tun. Um sich vor Abmahnungen schützen zu können, haben wir hier Tipps unseres Datenschutz-Experten Stefan Lang zusammengefasst. Damit können Sie vorbeugen, erhalten aber auch Handlungsempfehlungen, wenn Sie abgemahnt worden sind:

Der beste Schutz vor Abmahnungen ist Vorsorge

Abmahnungen treten häufig als wellenartiges Phänomen auf. Wenn Sicherheitslücken erst einmal entdeckt wurden, springen viele auf den Zug aufm und es kommt zu Abmahnwellen. Die Nutzung von bspw. Google Fonts und die damit verbundene Setzung von Cookies, die nicht erlaubt ist, war nur eine dieser Abmahnwellen. Sobald die Sicherheitslücke geschlossen ist, flacht das Phänomen wieder ab. Bis die nächste Lücke sich auftut. Doch Gründende und Selbständige sollten sich bereits früh um Datenschutz und auch Datensicherung kümmern. Je früher, desto besser. Und vor allem gilt auch, dran zu bleiben und sich ständig über wichtige Themen und Entwicklungen rund um den Datenschutz zu informieren. Nur so können Sie sich vor Abmahnungen schützen. Das bedeutet auch, mögliche Lücken in Bezug auf die Nutzung und Speicherung von Daten im eigenen Unternehmen möglichst frühzeitig selbst zu erkennen und zu schließen.

Die wichtigsten Schritte, um sich vor Abmahnungen zu schützen

Gerade in Bezug auf die Nutzung von Online-Diensten sollten Sie daher, proaktiv Maßnahmen ergreifen, um rechtliche Risiken zu minimieren. Dazu sollten Sie folgende Schritte kennen und regelmäßig wiederholen:

1. Eine rechtskonforme Datenschutzerklärung
   Die Datenschutzerklärung ist der Ausgangspunkt, denn Nutzer können hierüber erfahren, welche Daten gesammelt und gespeichert werden. Daher sollte hierbei Sorgfalt geboten sein. Dabei sollten Sie drei Kriterien besonders im Blick haben: Aktualität ist für die Datenschutzerklärung oberstes Gebot. Aus diesem Grund sollten Sie diese stets auf dem neuesten Stand halten und alle verwendeten Tools, Dienste und Cookies vollständig und transparent erklären. Bei der Nutzung von Drittanbieterdiensten sollten Sie alle externen Dienste ausführlich und vollständig auflisten. Zusätzlich sollten Sie auch erklären, wie und warum diese Dienste genutzt werden. Das betrifft alle Drittanbieterdienste (wie Google Fonts, Tracking-Tools, Social Media Plugins), die personenbezogene Daten erheben oder weiterleiten. Und ergänzend sollten Sie bei jeder Datenerhebung, die über das Notwendige hinausgeht (z.B. für Marketing oder Tracking), eine informierte Einwilligung einholen.
2. Transparentes Cookie-und Consent-Management
   Wenn Cookies gesetzt werden, benötigen Sie eine DSGVO-konforme Einwilligung dazu. Im besten Fall implementieren Sie dafür eine Consent-Management-Plattform (CMP), die sicherstellt, dass Cookies und Tracking-Technologien erst nach Zustimmung der Nutzer gesetzt werden. Tools wie Cookiebot, OneTrust oder Usercentrics ermöglichen eine saubere Verwaltung dieser Einwilligungen. Gerade in Bezug auf die bereits erwähnten Google Fonts, sollten Sie diese lokal einbinden. Wenn Sie die verwendeten Google Fonts lokal auf Ihrem Server installieren, können Sie dadurch den Abruf von Google-Servern und die damit verbundenen Datenschutzprobleme vermeiden.
3. Regelmäßige Überprüfung und Audits
   Ein regelmäßiger Website-Scan kann Ihnen viel Ärger ersparen. Dafür können Sie spezielle Tools wie Webbkoll oder Ghostery im besten Fall regelmäßig nutzen, um Ihre Website auf eingebundene Skripte, Cookies und Tracking-Tools zu überprüfen. Auf diese Weise können Sie sicherstellen, dass keine unbemerkten Datenflüsse zu Drittanbietern stattfinden. Auch Sicherheitsaudits sind eine hervorragende Möglichkeit, um sicherzustellen, dass keine veralteten Plugins oder Konfigurationen auf Ihrer Website Sicherheitslücken oder Datenschutzverletzungen ermöglichen. Diese sollten ebenfalls in regelmäßigen Abständen wiederholt werden.
4. Datenschutzfreundliche Alternativen nutzen
   Einer der einfachsten, wenn auch etwas aufwendigere oder kostspieligere Methode ist die Nutzung von datenschutz-freundlichen Alternativen zu US-Diensten. Wo immer möglich sollten Sie diese Alternativen nutzen, um das Risiko auf Abmahnungen zu reduzieren. US-Dienste haben oft komplexe Anforderungen an den Datenschutz, da Anbieter sich nicht automatisch an die DASGVO halten müssen. Statt Google Analytics können Sie z. B. Matomo (selbstgehostet) verwenden, das DSGVO-konform ist und keine Daten an Drittanbieter weiterleitet. Eine weitere Maßnahme, die hilfreich ist, dass Sie externe Inhalte lokal hosten. So werden externe Inhalte (Schriftarten, Videos, Skripte) nicht von Drittanbieterservern geladen, sondern liegen lokal auf Ihrem eigenen Server. Dadurch umgehen Sie externe Datenflüsse, die immer Risiken mit sich bringen.
5. Verträge mit Auftragsverarbeitern (AVV)
   Ein zusätzlicher Schutz vor Abmahnungen bietet auch die Vereinbarung von Auftragsverarbeitungsverträge (AVV). Dabei schließen Sie AV-Verträge mit den Drittanbietern ab, wenn Sie Dienste von Drittanbietern nutzen, die in Ihrem Auftrag personenbezogene Daten verarbeiten (z. B. Cloud-Dienste, Hosting-Provider). Sie können sich damit rechtlich absichern, da diese Verträge sicherstellen, dass die Anbieter DSGVO-konform mit den Daten umgehen. Dabei sollten Sie außerdem den Drittlandstransfer prüfen. Das bedeutet, dass Sie checken sollten, dass die genutzten Anbieter in Drittländern (z. B. den USA) entweder am Data Privacy Framework (DPF) teilnehmen oder andere gültige Schutzmechanismen (wie Standardvertragsklauseln) implementiert haben.
6. Starke Sicherheitsvorkehrungen
   Auch mit Hilfe einer SSL-Verschlüsselung können Sie Ihre Website und sich damit vor Abmahnungen schützen. Ein SSL-Zertifikat ist die einfachste Methode, um Ihre Website vor Datenübertragungen zu sichern. Allerdings sind auch Passwörter und Zwei-Faktor-Authentifizierung (2FA) ein Thema. Dabei sollten Sie auf starke Passwörter setzen und zusätzlich auch die 2FA aktivieren. Auf diese Weise können Sie den Zugriff auf wichtige Systeme (z. B. Ihre Website-Administration) absichern und das Risiko von Hackerangriffen und Datenschutzverstößen deutlich verringern.
7. Sorgfältige Auswahl von Plugins und Tools
   Gerade bei der Wahl von Tools und Plugins sollten Sei auch sorgsam vorgehen und sich nur auf vertrauenswürdige Quellen stützen. Dabei sind vertrauenswürdige Anbieter gemeint, die regelmäßige Updates für ihre Plugins und Tools durchführen und deren Datenschutzkonformität klar ist. Zusätzlich sollten Sie sich auf wenige eingebundenen Skripte und Drittanbieter-Plugins beschränken. Wenn Sie die Drittanbieter-Skripte minimieren, reduzieren Sie gleichermaßen das Risiko von Datenschutzproblemen.
8. Reaktionsplan für Abmahnungen
   Für den Notfall sollten Sie bereits vorab einen Reaktionsplan entwickeln, um schnell reagieren zu können. Denn wenn Sie eine Abmahnung erhalten, reagieren Sie bestenfalls schnell auf den Vorwurf, um hohe Kosten zu vermeiden. Das bedeutet auch, sich rechtzeitig rechtlichen Rat einzuholen. Darüber hinaus hilft es, Musterabmahnungen erkennen. Damit sind Massenabmahnungen gemeint, wie bei solchen Wellen, die oft von Abmahnanwälten aufgrund von kleinen Verstößen, wie falscher Einbindung von Google Fonts oder fehlender SSL-Verschlüsselung, verschickt werden. In solchen Fällen kann es sinnvoll sein, die Rechtmäßigkeit der Abmahnung von einem Anwalt prüfen zu lassen.
9. Informationsquellen und Updates
   Wie bereits angedeutet, sollten Sie in Sachen Datenschutz die aktuellen Entwicklungen verfolgen. Durch Abonnements von Datenschutz-Newslettern oder Fachforen (z. B. durch die Aufsichtsbehörden oder Datenschutzportale) können Sie sich über neue rechtliche Entwicklungen und potenzielle Abmahnwellen informieren. So können Sie frühzeitig reagieren. Außerdem können Sie bei Unsicherheiten in Bezug auf Datenschutz und Abmahnrisiken eine Rechtsberatung einholen. Dazu kann es hilfreich sein, regelmäßig einen Datenschutzberater oder Anwalt hinzuzuziehen.

Diese aufgezählten vorbeugenden Maßnahmen helfen Ihnen, insgesamt das Risiko zu minieren. Je mehr Maßnahmen Sie durchführen, desto besser können Sie sich dauerhaft vor Abmahnungen schützen.

Was tun, wenn die Abmahnung schon ins Haus geflattert ist?

Wenn Sie noch dabei sind die oben genannten Vorkehrungen zu treffen, dann sind Sie auf einem guten Weg. Allerdings kann es dann natürlich auch passieren, dass Sie eine Abmahnung erreicht. Um Ihnen auch in diesem Fall gewappnet zu sein, wollen wir Ihnen einmal Tipps geben, was Sie dann tun sollten. Hier erfahren Sie also, wenn Sie abgemahnt wurden:

1. Abmahnung genau prüfen
   Ganz wichtig ist zuerst einmal Ruhe bewahren. Denn ganz wichtig ist, dass Sie sich nicht von der Fristsetzung oder dem drohenden Kostenrisiko verunsichern lassen. Allerdings sollten Sei innerhalb der gesetzten Fristen reagieren und darüber hinaus tätig werden. Das bedeutet auch, die Abmahnung sorgfältig zu lesen. Es geht darum, herauszufinden, welcher Verstoß Ihnen vorgeworfen wird und ob die Abmahnung alle notwendigen Informationen enthält (z. B. Absender, betroffener Bereich der Website). Darüber lässt sich auch die Rechtmäßigkeit prüfen, denn nicht jede Abmahnung ist rechtlich haltbar. Besonders bei Massenabmahnungen oder Abmahnungen wegen geringfügiger Verstöße kann es sich um unzulässige oder missbräuchliche Abmahnungen handeln. Und das gilt es, zuerst einmal festzustellen.
2. Anwalt oder Datenschutzberater kontaktieren
   Nach diesem ersten Schockmoment und der eigenen Prüfung , sollten Sie dann einen Rechtsbeistand einholen. Ein Fachanwalt für IT- oder Datenschutzrecht sollte dann zuerst einmal die Abmahnung nochmals prüfen. Er kann beurteilen, ob die Abmahnung berechtigt ist und ob die geforderten Maßnahmen und Kosten gerechtfertigt sind. Damit lässt sich auch ein Missbrauch erkennen. Der Anwalt kann auch prüfen, ob es sich um eine unzulässige Abmahnwelle handelt, die darauf abzielt, unrechtmäßige Zahlungen zu erzwingen. In solchen Fällen können Sie sich zur Wehr setzen.
3. Unterlassungserklärung prüfen oder anpassen
   Wenn die Abmahnung eine Unterlassungserklärung enthält, unterschreiben Sie diese nicht vorschnell. Auch hier sollte eine Prüfung erfolgen, sodass Sie die Unterlassungserklärung nicht ungeprüft unterschreiben. Da führt sonst zu größeren Problemen. Solche Erklärungen sind oft sehr weitreichend und binden Sie rechtlich für die Zukunft. Der Anwalt kann eine modifizierte Unterlassungserklärung formulieren, die auf das notwendige Maß beschränkt ist. Diese soll verhindern, dass Sie sich unnötig weitreichend verpflichten und zukünftige Kostenrisiken eingehen.
4. Forderungen prüfen
   Auch sollten Sie die Prüfung der Kosten nicht vernachlässigen und unterschätzen. Die in der Abmahnung enthaltenen Anwaltskosten oder Schadenersatzforderungen sind oftmals zu hoch angesetzt oder intransparent. Gerade bei kleinen Datenschutzverstößen sind die geforderten Beträge oft unverhältnismäßig hoch. Hier kann Ihr Anwalt Ihnen helfen, die Forderungen anzufechten oder zu verhandeln. Am Ende muss eine Verhältnismäßigkeit gegeben sein.
5. Reagieren, aber nicht ignorieren
   Wie bereits vorher erwähnt, sollten Sie die gesetzten Fristen einhalten. Ignorieren Sie die Abmahnung auf keinen Fall. Wenn Sie die Frist verstreichen lassen, könnte dies zu einem einstweiligen Verfügungsverfahren führen. Das ist kostspielig und gibt Ihnen keine Gelegenheit zur Verteidigung. Setzen Sie Ihren Anwalt ein, um die gesamte Kommunikation durch den Anwalt abzuwickeln. Auf diese Weise vermeiden Sie Fehler in der Kommunikation mit dem Abmahner.
6. Verstoß umgehend beheben
   Wenn der Abmahnvorwurf berechtigt ist, ergreifen Sie Sofortmaßnahmen und beheben Sie den Datenschutzverstoß auf der Stelle. Beispielsweise sollten Sie Google Fonts lokal einbinden, statt sie von Google-Servern zu laden. Oder passen Sie die Cookie-Einstellungen an, um nur notwendige Cookies ohne Einwilligung zu setzen. Im nächsten Schritt sollten Sie dann die Datenschutzerklärung aktualisieren, falls notwendige Informationen fehlen. Und Sie sollten alle Maßnahmen dokumentieren, um im Falle eines Rechtsstreits nachweisen zu können, dass Sie den Verstoß behoben haben.
7. Vergleich prüfen
   Sie müssen nicht alles akzeptieren, was der Abmahner fordert. Nutzen Sie die Gelegenheit und verhandeln Sie. In vielen Fällen ist es möglich, sich mit dem Abmahner auf einen Vergleich zu einigen, um die Kosten zu reduzieren oder eine gütliche Einigung zu erzielen. Wenn es sich um einen erstmaligen oder geringfügigen Verstoß handelt, können mildernde Umstände geltend gemacht werden, um die Höhe der Forderungen zu reduzieren.
8. Präventive Maßnahmen für die Zukunft ergreifen
9. In Zukunft sollten Sie natürlich Datenschutzverstöße vermeiden. Die Abmahnung ist dann eine Gelegenheit, um Ihren Datenschutz zu überarbeiten und künftig rechtliche Risiken zu minimieren. Ergänzend sollten Sie regelmäßige Überprüfungen etablieren. Dafür können Sie Tools zur Überwachung von Datenschutzrisiken (z. B. Cookie-Scanner) implementieren. Sie sollten sicherstellen, dass Ihre Website und Geschäftspraktiken stets datenschutzkonform bleiben.

 Fazit: Vielfältige Maßnahmen schützen vor Abmahnungen

Eine Abmahnung ist kein Damoklesschwert, dass über Ihnen schwebt. Es gibt kein zahlreiche Möglichkeiten und einfache Maßnahmen, die Sie treffen können, um Ihr Unternehmen vor Abmahnungen zu schützen. Dabei sollten Sie sorgfältig vorgehen und vor allem auch immer wieder alles überprüfen. Die Nutzung von Online-Diensten und die damit einhergehende Sammlung und Speicherung von Daten ist veränderbar. Genau aus diesem Grund sollten Sie sich regelmäßig darum kümmern, Updates durchführen und Ihre Datenschutzerklärung aktualisieren. Tools erleichtern Ihnen diese Arbeit. Und wenn die Abmahnung doch auf Ihrem Tisch landet, dann sollten sie schnell reagieren, den Verstoß beheben und vor allem einen Anwalt zur Rate ziehen, der Sie in dem Fall vertritt. Damit können Sie das Schlimmste oft abwenden.

Wenn Sie mehr zum Thema Datenschutz im Rahmen Ihrer Gründung erfahren wollen, dann sprechen Sie mit unseren Coaches und Experten. Im Gründungscoaching können Sie Ihren individuellen Datenschutz und wichtige Maßnahmen besprechen. So sind Sie schon während der Gründung bestens auf alle Eventualitäten vorbereitet.