Immer mehr Onlinehändler, zunehmend auch in der Schweiz, werden mit einer neuen Schadensersatz-Masche nach DSGVO konfrontiert:
Personen registrieren sich im Shop, fordern kurz danach (oder angeblich schon) Auskunft zu ihren personenbezogenen Daten nach Art. 15 DSGVO ein und verlangen wenig später – im Fall aus der Praxis gleich verbunden mit langen Urteilszitaten – immateriellen Schadensersatz wegen angeblich ausgebliebener Auskunft. In manchen Fällen scheint fraglich, ob die Auskunft tatsächlich ordnungsgemäß beantragt wurde. Dennoch entsteht großer Druck, insbesondere für kleinere Shops, auch durch Androhung hoher Gerichts- und Anwaltskosten.
Was steckt hinter der Masche?
- Personen registrieren sich gezielt in Onlineshops (oft ohne Bestellung).
- Nach kurzer Zeit erfolgt eine Anfrage auf Datenauskunft nach Art. 15 DSGVO.
- Bleibt eine Antwort aus (oder wird angeblich nicht bearbeitet), folgt nach Wochen ein anwaltlich anmutendes Schreiben mit Forderung auf immateriellen Schadensersatz (meist einige hundert bis tausend Euro laut angeblich aktueller Rechtsprechung).
- Zusätzlich wird schnelles Handeln verlangt und mit Beschwerde bei Behörden, Bußgeldern oder weiteren Klagen gedroht.
Es handelt sich um einen zweistufigen Druckaufbau: Erst wird die Auskunft eingefordert, dann im nächsten Schritt Schadensersatz für nicht, nicht rechtzeitig oder nicht vollständig erteilte Auskunft verlangt – teils mit drohenden Kosten, hohem Zeitdruck und Bezug auf mehrere Gerichtsentscheide.
Rechtliche Einordnung: Was ist wirklich dran?
- Shops, die in die EU liefern oder Registrierungen aus der EU erlauben, sind gegenüber EU-Kunden an die DSGVO gebunden.
- Art. 15 DSGVO gibt jedem das Recht, Auskunft zu den gespeicherten personenbezogenen Daten, deren Verarbeitungszweck, Empfänger, Speicherdauer und Rechte zu verlangen.
- Antwort muss unverzüglich, spätestens innerhalb eines Monats nach Antragseingang erfolgen. In Ausnahmefällen kann um bis zu 2 Monate verlängert werden, muss aber begründet werden.
- Shops müssen sicherstellen, dass Auskunftsgesuche auch wirklich ankommen und innerhalb der Fristen bearbeitet werden.
Schadensersatz (Art. 82 DSGVO) ist nur dann zu leisten, wenn wirklich ein Datenschutzverstoß und daraus kausal ein materieller oder immaterieller Schaden entstanden ist. Nicht jeder Verstoß führt automatisch zu einer Zahlungspflicht. Vielmehr prüft das Gericht, ob tatsächlich ein individuell nachweisbarer Schaden vorliegt.
Neuere Gerichte urteilen zwar, dass schon „Kontrollverlust“ einen Schaden darstellen kann – allerdings genügt nicht allein die verspätete oder fehlende Auskunft, sondern der Schaden muss glaubhaft gemacht werden. Die Rechtsprechung ist uneinheitlich, viele Gerichte lehnen Schadenersatz bei rein formalen Verstößen oder fehlender individueller Beeinträchtigung ab.
Empfehlungen für Händler: Prävention und Reaktion
Vorbeugung: So schützen Sie sich und Ihren Shop
- Verarbeitsprozesse prüfen: Stellen Sie sicher, dass Anfragen zu personenbezogenen Daten im Shop (über Kontaktformulare, E-Mail, Post) zuverlässig empfangen und bearbeitet werden.
- Dokumentation: Protokollieren Sie den Erhalt sowie die Bearbeitung von Auskunftsersuchen.
- Fristen einhalten: Erinnern Sie sich an die maximale Antwortfrist von 1 Monat.
- Muster und Vorlagen: Erstellen Sie eine geprüfte Auskunftsvorlage für den Fall der Anfrage, inklusive aller in Art. 15 DSGVO geforderten Angaben.
- Identitätsprüfung: Schützen Sie die Auskunft vor Missbrauch, z.B. durch Abgleich mit E-Mail-Adresse/Bestellnummer.
Wenn eine Auskunfts- oder Schadensersatzforderung eintrifft:
- Ruhig bleiben, Panik vermeiden: Nicht vorschnell löschen oder reagieren. Immer zuerst prüfen!
- Eingang checken: Sichten Sie sorgfältig, ob und wann die ursprüngliche Auskunftsanfrage einging. Prüfen Sie Spam-Ordner und Kontaktformulare.
- Prüfen: Wurde die Auskunft tatsächlich nicht beantwortet? Liegt ein Fehler im Prozess vor?
- Nachholen: Sollten Sie die Anfrage übersehen haben, holen Sie die Auskunft schnellstmöglich nach – samt Entschuldigung und Hinweis auf die zeitnahe Nachholung.
- Dokumentieren: Halten Sie jeden Schritt und alle Kommunikationen für einen möglichen Rechtsstreit schriftlich fest.
- Forderung bewerten: Nicht jede Schadenersatzforderung ist berechtigt! Ein anwaltlich formuliertes Schreiben ist kein gerichtliches Urteil.
- Rechtsrat einholen: Bei Unsicherheiten empfiehlt sich die Abstimmung mit einem spezialisierten Datenschutz-Anwalt, insbesondere dann, wenn bereits mit Behörden oder Gericht gedroht wird.
Das sollten Sie unbedingt vermeiden:
- Keinesfalls Daten vorschnell löschen (sonst droht zusätzlicher Ärger wegen Beweisvereitelung!)
- Keine pauschalen Ablehnungen („Wir geben nie Daten heraus“) versenden
- Nicht auf Zahlungsforderungen ungeprüft eingehen – das kann Nachahmer motivieren
Muster-Antwort für Händler auf DSGVO-Auskunftsersuchen und/oder Schadensersatzforderung
(Vorschlag, keine Rechtsberatung)
Sehr geehrte/r [Name],
vielen Dank für Ihre Mitteilung sowie Ihr Interesse an einem sorgsamen Umgang mit personenbezogenen Daten.
Nach sorgfältiger Prüfung unserer Unterlagen und Kommunikationskanäle konnten wir bis zum heutigen Tage kein Auskunftsersuchen unter Ihrer E-Mail-Adresse, Ihrem Namen oder sonstigen Ihnen zuzuordnenden Daten feststellen. Selbstverständlich nehmen wir Ihr Anliegen sowie das Recht auf Auskunft nach Art. 15 DSGVO sehr ernst und möchten Ihnen ermöglichen, dieses Recht korrekt in Anspruch zu nehmen.
1. Wie stellen Sie einen Auskunftsantrag gemäß Art. 15 DSGVO?
Bitte senden Sie uns ein formloses Schreiben per E-Mail oder Brief, in dem Sie ausdrücklich um Auskunft über die von uns gespeicherten personenbezogenen Daten bitten. Damit wir Ihre Anfrage eindeutig zuordnen und die datenschutzrechtlichen Vorgaben erfüllen können, geben Sie bitte – sofern vorhanden – Ihre bei uns verwendete E-Mail-Adresse oder Kundennummer sowie Ihren vollständigen Namen an.
2. Warum ist der Identitätsnachweis wichtig?
Um den Schutz Ihrer Daten zu gewährleisten und sicherzugehen, dass keine unbefugten Dritten Auskunft über Ihre Daten erhalten, bitten wir Sie um eine kurze Identitätsbestätigung. Hierzu können Sie beispielsweise Folgendes übermitteln:
- eine Kopie Ihres Personalausweises (gerne mit abgedeckter Ausweisnummer und nur mit sichtbar: Name, Geburtsdatum und Adresse), oder
- einen aktuellen Nachweis Ihres Wohnsitzes (z.B. eine Stromrechnung oder ähnliches, bei der Name und Anschrift erkennbar sind, weitere Daten dürfen gerne geschwärzt werden).
- Alternativ reicht es aus, wenn die Anfrage eindeutig von der bei uns registrierten E-Mail-Adresse erfolgt und die hinterlegten Daten (z.B. Adresse, Bestelldatum, Kundennummer) zu Ihrer Person passen.
3. So geht es weiter
Sobald uns der Nachweis vorliegt, werden wir unverzüglich – spätestens innerhalb eines Monats – die vollständige Auskunft gemäß Art. 15 DSGVO erteilen.
Diese enthält unter anderem folgende Informationen:
Welche personenbezogenen Daten von Ihnen gespeichert sind,
zu welchen Zwecken diese verarbeitet werden,
wer etwaige Empfänger sind bzw. Empfängerkategorien,
die geplante Speicherdauer,
sowie Hinweise zu Ihren weiteren Rechten (Berichtigung, Löschung, Einschränkung der Verarbeitung, etc.).
Abschließende Hinweise:
Bitte beachten Sie, dass wir zur Wahrung Ihrer Interessen und zum Schutz vor unerlaubter Datenherausgabe verpflichtet sind, jeden Auskunftsantrag sorgfältig zu prüfen. Dies dient auch Ihrer eigenen Sicherheit.
Wir bitten um Verständnis, dass Ihre Anfrage erst nach erfolgreichem Identitätsnachweis bearbeitet werden kann. Selbstverständlich können Sie sich bei Rückfragen jederzeit direkt an uns wenden – gerne stehen wir Ihnen für alle datenschutzrechtlichen Themen zur Verfügung.
Mit freundlichen Grüßen
[Ihr Name oder Team]
[ihre Firma]
[Ihre Kontaktdaten]
TIPP für Shop-Betreiber:
Dokumentieren Sie sowohl den Eingang als auch die Bearbeitung solcher Anfragen sorgfältig. Antworten Sie stets sachlich, freundlich und halten Sie sich an die Fristen – so schaffen Sie Sicherheit für beide Seiten.
Unsere Empfehlung: Diese Beispielantwort ersetzt keine individuelle rechtliche Beratung! Im Zweifel oder bei juristisch komplexen Forderungen ziehen Sie bitte einen Datenschutz-Experten oder Anwalt hinzu.
Fazit
Die zunehmende Zahl an DSGVO-Schadensersatzforderungen auf Basis angeblicher oder übersehener Auskunftsersuchen ist eine bekannte und brisante Masche. Wer gut vorbereitet ist, interne Prozesse etabliert, dokumentiert und ruhig reagiert, kann rechtsmissbräuchliche Ansprüche abwehren und bleibt trotz steigendem Druck von „Abzockern“ und Serienforderungsschreibern geschützt.
Wichtiger Hinweis: Diese Hinweise stellen keine Rechtsberatung dar, sondern dienen zur Sensibilisierung und Orientierung für die SHOPTIMIZER-Kunden. Im Zweifel immer einen Rechtsanwalt oder Datenschutzbeauftragten kontaktieren!