AKTUELLES 

im Datenschutzrecht und Wettbewerbsrecht

Die Kernkompetenzen der Kanzlei kp.law&privacy resultieren aus langjähriger Berufserfahrung und bilden den Schwerpunkt der Tätigkeit der Beratungstätigkeit.  

CNIL verhängt Bußgeld 3,5 Mio. EUR:

Fehlende DATENSCHUTZ-FOLGEABSCHÄTZUNG (DSFA) kann teuer werden


Bußgelderlass der Datenschutzbehörde CNIL i.H.v. 3,5 Mio EUR vom 30.12.2025

Frankreichs Datenschutzbehörde CNIL hat ein Unternehmen mit einem Bußgeld in Höhe von 3,5 Mio.€ belegt unter anderem aufgrund einer fehlenden Datenschutz-Folgenabschätzung (DSFA).




Was war passiert?


Die CNIL stellte fest, dass das betroffene Unternehmen zwar eine Einwilligung für die Teilnahme an einem Loyalty Programm eingeholt, aber in der Einwilligung nicht ergänzt, dass die Daten auch an ein Social Media Unternehmen für Profil-Matching und personalisierte Werbezwecke weitergegeben werden. Somit war die Einwilligung nicht informiert und spezifisch und die Verarbeitung unrechtmäßig.
Zu der Höhe des Bußgelds führten weitere Verstöße, darunter die unzureichende Umsetzung der Informationspflichten, der technischen sowie organisatorischen Maßnahmen sowie die fehlende DSFA.


Wann ist eine DSFA verpflichtend?


Die DSGVO schreibt eine DSFA vor, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (Art. 35 Abs. 1 DSGVO). Doch wann ist das der Fall? 


  • Leitlinien der Artikel-29-Datenschutzgruppe
    In ihren     Leitlinien (WP 248) hat die Arbeitsgruppe neun Kriterien definiert, bei deren Vorliegen häufig ein hohes Risiko besteht und damit eine DSFA erforderlich wird. Besonders relevant im Zuge des CNIL-Bußgelds sind dabei:

    5. Datenverarbeitung in großem Umfang („Data processed on a large scale“)
    6. Abgleichen oder Zusammenführen von Datensätzen („Matching or combining datasets“)

    Wichtig    : Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine DSFA durchzuführen ist. Aber auch, wenn nur ein Kriterium erfüllt ist, kann bereits ein hohes Risiko vorliegen.
     
  • DSFA „Muss“-Liste der Datenschutzbehörden
    Zusätzlich zu den allgemeinen Kriterien haben viele Datenschutzbehörden sogenannte „Muss“-Listen veröffentlicht, in denen konkret benannte Verarbeitungstätigkeiten aufgeführt sind, die immer eine DSFA erfordern. In Deutschland hat die     Datenschutzkonferenz (DSK) eine solche Liste erstellt.

Was sollten Unternehmen jetzt tun?


Prüfen Sie anhand der Leitlinien der Artikel-29-Datenschutzgruppe und der DSFA „Muss“-Liste der Datenschutzbehörden, ob Ihre Datenverarbeitung eine DSFA erfordert. Falls erforderlich, führen Sie die DSFA durch und dokumentieren Sie Ihre Einschätzung. 

Sie sind unsicher, ob Ihre Datenverarbeitung eine DSFA erfordert? Gerne unterstützen wir Sie bei der Risikoanalyse und Erstellung einer DSFA, sprechen Sie uns an!




Quelle: https://blog.eprivacy.eu/?p=2677&lang=de

Stand: 10.03.2026



---


Für weitergehende Fragen zum Thema stehe ich Ihnen gern zur Verfügung.



Unverbindlich anfragen

WERBE- UND SPAM-EMAILS

- SOG. KALT-AKQUISE -

UNZULÄSSIGE WERBUNG BERECHTIGT ZUR ABMAHNUNG

Beschluss des OLG Dresden, 4. Zivilsenat, vom 24. Juni 2024, Az.: 4 U 168/24


Leitsatz:
Auch eine nur einmalige unverlangte Kontaktaufnahme zu Werbezwecken per E-Mail kann selbst im Zusammenhang mit einer Sponsoringanfrage eine unzulässige Werbung und einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb darstellen.



Sie erhalten Werbe-Mails und Spam-Mails, die unerwünscht im Posteingang landen oder Sie versenden solche sogar? Dann dürfte Sie interessieren, was das OLG Dresden dazu zu sagen hatte:


Mit Beschluss vom 24. Juni 2024 stärkte das OLG die Rechte der Empfänger und entschied, dass diese schon bei einer einzigen Spam-Mail Anspruch auf Unterlassung haben (Az.: 4 U 168/24). 

 

Das gilt selbst dann, wenn die Spam-Mail keine typische Werbung enthält, sondern eine Sponsoring-Anfrage beinhaltet.


Bei der Beurteilung der Zulässigkeit einer solchen Mail kommt es nicht auf die Intention des Absenders an. Das OLG Dresden hat zurecht deutlich gemacht, dass vielmehr auf die Empfängerperspektive abzustellen ist, nämlich auf dessen Interesse, nicht in seinem Betriebsablauf gestört zu werden.


Die Posteingänge von Unternehmen, aber auch Einzel-/Selbständige werden nahezu täglich mit Cold-Akquise-Mails geflutet, ohne dass sie ihre Zustimmung hierzu gegeben haben, noch dass sie als ehemalige Kunden oder Bestandskunden ein mutmaßliches Interesse an einer weiterführenden Zusammenarbeit signalisiert haben.

 

In dem zu Grunde liegenden Verfahren hatte eine Händlerin eine einzige Werbe-Mail an das klagende Unternehmen geschickt. Inhalt der Mail war eine Anfrage, ob das Unternehmen als Sponsor bei einer Veranstaltung auftreten möchte. Einen Geschäftskontakt hatte es zwischen den Parteien zuvor nicht gegeben und so sah das Unternehmen in der Mail einen Eingriff in seinen Gewerbebetrieb und klagte auf Unterlassung. 

 

Mit der Argumentation, dass es sich nicht um eine Massenmail oder Newsletter handelte, sondern um einen Hinweis zu einer konkreten Veranstaltung, auf den der Empfänger nicht reagieren müsse, drang die Beklagte beim OLG Dresden nicht durch. Das Gericht stellte vielmehr fest, dass für die Frage der Zulässigkeit nur der Empfänger und die bei ihm eintretende Störung des Betriebsablaufs maßgeblich ist. 

 

Das OLG räumte ein, dass eine einzige unerwünschte Mail keinen nennenswerten Aufwand verursache. Ließe man solche Cold-Mails ohne vorherigen Geschäftskontakt aber als Methode zu, könne das in der Summe zu einem Mehraufwand führen. Daher sei auch schon eine einzige Spam-Mail unzulässig. So solle verhindert werden, dass dem Empfänger Werbemaßnahmen gegen seinen erkennbaren und mutmaßlichen Willen aufgedrängt werden. Somit habe der Kläger Anspruch auf Unterlassung, entschied das OLG.

 

Berechtigt ist die Frage, ob es nicht gerade für bestimmte Anlässe eine relativierende Betrachtung geben sollte:

Geht es beispielsweise wie im vorliegenden Fall um ein Sponsoring für ein konkretes Event, muss eine Sponsoringanfrage nicht per se unseriös sein, sondern stellt z.B. auch in vielen gemeinnützig agierenden Geschäftsfeldern ein übliches und oftmals auch notwendiges Ansinnen dar, um Gemeinwohlzwecke ohne wirtschaftliches Eigeninteresse zu fördern. Ob die OLG-Rechtsprechung auch für einen solchen Fall gelte, wurde nicht thematisiert. Entsprechende Entscheidung bleiben somit  abzuwarten.



Richtigerweise zeigt die obengenannte Entscheidung des OLG Dresden  indes, dass derartige Cold-Mails bereits bei erstmaliger Ansprache einen Verstoß gegen das Wettbewerbsrecht darstellen können. Händler und sonstige Unternehmer sollten daher sorgfältig abwägen, ob sie Mails dieser Art wirklich verschicken wollen oder nicht eher riskieren, den Empfänger in der Ausübung seines Gewerbebetriebes zu belästigen.


Berücksichtigt werden muss die Perspektive des Empfängers umso mehr aufgrund des Umstandes, dass WerbeMails immer häufiger in den Postfächern landen und Unternehmern nicht zugemutet werden kann, sich damit täglich oder auch nur wiederholt auseinanderzusetzen. Insbesondere auch Kleinunternehmer und Einzelselbständige dürften sich durch die Belästigung erheblich beeinträchtigt fühlen, sodass das OLG-Urteil auch im Hinblick auf die Bewertung, dass bereits ein erstmaliger Verstoß zu einer Abmahnung führen kann, äußerst begrüßenswert ist.


Ausnahmen kann es allerdings bei Bestandskunden geben und auch nur dann, wenn diese der Zusendung von Werbemails nicht ausdrücklich widersprochen haben.


Quelle: kp.law&privacy.com

Stand: 05.02.2025