Venture Capital Finanzierung für Start ups: Rechtliche Fallstricke und Vertragsgestaltung

Mitarbeitende eines Start-ups diskutieren über Venture Capital Finanzierung
Mitarbeitende eines Start-ups diskutieren über Venture Capital Finanzierung

Venture Capital Finanzierung für Start-ups: Rechtliche Fallstricke und Vertragsgestaltung

Start‑ups stehen häufig vor der Herausforderung, ihr Wachstum über externe Investoren zu finanzieren. Besonders in technologiegetriebenen Branchen ist Venture‑Capital (VC) eine der wichtigsten Finanzierungsquellen, um Entwicklung, Markteintritt und Skalierung zu ermöglichen. Doch wer Kapital von Business Angels oder Venture‑Capital‑Gesellschaften aufnimmt, sollte sich der rechtlichen Konsequenzen bewusst sein.

In diesem Beitrag beleuchten wir die zentralen Aspekte der Venture‑Capital‑Finanzierung, erklären typische Vertragsstrukturen wie Beteiligungsvertrag und Wandeldarlehen und zeigen auf, wie Start‑ups Fallstricke bei Liquidationspräferenzen und Verwässerung vermeiden können.

Was ist Venture Capital?

Venture‑Capital ist eine Form der Eigenkapitalfinanzierung, bei der Investoren junge, wachstumsorientierte Unternehmen mit hohem Risiko unterstützen. Im Gegenzug erhalten sie Anteile am Unternehmen und Mitspracherechte. Anders als klassische Bankdarlehen setzt Venture‑Capital auf die Wertsteigerung der Beteiligung. Gewinne entstehen meist erst beim Exit, also beim Verkauf der Gesellschaft oder Börsengang.

Typische Akteure:

  • Frühphasen‑Investoren (Seed oder Pre‑Seed)
  • Venture‑Capital‑Gesellschaften mit thematischem Schwerpunkt (z.  GreenTech, MedTech, SaaS)
  • Corporate‑Venture‑Arme etablierter Konzerne
  • Business Angels als private Frühinvestoren

Der Beteiligungsvertrag als Kern der VC Finanzierung

Der Beteiligungsvertrag ist das juristische Fundament einer VC‑Finanzierung. Oftmals wird dem Beteiligungsvertrag noch ein Term-Sheet als Vorstufe vorgeschaltet. Es enthält die grundlegenden, vorläufigen Eckpunkte der geplanten Beteiligung zwischen Investoren und Start-up und dient dazu, die wesentlichen Bedingungen vorab verbindlich festzulegen. Das Term-Sheet gibt Investoren und Gründern eine erste rechtliche und wirtschaftliche Orientierung für die späteren, detaillierten Verhandlungen des Beteiligungsvertrags.

Der Beteiligungsvertrag selbst bildet dann wiederum das juristische Fundament der Finanzierung und regelt das Verhältnis zwischen Gründerteam und Investoren umfassend.

Zentrale Inhalte sind:

  • Kapitalbeteiligung und Bewertung des Start‑ups (Pre‑Money‑ und Post‑Money‑Valuation)
  • Mitspracherechte wie Vetorechte, Beiratsmandate oder Informationsrechte
  • Veräußerungsbeschränkungen (Drag‑Along‑ und Tag‑Along‑Klauseln)
  • Anti‑Dilution‑Regeln zum Schutz vor Verwässerung
  • Liquidationspräferenzen zur Priorisierung der Investorenauszahlung beim Exit

Gerade Liquidationspräferenzen bergen hohes Konfliktpotenzial. Wenn Investoren bei einem Exit den größten Teil des Verkaufserlöses erhalten, können Gründer trotz Unternehmensverkaufs leer ausgehen. Eine faire Ausgestaltung dieser Klauseln ist daher entscheidend.

Zusätzlich wird im Beteiligungsvertrag geregelt, wie und wann das Investment geleistet wird, Rechte und Pflichten der Parteien, Stimmrechtsverhältnisse, Kontroll- und Informationsrechte, sowie Garantien und Freistellungen zugunsten der Investoren zur Absicherung von Risiken. Das Term Sheet ist somit eine Art Absichtserklärung mit verbindlichen Eckdaten, während der Beteiligungsvertrag die detaillierte und rechtlich bindende Ausgestaltung des Investments und der Zusammenarbeit regelt.

Kurz gesagt, das Term Sheet fungiert als Vorstufe und Grundlage, um Klarheit über die wesentlichen finanziellen und strukturellen Bedingungen zu schaffen, bevor die detaillierten und bindenden Regelungen im Beteiligungsvertrag finalisiert werden.

Wandeldarlehen als flexible Vorstufe

Ein häufig genutztes Instrument in der Frühphase des Unternehmens ist das Wandeldarlehen. Dabei gewährt der Investor dem Start‑up ein Darlehen, das später in Gesellschaftsanteile umgewandelt wird. Die Wandlung erfolgt meist bei Eintritt bestimmter Ereignisse, beispielsweise einer Finanzierungsrunde oder zu einem vordefinierten Stichtag.

Vorteile für Start‑ups:

  • Schnelle Bereitstellung von Kapital
  • Keine sofortige Unternehmensbewertung erforderlich
  • Geringere Transaktionskosten im Vergleich zur klassischen Beteiligung

Die Bedingungen sollten klar definiert werden:

  • Bewertungsrabatt (Discount)
  • Zins- und Laufzeitregelungen
  • Bewertungscap (maximale Umwandlungsbewertung)

Unklare oder asymmetrische Vertragsklauseln können spätere Finanzierungsrunden erschweren oder das Vertrauen neuer Investoren schwächen.

Rechtliche Fallstricke für Wandeldarlehen

  1. Fehlende Transparenz im Cap Table: Unklare Beteiligungsverhältnisse behindern Folgeinvestitionen.
  2. Einseitige Liquidationspräferenzen: Übermäßige Vorzugsrechte können Gründer faktisch enteignen.
  3. Fehlende Regelungen zum Exit: Ohne definierte Szenarien fehlt Planungssicherheit.
  4. Überzogene Kontrollrechte der Investoren: Diese schränken die operative Entscheidungsfreiheit ein.
  5. Formmängel und Beurkundungspflicht: Das OLG Zweibrücken (05.2022 – 8 U 30/19) hatte hierzu eine wegweisende Entscheidung getroffen, wonach die Verpflichtung des Darlehensgebers zur Wandlung in Anteile der notariellen Beglaubigung bedürfe. Fehlt diese, kann das Wandeldarlehen insgesamt als unwirksam gelten, was erhebliche rechtliche Risiken mit sich bringt.
  6. Rangrücktritt: Um eine Überschuldung der Gesellschaft und damit verbundene Insolvenzrisiken zu vermeiden, sollte vertraglich ein Rangrücktritt vereinbart werden. So tritt das Wandeldarlehen im Rang hinter andere Gläubiger zurück.
  7. Risiko der Verwässerung: Ungenaue Regelungen zu Bewertungsrabatt und Bewertungscap können zu einer unerwarteten Verwässerung der Gründeranteile führen.

Vertragsgestaltung: Best Practices

  • Frühzeitige Beratung durch erfahrene Anwälte mit VC‑Know‑how
  • Individuelle Anpassung statt Standardformulierungen
  • Steuerliche Prüfung der Wandlungsmechanismen
  • Dokumentation aller Investorengespräche und Nebenabreden

Vorteile einer professionellen VC Struktur

Eine saubere Vertragsstruktur schafft Rechtssicherheit und Vertrauen:

  • Beschleunigung zukünftiger Finanzierungsrunden
  • Minimierung juristischer Risiken und Konflikte
  • Erhöhung der Attraktivität für strategische Investoren
  • Professionell gestaltete Beteiligungsverträge schaffen den Rahmen für nachhaltiges Wachstum und verhindern, dass Gründer Kontrolle oder Anteile unnötig verlieren.

Zusammenfassung und Ausblick

Die Venture‑Capital‑Finanzierung bietet Start‑ups enorme Chancen, verlangt aber rechtliche Präzision. Beteiligungsvertrag und Wandeldarlehen sollten im Einklang mit der Unternehmensstrategie stehen.

Wer rechtzeitig auf professionelle Strukturierung und transparente Kommunikation setzt, schafft Vertrauen und Wettbewerbsfähigkeit. So entsteht die Basis für langfristige Erfolgsgeschichten – vom Seed‑Investment bis zum Exit.

Für die rechtssichere Vorbereitung Ihrer Finanzierungsrunde unterstützen wir Sie gerne bei Vertragsgestaltung, Investor Relations und Due‑Diligence‑Prozessen. Kontaktieren Sie uns für eine individuelle Beratung.

FAQs zur Venture‑Capital‑Finanzierung für Start‑ups

Venture‑Capital ist Risikokapital, das Investoren in junge, wachstumsorientierte Unternehmen investieren, um von deren Wertsteigerung zu profitieren.

Die wichtigsten Dokumente sind:

  • Term Sheet: Eine vorläufige Absichtserklärung mit den zentralen Bedingungen wie Investitionshöhe, Bewertung, Sonderrechte des Investors.
  • Beteiligungsvertrag / Gesellschaftervereinbarung (Investment and Shareholders‘ Agreement): Regelt die detaillierten rechtlichen Beziehungen zwischen Start-up und Investoren, inklusive Kapitalbeteiligung, Mitspracherechten, Verwässerungsschutz und Exit-Regelungen.

Er definiert Rechte und Pflichten von Gründern und Investoren, etwa zur Kapitalbeteiligung, Entscheidungsbefugnis, Liquidationspräferenz und Exit‑Regelung.

Ein Wandeldarlehen ist ein Darlehen, das später in Unternehmensanteile umgewandelt wird, meist bei einer weiteren Finanzierungsrunde oder zu einem bestimmten Zeitpunkt. Vorteile:

  • Schnelle Kapitalbereitstellung ohne sofortige Unternehmensbewertung.
  • Geringere Transaktionskosten im Vergleich zur direkten Beteiligung.

Wichtig sind klare Bedingungen wie Bewertungsrabatt, Zins- und Laufzeitregelungen und Bewertungscap.

Sie legt fest, in welcher Reihenfolge Investoren und Gründer beim Exit oder bei Liquidation eines Start‑ups ausbezahlt werden. Investoren erhalten dadurch häufig ihr eingesetztes Kapital zuerst zurück.

Besonders riskant sind unklare Anti‑Dilution‑Klauseln, überzogene Kontrollrechte oder Liquidationspräferenzen, die Gründer beim Exit benachteiligen.

Spätestens bei der Erstellung oder Prüfung eines Beteiligungsvertrags oder Wandeldarlehens. Je früher ein rechtssicherer Rahmen geschaffen wird, desto besser sind Verhandlungsposition und Finanzierungschancen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Rechtssicherheit bei Pseudonymisierung

Rechtssicherheit bei Pseudonymisierung
Rechtssicherheit bei Pseudonymisierung

Rechtssicherheit bei Pseudonymisierung

Mit der Veröffentlichung der Leitlinien zur Pseudonymisierung durch den Europäischen Datenschutzausschuss (EDSA) vom 17. Januar 2025 und der Entscheidung des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 in der Rechtssache C-413/23 P (EDSB/SRB) wurde der unionsrechtliche Begriff der Pseudonymisierung neu konturiert. Beide Dokumente schließen eine bislang relevante Auslegungslücke: Sie präzisieren, wie Pseudonymisierung technisch und rechtlich einzuordnen ist, welches Schutzniveau sie garantiert und unter welchen Bedingungen pseudonymisierte Daten weiterhin als personenbezogene Daten zu qualifizieren sind.

Was ist Pseudonymisierung und wie funktioniert sie?

Nach Art. 4 Nr. 5 DSGVO bezeichnet Pseudonymisierung eine Verarbeitung personenbezogener Daten, bei der diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die für die Zuordnung erforderlichen Zusatzinformationen müssen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden.

Der EDSA betont in seinen Leitlinien, dass Pseudonymisierung kein einheitliches Verfahren, sondern ein Bündel technischer und organisatorischer Maßnahmen darstellt. Dazu gehören unter anderem Tokenisierung, die Trennung von Identifikations- und Inhaltsdaten sowie kryptographische Verfahren mit abgesichertem Schlüsselmanagement.

Zentral ist die Abgrenzung zur Anonymisierung. Während pseudonymisierte Daten weiterhin personenbezogene Daten darstellen, wird durch Anonymisierung eine Identifizierung dauerhaft und realistisch ausgeschlossen. Pseudonymisierte Daten fallen daher aus Sicht des Verantwortlichen vollständig unter die DSGVO, anonymisierte Daten dagegen nicht.

Der EuGH bestätigt diese Differenzierung ausdrücklich und weist darauf hin, dass bereits inhaltliche Informationen (z. B. persönliche Meinungen oder Wertungen) eine Personenbeziehbarkeit begründen können, selbst wenn formale Identifikatoren entfernt wurden.

Zweck der Pseudonymisierung und Bedeutung für Verantwortliche

Pseudonymisierung dient primär der Risikominimierung. Durch die Trennung der Identifikationsmerkmale vom eigentlichen Datenmaterial wird das Schadenspotenzial bei Verlust oder unbefugtem Zugriff deutlich reduziert. Dies unterstützt die Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 lit. c und lit. f DSGVO (Datenminimierung, Integrität und Vertraulichkeit).

Darüber hinaus entfaltet sie eine Compliance-Funktion für zentrale Pflichten der DSGVO. Sie dient als technische Maßnahme, die eine datensparsame Gestaltung fördert (Art. 25 DSGVO) und als Sicherheitsinstrument (Art. 32 DSGVO).

Pseudonymisierung kann somit eine wirksame Schutzmaßnahme im Sinne der DSGVO darstellen, vorausgesetzt, die technischen und organisatorischen Anforderungen sind ausreichend implementiert.

Daneben kann Pseudonymisierung Rechtmäßigkeitsfragen erleichtern. Durch sie wird die Position des Verantwortlichen bei der Berufung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestärkt, indem sie die Risiken für Betroffene senkt und wirkt sich positiv auf die Prüfung der Zweckvereinbarkeit nach Art. 6 Abs. 4 DSGVO aus, insbesondere bei Forschungsvorhaben, statistischen Analysen oder Weiterverarbeitungen. Der EuGH bestätigte in seiner Rechtsprechung, dass Pseudonymisierung jedoch weiterhin keine Rechtsgrundlage oder das Erfordernis der Transparenz ersetzt.

Rechtliche Einordnung nach EuGH und EDSA

Nach dem Urteil C-413/23 P bleibt für die Qualifikation als personenbezogene Daten entscheidend, ob der Verantwortliche über Mittel verfügt, um eine Person zu identifizieren. Die Perspektive eines Datenempfängers, der selbst keine Re-Identifizierung vornehmen kann, ist rechtlich unerheblich. Daraus resultiert, dass bereits bei Erhebung Informationspflichten nach Art. 13 und 14 DSGVO bestehen und nicht erst im Hinblick auf die Sichtweise eines späteren Dritten. In der Leitlinie werden auch weitere Anforderungen an eine wirksame Pseudonymisierung konkretisiert, etwa eine sichere Schlüsselverwaltung, Zugriffskontrollen und Protokollierung, Schutz gegen unbefugte Rückführung und Risikoanalysen. Die Wirksamkeit der Pseudonymisierung hängt daher im Wesentlichen von der Sicherheitsarchitektur und den tatsächlich implementierten Kontrollmechanismen ab.

Ein weiterer Schwerpunkt der Leitlinien betrifft die Zusammenarbeit zwischen Verantwortlichen, insbesondere zwischen Behörden, die verschiedene pseudonymisierte Datensätze rechtlich verknüpfen müssen. Der EDSA hebt hervor, dass es dabei sinnvoll sein kann, Mechanismen zur Pseudonymisierung gemeinsam zu entwickeln oder auszutauschen sowie zentrale Anlaufstellen für die Koordinierung und das Management von Verstößen einzurichten. Diese Aspekte unterstreichen, dass Pseudonymisierung nicht allein eine technische Disziplin ist, sondern zunehmend eine interinstitutionelle organisatorische Aufgabe darstellt – insbesondere dort, wo mehrere Stellen gemeinsame Verantwortlichkeiten oder parallellaufende Aufsichtszuständigkeiten haben. Die praktische Notwendigkeit einer solchen abgestimmten Zusammenarbeit zeigt sich auch im Zusammenspiel zwischen Datenschutz- und Wettbewerbsbehörden.

Bereits im Urteil vom 4. Juli 2023 (ECLI:EU:C:2023:537 –Meta/Bundeskartellamt) stellte der EuGH klar, dass das Bundeskartellamt zwar nicht als Datenschutzaufsichtsbehörde im Sinne des Art. 58 DSGVO tätig werden darf, jedoch im Rahmen seiner wettbewerbsrechtlichen Ermittlungen die Unvereinbarkeit einer Datenverarbeitung mit der DSGVO feststellen kann, sofern diese Feststellung für die Beurteilung eines Missbrauchs einer marktbeherrschenden Stellung erforderlich ist. Dieser Ansatz wird in einem gesonderten Positionspapier des EDSA nochmals vertieft. Er verdeutlicht, dass Pseudonymisierung und deren rechtliche Bewertung zunehmend an den Schnittstellen unterschiedlicher Regulierungsregime relevant wird und eine koordinierte Behördenpraxis notwendig ist.

Praktische Konsequenzen

Verantwortliche müssen Verfahren, Schlüsselverwaltung, Rollen- und Berechtigungskonzepte sowie Risikoabwägungen verständlich und nachweisbar dokumentieren. Pseudonymisierung ist nur dann rechtssicher, wenn der Verantwortliche den Nachweis der Wirksamkeit erbringen kann. Eine unbefugte Re-Identifizierung oder ein Verlust der Zusatzinformationen stellt eine Verletzung des Schutzes personenbezogener Daten dar und kann Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) auslösen.

Sie dient jedoch auch als geeignetes Schutzinstrument im Rahmen von Art. 44 ff. DSGVO zur Übermittlung von Daten in ein Drittland, ersetzt dabei aber nicht die erforderlichen rechtlichen Garantien, wie Standardvertragsklauseln oder Transfer Impact Assessments.

Pseudonymisierung ist ein zentrales, technisch effektives und juristisch bedeutsames Instrument des Datenschutzes, das die Verarbeitung personenbezogener Daten erleichtert und sicherer gestaltet. Sie wirkt entlastend für Verantwortliche und stärkt die Rechtssicherheit vieler Verarbeitungsvorgänge. Jedoch bleibt der personenbezogene Charakter bei der Pseudonymisierung bestehen, sodass eine sichere Implementierung, sorgfältige Dokumentation und ein kohärentes Datenschutzkonzept erforderlich sind.

Gerne helfen wir Ihnen bei der Erstellung und Implementierung entsprechender rechtssicherer Dokumente.

Kontaktieren Sie uns gerne für eine Beratung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Entgelttransparenz-Richtlinie 2023/970: Was Unternehmen bis 2026 umsetzen müssen

Mann und Frau sitzen auf Geldstücken: Entgelttransparenz 2023/970
Mann und Frau sitzen auf Geldstücken: Entgelttransparenz 2023/970

Entgelttransparenz-Richtlinie 2023/970: Was Unternehmen 2026 umsetzen müssen

Bis spätestens zum 7. Juni 2026 muss die Entgelttransparenz-Richtlinie (RL (EU) 2023/970) in den Mitgliedsstaaten der Europäischen Union umgesetzt werden. Ziel der Richtlinie ist es, die Gender-Pay-Gap bei gleichwertiger Arbeit zu schließen und damit die Chancengleichheit zwischen Männern und Frauen in Unternehmen zu erhöhen.

In Deutschland gibt es zwar bereits seit 2018 das Entgelttransparenzgesetz, dieses genügt aber den Anforderungen der Richtlinie nicht vollständig. Unternehmen sollten sich deshalb nicht darauf ausruhen, dass sie bisher die Kriterien erfüllt haben. Selbst wenn die Richtlinie nicht rechtzeitig umgesetzt werden sollte, könnten Mitarbeitende ihre Rechte unmittelbar aus der Richtlinie geltend machen. Für Unternehmen bedeutet das, dass Anpassungen eher früher als später durchgeführt werden sollten.

Wir haben nachfolgend die wichtigsten Änderungen durch die Richtlinie zusammengefasst.

1. Berichtspflicht

Unternehmen, die mindestens 100 Beschäftigte haben, sind verpflichtet, über geschlechtsspezifische Lohnunterschiede zu berichten. Dabei tritt die Berichtspflicht schrittweise in Kraft: für Unternehmen mit mehr als 150 Beschäftigte ab Juni 2027 und für alle Unternehmen ab 100 Beschäftigte ab Juni 2031.

Bei mehr als 250 Beschäftigten muss jährlich Bericht erstattet werden, bei allen anderen Unternehmen besteht eine dreijährige Berichtspflicht.

Wenn entsprechende Lohnunterschiede bestehen, muss das betreffende Unternehmen diese anhand neutraler Faktoren rechtfertigen. Wenn es dazu nicht in der Lage ist, muss ein Abhilfeverfahren durchgeführt werden.

2. Auskunftsrechte

Die Beschäftigten sind berechtigt, von ihrem Arbeitgeber Auskunft über das Einkommen anderer Beschäftigter sowie über das durchschnittliche Einkommen zu verlangen. Kriterien der Vergleichsgruppen können anhand der Geschlechter oder anhand gleicher oder gleichwertiger Arbeit gebildet werden. Dieses Auskunftsrecht besteht unabhängig von der Größe des Unternehmens.

3. Auskunft für Bewerberinnen und Bewerber

Neu ist auch, dass Bewerberinnen und Bewerber schon vor dem Vorstellungsgespräch Angaben zum Gehalt bzw. zur Gehaltsspanne oder zur Anwendbarkeit eines Tarifvertrages erhalten sollen. Das kann bereits durch die Stellenausschreibung erfolgen. Außerdem dürfen Bewerberinnen und Bewerber nicht mehr nach ihrem früheren Gehalt gefragt werden.

4. Beweislastverlagerung

Weiter wird die Beweislast auf den Arbeitgeber verlagert. Das bedeutet, dass im Falle von Streitigkeiten der Arbeitgeber beweisen muss, dass entweder keine Ungleichheit bezüglich des Gehalts vorliegt oder dass eine solche durch Vorliegen objektiver, neutraler Faktoren gerechtfertigt ist.

5. Sanktionen

Nicht außer Acht zu lassen sind auch die in der Entgelttransparenz-Richtlinie angedrohten Sanktionen. Diese sollen wirksam, verhältnismäßig und abschreckend sein. Dabei sind insbesondere Geldbußen vorgesehen, die auf dem Bruttojahresumsatz oder auf der Gesamtentgeltsumme des jeweiligen Unternehmens beruhen können.

6. Schadensersatz und Entschädigungen

Weiter stehen Beschäftigten Schadensersatz- und Entschädigungsansprüche bei festgestellter Lohnungleichheit zu.  Die Gehaltsdifferenz kann für die vergangenen drei Jahre geltend gemacht werden.  Im Zusammenhang mit der Beweislastumkehr zulasten des Arbeitgebers dürfte es künftig daher häufig zu einer nachträglichen Geltendmachung kommen. Klägerinnen und Klägern soll außerdem Unterstützung bei gerichtlichen Verfahren zur Seite gestellt werden.

Bei vielen Unternehmen dürften auch Unterschiede im Rahmen von sogenannten verdeckten Vergütungen bestehen. Betroffen ist nämlich nicht nur das reine Gehalt, sondern auch individuelle Zulagen, Sonderzahlungen, Leistungsboni, variable Vergütungen, Firmenwagen und andere Sachbezüge, Weiterbildungsbudgets sowie Vorteile wie flexible Arbeitszeiten.

Die Vorgaben der Entgelttransparenz-Richtlinie betreffen zentrale Fragen des Arbeitsrechts und erfordern in vielen Unternehmen Anpassungen an Prozessen, internen Zuständigkeiten sowie die Umsetzung konkreter Transparenz- und Berichtspflichten. Daher raten wir dringend dazu, bereits jetzt die Vergütungsstrukturen zu dokumentieren und Führungskräfte und Beschäftigte zu informieren und vorzubereiten

Sie sind sich unsicher, ob Ihr Unternehmen alle Bedingungen bezüglich der Entgelttransparenz hinreichend erfüllt? Dann setzen Sie sich mit uns in Verbindung. Gerne unterstützen wir Sie bei der Überprüfung und bei den wichtigsten Vorkehrungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Microsoft Teams erfasst Büro-Anwesenheit: datenschutz- und arbeitsrechtlich fraglich

Mitarbeiter in seinem Büro
Mitarbeiter in seinem Büro

Microsoft Teams erfasst Büro-Anwesenheit: Datenschutz- und Arbeitsrechtsfragen im Fokus

Ab Dezember führt Microsoft Teams eine neue Funktion ein: Die Software kann künftig automatisch erkennen, ob sich Mitarbeitende im Büro aufhalten. Grundlage dafür ist die Verbindung mit dem Unternehmens-WLAN. Sobald diese besteht, wird der Standort als aktueller Arbeitsort angezeigt.

Die Idee dahinter: hybride Arbeitsmodelle sollen einfacher koordiniert werden. Doch die Neuerung stößt nicht überall auf Zustimmung. Datenschutzrechtliche und arbeitsrechtliche Fragen stehen im Raum. Kritiker warnen, dass durch die Funktion ein Überwachungsgefühl entstehen könnte. Die Möglichkeit, Anwesenheit automatisch zu erfassen, könnte außerdem den Druck erhöhen, ins Büro zurückzukehren, obwohl Arbeit im Homeoffice keineswegs mit geringerer Produktivität gleichzusetzen ist.

Datenschutz, Einwilligung und Persönlichkeitsrechte

Die kontinuierliche Standortbestimmung greift in das allgemeine Persönlichkeitsrecht und die informationelle Selbstbestimmung ein. Entscheidend wird daher sein, ob Mitarbeitende freiwillig in die Nutzung einwilligen können. Hier bestehen Zweifel, da die Angst vor möglichen Nachteilen bei einer Verweigerung mitschwingen könnte.

Die Anwesenheitserfassung wird jedoch nicht automatisch aktiviert, sondern muss freigeschaltet werden. Vor der Einführung empfiehlt es sich, die rechtlichen Rahmenbedingungen sorgfältig zu prüfen.

Planen Sie, diese Funktion in Ihrem Unternehmen einzusetzen? Dann nehmen Sie Kontakt zu uns auf. Gerne unterstützen wir Sie dabei, die notwendigen Schritte für eine sichere und rechtskonforme Anwendung vorzubereiten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

BSI-Warnung vor Ransomware: Rechtliche Handlungspflichten für Unternehmen

Hackerangriff mit Ransomware
Hackerangriff mit Ransomware

BSI warnt vor Ransomware: Risiken für Unternehmen und Schutzmaßnahmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zunehmend vor Cyberattacken. Sehr beliebt ist hierbei die Verwendung von Ransomware. Dadurch werden Computersysteme blockiert oder Betriebs- und Nutzerdaten verschlüsselt. Um diese Systeme wieder nutzen zu können, wird ein Lösegeld (engl. Ransom) verlangt. Meist soll das Lösegeld in digitaler Währung gezahlt werden, so dass eine Weiterverfolgung nahezu ausgeschlossen ist. Besonders tückisch ist, dass betroffene Unternehmen trotz Zahlung keine Garantie dafür haben, dass die Systeme oder Daten wieder freigegeben werden. Das BSI empfiehlt daher, im Falle eines Angriffs unverzüglich bei der Polizei Anzeige zu erstatten. Vorab können Sicherheitskopien angefertigt werden, damit die gesperrten Daten wieder rekonstruiert werden können.

Dennoch ist es unerlässlich, Sicherheitsmaßnahmen auf dem neusten Stand zu halten und Daten hinreichend zu schützen. Wenn personenbezogene Daten betroffen sind, besteht trotz Freigabe nach Zahlung die Gefahr, dass die Daten durch die Angreifer weiterverkauft werden. Das bedeutet, dass vor allem Unternehmen, die ein hohes Kundenaufkommen haben und deshalb verstärkt personenbezogene Daten verarbeiten, im Fokus von Angreifern liegen. Wir empfehlen daher, ein besonderes Augenmerk auf Cybersicherheit zu legen.

Die zunehmenden Ransomware-Angriffe verdeutlichen, wie wichtig klare gesetzliche Vorgaben für Cybersicherheit geworden sind. In einem anderen Beitrag erläutern wir, welche Pflichten und praktischen Sicherheitsmaßnahmen sich für Unternehmen aus der NIS-2-Richtlinie und dem BSIG-E ergeben.

Gerne beraten wir Sie im Hinblick auf die rechtlichen Anforderungen, die in Sachen Cybersicherheit an Unternehmen gestellt werden. Kontaktieren Sie uns hierzu.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

GEMA gegen OpenAI

OpenAI App: GEMA klagt
OpenAI App: GEMA klagt

GEMA gegen OpenAI

Das Landgericht München I (Az. 42 O 14139/24) hat am 11.November 2025 entschieden, dass OpenAI mit dem KI-Chatbot ChatGPT die Urheberrechte von Liedtextern verletzt hat. Durch die Memorisierung in den Sprachmodellen und die Wiedergabe von Liedtexten in Outputs des Chatbot liegen dem Gericht zufolge Eingriffe in die urheberrechtlichen Verwertungsrechte vor.

Wiedergabe von geschützten Songtexten

Hintergrund der Klage der GEMA war die Speicherung von geschützten Songtexten im KI-Modell, die auf Nutzeranfrage originalgetreu wiedergegeben werden konnten. Konkret betrifft das Urteil die Liedtexte von neun bekannten deutschen Urheberinnen und Urhebern, darunter „Atemlos“ von Kristina Bach oder „Wie schön, dass du geboren bist“ von Rolf Zuckowski.

OpenAI bestritt die Urheberrechtsverletzung mit dem Hinweis, KI-Modelle speicherten keine Texte, sondern nur statistische Muster. Die Wiedergabe der Texte sei auf die Eingaben der jeweiligen Nutzer als Hersteller zurückzuführen. Daneben berief sich OpenAI auf die Schranke des Text- und Data-Mining (§ 44b UrhG).

Durch KI-Training entstehen Vervielfältigungen

Das Gericht sieht Memorisierung als urheberrechtlich relevante Vervielfältigung an. Durch diese sind Texte nämlich vollständig in den Modellparametern enthalten und werden nicht nur statistisch verarbeitet, was eine Verkörperung und damit eine Vervielfältigung im Sinne von § 16 UrhG darstelle.

Daneben erfolge durch das KI-Training nicht nur eine Informationsauswertung, sondern eine dauerhafte Vervielfältigung der Werke. Eine solche sei auch nicht vom Text und Data Mining des § 44b UrhG erfasst. Auch der Einwand, es handle sich um ein unwesentliches Beiwerk nach § 57 UrhG wurde mangels Hauptwerks durch das Gericht abgelehnt. An einer Einwilligung der Urheber fehlte es ebenfalls.

Künftige Urheberrechtsverletzungen durch KI?

Das Urteil ist noch nicht rechtskräftig, OpenAI kündigte bereits an in Berufung gehen zu wollen. Als erstes europäisches Urteil zum KI-Training und Urheberrechtsverletzungen hat dieses Urteil zwar Signalwirkung, mit großer Veränderung ist zunächst aber nicht zu rechnen. In den USA bestehen bereits eine Vielzahl solcher Verfahren, die meist mit Vergleichen enden. An der Vorgehensweise der KI-Unternehmen konnten sie jedoch bislang keine Veränderungen bewirken. Bundesjustizministerin Hubig forderte nun mögliche europarechtliche Gesetzesanpassungen, um den Urheberrechtsschutz zu verbessern, falls KI-Unternehmen weiterhin keine Lizenzen einholen.

Benötigen Sie rechtliche Beratung in Sachen KI? Zögern Sie nicht uns zu kontaktieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Data Act Vergleich DSGVO
Data Act Vergleich DSGVO

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Für Unternehmen, die in der EU vernetzte Dienste oder Produkte erbringen, gilt seit dem 12. September 2025 der EU Data Act (DA) (Verordnung (EU) 2023/2854).Das Durchführungsgesetz zum Data Act wurde am 29.10.2025 offiziell vom Bundeskabinett verabschiedet („Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG)“). Ausgenommen von den Bestimmungen sind Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz unter 10 Mio. Euro.

Der Data Act ist der letzte Baustein in der europäischen Datenstrategie (wir berichteten bereits über den Data Governance Act (DGA)) und soll einen umfassenden Rechtsrahmen schaffen, um den Zugang zu und die Nutzung von Daten unionsweit zu harmonisieren.

 

Anwendungsbereich

Der europäische Gesetzgeber erkennt mit dem Data Act an, dass sowohl personenbezogene als auch nicht personenbezogene Daten wie etwa industrielle Daten, (vgl. Art. 1 Abs. 2 DA) ein wesentlicher Baustein unserer modernen Gesellschaft sind, den Daten sind überall und wachsen in einem beispiellosen Tempo.

Der Data Act bringt verschiedene Regelungsansätze zusammen. Ziel ist es, bislang ungenutzte Datenbestände zu erschließen. Wichtig zu beachten ist, dass der Data Act jedoch lediglich auf Produktdaten und verbundene Dienstdaten von vernetzten Produkten Anwendung findet.

Als vernetzte Produkte werden Gegenstände bezeichnet, die Daten über ihre Nutzungsumgebung und ihre Nutzung selbst erfassen und die diese Informationen etwa über eine im Gerät vorhandene Schnittstelle übermitteln können (Art. 2 Nr. 5 DA).

Verbundene Dienste (Art. 2 Nr. 6 DA) ergänzen vernetzte Produkte und erweitern deren Funktionalität. Dabei handelt es sich um digitale Dienste, die eine oder mehrere Funktionen des vernetzten Produkts ermöglichen, indem sie beispielsweise durch Befehle auf dessen Aktivität oder Verhalten einwirken.

Gemeint sind damit etwa Internet of Things-Geräte (IoT) in Bereichen wie Consumer Electronics, Smart Home oder Mobilität. Aber auch virtuelle Assistenten, wie etwa Sprachassistenten oder KI-basierte Steuerungssysteme sind vom Anwendungsbereich des Data Acts erfasst, soweit diese mit einem vernetzten Produkt oder verbundenen Dienst interagieren (vgl. Art. 1 Abs. 4 DA).

Personenbezogene Daten vs. industrielle Daten

-Im Rahmen des Data Acts ist daher eine Abgrenzung zwischen personenbezogenen Daten und industriellen Daten von zentraler Bedeutung. Diese Abgrenzung bildet die Grundlage für den rechtlichen Rahmen.

Personenbezogene Daten sind gem. Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also Daten, die Rückschlüsse auf eine Person ermöglichen, wie z.B. Namen, Kontaktdaten, Standortdaten oder auch biometrische Merkmale.

Industrielle Daten hingegen sind typischerweise Messwerte, Sensordaten, Produktionsdaten oder sonstige Daten, die nicht direkt oder indirekt auf eine natürliche Person zurückgeführt werden können. Sie sind typischerweise nicht personenbezogen und fallen daher grundsätzlich nicht unter die Anforderungen der DS-GVO.

Eine Ausnahme hiervon bilden die hybride Datenätze.

Als hybride Datensätze werden Daten bezeichnet, die sowohl personenbezogene Informationen als auch nicht-personenbezogene Daten kombinieren.

Solche Datensätze enthalten regelmäßig Merkmale, die eine Identifizierung einer betroffenen Person ermöglichen, aber gleichzeitig auch technische, betriebliche oder anonyme Daten umfassen können.

Ein Beispiel hierfür sind die Protokolldaten einer Maschine, in denen regelmäßig technische Daten wie die Betriebszeiten gespeichert werden. Darüber hinaus werden unter Umständen auch mitarbeiterbezogene Daten wie der Name des Bedieners oder Login-Informationen gespeichert.

In solchen Fällen verlangt die DS-GVO erhöhte Schutzmaßnahmen sowie eine differenzierte Behandlung der Daten entsprechend ihrem Inhalt.

Eine eindeutige Definition der Begriffe ermöglicht es Unternehmen und Nutzern, ihre Rechte und Pflichten besser zu verstehen und dies auch im Vertragswerk angemessen zu berücksichtigen. Nur so kann sowohl der Schutz der Privatsphäre als auch die wirtschaftliche Nutzbarkeit von Daten optimal und rechtlich sicher gewährleistet werden.

 

DS-GVO vs. Data Act

Bislang basierte die europäische Datenpolitik größtenteils auf den Prinzipien der DS-GVO und den dort bestehenden Grundsätzen. Die DS-GVO stellt den maßgeblichen Rechtsrahmen für den Schutz von personenbezogenen Daten, indem sie regelt, wie personenbezogene Daten verarbeitet, gespeichert und genutzt werden dürfen. Darüber hinaus gewährt sie den betroffenen Personen umfassende Rechte, wie das Recht auf Auskunft oder Löschung. Der Data Act hingegen zielt darauf ab, einen harmonisierten Rahmen zu schaffen, in dem festgelegt wird, wer und unter welchen Bedingungen bzw. auf welcher Grundlage berechtigt ist auf die Daten zuzugreifen, die durch vernetzte Produkte oder verbundene Dienste erzeugt werden. Zudem soll der Data Act Erleichterung schaffen beim Wechsel zwischen Datenverarbeitungsdiensten.

Sollte es zu Widersprüchen kommen, hat die DS-GVO gemäß Art. 1 Abs. 5 DA Vorrang. Das bedeutet für die Praxis, dass, sofern ein Datensatz personenbezogene Daten enthält, die Regelungen der DS-GVO gelten und für die Herausgabe ein Erlaubnistatbestand erfüllt sein muss. Die Grenze für die begriffliche Einordnung, wann bereits ein Bezug zu einer Person vorliegt, ist niedrig. So soll es regelmäßig ausreichen, wenn der Dateninhaber (vgl. Art. 2 Nr. 13 DA) die Möglichkeit hat, die Informationen derart zusammenzuführen, dass eine betroffene Person identifiziert werden kann. Somit kann die Datenherausgabe auf Basis des DA verweigert werden, wenn kein Erlaubnistatbestand, wie etwa eine Einwilligung (Art. 6 Abs. 1 S. lit. a) DS-GVO), vorliegt.


Vertragliche Regelungen

Der Data Act schafft neue, verbindliche Spielregeln für den Zugang zu und die Nutzung von nicht- personenbezogenen Daten. Nutzer erhalten z.B. einen gesetzlichen Anspruch darauf, dass ihnen die Daten, die bei der Nutzung entstehen, zugänglich gemacht werden müssen.

Die Datenzugangsrechte machen Daten handelbar und verankern erstmals grundlegende Ausgestaltungsvorgaben in Verträgen zwischen Dateninhabern und Nutzern.

Ferner regelt der Data Act, dass der Nutzer die Kontrolle über die durch seine Nutzung entstehenden Daten behält. Dadurch wird die Verfügungsmacht des Dateninhabers, der die Daten tatsächlich kontrolliert, eingeschränkt. In der Praxis bedeutet das, dass zwar kein ausschließliches Recht des Nutzers an den Daten entsteht, der Nutzer jedoch um Erlaubnis gefragt werden muss.

Dies hat zur Folge, dass Dateninhaber (Unternehmen) ihre Verträge mit Kunden anpassen müssen. Künftig müssen Kauf-, Lizenz- oder sonstige Verträge zwischen Dateninhabern und Nutzern über die Nutzung der „Produkte“ zwingend auch Aussagen zur Datennutzung durch den Dateninhaber beinhalten. Wie diese ausgestaltet sind, unterliegt den allgemeinen Grenzen der Vertragsfreiheit.

Für personenbezogene Daten gilt weiterhin ausschließlich die DS-GVO. Das gilt auch für hybride Daten. Für die Praxis bedeutet das: Ein Hersteller von vernetzten Diensten oder Produkten muss für den Zugriff auf industrielle Daten den Data Act beachten, während für die personenbezogenen Daten der Nutzer die DS-GVO gilt. Das Vertragswerk muss also beide Regelwerke berücksichtigen und entsprechend die Pflichten und Grenzen definieren.

Fazit und Ausblick

Mit dem Data Act hat die EU ein umfassendes Regelwerk geschaffen, das den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im IoT, europaweit harmonisiert. Ergänzt wird der Data Act durch den Data Governance Act, der das Unionsdatenrecht weiter verstärkt.

Eine zentrale Herausforderung ist die Abgrenzung zur DS-GVO, dessen Vorrang bei Kollisionsfällen gesetzlich verankert ist. Unternehmen müssen sich daher mit der Frage auseinandersetzen, ob durch technische oder vertragliche Gestaltungen personenbezogene Daten zu Unrecht als nicht-personenbezogen behandelt werden, um den Zugang nach dem Data Act zu umgehen. Die DS-GVO verbietet eine solche missbräuchliche „Flucht“ durch den Grundsatz der Datensparsamkeit. Dennoch birgt die weite Definition personenbezogener Daten ein Risiko für komplexe Auslegungsfragen, die die Rechtspraxis künftig klären wird.

Unternehmen sind deshalb gefordert, Datenarten sorgfältig zu kategorisieren und ihre Vertragswerke zwischen Data Act und DS-GVO präzise abzustimmen, um Rechtskonflikte und Haftungsrisiken zu vermeiden. Der Data Act bringt neue Nutzerrechte und einen fairen, transparenten Datenzugang, die die europäische Datenwirtschaft stärken und Innovationen fördern. Zugleich bleibt der Datenschutz eine unverrückbare Leitlinie der EU-Datenpolitik, die in der Praxis eine ausgewogene Balance verlangt.

Unsere Handlungsempfehlungen:

  • Klare Abgrenzung zwischen personenbezogenen Daten und industriellen Daten.
  • Überprüfung und Überarbeitung der bestehenden Vertragswerke
  • Dokumentation und Erfüllung der Informationspflichten sowie der Datenschutzrechtlichen Pflichten (Nachweis der Einwilligung)
  • Überarbeitung der technischen und organisatorischen Maßnahmen, um sowohl den „Data-Access-by-Design“-Grundsatz als auch die datenschutzrechtlichen Grundsätze zu erfüllen. 

Gerne unterstützen wir Sie dabei, diese komplexen Anforderungen zu erfüllen.

Nehmen Sie Kontakt zu uns auf und lassen Sie sich jetzt von unseren Experten beraten, wie auch Ihr Unternehmen rechtssicher die Chancen des Data Act nutzen kann.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Bundesregierung schlägt Anpassungen der DSGVO für mehr Transparenz vor

Änderungsvorschlag DSGVO
Änderungsvorschlag DSGVO

Bundesregierung schlägt Anpassungen der DSGVO für mehr Rechtssicherheit vor

„Die Datenschutz-Grundverordnung (DS-GVO) ist EU-weit die Grundlage für die Verarbeitung personenbezogener Daten. Die Bundesregierung hat nun einige Vorschläge für Abänderungen an die Kommission der Europäischen Union weitergegeben.

Wir haben die wichtigsten Änderungsvorschläge im Folgenden kurz zusammengefasst.

1. Ausdrückliche Gleichstellung der Bedingungen für die Rechtmäßigkeit einer Verarbeitung

Die DS-GVO ist in ihrer aktuellen Fassung darauf ausgelegt, dass die in Art. 6 Abs. 1 genannten Bedingungen für die Rechtmäßigkeit einer Verarbeitung gleichrangig sind. Es soll also kein Abstufungsverhältnis geben. De facto ist es aber tatsächlich so, dass die Einwilligung in der Praxis als vorrangig angesehen wird. Das führt insofern zu Problemen, als das berechtigte Interesse an der Verarbeitung zwar der in der Praxis häufigste Anwendungsfall ist, jedoch vor allem von Gerichten oftmals nicht als gleichrangig angesehen wird. Die Bundesregierung möchte erreichen, dass die bezweckte Gleichrangigkeit auch ausdrücklich aufgenommen wird, so dass sich in der Praxis keine Spannungen mehr ergeben, wenn eine Einwilligung zwar einholbar gewesen wäre, aber ein berechtigtes Interesse als Grundlage für die Datenverarbeitung angenommen wurde.

2. Änderung der Meldefrist bei Datenpannen

Bisher gilt eine starre 72-Stunden-Frist für die Meldung bei Datenpannen. Diese soll nach den Reformvorschlägen auf drei Arbeitstage geändert werden. Damit würde in Deutschland der Sonntag von der Frist ausgenommen werden, um Unternehmen eine fristgerechte Mitteilung zu ermöglichen, ohne diese am Wochenende unverhältnismäßig zu belasten.

3. Schärfere Umgrenzung der Begriffe „Pseudonymisierung“ und „Anonymisierung“

Weiter sollen die Begriffe „Pseudonymisierung“ und „Anonymisierungschärfer umgrenzt werden. Anonyme Daten sind jene, zu denen kein Personenbezug mehr herstellbar ist. Diese Daten sind mangels des Personenbezuges nicht vom Anwendungsbereich der DS-GVO umfasst. Sind personenbezogene Daten pseudonymisiert, so kann derjenige, der den Schlüssel für das Pseudonym hat, den Personenbezug wiederherstellen. Ob Daten einen Personenbezug aufweisen können, hängt auch davon ab, welche konkreten Maßnahmen zur Verfügung stehen, um diesen Bezug zu ermöglichen. Da sich ohne konkret in der Verordnung festgelegte Definitionen eine gewisse Rechtsunsicherheit ergibt, sollen die Begrifflichkeiten näher spezifiziert werden.

Für Unternehmen bedeuten die Vorschläge weitestgehend Erleichterungen im Alltag in Bezug auf die Verarbeitung personenbezogener Daten und Rechtssicherheit bei bisher ungeklärten Fragen. Ob die Vorschläge jedoch auch alle so angenommen und umgesetzt werden, ist bisher noch nicht absehbar.

Sobald es Neuigkeiten zu Abänderungen in der Datenschutz-Grundverordnung gibt, erfahren Sie es hier bei uns!

Sie möchten wissen, was die geplanten DSGVO-Änderungen konkret für Ihr Unternehmen bedeuten? Unsere Kanzlei berät Sie umfassend im Datenschutz- und IT-Recht. Sprechen Sie uns an!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die Zukunft des Cookie-Banners

Cookie-Banner
Cookie-Banner

Die Zukunft des Cookie-Banners

„Ablehnen“, „Nur Auswahl erlauben“ oder „Alle Cookies zulassen“. Egal, welche Webseite man besuchen möchte, bevor man überhaupt zu ihr kommt, muss man sich mit den Cookie-Einstellungen auseinandersetzen. Die EU-Kommission möchte den Cookie-Banner, der uns um unsere Auswahl bittet, in seiner jetzigen Form mit dem Ziel der vereinfachten Nutzung von Webseiten abschaffen.

Bisher musste einer Verwendung von Cookies immer aktiv zugestimmt werden. Nur technisch notwendige Cookies, d.h. diejenigen, die für die Nutzung der Seite unverzichtbar sind, dürfen immer verwendet werden.

Um den Banner möglichst schnell schließen zu können, lassen die meisten Nutzerinnen und Nutzer einfach alle Cookies zu, ohne sich mit der Bedeutung tatsächlich auseinandergesetzt zu haben. Damit wird Zweck der Einführung des Cookie-Banners, nämlich ein transparenterer Umgang mit den eigenen Daten, konterkariert.

Zentrale Steuerung der Präferenzen

Die Kommission möchte die Handhabung jetzt deutlich vereinfachen, indem die Präferenzen zentral gesteuert werden sollen. Das soll beispielsweise über die Browser-Einstellungen gemacht werden können.

Außerdem sollen Cookies, die gar keine personenbezogenen Daten betreffen, wie beispielsweise Statistik-Cookies, gänzlich von der Einwilligungspflicht ausgenommen werden.

Ähnliche Erwartungen gab es übrigens bereits mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), als vielfach vermutet wurde, dass Cookie-Banner dadurch überflüssig würden. Wie unsere Kanzlei bereits damals in einem Beitrag erläutert hat, blieb die erhoffte Vereinfachung jedoch aus.

Implementierung der Cookie-Richtlinien in die Datenschutz-Grundverordnung

Möglich erscheint auch eine Integration der Cookie-Richtlinien in die Datenschutz-Grundverordnung. Diese verfolgt einen flexibleren Ansatz, der sich an den tatsächlich bestehenden Gefahren im Hinblick auf die Verarbeitung personenbezogener Daten ausrichtet.

Insgesamt soll Bürokratie abgebaut werden, jedoch gibt es auch einige kritische Stimmen.

Kritik: Umgehung des Kernproblems

Überwiegend wird kritisiert, dass auch die Abschaffung des Cookie-Banners nicht das Kernproblem, nämlich die Online-Überwachung löse. Zwar sei der Besuch von Webseiten dann nutzerfreundlicher, aber auf personenbezogenen Daten basierte Werbungen werde dadurch nicht verhindert. Der Schutz der Privatsphäre von Nutzerinnen und Nutzern müsse besser gewährleistet sein, was eine viel umfassendere Reform erfordere.

Ob sich Nutzerinnen und Nutzer tatsächlich ausführlicher mit Cookie-Bestimmungen auseinandersetzen werden, nur weil sie die Verwendung zentral steuern können, bleibt abzuwarten.

Vielleicht folgen demnächst weitere Änderungsvorschläge, welche die noch bestehenden kritischen Stimmen berücksichtigen. Neuigkeiten über die Abschaffung des Cookie-Banners erfahren Sie bei uns!

Unsere Kanzlei ist spezialisiert auf IT-Recht und Datenschutzrecht. Kontaktieren Sie uns für eine individuelle Beratung zu Ihrer Website-Compliance.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

OLG Stuttgart erlaubt „kostenlos“-Werbung für Lidl-App trotz Datenverarbeitung

Lidl-App: "kostenlos"-Werbung erlaubt
Lidl-App: "kostenlos"-Werbung erlaubt

OLG Stuttgart erlaubt „kostenlos“-Werbung für Lidl-App trotz Datenverarbeitung

Eine App, die personenbezogene Daten verarbeitet, darf dennoch als „kostenlos“ beworben werden. Das entschied der Verbraucherrechtssenat des Oberlandesgerichts Stuttgart. Hintergrund war die Unterlassungsklage des Verbraucherzentrale Bundesverband gegen Lidl. Gerügt wurde die Bewerbung der Lidl Plus App als „kostenlos“, obwohl Nutzerinnen und Nutzer für die Verwendung ihre persönlichen Daten angeben und einer Verarbeitung zustimmen müssen, was eine Bezahlung in Daten bedeute.

Das Gericht stellte fest, dass „kostenlos“ lediglich bedeutet, dass kein Geld als Preis zu zahlen sei. Die Datenverarbeitung stelle eine zulässige Gegenleistung dar, die eine Bewerbung mit „kostenlos“ nicht ausschließe, sofern die Datenverarbeitung ausreichend in den Nutzungsbedingungen erläutert werde.

Damit darf die Lidl Plus App weiterhin als kostenlos beworben werden. Diese Rechtsprechung dürfte sich auch auf weitere digitale Dienste übertragen lassen, die kein Geld als Gegenleistung fordern. Zu beachten ist jedoch stets, dass die Anforderungen der Datenschutzgrundverordnung in Bezug auf die Informationspflichten eingehalten werden müssen. Allerdings hat OLG Stuttgart wegen der grundsätzlichen Bedeutung der Sache die Revision zum Bundesgerichtshof zugelassen.

Hier finden Sie die Pressemitteilung des Oberlandesgerichts Stuttgart:

https://oberlandesgericht-stuttgart.justiz-bw.de/pb/,Lde/Startseite/Medien/Unterlassungsklage+des+Verbraucherzentrale+Bundesverbandes+gegen+Lidl+im+Zusammenhang+mit+dem+Vorteilsprogramm+_Lidl+Plus_+erfolglos

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft