Microsoft Teams erfasst Büro-Anwesenheit: datenschutz- und arbeitsrechtlich fraglich

Mitarbeiter in seinem Büro
Mitarbeiter in seinem Büro

Microsoft Teams erfasst Büro-Anwesenheit: Datenschutz- und Arbeitsrechtsfragen im Fokus

Ab Dezember führt Microsoft Teams eine neue Funktion ein: Die Software kann künftig automatisch erkennen, ob sich Mitarbeitende im Büro aufhalten. Grundlage dafür ist die Verbindung mit dem Unternehmens-WLAN. Sobald diese besteht, wird der Standort als aktueller Arbeitsort angezeigt.

Die Idee dahinter: hybride Arbeitsmodelle sollen einfacher koordiniert werden. Doch die Neuerung stößt nicht überall auf Zustimmung. Datenschutzrechtliche und arbeitsrechtliche Fragen stehen im Raum. Kritiker warnen, dass durch die Funktion ein Überwachungsgefühl entstehen könnte. Die Möglichkeit, Anwesenheit automatisch zu erfassen, könnte außerdem den Druck erhöhen, ins Büro zurückzukehren, obwohl Arbeit im Homeoffice keineswegs mit geringerer Produktivität gleichzusetzen ist.

Datenschutz, Einwilligung und Persönlichkeitsrechte

Die kontinuierliche Standortbestimmung greift in das allgemeine Persönlichkeitsrecht und die informationelle Selbstbestimmung ein. Entscheidend wird daher sein, ob Mitarbeitende freiwillig in die Nutzung einwilligen können. Hier bestehen Zweifel, da die Angst vor möglichen Nachteilen bei einer Verweigerung mitschwingen könnte.

Die Anwesenheitserfassung wird jedoch nicht automatisch aktiviert, sondern muss freigeschaltet werden. Vor der Einführung empfiehlt es sich, die rechtlichen Rahmenbedingungen sorgfältig zu prüfen.

Planen Sie, diese Funktion in Ihrem Unternehmen einzusetzen? Dann nehmen Sie Kontakt zu uns auf. Gerne unterstützen wir Sie dabei, die notwendigen Schritte für eine sichere und rechtskonforme Anwendung vorzubereiten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

BSI-Warnung vor Ransomware: Rechtliche Handlungspflichten für Unternehmen

Hackerangriff mit Ransomware
Hackerangriff mit Ransomware

BSI warnt vor Ransomware: Risiken für Unternehmen und Schutzmaßnahmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt zunehmend vor Cyberattacken. Sehr beliebt ist hierbei die Verwendung von Ransomware. Dadurch werden Computersysteme blockiert oder Betriebs- und Nutzerdaten verschlüsselt. Um diese Systeme wieder nutzen zu können, wird ein Lösegeld (engl. Ransom) verlangt. Meist soll das Lösegeld in digitaler Währung gezahlt werden, so dass eine Weiterverfolgung nahezu ausgeschlossen ist. Besonders tückisch ist, dass betroffene Unternehmen trotz Zahlung keine Garantie dafür haben, dass die Systeme oder Daten wieder freigegeben werden. Das BSI empfiehlt daher, im Falle eines Angriffs unverzüglich bei der Polizei Anzeige zu erstatten. Vorab können Sicherheitskopien angefertigt werden, damit die gesperrten Daten wieder rekonstruiert werden können.

Dennoch ist es unerlässlich, Sicherheitsmaßnahmen auf dem neusten Stand zu halten und Daten hinreichend zu schützen. Wenn personenbezogene Daten betroffen sind, besteht trotz Freigabe nach Zahlung die Gefahr, dass die Daten durch die Angreifer weiterverkauft werden. Das bedeutet, dass vor allem Unternehmen, die ein hohes Kundenaufkommen haben und deshalb verstärkt personenbezogene Daten verarbeiten, im Fokus von Angreifern liegen. Wir empfehlen daher, ein besonderes Augenmerk auf Cybersicherheit zu legen.

Die zunehmenden Ransomware-Angriffe verdeutlichen, wie wichtig klare gesetzliche Vorgaben für Cybersicherheit geworden sind. In einem anderen Beitrag erläutern wir, welche Pflichten und praktischen Sicherheitsmaßnahmen sich für Unternehmen aus der NIS-2-Richtlinie und dem BSIG-E ergeben.

Gerne beraten wir Sie im Hinblick auf die rechtlichen Anforderungen, die in Sachen Cybersicherheit an Unternehmen gestellt werden. Kontaktieren Sie uns hierzu.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

GEMA gegen OpenAI

OpenAI App: GEMA klagt
OpenAI App: GEMA klagt

GEMA gegen OpenAI

Das Landgericht München I (Az. 42 O 14139/24) hat am 11.November 2025 entschieden, dass OpenAI mit dem KI-Chatbot ChatGPT die Urheberrechte von Liedtextern verletzt hat. Durch die Memorisierung in den Sprachmodellen und die Wiedergabe von Liedtexten in Outputs des Chatbot liegen dem Gericht zufolge Eingriffe in die urheberrechtlichen Verwertungsrechte vor.

Wiedergabe von geschützten Songtexten

Hintergrund der Klage der GEMA war die Speicherung von geschützten Songtexten im KI-Modell, die auf Nutzeranfrage originalgetreu wiedergegeben werden konnten. Konkret betrifft das Urteil die Liedtexte von neun bekannten deutschen Urheberinnen und Urhebern, darunter „Atemlos“ von Kristina Bach oder „Wie schön, dass du geboren bist“ von Rolf Zuckowski.

OpenAI bestritt die Urheberrechtsverletzung mit dem Hinweis, KI-Modelle speicherten keine Texte, sondern nur statistische Muster. Die Wiedergabe der Texte sei auf die Eingaben der jeweiligen Nutzer als Hersteller zurückzuführen. Daneben berief sich OpenAI auf die Schranke des Text- und Data-Mining (§ 44b UrhG).

Durch KI-Training entstehen Vervielfältigungen

Das Gericht sieht Memorisierung als urheberrechtlich relevante Vervielfältigung an. Durch diese sind Texte nämlich vollständig in den Modellparametern enthalten und werden nicht nur statistisch verarbeitet, was eine Verkörperung und damit eine Vervielfältigung im Sinne von § 16 UrhG darstelle.

Daneben erfolge durch das KI-Training nicht nur eine Informationsauswertung, sondern eine dauerhafte Vervielfältigung der Werke. Eine solche sei auch nicht vom Text und Data Mining des § 44b UrhG erfasst. Auch der Einwand, es handle sich um ein unwesentliches Beiwerk nach § 57 UrhG wurde mangels Hauptwerks durch das Gericht abgelehnt. An einer Einwilligung der Urheber fehlte es ebenfalls.

Künftige Urheberrechtsverletzungen durch KI?

Das Urteil ist noch nicht rechtskräftig, OpenAI kündigte bereits an in Berufung gehen zu wollen. Als erstes europäisches Urteil zum KI-Training und Urheberrechtsverletzungen hat dieses Urteil zwar Signalwirkung, mit großer Veränderung ist zunächst aber nicht zu rechnen. In den USA bestehen bereits eine Vielzahl solcher Verfahren, die meist mit Vergleichen enden. An der Vorgehensweise der KI-Unternehmen konnten sie jedoch bislang keine Veränderungen bewirken. Bundesjustizministerin Hubig forderte nun mögliche europarechtliche Gesetzesanpassungen, um den Urheberrechtsschutz zu verbessern, falls KI-Unternehmen weiterhin keine Lizenzen einholen.

Benötigen Sie rechtliche Beratung in Sachen KI? Zögern Sie nicht uns zu kontaktieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Data Act Vergleich DSGVO
Data Act Vergleich DSGVO

Data-Act vs. Datenschutz: Abgrenzung von personenbezogenen Daten und industriellen Daten

Für Unternehmen, die in der EU vernetzte Dienste oder Produkte erbringen, gilt seit dem 12. September 2025 der EU Data Act (DA) (Verordnung (EU) 2023/2854).Das Durchführungsgesetz zum Data Act wurde am 29.10.2025 offiziell vom Bundeskabinett verabschiedet („Gesetz zur Anwendung und Durchsetzung der Datenverordnung (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG)“). Ausgenommen von den Bestimmungen sind Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz unter 10 Mio. Euro.

Der Data Act ist der letzte Baustein in der europäischen Datenstrategie (wir berichteten bereits über den Data Governance Act (DGA)) und soll einen umfassenden Rechtsrahmen schaffen, um den Zugang zu und die Nutzung von Daten unionsweit zu harmonisieren.

Anwendungsbereich

Der europäische Gesetzgeber erkennt mit dem Data Act an, dass sowohl personenbezogene als auch nicht personenbezogene Daten wie etwa industrielle Daten, (vgl. Art. 1 Abs. 2 DA) ein wesentlicher Baustein unserer modernen Gesellschaft sind, den Daten sind überall und wachsen in einem beispiellosen Tempo.

Der Data Act bringt verschiedene Regelungsansätze zusammen. Ziel ist es, bislang ungenutzte Datenbestände zu erschließen. Wichtig zu beachten ist, dass der Data Act jedoch lediglich auf Produktdaten und verbundene Dienstdaten von vernetzten Produkten Anwendung findet.

Als vernetzte Produkte werden Gegenstände bezeichnet, die Daten über ihre Nutzungsumgebung und ihre Nutzung selbst erfassen und die diese Informationen etwa über eine im Gerät vorhandene Schnittstelle übermitteln können (Art. 2 Nr. 5 DA).

Verbundene Dienste (Art. 2 Nr. 6 DA) ergänzen vernetzte Produkte und erweitern deren Funktionalität. Dabei handelt es sich um digitale Dienste, die eine oder mehrere Funktionen des vernetzten Produkts ermöglichen, indem sie beispielsweise durch Befehle auf dessen Aktivität oder Verhalten einwirken.

Gemeint sind damit etwa Internet of Things-Geräte (IoT) in Bereichen wie Consumer Electronics, Smart Home oder Mobilität. Aber auch virtuelle Assistenten, wie etwa Sprachassistenten oder KI-basierte Steuerungssysteme sind vom Anwendungsbereich des Data Acts erfasst, soweit diese mit einem vernetzten Produkt oder verbundenen Dienst interagieren (vgl. Art. 1 Abs. 4 DA).

Personenbezogene Daten vs. industrielle Daten

-Im Rahmen des Data Acts ist daher eine Abgrenzung zwischen personenbezogenen Daten und industriellen Daten von zentraler Bedeutung. Diese Abgrenzung bildet die Grundlage für den rechtlichen Rahmen.

Personenbezogene Daten sind gem. Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also Daten, die Rückschlüsse auf eine Person ermöglichen, wie z.B. Namen, Kontaktdaten, Standortdaten oder auch biometrische Merkmale.

Industrielle Daten hingegen sind typischerweise Messwerte, Sensordaten, Produktionsdaten oder sonstige Daten, die nicht direkt oder indirekt auf eine natürliche Person zurückgeführt werden können. Sie sind typischerweise nicht personenbezogen und fallen daher grundsätzlich nicht unter die Anforderungen der DS-GVO.

Eine Ausnahme hiervon bilden die hybride Datenätze.

Als hybride Datensätze werden Daten bezeichnet, die sowohl personenbezogene Informationen als auch nicht-personenbezogene Daten kombinieren.

Solche Datensätze enthalten regelmäßig Merkmale, die eine Identifizierung einer betroffenen Person ermöglichen, aber gleichzeitig auch technische, betriebliche oder anonyme Daten umfassen können.

Ein Beispiel hierfür sind die Protokolldaten einer Maschine, in denen regelmäßig technische Daten wie die Betriebszeiten gespeichert werden. Darüber hinaus werden unter Umständen auch mitarbeiterbezogene Daten wie der Name des Bedieners oder Login-Informationen gespeichert.

In solchen Fällen verlangt die DS-GVO erhöhte Schutzmaßnahmen sowie eine differenzierte Behandlung der Daten entsprechend ihrem Inhalt.

Eine eindeutige Definition der Begriffe ermöglicht es Unternehmen und Nutzern, ihre Rechte und Pflichten besser zu verstehen und dies auch im Vertragswerk angemessen zu berücksichtigen. Nur so kann sowohl der Schutz der Privatsphäre als auch die wirtschaftliche Nutzbarkeit von Daten optimal und rechtlich sicher gewährleistet werden.

 

DS-GVO vs. Data Act

Bislang basierte die europäische Datenpolitik größtenteils auf den Prinzipien der DS-GVO und den dort bestehenden Grundsätzen. Die DS-GVO stellt den maßgeblichen Rechtsrahmen für den Schutz von personenbezogenen Daten, indem sie regelt, wie personenbezogene Daten verarbeitet, gespeichert und genutzt werden dürfen. Darüber hinaus gewährt sie den betroffenen Personen umfassende Rechte, wie das Recht auf Auskunft oder Löschung. Der Data Act hingegen zielt darauf ab, einen harmonisierten Rahmen zu schaffen, in dem festgelegt wird, wer und unter welchen Bedingungen bzw. auf welcher Grundlage berechtigt ist auf die Daten zuzugreifen, die durch vernetzte Produkte oder verbundene Dienste erzeugt werden. Zudem soll der Data Act Erleichterung schaffen beim Wechsel zwischen Datenverarbeitungsdiensten.

Sollte es zu Widersprüchen kommen, hat die DS-GVO gemäß Art. 1 Abs. 5 DA Vorrang. Das bedeutet für die Praxis, dass, sofern ein Datensatz personenbezogene Daten enthält, die Regelungen der DS-GVO gelten und für die Herausgabe ein Erlaubnistatbestand erfüllt sein muss. Die Grenze für die begriffliche Einordnung, wann bereits ein Bezug zu einer Person vorliegt, ist niedrig. So soll es regelmäßig ausreichen, wenn der Dateninhaber (vgl. Art. 2 Nr. 13 DA) die Möglichkeit hat, die Informationen derart zusammenzuführen, dass eine betroffene Person identifiziert werden kann. Somit kann die Datenherausgabe auf Basis des DA verweigert werden, wenn kein Erlaubnistatbestand, wie etwa eine Einwilligung (Art. 6 Abs. 1 S. lit. a) DS-GVO), vorliegt.

Vertragliche Regelungen

Der Data Act schafft neue, verbindliche Spielregeln für den Zugang zu und die Nutzung von nicht- personenbezogenen Daten. Nutzer erhalten z.B. einen gesetzlichen Anspruch darauf, dass ihnen die Daten, die bei der Nutzung entstehen, zugänglich gemacht werden müssen.

Die Datenzugangsrechte machen Daten handelbar und verankern erstmals grundlegende Ausgestaltungsvorgaben in Verträgen zwischen Dateninhabern und Nutzern.

Ferner regelt der Data Act, dass der Nutzer die Kontrolle über die durch seine Nutzung entstehenden Daten behält. Dadurch wird die Verfügungsmacht des Dateninhabers, der die Daten tatsächlich kontrolliert, eingeschränkt. In der Praxis bedeutet das, dass zwar kein ausschließliches Recht des Nutzers an den Daten entsteht, der Nutzer jedoch um Erlaubnis gefragt werden muss.

Dies hat zur Folge, dass Dateninhaber (Unternehmen) ihre Verträge mit Kunden anpassen müssen. Künftig müssen Kauf-, Lizenz- oder sonstige Verträge zwischen Dateninhabern und Nutzern über die Nutzung der „Produkte“ zwingend auch Aussagen zur Datennutzung durch den Dateninhaber beinhalten. Wie diese ausgestaltet sind, unterliegt den allgemeinen Grenzen der Vertragsfreiheit.

Für personenbezogene Daten gilt weiterhin ausschließlich die DS-GVO. Das gilt auch für hybride Daten. Für die Praxis bedeutet das: Ein Hersteller von vernetzten Diensten oder Produkten muss für den Zugriff auf industrielle Daten den Data Act beachten, während für die personenbezogenen Daten der Nutzer die DS-GVO gilt. Das Vertragswerk muss also beide Regelwerke berücksichtigen und entsprechend die Pflichten und Grenzen definieren.

Fazit und Ausblick

Mit dem Data Act hat die EU ein umfassendes Regelwerk geschaffen, das den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im IoT, europaweit harmonisiert. Ergänzt wird der Data Act durch den Data Governance Act, der das Unionsdatenrecht weiter verstärkt.

Eine zentrale Herausforderung ist die Abgrenzung zur DS-GVO, dessen Vorrang bei Kollisionsfällen gesetzlich verankert ist. Unternehmen müssen sich daher mit der Frage auseinandersetzen, ob durch technische oder vertragliche Gestaltungen personenbezogene Daten zu Unrecht als nicht-personenbezogen behandelt werden, um den Zugang nach dem Data Act zu umgehen. Die DS-GVO verbietet eine solche missbräuchliche „Flucht“ durch den Grundsatz der Datensparsamkeit. Dennoch birgt die weite Definition personenbezogener Daten ein Risiko für komplexe Auslegungsfragen, die die Rechtspraxis künftig klären wird.

Unternehmen sind deshalb gefordert, Datenarten sorgfältig zu kategorisieren und ihre Vertragswerke zwischen Data Act und DS-GVO präzise abzustimmen, um Rechtskonflikte und Haftungsrisiken zu vermeiden. Der Data Act bringt neue Nutzerrechte und einen fairen, transparenten Datenzugang, die die europäische Datenwirtschaft stärken und Innovationen fördern. Zugleich bleibt der Datenschutz eine unverrückbare Leitlinie der EU-Datenpolitik, die in der Praxis eine ausgewogene Balance verlangt.

Unsere Handlungsempfehlungen:

  • Klare Abgrenzung zwischen personenbezogenen Daten und industriellen Daten.
  • Überprüfung und Überarbeitung der bestehenden Vertragswerke
  • Dokumentation und Erfüllung der Informationspflichten sowie der Datenschutzrechtlichen Pflichten (Nachweis der Einwilligung)
  • Überarbeitung der technischen und organisatorischen Maßnahmen, um sowohl den „Data-Access-by-Design“-Grundsatz als auch die datenschutzrechtlichen Grundsätze zu erfüllen. 

Gerne unterstützen wir Sie dabei, diese komplexen Anforderungen zu erfüllen.

Nehmen Sie Kontakt zu uns auf und lassen Sie sich jetzt von unseren Experten beraten, wie auch Ihr Unternehmen rechtssicher die Chancen des Data Act nutzen kann.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Bundesregierung schlägt Anpassungen der DSGVO für mehr Transparenz vor

Änderungsvorschlag DSGVO
Änderungsvorschlag DSGVO

Bundesregierung schlägt Anpassungen der DSGVO für mehr Rechtssicherheit vor

„Die Datenschutz-Grundverordnung (DS-GVO) ist EU-weit die Grundlage für die Verarbeitung personenbezogener Daten. Die Bundesregierung hat nun einige Vorschläge für Abänderungen an die Kommission der Europäischen Union weitergegeben.

Wir haben die wichtigsten Änderungsvorschläge im Folgenden kurz zusammengefasst.

1. Ausdrückliche Gleichstellung der Bedingungen für die Rechtmäßigkeit einer Verarbeitung

Die DS-GVO ist in ihrer aktuellen Fassung darauf ausgelegt, dass die in Art. 6 Abs. 1 genannten Bedingungen für die Rechtmäßigkeit einer Verarbeitung gleichrangig sind. Es soll also kein Abstufungsverhältnis geben. De facto ist es aber tatsächlich so, dass die Einwilligung in der Praxis als vorrangig angesehen wird. Das führt insofern zu Problemen, als das berechtigte Interesse an der Verarbeitung zwar der in der Praxis häufigste Anwendungsfall ist, jedoch vor allem von Gerichten oftmals nicht als gleichrangig angesehen wird. Die Bundesregierung möchte erreichen, dass die bezweckte Gleichrangigkeit auch ausdrücklich aufgenommen wird, so dass sich in der Praxis keine Spannungen mehr ergeben, wenn eine Einwilligung zwar einholbar gewesen wäre, aber ein berechtigtes Interesse als Grundlage für die Datenverarbeitung angenommen wurde.

2. Änderung der Meldefrist bei Datenpannen

Bisher gilt eine starre 72-Stunden-Frist für die Meldung bei Datenpannen. Diese soll nach den Reformvorschlägen auf drei Arbeitstage geändert werden. Damit würde in Deutschland der Sonntag von der Frist ausgenommen werden, um Unternehmen eine fristgerechte Mitteilung zu ermöglichen, ohne diese am Wochenende unverhältnismäßig zu belasten.

3. Schärfere Umgrenzung der Begriffe „Pseudonymisierung“ und „Anonymisierung“

Weiter sollen die Begriffe „Pseudonymisierung“ und „Anonymisierungschärfer umgrenzt werden. Anonyme Daten sind jene, zu denen kein Personenbezug mehr herstellbar ist. Diese Daten sind mangels des Personenbezuges nicht vom Anwendungsbereich der DS-GVO umfasst. Sind personenbezogene Daten pseudonymisiert, so kann derjenige, der den Schlüssel für das Pseudonym hat, den Personenbezug wiederherstellen. Ob Daten einen Personenbezug aufweisen können, hängt auch davon ab, welche konkreten Maßnahmen zur Verfügung stehen, um diesen Bezug zu ermöglichen. Da sich ohne konkret in der Verordnung festgelegte Definitionen eine gewisse Rechtsunsicherheit ergibt, sollen die Begrifflichkeiten näher spezifiziert werden.

Für Unternehmen bedeuten die Vorschläge weitestgehend Erleichterungen im Alltag in Bezug auf die Verarbeitung personenbezogener Daten und Rechtssicherheit bei bisher ungeklärten Fragen. Ob die Vorschläge jedoch auch alle so angenommen und umgesetzt werden, ist bisher noch nicht absehbar.

Sobald es Neuigkeiten zu Abänderungen in der Datenschutz-Grundverordnung gibt, erfahren Sie es hier bei uns!

Sie möchten wissen, was die geplanten DSGVO-Änderungen konkret für Ihr Unternehmen bedeuten? Unsere Kanzlei berät Sie umfassend im Datenschutz- und IT-Recht. Sprechen Sie uns an!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die Zukunft des Cookie-Banners

Cookie-Banner
Cookie-Banner

Die Zukunft des Cookie-Banners

„Ablehnen“, „Nur Auswahl erlauben“ oder „Alle Cookies zulassen“. Egal, welche Webseite man besuchen möchte, bevor man überhaupt zu ihr kommt, muss man sich mit den Cookie-Einstellungen auseinandersetzen. Die EU-Kommission möchte den Cookie-Banner, der uns um unsere Auswahl bittet, in seiner jetzigen Form mit dem Ziel der vereinfachten Nutzung von Webseiten abschaffen.

Bisher musste einer Verwendung von Cookies immer aktiv zugestimmt werden. Nur technisch notwendige Cookies, d.h. diejenigen, die für die Nutzung der Seite unverzichtbar sind, dürfen immer verwendet werden.

Um den Banner möglichst schnell schließen zu können, lassen die meisten Nutzerinnen und Nutzer einfach alle Cookies zu, ohne sich mit der Bedeutung tatsächlich auseinandergesetzt zu haben. Damit wird Zweck der Einführung des Cookie-Banners, nämlich ein transparenterer Umgang mit den eigenen Daten, konterkariert.

Zentrale Steuerung der Präferenzen

Die Kommission möchte die Handhabung jetzt deutlich vereinfachen, indem die Präferenzen zentral gesteuert werden sollen. Das soll beispielsweise über die Browser-Einstellungen gemacht werden können.

Außerdem sollen Cookies, die gar keine personenbezogenen Daten betreffen, wie beispielsweise Statistik-Cookies, gänzlich von der Einwilligungspflicht ausgenommen werden.

Ähnliche Erwartungen gab es übrigens bereits mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), als vielfach vermutet wurde, dass Cookie-Banner dadurch überflüssig würden. Wie unsere Kanzlei bereits damals in einem Beitrag erläutert hat, blieb die erhoffte Vereinfachung jedoch aus.

Implementierung der Cookie-Richtlinien in die Datenschutz-Grundverordnung

Möglich erscheint auch eine Integration der Cookie-Richtlinien in die Datenschutz-Grundverordnung. Diese verfolgt einen flexibleren Ansatz, der sich an den tatsächlich bestehenden Gefahren im Hinblick auf die Verarbeitung personenbezogener Daten ausrichtet.

Insgesamt soll Bürokratie abgebaut werden, jedoch gibt es auch einige kritische Stimmen.

Kritik: Umgehung des Kernproblems

Überwiegend wird kritisiert, dass auch die Abschaffung des Cookie-Banners nicht das Kernproblem, nämlich die Online-Überwachung löse. Zwar sei der Besuch von Webseiten dann nutzerfreundlicher, aber auf personenbezogenen Daten basierte Werbungen werde dadurch nicht verhindert. Der Schutz der Privatsphäre von Nutzerinnen und Nutzern müsse besser gewährleistet sein, was eine viel umfassendere Reform erfordere.

Ob sich Nutzerinnen und Nutzer tatsächlich ausführlicher mit Cookie-Bestimmungen auseinandersetzen werden, nur weil sie die Verwendung zentral steuern können, bleibt abzuwarten.

Vielleicht folgen demnächst weitere Änderungsvorschläge, welche die noch bestehenden kritischen Stimmen berücksichtigen. Neuigkeiten über die Abschaffung des Cookie-Banners erfahren Sie bei uns!

Unsere Kanzlei ist spezialisiert auf IT-Recht und Datenschutzrecht. Kontaktieren Sie uns für eine individuelle Beratung zu Ihrer Website-Compliance.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

OLG Stuttgart erlaubt „kostenlos“-Werbung für Lidl-App trotz Datenverarbeitung

Lidl-App: "kostenlos"-Werbung erlaubt
Lidl-App: "kostenlos"-Werbung erlaubt

OLG Stuttgart erlaubt „kostenlos“-Werbung für Lidl-App trotz Datenverarbeitung

Eine App, die personenbezogene Daten verarbeitet, darf dennoch als „kostenlos“ beworben werden. Das entschied der Verbraucherrechtssenat des Oberlandesgerichts Stuttgart. Hintergrund war die Unterlassungsklage des Verbraucherzentrale Bundesverband gegen Lidl. Gerügt wurde die Bewerbung der Lidl Plus App als „kostenlos“, obwohl Nutzerinnen und Nutzer für die Verwendung ihre persönlichen Daten angeben und einer Verarbeitung zustimmen müssen, was eine Bezahlung in Daten bedeute.

Das Gericht stellte fest, dass „kostenlos“ lediglich bedeutet, dass kein Geld als Preis zu zahlen sei. Die Datenverarbeitung stelle eine zulässige Gegenleistung dar, die eine Bewerbung mit „kostenlos“ nicht ausschließe, sofern die Datenverarbeitung ausreichend in den Nutzungsbedingungen erläutert werde.

Damit darf die Lidl Plus App weiterhin als kostenlos beworben werden. Diese Rechtsprechung dürfte sich auch auf weitere digitale Dienste übertragen lassen, die kein Geld als Gegenleistung fordern. Zu beachten ist jedoch stets, dass die Anforderungen der Datenschutzgrundverordnung in Bezug auf die Informationspflichten eingehalten werden müssen. Allerdings hat OLG Stuttgart wegen der grundsätzlichen Bedeutung der Sache die Revision zum Bundesgerichtshof zugelassen.

Hier finden Sie die Pressemitteilung des Oberlandesgerichts Stuttgart:

https://oberlandesgericht-stuttgart.justiz-bw.de/pb/,Lde/Startseite/Medien/Unterlassungsklage+des+Verbraucherzentrale+Bundesverbandes+gegen+Lidl+im+Zusammenhang+mit+dem+Vorteilsprogramm+_Lidl+Plus_+erfolglos

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Digitaler Euro: EU treibt Einführung des D€ voran

Digitaler Euro
Digitaler Euro

Digitaler Euro: EU treibt Einführung des D€ voran

Der D€, also der digitale Euro soll kommen. Doch wann genau, ist noch unklar. Seit November 2023 befindet er sich in der Vorbereitungsphase.

Die Idee dahinter ist eine einheitliche digitale Zahlungsmethode für den gesamten Euroraum. Das Bargeld soll nicht komplett verschwinden, aber der digitale Euro soll der Tatsache Rechnung tragen, dass Verbraucherinnen und Verbraucher vorwiegend mit Karte oder dem Handy zahlen. Außerdem soll die Einführung dieses öffentlichen Zahlungsmittels die Abhängigkeit von amerikanischen Zahlungssystemen reduzieren.

Kritisiert wird der Vorschlag derzeit insbesondere noch von Geschäftsbanken, die ökonomische Risiken (Einlagenverlust, Margendruck) und unverhältnismäßige regulatorische/technische Anforderungen bemängeln.

Stand jetzt wird frühstens 2028 mit der Einführung zu rechnen sein. Ende Oktober wird es zunächst einmal einen Berichtsentwurf des parlamentarischen Berichterstatters Fernando Navarrete geben.

Wir werden Sie darüber informieren, wie es dann mit dem D€ weitergeht!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Geplante EU-Verordnung zur Chatkontrolle: unverhältnismäßiger Eingriff in die Privatsphäre?

Mann beim Chatten: EU-Chatkontrolle unverhältnismäßig?
Mann beim Chatten: EU-Chatkontrolle unverhältnismäßig?

Geplante EU-verordnung zur Chatkontrolle: unverhältnismäßiger Eingriff in die Privatsphäre?

Für den 14. Oktober steht der Entwurf der Verordnung zur Chatkontrolle auf der Tagesordnung im EU-Rat. Gegenstand der Verordnung soll die Überwachung privater Chats sowie das Scannen privater Nachrichten auf Endgeräten zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern sein.

Die Datenschutzkonferenz ordnet die Massenüberwachung als höchst bedenklich ein und fordert, den Entwurf in dieser Fassung abzulehnen. Zwar sei das Ziel der Verordnung von großer Bedeutung, der Eingriff in die Privatsphäre jedoch unverhältnismäßig. Erforderlich wären absichtlich platzierte Sicherheitslücken, die dann aber auch anderweitig ausgenutzt werden könnten.

Die Datenschutzkonferenz fordert daher die Bundesregierung auf, dem Entwurf nicht zuzustimmen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

EuGH erklärt die Aufsichtsgebühr des Digital Services Act für nichtig

Sitz des Europäischen Gerichtshofs in Luxemburg
Sitz des Europäischen Gerichtshofs in Luxemburg

EuGH erklärt die Aufsichtsgebühr des Digital Services Act für nichtig

Am 10. September 2025 erklärte das Gericht der Europäischen Union (EuGH) in der Rechtssache T-55/24 die Beschlüsse der EU-Kommission über die Festlegung der Aufsichtsgebühr für Facebook, Instagram und TikTok für nichtig. 

Als Grundlage für die Beschlüsse diente das Gesetz über digitale Dienste (Digital Services Act, DSA), das der Kommission die Aufgabe überträgt, sehr große Online-Plattformen (VLOPs) und Suchmaschinen zu beaufsichtigen. Hierfür darf die Kommission eine jährliche Aufsichtsgebühr erheben, welche anhand der durchschnittlichen monatlichen Nutzerzahl berechnet wird. Die Kommission hatte daraufhin für Facebook, Instagram und TikTok entsprechende Gebühren durch Durchführungsbeschlüsse festgesetzt.

Trotz rechtswidriger Methodik, Zahlungspflicht für 2023 bleibt bestehen

Das Gericht stellte fest, dass die verwendete Methodik zur Berechnung der Nutzerzahlen essentiell sei und deshalb in einer delegierten Verordnung hätte geregelt werden müssen. Die Durchführungsbeschlüsse seien daher formell rechtswidrig.

Um Regelungslücken zu vermeiden und der Kommission Zeit für eine korrekte Umsetzung der Erhebung der Aufsichtsgebühr zu geben, entschied das Gericht, dass die Wirkung dieser Beschlüsse jedoch vorerst bestehen bleibt und damit auch die Zahlungspflicht für 2023 für Unternehmen. Das Gericht beschränkte die Übergangssituation auf höchstens zwölf Monate nach Rechtskraft des Urteils. Gegen die Entscheidung ist ein auf Rechtsfragen beschränktes Rechtsmittel zum EuGH möglich.

Veränderungen bei Gebührenhöhe möglich

Neben der Zahlungspflicht für 2023 müssen Unternehmen damit rechnen, dass die Kommission bald eine rechtssichere Regelung erlässt, die zu einer veränderten Gebührenhöhe führt. Dadurch können sowohl Rückerstattungen, aber auch Nachforderungen entstehen. Empfehlenswert ist daher auch, interne Systeme zur Erfassung der aktiven Nutzerzahlen zu verbessern und diese Daten transparent vorzuhalten, um bei künftigen Verfahren abgesichert zu sein.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft