Barrierefreiheitsstärkungsgesetz (BFSG) im E-Commerce: Was Online-Shops seit Juni 2025 beachten müssen

Mann an einem Screenreader, der barrierefreie Websites ausliest
Mann an einem Screenreader, der barrierefreie Websites ausliest

Barrierefreiheitsstärkungsgesetz (BFSG) im E-Commerce: Was Online-Shops seit Juni 2025 beachten müssen

Seit dem 28. Juni 2025 ist in Deutschland das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft getreten, ein Meilenstein in Richtung digitale Barrierefreiheit. Das Gesetz setzt die EU-Richtlinie, den sogenannten European Accessibility Act (EAA), um und richtet sich an alle privaten Wirtschaftsakteure, die digitale Produkte und Dienstleistungen für Verbraucher anbieten. Das umfasst insbesondere Betreiber von Webseiten, Apps, Online-Shops und anderen digitalen Plattformen im E-Commerce. Konkret betrifft das BFSG:

Kategorie Beispiele
Digitale Produkte
  • Computer (Desktops, Laptops)
  • Tablets
  • Smartphones und Mobiltelefone
  • E-Book-Lesegeräte
  • Zahlungsterminals (z. B. Kassenterminals)
  • Selbstbedienungsterminals (Geldautomaten, Check-in-Automaten)
  • Endgeräte für Telekommunikation (Router, Modems)
  • Smart-TVs, Streaming-Receiver
Digitale Dienstleistungen
  • Telekommunikationsdienste (Telefonie, Messenger)
  • Online-Banking und andere Bankdienstleistungen
  • Elektronischer Geschäftsverkehr (Online-Shops, E-Commerce-Plattformen)
  • Online-Buchungsportale
  • Elektronische Tickets und Ticketdienste
  • Audiovisuelle Mediendienste (Video-on-Demand)
  • Personentransportdienste (Fahrpläne, Ticket-Apps)

Das Gesetz gilt für Angebote, die seit dem 28. Juni 2025 angeboten werden, und verpflichtet zur barrierefreien Gestaltung der Produkte und Dienstleistungen. 

Für Online-Shops, Apps und Webseiten gelten seitdem verbindliche Vorgaben, die sicherstellen sollen, dass Menschen mit Behinderungen uneingeschränkten Zugang zu digitalen Angeboten haben. In diesem Beitrag erklären wir Ihnen ausführlich, welche Vorschriften das BFSG für Online-Shop-Betreiber bereithält, wie die praktische Umsetzung funktioniert und welche Vorteile eine barrierefreie Gestaltung mit sich bringt.

Was ist das Barrierefreiheitsstärkungsgesetz?

Das BFSG ist ein deutsches Gesetz, das im Bereich der Barrierefreiheit digitale Produkte und Dienstleistungen für Menschen mit Behinderungen zugänglich machen soll. Ziel ist, Barrieren abzubauen und digitale Teilhabe auch für Menschen mit Seh-, Hör- oder motorischen Einschränkungen sowie kognitiven Beeinträchtigungen zu gewährleisten. Damit schafft das BFSG einen verbindlichen Rechtsrahmen für die Zugänglichkeit von Online-Angeboten.

Das Gesetz betrifft insbesondere private Wirtschaftsakteure, die Dienstleistungen und Produkte mit digitalen Schnittstellen anbieten. Dies umfasst neben öffentlichen Stellen erstmals umfassend auch Unternehmen im kommerziellen Bereich, u.a. im E-Commerce.

Wen betrifft das BFSG im E-Commerce?

Das Gesetz richtet sich vor allem an Betreiber von digitalen Plattformen und Online-Shops, die ihre Produkte und Angebote Verbrauchern zugänglich machen. Dazu gehören auch Online-Vermittlungsdienste sowie Betreiber von Buchungsportalen und Zahlungsservices im Netz. Dabei ist es unerheblich, ob die Angebote öffentlich oder nur für registrierte Nutzer zugänglich sind – Barrierefreiheit ist Pflicht.

Eine Ausnahme bilden Kleinstunternehmen mit weniger als zehn Beschäftigten und unter bestimmten Umsatzgrenzen. Auch reine B2B-Angebote sind weitgehend außen vor – der Fokus liegt auf dem Verbrauchermarkt.

Was bedeutet digitale Barrierefreiheit konkret?

Digitale Barrierefreiheit bedeutet, dass digitale Inhalte so gestaltet sind, dass sie für alle Menschen, unabhängig von Behinderungen, zugänglich und nutzbar sind. Hierzu gehören:

  • Mehrere Wahrnehmungskanäle: Inhalte müssen nicht nur visuell, sondern auch auditiv oder per Tastatur zugänglich sein.
  • Alternative Texte für Bilder, Videos und andere Mediendateien.
  • Vollständige Bedienbarkeit aller Funktionen über die Tastatur, ohne Maus.
  • Sichtbarer Tastaturfokus und logische Navigationsreihenfolge.
  • Kompatibilität mit assistiven Technologien (Screenreader, Braille-Zeilen etc.).
  • Verständliche Sprache mit Erklärungen zu Fachbegriffen und Abkürzungen.
  • Barrierefreie Gestaltung von Zahlungs- und Sicherheitsprozessen.
Für Online-Shops heißt das exemplarisch: Produktbeschreibungen müssen für alle Nutzer lesbar sein, der Checkout-Prozess darf niemanden ausschließen, und die Kontaktmöglichkeiten sollten barrierefrei verfügbar sein.

Rechtliche Grundlagen und Umsetzung

Das BFSG schreibt sowohl eine materielle als auch eine formelle Konformität vor:

  • Materielle Konformität: Digitale Angebote müssen die Anforderungen der Barrierefreiheits-Informations-Technik-Verordnung (BFSGV) erfüllen.
  • Formelle Konformität: Betreiber müssen eine barrierefreie Erklärung zur Barrierefreiheit veröffentlichen und diese aktuell halten.

Auch die Einhaltung europäischer harmonisierter Normen, insbesondere der EN 301 549, spielt eine zentrale Rolle. Diese Norm verweist für Webinhalte auf die international anerkannten WCAG 2.1 Richtlinien, die mindestens die Konformität auf Stufe A und AA vorsehen.

Die EN 301 549 wird aktuell noch weiterentwickelt, um den neuesten technischen Standards gerecht zu werden.

Fristen und Sanktionen

Für Online-Shops gibt es keine verlängerte Übergangsfrist: Alle digitalen Verkaufs- und Serviceangebote müssen seit dem 28. Juni 2025 vollständig barrierefrei sein.

Verstöße können zu:

  • Abmahnungen und Bußgeldern,
  • Marktüberwachungsmaßnahmen,
  • möglichen Verboten der Angebotsnutzung
  • und einem erheblichen Reputationsverlust

führen.

Eine Umsetzung schützt also nicht nur vor rechtlichen Konsequenzen, sondern verbessert auch die Kundenbindung.

Praktische Umsetzungsschritte für Online-Shop-Betreiber

1. Status quo ermitteln

Analysieren Sie Ihre Website, Ihren Online-Shop und Ihre Apps auf Barrieren,– unzureichende Farbkontraste, fehlende Alternativtexte, nicht tastaturbedienbare Elemente.

2. Barrierefreiheit integrieren

Optimieren Sie basierend auf den Kriterien der EN 301 549 und WCAG 2.1 Ihre digitale Präsenz:

  • Klare und gut lesbare Schriftarten und Farben
  • Wiedererkennbare Navigation, die mit der Tastatur bedienbar ist
  • Alternative Medienformate und einfache Sprache
  • Barrierefreie Gestaltung von Kontakt- und Zahlungsprozessen

3. Barrierefreie Erklärung erstellen

Stellen Sie transparent dar, wie barrierefrei Ihre digitale Plattform ist. Veröffentlichen Sie diese Erklärung barrierefrei und halten Sie sie aktuell.

4. Regelmäßige Kontrollen

Um die Barrierefreiheit dauerhaft sicherzustellen, sollten kontinuierliche Tests mit Accessibility-Tools sowie menschliche Prüfungen durchgeführt werden.

Vorteile von Barrierefreiheit im E-Commerce

Barrierefreiheit bietet nicht nur rechtliche Sicherheit, sondern auch einen handfesten wirtschaftlichen Vorteil:

  • Erreichen Sie eine größere und oft loyale Kundengruppe.
  • Verbessern Sie die Nutzererfahrung für alle Nutzer.
  • Steigern Sie Ihr Markenimage und die gesellschaftliche Akzeptanz.
  • Vermeiden Sie teure Rechtsstreitigkeiten und Bußgelder.

Integrationen in SEO und Online-Marketing

Das Thema Barrierefreiheit wird im Online-Marketing zunehmend wichtiger, nicht nur für die Nutzer, sondern auch für Suchmaschinen. Suchmaschinen wie Google bewerten barrierefreie Webseiten besser, da diese eine bessere Nutzerfreundlichkeit bieten.

Von Google selbst sind die WCAG-Richtlinien (aktuell Version 2.2) als Best Practice anerkannt, und sie sind Bestandteil der Google Webmaster Guidelines. Das bedeutet konkret, dass Seiten, die digitale Barrierefreiheit umsetzen und auf Accessibility achten, bessere Chancen auf ein höheres Ranking haben.

Zusammenfassung und Ausblick

Das Barrierefreiheitsstärkungsgesetz (BFSG) setzt klare Standards für die barrierefreie Gestaltung von digitalen Angeboten im E-Commerce. Für Online-Shop-Betreiber bedeutet dies, alle Leistungen umfassend zugänglich zu machen. Wenn Sie möchten, können Sie auch unseren Blogbeitrag „Das Barrierefreiheitsstärkungsgesetz“ lesen, den wir bereits im Januar dieses Jahres zu diesem Thema verfasst haben.

Barrierefreiheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Rankingfaktor im SEO. Sie führt zu einer besseren Nutzererfahrung, die von Google mit besseren Suchpositionen honoriert wird. Webseitenbetreiber profitieren somit doppelt: Sie erhalten rechtliche Sicherheit und werden in der Suche besser sichtbar.

Nutzen Sie die Zeit jetzt, um Ihr digitales Angebot rechtssicher, nutzerfreundlich und für alle Menschen zugänglich zu gestalten. So schaffen Sie eine inklusive digitale Zukunft und profitieren zugleich von einer erweiterten Kundenbasis und einem verbesserten Markenruf.

Für eine professionelle Umsetzung der Anforderungen unterstützen wir Sie gerne; kontaktieren Sie uns einfach. Unsere weitere Expertise zum Thema E-Commerce finden Sie auf unserer Seite zum „Onlinehandel”.

FAQs zum Barrierefreiheitsstärkungsgesetz (BFSG) im E-Commerce

Das BFSG ist ein deutsches Gesetz, das die digitale Barrierefreiheit stärken soll. Es setzt die EU-Richtlinie European Accessibility Act (EAA) um und zielt darauf ab, digitale Produkte und Dienstleistungen für Menschen mit Behinderungen zugänglich zu machen, um ihnen die uneingeschränkte Teilhabe am digitalen Leben zu ermöglichen.

Das Gesetz betrifft alle privaten Wirtschaftsakteure, die digitale Produkte und Dienstleistungen für Verbraucher anbieten. Das schließt insbesondere Betreiber von Online-Shops, Websites, Apps, E-Commerce-Plattformen, Online-Buchungsportalen und Online-Banking-Diensten ein. Ausgenommen sind in der Regel Kleinstunternehmen mit weniger als zehn Mitarbeitern und B2B-Angebote.

Digitale Barrierefreiheit bedeutet, dass digitale Inhalte so gestaltet sind, dass sie von allen Menschen genutzt werden können, unabhängig von einer Behinderung. Dazu gehört, dass Inhalte mit assistiven Technologien wie Screenreadern kompatibel sind, über die Tastatur bedienbar sind und Alternativtexte für Bilder und Videos bereitgestellt werden.

Für Online-Shops gibt es keine verlängerte Übergangsfrist. Alle digitalen Verkaufs- und Serviceangebote, die nach dem 28. Juni 2025 auf den Markt gebracht werden, sollten barrierefrei sein. Sollte eine vollständige Barrierefreiheit noch nicht gegeben sein, müssen die entsprechenden Einschränkungen in der Barrierefreiheitserklärung angegeben und kontinuierlich an deren Beseitigung gearbeitet werden.

Bei einem Verstoß gegen das Gesetz drohen rechtliche Konsequenzen wie Abmahnungen und Bußgelder. Darüber hinaus können Marktüberwachungsmaßnahmen und im schlimmsten Fall ein Verbot der Angebotsnutzung verhängt werden, was zu einem erheblichen Reputationsverlust führen kann.

Suchmaschinen wie Google bewerten barrierefreie Webseiten besser, da sie eine höhere Nutzerfreundlichkeit bieten. Die WCAG-Richtlinien, die eine zentrale Rolle im BFSG spielen, sind von Google als Best Practice anerkannt. Die Umsetzung von Barrierefreiheit kann daher zu einem besseren Ranking und einer höheren Sichtbarkeit in den Suchergebnissen führen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Der Entwicklungsstand der KI-Verordnung

Der Entwicklungsstand der KI-Verordnung

Die Europäische Verordnung über künstliche Intelligenz (KI-Verordnung bzw. AI-Act) ist am 01. August 2024 in Kraft getretenwobei einzelne Regelungen sukzessive wirksam werden. Zu den einzelnen Änderungen finden Sie hier bereits erste Informationen. Die KI-Verordnung differenziert in ihren Verpflichtungen nach der Zuordnung zu Risikogruppen der jeweiligen KI-Systeme.

Pflichten ab Februar 2025

Ab dem 02. Februar 2025 werden die Titel I und II der KI-Verordnung wirksam.  

Der erste Teil enthält allgemeine Bestimmungen, namentlich den Gegenstand des Gesetzes, den Anwendungsbereich, die Definitionen sowie Regelungen der sogenannten KI-Kompetenz.

Anbieter und Betreiber müssen die KI-Kompetenz ihrer Mitarbeitenden sicherstellen. Das beinhaltet umfassende technische Kenntnisse, Erfahrung sowie die Ausbildung und Schulung im Bereich der Künstlichen Intelligenz. Davon umfasst sind auch Unternehmen, die mit KI arbeiten. 

Die KI-Verordnung sieht keine konkreten Maßnahmen vor, um die geforderte KI-Kompetenz zu vermitteln. Allerdings wird das bloße Selbststudium den Anforderungen nicht genügen. Vielmehr sollen Schulungen und Weiterbildungsprogramme dafür sorgen, dass ein einheitlicher Wissens- und damit auch Kompetenzstand erreicht wird. Gegenwärtig wird an Leitlinien zur Umsetzung des AI-Acts gearbeitet, welche beispielsweise die Ernennung eines KI-Beauftragten sowie entsprechende Arbeitsgruppen einbeziehen.

Im zweiten Teil werden in dem einzigen Artikel 5 verbotene Praktiken im Zusammenhang mit Künstlicher Intelligenz statuiert. Das sind zum Beispiel Social Scoring oder Systeme zum Zweck der kognitiven Verhaltensmanipulation. Maßgebend ist, dass bei diesen KI-Praktiken eine Bedrohung in der Form ausgeht, dass sie täuschen oder Personen aufgrund gewisser Merkmale zu einem bestimmten Verhalten manipulieren. Die Verwendung solcher KI-Systeme ist im Allgemeinen eher selten, aber dennoch sollten bereits verwendete Systeme überprüft werden. Auch zunächst harmlos wirkende Funktionen, wie zum Beispiel die Feststellung der Stimmung in Video-Konferenzen kann darunterfallen. Solche Praktiken sind nur in Ausnahmefällen zulässig.


Probleme der neuen Pflichten

Problematisch ist, dass es keine Frist zur Umsetzung von Schulungen gibt. Ab Wirksamwerden müssen die Mitarbeitenden lediglich über ausreichende Kompetenz verfügen. In Verbindung mit der fehlenden Nennung von geeigneten Maßnahmen in der KI-Verordnung selbst führt dies zu einer gewissen Unsicherheit, wie ein hinreichender Stand an KI-Kompetenz überhaupt erreicht werden kann.

In dem Zusammenhang ist auch zu beachten, dass die Kontrolle der Umsetzung der Verpflichtungen den nationalen Behörden obliegen soll. In Deutschland wird voraussichtlich die Bundesnetzagentur die Aufsicht übernehmen, die Einrichtung der Aufsichtsbehörde soll jedoch erst zum 02. August 2025 erfolgen. Mangels bestehender Aufsichtsbehörde ist zunächst unklar, was die Konsequenz einer Nichteinhaltung sein wird. Nicht geklärt ist deshalb, ob ungeschulte Mitarbeitende ab Wirksamwerden nicht mehr mit KI arbeiten dürfen.

Unternehmen sollten jedoch im Auge behalten, dass eine unterlassende Schulung der Mitarbeitenden eine Schadensersatzpflicht auslösen kann, sofern ein Schaden durch die Verwendung Künstlicher Intelligenz entstanden ist, welcher bei ordnungsgemäßer Schulung hätte verhindert werden können. 

Das führt dazu, dass eine entsprechende Schulung eine Sorgfaltspflicht der Unternehmen darstellt und aufgrund der potenziellen Schadensersatzpflicht im Eigeninteresse der Anbieter oder Betreiber liegt.

 

Wirksamwerden weiterer Pflichten

Schrittweise werden weitere Regelungen der KI-Verordnung wirksam.

Ab dem 02. August 2025 treten neben Verwaltungsvorschriften auch Regelungen über KI-Systeme für allgemeine Zwecke in Kraft. Unter „allgemeine Zwecke“ sind vielseitig einsetzbare KI-Systeme zu verstehen. Anbieter von solchen Systemen, die vor diesem Zeitpunkt in den Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 02. August 2027 mit den Vorschriften des AI-Acts in Einklang gebracht werden.

Ab diesem Zeitpunkt sollen Behörden in den Mitgliedsstaaten eingerichtet werden, welche Konformitätsbewertungen von Hochrisiko-Systemen vornehmen. Außerdem sollen auch auf Unionsebene Verwaltungsapparate eingerichtet werden, nämlich ein Büro für Künstliche Intelligenz und ein entsprechendes Gremium. Zusätzlich treten die in Kapitel 12 genannten Sanktionen in Kraft.

Die meisten übrigen Bestimmungen werden am 02. August 2026 wirksam, mit Ausnahme des Art. 6 Abs. 1 KI-VO. Das sind umfassende Regelungen für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen innerhalb der Europäischen Union. 

Ab dem 02. August 2027 werden die Vorschriften auf risikobehaftete Systeme ausgeweitet, die bereits durch andere EU-Bestimmungen reguliert werden. Bestandteile von bestimmten IT-Großsystemen, die vor diesem Zeitpunkt in den Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 31. Dezember 2030 mit den Vorschriften der KI-Verordnung konform sein. 

Worauf sollten Unternehmen achten?

Unternehmen sollten vor allem auf die Schulung ihrer Mitarbeitenden achten. Sofern ein sicherer und fachkundiger Umgang jeder Person, die mit Künstlicher Intelligenz arbeitet, sichergestellt ist, kann der Angst einer Schadensersatzpflicht vorgegriffen werden. Außerdem ist es sinnvoll, bereits vor Inkrafttreten festzustellen, welche Arten der KI in dem Unternehmen genutzt werden, um künftige Pflichten eingrenzen zu können. Vorab kann eine Information über Schulungs- oder Weiterbildungssysteme sowie die Einteilung nach Wissensstand helfen, um den Bedarf im Unternehmen zu ermitteln. Auch eine etwaige Beteiligung des Betriebsrats muss berücksichtigt werden.

Außerdem sollten Sie bereits jetzt sicherstellen, dass Sie kein verbotenes KI-System im Sinne des Art. 5 Abs. 1 KI-VO verwenden und falls doch, ob eine Ausnahme greift.

Gerne prüfen wir Ihre bereits verwendeten Systeme und unterstützen Sie im Hinblick auf geeignete Maßnahmen für einen mit der KI-Verordnung konformen Umgang mit Künstlicher Intelligenz. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Das Barrierefreiheitsstärkungsgesetz

Das Barrierefreiheitsstärkungsgesetz

Bietet Ihr Unternehmen eine Ware oder eine Dienstleistung innerhalb der Europäischen Union an? Allein das kann bedeuten, dass Sie künftig einige neue Regelungen zu beachten haben. 

Einführung

Am 28. Juni 2025 soll das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft treten, welches die Richtlinie (EU) 2019/882 über die Barrierefreiheitsanforderungen bei Produkten und Dienstleistungen (European Accessibility Act, kurz: EAA) in das deutsche Recht umsetzt.

Enthalten sind Regelungen, die eine gleichberechtigte und diskriminierungsfreie Teilhabe durch technische Anforderungen sowie barrierefreie Information bei bestimmten Produkten und Dienstleistungen ermöglichen sollen. In den Mitgliedstaaten der Europäischen Union soll so ein einheitlicher Standard geschaffen werden. Eine größere Verfügbarkeit günstiger barrierefreier Produkte und Dienstleistungen führt im Idealfall auch zu einer Stärkung des Europäischen Binnenmarkts.

Von den Regelungen betroffen sind jegliche Marktakteure, die Produkte der folgenden Kategorien oder eine der folgenden Dienstleistungen im Europäischen Binnenmarkt anbieten. Gemeint sind damit Hersteller, Importeure, Händler oder Erbringer von Dienstleistungen.

Am 28. Juni 2025 soll das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft treten, welches die Richtlinie (EU) 2019/882 über die Barrierefreiheitsanforderungen bei Produkten und Dienstleistungen (European Accessibility Act, kurz: EAA) in das deutsche Recht umsetzt.

Enthalten sind Regelungen, die eine gleichberechtigte und diskriminierungsfreie Teilhabe durch technische Anforderungen sowie barrierefreie Information bei bestimmten Produkten und Dienstleistungen ermöglichen sollen. In den Mitgliedstaaten der Europäischen Union soll so ein einheitlicher Standard geschaffen werden. Eine größere Verfügbarkeit günstiger barrierefreier Produkte und Dienstleistungen führt im Idealfall auch zu einer Stärkung des Europäischen Binnenmarkts.

Von den Regelungen betroffen sind jegliche Marktakteure, die Produkte der folgenden Kategorien oder eine der folgenden Dienstleistungen im Europäischen Binnenmarkt anbieten. Gemeint sind damit Hersteller, Importeure, Händler oder Erbringer von Dienstleistungen.

 

Betroffene Produkte und Dienstleistungen

Von dem Gesetz umfasst sind Produkte oder Dienstlesitungen, die dem Verbraucher gegenüber angeboten werden. Das bedeutet im Umkehrschluss, dass rein private Angebote sowie Angebote im B2B-Bereich (Business to Business) nicht in den Anwendungsbereich fallen.


Zu den betroffenen Produkten gehören folgende Produkte, die nach dem 28.06.2025 in den Verkehr gebracht worden sind:


–  E-Book-Lesegeräte, Computer, Notebooks, Tablets, Smartphones

– Selbstbedienungsterminals, also Zahlungsterminals, Geldautomaten, Fahrausweisautomaten, Check-In-Automaten, Selbstbedienungsterminals zur Bereitstellung von Informationen

–      Hardwaresysteme inklusive Betriebssystemen

– Verbrauchergeräte  mit interaktivem Leistungsumfang, die für Telekommunikationsdienste oder für den Zugang zu audiovisuellen Mediendiensten verwendet werden 

 

Von dem BFSG betroffen sind folgende Dienstleistungen:


  – Dienstleistungen im elektronischen Geschäftsverkehr, was bedeutet, dass grundsätzlich Webshops und Apps betroffen sind

  – Telekommunikations- und Messengerdienste

  – Bankdienstleistungen für Verbraucher 

  – E-Books und hierfür bestimmte Software

  – Elemente von Personenbeförderungsdiensten, damit sind Apps, Webseiten, elektronische Tickets, die Bereitstellung von Verkehrsinformationen und interaktive Selbstbedienungsterminals gemeint 

 

Regelungen im Einzelnen 

Im Vordergrund stehen Maßnahmen, die es den Verbrauchern ermöglichen sollen, Produkte oder Dienstleistungen ohne Einschränkungen in Anspruch nehmen zu können.
 

Das soll dadurch gewährleistet werden, dass eine Wahrnehmung grundsätzlich immer über zwei Sinne möglich ist. Neben der Möglichkeit einer visuellen Wahrnehmung, muss künftig also beispielsweise auch eine auditive Wahrnehmung zur Verfügung stehen. Daneben muss es für den Verbraucher ohne Probleme möglich sein, durch Einstellungen Einfluss auf die Darstellung zu nehmen. Als Beispiele sind hierfür sind 

–  die Veränderung der Schriftgröße oder

– des Kontrastes 

– die Einstellung verschiedener Farben oder Lautstärken

– die Auswahl, das ein Text vorgelesen wird

 

zu nennen. 

Weitere Maßnahmen sind insbesondere Kennzeichnungspflichten, verständliche Gebrauchsanweisungen und Sicherheitsinformationen, wobei diese Informationen auch leicht auffindbar oder aufrufbar sein müssen.

 

Bei Produkten müssen die Vorgaben auch im Rahmen von Gebrauchsanweisungen sowie Verpackungen beachtet werden. Wichtig ist, dass die gesamte Steuerung, Bedienung oder auch Kommunikation mit dem Lieferanten oder Hersteller im Zusammenhang mit einem Produkt einfach und verständlich erfolgt, so dass jeglicher Umgang mit demselben für den Verbraucher reibungslos funktioniert. Auch unabhängig von motorischen Fähigkeiten muss der Gebrauch möglich sein, was im Hinblick auf Verpackungen von Relevanz sein könnte.

 

Dienstleister sollen im Wege der Allgemeinen Geschäftsbedingungen über die Barrierefreiheit der Dienstleistung aufklären und die Inanspruchnahme ihrer Leistung in barrierefreierweise erläutern. Hersteller unterliegen Dokumentations-, Informations- sowie Kennzeichnungspflichten, während Händler Prüfpflichten erfüllen müssen und die Verantwortung für die Lieferkette tragen.

 

Eine Besonderheit des Gesetzes ist, dass Webseiten, die auf den Abschluss eines Verbrauchervertrages zielen, ebenfalls den Anforderungen unterliegen. Damit unterfallen bereits Buchungsportale für Dienstleistungen dem Gesetz, obwohl die Dienstleistung selbst möglicherweise gar nicht den Barriere-Anforderungen entsprechen muss. Das birgt die Gefahr, dass von Dienstleistungserbringern schlichtweg übersehen werden kann, dass sie die Barriere-Anforderungen umsetzen müssen. 

 

Von den Regelungen umfasst sein werden Produkte oder Dienstleistungen, die nach dem 28. Juni 2025, also nach Inkrafttreten des BFSG, in den Verkehr gebracht oder für Verbraucher erbracht werden. Die Normen verpflichten Hersteller, Händler, Importeure und Dienstleistungserbringer. 

 

Ausnahmen des BFSG

Ausnahmen bestehen dann, wenn zum Beispiel Webseiten nach dem 28.06.2025 nicht mehr aktualisiert oder bearbeitet werden oder bei aufgezeichneten zeitbasierten Medien, die vor dem 28.05.2025 veröffentlicht wurden. Gemeint sind damit Audio- oder Videoaufnahmen. 

 

Dienstleistungen unter Einsatz von Produkten, die vor dem 28.06.2025 rechtmäßig eingesetzt wurden, dürfen noch bis zum 27.06.2030 erbracht werden.

 

Kleinstunternehmen, die eine der obengenannten Dienstleistungen erbringen, sind von dem Anwendungsbereich ausgenommen. Das sind Unternehmen, die weniger als zehn Personen beschäftigten und entweder einen Jahresumsatz von höchstens 2 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 2 Millionen Euro beläuft. Stellt ein Kleinstunternehmen jedoch eines der genannten Produkte her, so ist es zur Barrierefreiheit verpflichtet. 

 

Sofern die Einhaltung der Anforderungen für ein Unternehmen ein wirtschaftliches Risiko darstellt, kann das Unternehmen von der Verpflichtung ausgenommen werden. 

 

Allein diese Ausnahmen zeigen, dass das BFSG viele Sonderfälle enthält. Eine Einzelfallprüfung, welche Maßnahmen bis zu welchem Zeitpunkt ergriffen werden müssen, ist dementsprechend unerlässlich.

 

Schlussbetrachtung: Was haben Unternehmen zu beachten?

Im Ergebnis sollte im Wege des BFSG beachtet werden, dass die dem Verbraucher und damit auch der Allgemeinheit zugutekommenden Vorschriften auch zu einem entscheidenden Vorteil von Unternehmen führen kann. Sofern ein Unternehmen Produkte oder Dienstleistungen sowohl auf dem EU-Binnenmarkt als auch in Drittländern anbietet, kann der hohe Standard an Barrierefreiheit zu einem wettbewerblichen Vorteil führen. Mit standardisierten technischen Verfahren sollte eine Umsetzung der Vorschriften künftig auch ohne großen Mehraufwand möglich sein.

Gerne beraten und unterstützen wir Sie bei der Überprüfung Ihrer Webseiten, Dienstleistungen und Produkten sowie der Umsetzung der Barriere-Anforderungen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Hackerangriff bei Motel One

Hackerangriff bei Motel One

Nach einem Hackerangriff der Cybergang ALPHV wurden schätzungsweise 6 Terabyte Daten im Darknet veröffentlicht. Angegriffen wurde die Hotelgruppe Motel One. 

Publik geworden sind hierbei insbesondere Adress- und Buchungsdaten der Hotelgäste, sowie 150 Kreditkartendaten. Laut Aussage von Motel One wurden zumindest diejenigen Gäste informiert, deren Kreditkartendaten veröffentlicht worden sind bereits informiert. Motel One hat dazu selbst Informationen auf der Unternehmenswebsite veröffentlicht.

Nach Presseinformationen sind ebenfalls nahezu vollständige Übernachtungslisten beginnend mit dem Jahr 2016 enthalten. Ob diese rechtmäßig in derartigem Umfang gespeichert werden durften, wird derzeit hinterfragt.

Ob auch Ihre Daten von dem Angriff bei Motel One betroffen sind oder bei einem anderen Datenleck veröffentlicht wurden, können Sie mit dem Identity Leak Checkers des Hasso-Plattner-Instituts überprüfen.

Fragen Sie sich, welche Rechte Ihnen als betroffene Person aus Datenschutzgesichtspunkten zustehen? Betroffene können Ihr Recht auf Auskunft (Art. 15 DS-GVO), das Recht auf Berichtigung oder Löschung (Art. 16 und Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) sowie das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) gegenüber dem Verantwortlichen geltend machen. Sollten Sie der Ansicht sein, dass die Verarbeitung gegen Datenschutzrecht verstößt, haben Sie gemäß Art. 77 Abs. 1 DS-GVO das Recht, sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren. Darüber hinaus sind auch mögliche Schadensersatzansprüche denkbar. Melden Sie sich dazu gerne bei unserem Team.
Gerne beraten wir auch Ihr Unternehmen hinsichtlich der Punkte zu Datensparsamkeit und rechtssicheren Löschkonzepten, die die Verarbeitung von personenbezogenen Daten minimieren und somit eine geringere Angriffsfläche für etwaige Hackerangriffe bieten können.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

NIS-2 – Jetzt bereits die Anforderungen kennenlernen

NIS-2 – Jetzt bereits die Anforderungen kennenlernen

Oktober 2024 kommt schneller als man denkt

Einleitung

Spätestens seit der pandemiebedingten Kontaktreduktion hat die digitale Transformation auch in Deutschland alle gesellschaftlichen Bereiche durchzogen. Doch besonders im Bereich der kritischen Infrastruktur ist die Digitalisierung auch durchaus risikobehaftet: Unternehmen, Staatsbetriebe und Behörden sehen sich einer steigenden Bedrohung durch Cyberangriffe und -attacken ausgesetzt, denen sie mit geeigneten Maßnahmen begegnen müssen.

Wie real diese Bedrohung ist, zeigte in den letzten Jahren allein in Deutschland der lebensbedrohliche Hackerangriff auf das Uniklinikum Düsseldorf im Jahr 2020, die Cyberattacke auf den IT-Dienstleister der Landeshauptstadt Schwerin 2021, und jüngst mit dem wiederholten Angriff (sog. Brute-Force-Attacke) auf die Systeme der Stadt Potsdam im Dezember 2022, nachdem sie bereits 2020 Gegenstand einer Cyberattacke war.

Diese Entwicklung beobachtet auch die Europäische Union kritisch und hat daher bereits 2016 mit der Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS) die erste EU-weite Gesetzgebungsmaßnahme für Einrichtungen im Bereich der kritischen Infrastruktur getroffen, um auf ein einheitliches, sich gegenseitig unterstützendes Cybersicherheitsniveau in den EU-Mitgliedstaaten hinzuwirken. Die Umsetzung erfolgte in Deutschland vor allem über Anpassungen des IT-Sicherheitsgesetzes, welches aber auch zuvor schon viele Anforderungen erfüllte.

Nach der Überprüfung dieser Richtlinie und ihrer Wirkung hat die EU es jedoch für erforderlich gehalten, die bereits bestehende Richtlinie nachzuschärfen. So wurde vergangenen November vom Rat der Europäischen Union und dem Europäischen Parlament die überarbeitete sogenannte NIS-2-Richtlinie angenommen. Am 27.12.2022 ist sie dann veröffentlicht worden und am 16.01.2023 in Kraft getreten.

1. Erweiterung und Konkretisierung des Anwendungsbereichs

Welche Sektoren betrifft die Richtlinie?

In den Anhängen I und II sind insgesamt achtzehn Sektoren definiert, in der ersten NIS-Richtlinie waren es nur sieben Sektoren. Zudem wurden die Sektoren in „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“ aufgegliedert.

Sektoren mit hoher Kritikalität

(Anhang I)

  • Energie (Elektrizität; Fernwärme und -kälte; Erdöl; Erdgas; Wasserstoff)
  • (Luft-, Schienen-, Straßen-)Verkehr und Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT (B-to-B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II)

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handeln mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste, konkret: Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke
  • Forschung

 

Für welche öffentliche und private Einrichtungen innerhalb der Sektoren gilt die Richtlinie? 

Die Richtlinie regelt durch einheitliche Kriterien, welche öffentlichen und privaten Einrichtungen, die innerhalb der Sektoren tätig sind, verpflichtet werden (Art. 2):

  • alle Unternehmen, ab einer Beschäftigtenanzahl von 50 Personen und einem Jahresumsatz bzw. einer Jahresbilanz von mindestens 10 Millionen Euro
  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten
  • Vertrauensdiensteanbieter
  • Namenregister der Domäne oberster Stufe (Registries) und DNS-Diensteanbieter
  • Einrichtung, die im jeweiligen Mitgliedstaat einziger Anbieter eines Dienstes sind, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten unerlässlich ist
  • Einrichtungen, die auf nationaler oder regionaler Ebene für den betreffenden Sektor, die betreffende Art des Dienstes oder für andere voneinander abhängige Sektoren im jeweiligen Mitgliedstaat eine besondere Bedeutung haben
  • Einrichtungen, bei denen sich eine Störung des von der Einrichtung erbrachten Dienstes wesentlich auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte
  • Einrichtungen, bei denen eine Störung ihrer Dienste zu einem wesentlichen Systemrisiko führen könnte
  • bestimmte kritische Einrichtungen der öffentlichen Verwaltung
  • Ggf. Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen, sofern der jeweilige Mitgliedstaat dies bestimmt
  • Einrichtungen, die Domänennamenregistrierungsdienste erbringen (Registrare)
  • Einrichtungen, die von dem jeweiligen Mitgliedstaat nach Art. 6 der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden

2. Festlegung konkreter Pflichten für betroffene Einrichtungen:

  • Pflicht zum Ergreifen von Risikomanagementmaßnahmen in einem durch die Richtlinie festgelegten Mindestumfang (vgl. Art. 21 Abs. 2)
  • Berichtspflichten gegenüber bestimmten nationalen Stellen/Behörden (Art. 23)
  • Ggf. Pflicht zur Verwendung spezieller IKT-Produkte, -Dienste und -Prozesse, die im Rahmen europäischer Schemata für die Cybersicherheitszertifizierung zertifiziert sind, sofern der jeweilige Mitgliedstaat dies bestimmt
  • Für Registries und Registrare: Pflicht, zukünftig genaue und vollständige Domänennamen-Registrierungsdaten unter Beachtung der Datenschutzbestimmungen in einer eigenen Datenbank zu sammeln und zu pflegen, zu validieren und zu beauskunften (Art. 28).

Die Einhaltung dieser Pflichten soll durch nationale Aufsichtsbehörden kontrolliert und bei Nichteinhaltung mit Geldbußen sanktioniert werden. Die konkrete Ausgestaltung der Aufsichts- und Durchsetzungsmaßnahmen erfolgt durch die Mitgliedstaaten, wobei die Richtlinie auch in diesem Bereich Vorgaben macht.

3. Bestimmung des Verhältnisses zu sektorspezifischen Rechtsvorschriften

Gibt es für die erfassten Sektoren bereits spezielle, mindestens gleich wirksame EU-Vorschriften, wie beispielsweise in der Verordnung über die digitale operative Betriebsstabilität digitaler Systeme des Finanzsektors (DORA – Digital Operational Resilience Act) und aufgrund der Richtlinie über die Resilienz kritischer Einrichtungen (CER – Critical Entities Resilience Directive), sind diese vorrangig anzuwenden (Art. 5).

4. Ausweitung der Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten durch…

  • das (bereits zuvor bestandene) Netzwerk der nationalen Computer-Notfallteams (CSIRTs)
  • Einrichtung einer europäische Schwachstellendatenbank durch die Agentur der Europäischen Union für Cybersicherheit (ENISA) auf Basis von Mitteilungen mitgliedstaatliche CSIRT Koordinatoren
  • Schaffung des Europäischen Netzwerkes der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe)
  • Veranstaltung von themenbezogenen Peer Reviews durch Sachverständige für Cybersicherheit (Teilnahme freiwillig)

Umsetzung der Richtlinie

Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten durch eigene Gesetzgebung in nationales Recht umsetzen. Die Richtlinie legt nur Mindestanforderungen im Bereich der Cybersicherheit fest, sodass die Mitgliedsstaaten nach Belieben auch ein höheres Schutzniveau etablieren können.
Für Unternehmen empfiehlt es sich bereits jetzt zu kontrollieren, ob sie (neuerdings) von der Richtlinie betroffen sind und falls ja, die Planung der Neuerungen voranzutreiben. Die technische Umsetzung kann teilweise viel Zeit in Anspruch nehmen und die reale Gefahr von Cyberangriffen besteht unabhängig von der gesetzlichen Absicherung.

Falls Sie Fragen bezüglich der Richtlinie oder der dadurch erforderlich werdenden Anpassungen haben, beraten wir Sie gerne.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Gatekeeper an die Leine: der Digital Markets Act

Digital Markets Act und Digital Service Act

Die EU nimmt Gatekeeper ins Visir

Digital Markets Act und Digital Service Act

Der Digital Markets Act und Digital Service Act

Einleitung

Die EU will sog. Gatekeeper-Unternehmen wie Google, Amazon oder Apple künftig in ihrer Marktmacht regulieren zugunsten fairer Wettbewerbsbedingungen für digitale Unternehmen. Dafür werden derzeit zwei Gesetzespakete entwickelt, der »Digital Services Act« und der »Digital Markets Act«. Noch sind sich EU-Parlament und der Ministerrat nicht einig, aber es gibt Fortschritte.

Das Gesetzesvorhaben für den Digital Markets Act wurde bereits im Dezember 2020 initiiert. Am 24. März 2022 gab es dann endlich eine erste Einigung.

Diese Einigung muss noch von den EU-Abgeordneten und Mitgliedstaaten offiziell angenommen werden, was vermutlich einige Zeit in Anspruch nehmen wird.

Ein Parallelvorhaben ist der Digital Services Act (DSA), der bereits im Januar 2022 im EU-Parlament beschlossen wurde.

Beide Gesetzesentwürfe sollen nach Abschluss aller Verhandlungen in Form einer Verordnung umgesetzt werden, die dann für sämtliche Mitgliedstaaten gelten wird.

Ein Inkrafttreten beider Gesetzesvorhaben wird allerdings nicht vor 2023 erwartet.

Was regelt der Digital Markets Act?

Der Digital Markets Act will verhindern, dass Unternehmen überhaupt erst zu Gatekeeper-Unternehmen heranwachsen können, bevor sie (kartell-)rechtlich verfolgt werden. Die Regulierungen zielen auf rechtzeitige und angemessene Maßnahmen ab, die es Einzelunternehmen erschweren, ihre Marktmacht auszubauen und die Entwicklung der Konkurrenz zu verhindern.

Als Gatekeeper werden solche Unternehmen bezeichnet,

  • die mindestens 6,5 Mrd. EURO Jahresumsatz im europäischen Wirtschaftsraum erzielen,
  • sowie über 45 Mio. Endnutzer pro Monat haben und
  • über 10 Tsd. gewerbliche Nutzer nachweisen.

Außerdem müssen sie einen signifikanten Einfluss im Binnenmarkt ausüben, d.h. in mehreren Mitgliedstaaten unternehmerisch aktiv sein. Dafür ist es nicht erforderlich, dass das Unternehmen seinen Sitz in der EU hat. Zurzeit erfüllen ungefähr 10 bis 15 Unternehmen diese Kriterien, wie beispielsweise Google, Amazon, facebook, Apple & Co.

Die Feststellung, ob man als Gatekeeper-Unternehmen gilt, müssen die Unternehmen zunächst selbst vornehmen. Gemäß des DMA trifft die Unternehmen diesbezüglich eine Anzeigepflicht gegenüber der EU-Kommission.

Wie werden Gatekeeper künftig reguliert?

  • Gatekeeper dürfen keine unfairen Bedingungen für andere Unternehmen, Geschäftskunden und Verbraucher schaffen. Hier orientiert sich der Regelgeber an bereits laufenden oder abgeschlossenen Untersuchungsverfahren wegen Missbrauchs der Marktmacht.
  • Bei Firmenübernahmen soll mehr Kontrolle ausgeübt werden können, damit kleinere Unternehmen nicht einfach vom Markt weggekauft werden.
  • Gewerbliche Nutzer sollen auf Kunden- und Transaktionsdaten zuzugreifen können, jedoch nur auf solche, welche sie selbst auf den Gatekeeper-Plattformen generieren. Derartiges ist für Händler von Verkaufsplattformen zurzeit nicht möglich.
  • Eine der Kernforderungen ist die Interoperabilität von Messenger-Diensten. Es sollen künftig Nachrichten zwischen verschiedenen Anbietern verschickt werden können.
  • In Sachen personalisierte Werbung gibt es zwar kein absolutes Verbot, dennoch sollen Minderjährige stärker geschützt werden. Die Datenzusammenführung ohne vorherige ausdrückliche Einwilligung wird verboten.
  • Auch dürfen Gatekeeper nicht mehr auf die Suchergebnisanzeige einwirken, um ihre eigenen Dienste und Produkte höher zu setzen, sog. self-preferencing.
  • Sie dürfen Kunden nicht mehr daran hindern, sich an Unternehmen außerhalb ihrer Plattform zu wenden.

In strengen Ausnahmesituationen soll es sogar erlaubt sein, Gatekeeper-Konzerne zu zerschlagen, wenn diese wiederholt und systematisch gegen die Auflagen verstoßen.

Ansonsten arbeitet der DMA mit Bußgeldern in Höhe von bis zu 10 % des Jahresumsatzes. Das EU-Parlament forderte sogar eine Bußgeldhöhe von bis zu 20 % des Jahresumsatzes. Diese Forderung fand jedoch keine Zustimmung.

Was regelt der Digital Services Act?

Der Digitale Services Act beschränkt sich im Gegensatz zum DMA nicht nur auf Gatekeeper-Unternehmen, sondern richtet sich an alle digitalen Dienste. Daher werden auch Internetprovider, Vergleichs- oder Buchungsportale, App-Stores oder Cloud-Services eingeschlossen. Der DSA möchte eine sichere und vertrauenswürdige Online-Umgebung für alle schaffen.

Um Benachteiligungen zu vermeiden, werden die Unterschiede der verschiedenen Dienste im Rahmen eines abgestuften Regelungssystems innerhalb des DSA berücksichtigt. Auch die E-Commerce-Richtlinie (2000/31/EC) wird teilweise abgelöst. Es hat sich gezeigt, dass die Mitgliedstaaten jeweils ihre eigenen nationalen Regelungen eingeführt haben, was zu einem unübersichtlichen Flickenteppich an Vorschriften geführt hat. Das möchte der DSA korrigieren.

Der bisherige Gesetzesentwurf ist umfangreicher als der Gesetzesentwurf zum DMA. Er zielt auf den Schutz der Nutzer ab.

Nachfolgend geben wir Ihnen einen groben Überblick über die Themen, die im DSA künftig geregelt werden:

  • Online-Marktplätze sollen die Identität ihrer Händler verstärkt prüfen, um Produktsicherheit zu gewährleisten. Damit entstehen unter anderem neue “due-diligence-Pflichten“ für Online-Marktplätze. Durch die Identitätsprüfung ist es Markeninhabern auch möglich, besser gegen Produktfälschungen vorzugehen. Zusätzlich sollen sog. Trusted Flagger zum Einsatz kommen, damit man zuverlässige Händler besser erkennen kann.
  • Große Plattformbetreiber, sog. VLOPs (Very Large Online Platforms), sollen jährlich mindestens eine eigene Risikobewertung vornehmen, um zu überprüfen, wie sich die Verbreitung illegaler oder falscher Inhalte auswirkt. Sie sollen illegale oder falsche Inhalte löschen oder gezielt moderieren können. Empfehlungssysteme sorgen dabei für zuverlässigere Informationsquellen. Insbesondere illegale Inhalte sollen durch Host-Provider schneller entfernt werden dürfen (Notice-and-Action-System). Dem Nutzer wird vor der Löschung jedoch eine Widerspruchsmöglichkeit eingeräumt.
  • Die Funktionsweise von Algorithmen soll transparenter werden, damit Nutzer ein besseres Verständnis für die technischen und analytischen Abläufe bekommen. Dies soll ihnen helfen, Suchmaschinen und ihre Ergebnisse zu verstehen.
  • An Minderjährige gerichtete personalisierte Werbung soll gänzlich verboten sein. Volljährige Nutzer dagegen können selbst entscheiden, ob ihnen personalisierte Werbung angezeigt wird oder nicht. Ganz wichtig: Den Nutzern sollen die Abläufe im Hintergrund transparent gemacht werden, damit sie verstehen können, wie es überhaupt dazu kommt, dass ihnen ganz bestimmte Werbung angezeigt wird.
  • Einfach zugängliche Meldesysteme soll es Nutzern und Betroffenen künftig leichter machen, sich zu beschweren.

Hinsichtlich der VLOPs behält sich die Kommission eigene Untersuchungs- und Eingriffsbefugnisse vor. Die Durchsetzung des DSA hingegen ist Sache der einzelnen Mitgliedstaaten.

Bei Verstößen wird ein Bußgeld in Höhe von 6 % des weltweiten jährlichen Konzernumsatzes fällig.

Kritik

Es klingt erst einmal gut, dass Großplattformbetreiber und Gatekeeper an die Leine genommen werden sollen, um Platz für fairen Wettbewerb zu lassen.

Dennoch sind die avisierten Regelungen auch kritisch zu betrachten.

Es ist gewagt, ein völlig neues Regulierungsmodell zu schaffen, ohne dieses mit den bereits vorhandenen wettbewerbsrechtlichen Vorschriften zu verknüpfen.

Es besteht die Gefahr einer doppelten Verfolgung, einmal im Rahmen der Verordnung und andererseits nach europäischen wettbewerbsrechtlichen Regelungen. In diesem Zusammenhang ist auch noch nicht geklärt, in welchem Verhältnis das nationale Kartellrecht, allen voran § 19a GWB, angewendet werden soll.

Hinsichtlich des Verbots von personalisierter Werbung bei Minderjährigen wird es wohl kaum eine Umsetzung in der Praxis geben, weil letzten Endes keine Überprüfung stattfindet, wer tatsächlich den PC nutzt.

Dies gilt auch im Hinblick auf die Interoperabilität zwischen den Diensten, die technisch zwar möglicherweise umsetzbar ist, jedoch erhebliche datenschutzrechtliche Bedenken bzgl. der unkontrollierten Datenweitergabe aufwirft.

Da der DSA die Verwendung von Upload-Filtern anerkennt, könnte eine erneute urheberrechtliche Diskussion über die Verwendung dieser Filter entfacht werden.

Der DSA gewährt erhebliche Eingriffsmöglichkeiten bei falschen und illegalen Inhalten. Doch ist es noch nicht abschließend geklärt, welche Inhalte überhaupt darunterfallen und wer eine entsprechende Bewertung vornimmt. Dadurch könnte es zu einer Einschränkung der Meinungs- und Pressefreiheit kommen.

Fazit

Die Hoffnungen der EU sind groß, dass DMA und DSA einen größtmöglichen Nutzen für die Regulierung der digitalen Marktwirtschaft bringen. Einige Regelungen werden sicherlich dazu beitragen. Doch bleibt die Umsetzung abzuwarten. Da die Verhandlungen noch nicht endgültig abgeschlossen sind, sind Änderungen nach wie vor möglich.

Dennoch lässt sich bereits jetzt festhalten, dass der Umfang der zu beachtenden Regeln stark an die Größe eines Unternehmens gekoppelt sein wird.

Und natürlich wird es für große Unternehmen teuer und aufwändig, die neuen gesetzlichen Vorgaben umzusetzen.

Ein Inkrafttreten ist nicht vor 2023 geplant. Mit der geplanten Übergangsfrist von 6-12 Monaten dürfte es also erst 2024 zu einer faktischen Umsetzung kommen.

Über die weiteren Entwicklungen werden wir Sie hier gerne informieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Das Telekommunikationsmodernisierungsgesetz (TKMoG) ist da!

TKMoG

Telekommunikationsmodernisierungsgesetz (TKMoG): Das ist neu!

TKMoG

Am 1.12.2021 wurde es endlich  verabschiedet: das TKMoG.  

Nach langer Unstimmigkeit bezüglich der Umsetzung der EU-Richtlinie 2018/1972 wurde am 1.12.2021 endlich das TKMoG verabschiedet. 

Einführung    

Das Telekommunikationsgesetz (TKG) reguliert grundsätzlich den Wettbewerb im Bereich der Telekommunikation. Die Modernisierungen an dem inzwischen fast 26-jährigen Gesetz von Juli 1996 vereinen sich unter dem sperrigen Begriff Telekommunikationsmodernisierungsgesetz (TKMoG). Im Fokus stehen dabei vor allem der Netzausbau und der Verbraucherschutz. Das gilt jedoch nicht nur für Mobilfunk-, sondern auch für Festnetz- und Internetverträge.

Die Neuerungen im TKMoG 

Grundlegendes Ziel des TKMoG ist es, allen Bürgerinnen und Bürgern die Telekommunikation durch einen flächendeckenden und schnellen Ausbau der Gigabitnetze zugänglich zu machen.

Das bedeutet konkret:

  • Jede Bürgerin und jeder Bürger soll einen Anspruch auf einen Internetzugang zu einem erschwinglichen Preis bekommen (§§ 156 ff. TKMoG). Damit erhalten sie die Möglichkeit, ein E-Mail-Postfach, Online-Banking, Online-Shopping oder Social Media zu nutzen sowie im Home-Office arbeiten zu können.
  • Die Genehmigungsverfahren für Telekommunikationsunternehmen werden dazu weitgehend vereinfacht, um einen Anreiz für den zügigen und lückenlosen Ausbau des Glasfasernetzes zu schaffen (§§ 78 ff. TKMoG).
  • Die derzeitigen Mindestvertragslaufzeiten von Mobilfunk- und Festnetzverträgen werden angepasst (§ 56 Abs. 1 TKMoG). Es muss die Möglichkeit für einen 1-Jahres-Vertrags geben, auch wenn es keine pauschale Herabsenkung der Mindestvertragslaufzeit auf zwölf Monate gibt. So könnten die Unternehmen etwa zwei Vertragsmodelle mit verschiedenen Mindestvertragslaufzeiten anbieten. Einmal mit der kürzeren Vertragslaufzeit von zwölf Monaten, und einmal mit der derzeitigen “Standardvariante” von 24 Monaten.
  • Den Kundinnen und Kunden muss es nach Ablauf der Mindestvertragslaufzeit möglich sein, jederzeit mit einer Frist von einem Monat zu kündigen.Die Verträge können sich nicht mehr automatisch um z. B. weitere 12 Monate verlängern.
  • Um zu vermeiden, dass Kunden ahnungslos teure Alt-Tarife weiterführen, gibt es eine jährliche Informationspflicht seitens des Anbieters.
  • Das neue sog. Glasfaserbereitstellungsentgelt regelt die Kostenumlage bei Erstanschluss eines Gebäudes an das Glasfasernetz. Der Vermieter kann die Kosten demnach über die Nebenkosten an den Mieter weiterreichen, auch wenn der Mieter den Anschluss nicht nutzt.
  • Mieterinnen und Mieter können den jeweilen Anschluss nach Ablauf von zwei Jahren selbstständig kündigen, sofern sie ihren TV-Kabelanschluss über die Betriebskosten des Mietobjekts zahlen. Damit können sie nach einer Übergangszeit frei über ihren Anbieter entscheiden (§ 71 Abs. 2 TKMoG).
  • Wenn vertraglich festgelegte Leistungen nicht in vollem Umfang erbracht werden können oder Störungen nicht binnen einer bestimmten Frist behoben werden, können Verbraucher eine Zahlungsminderung oder eine Entschädigung fordern.

Die hier vorgestellten Änderungen durch das TKMoG sind jedoch nicht abschließend. Es gibt weitere Änderungen in den Bereichen Marktregulierung (Teil 2, §§ 10 ff TKMoG), Kundenschutz (Teil 3, §§ 51 ff. TKMoG), sowie bei der Vergabe von Frequenzen, Nummern und Wegerechten (Teile 6, 7, 8, §§ 87 ff. TKMoG). 

Fazit 

Die gestärkten Rechte der Verbraucher und Verbraucherinnen auf dem Gebiet der Telekommunikation treiben den flächendeckenden Netzausbau voran. Das ist in Anbetracht des internationalen Wettbewerbs auch dringend notwendig, da bislang vor allem ländliche Gebiete vom modernen digitalen Arbeitsmarkt regelrecht ausgeschlossen waren.

Den Telekommunikationsunternehmen blieb letztendlich nur wenig Zeit für die Umsetzung der weitreichenden Änderungen. Zwar war bekannt, dass Änderungen aufgrund der europäischen Richtlinie folgen würden, den Mitgliedstaaten verblieb jedoch noch ein gewisser Umsetzungsspielraum, sodass bis zuletzt unklar war, wie genau die neuen Regelungen aussehen würden.

Siehe auch https://rickert.law/ttdsg-entwurf-wurde-beschlossen/

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Neuer Mangelbegriff im Schuldrecht

Am 01.01.2022 treten umfangreiche Neuerungen im Schuldrecht in Kraft. Wir erläutern, worin diese Änderungen bestehen und welche Auswirkungen sie im digitalen Bereich haben.

Neuer Mangelbegriff im Schuldrecht

Einführung 

Am 24. Juni 2021 wurden im deutschen Bundestag die Umsetzungen der europäischen Warenkaufrichtlinie (WKRL (EU) 2019/711) und der europäischen Richtlinie zu digitalen Inhalten und Dienstleistungen (DIDRL (EU) 2019/770) beschlossen. Die Änderungen treten ab dem 01. Januar 2022 in Kraft und gelten für alle neu geschlossenen Verträge. Die Ziele der Richtlinie sind eine weitgehende Digitalisierung des Kaufrechts und eine Stärkung der Verbraucherrechte. Insbesondere steht in den Richtlinien ein neuer Mangelbegriff im Fokus. Bisher herrschte ein einheitlicher Mangelbegriff in § 434 BGB a.F., ab dem 01. Januar 2022 wird es mehrere Mangelbegriffe geben, die in mehreren Paragraphen des BGB zu finden und anhand des Vertragstypus zu bestimmen und zuzuordnen sind.  

Den genauen Wortlaut der Gesetzesänderungen der WKRL finden Sie hier und den der DIDRL hier. Hierbei handelt es sich um die umfangreichsten Änderungen des Schuldrechts nach der Schuldrechtsmodernisierung im Jahr 2002. 

Im Folgenden wird auf die Neuerungen durch die Umsetzung der Richtlinien und dabei insbesondere auf die Auswirkungen im digitalen Bereich eingegangen.  

Einführung eines neuen Vertragstypen durch die DIDRL? 

Mit Einführung der §§ 327 ff. BGB n.F., welche die DIDRL umsetzen, wird ein neuer Vertragstypus geschaffen: ein Verbrauchervertrag, der digitale Produkte und Dienstleistungen zum Inhalt hat. Dabei ist die Vertragsart aufgrund ihrer Stellung im allgemeinen Schuldrecht nicht auf einen bestimmten Vertrag, wie etwa einen Kauf gem. § 433 BGB, beschränkt, sondern gilt für alle besonderen Vertragstypen des BGB, bspw. Kaufverträge, Mietverträge, Schenkungen und Werkverträge. Im besonderen Schuldrecht stehen bei den Vertragstypen sodann Vorschriften, die regeln, dass, sofern ein digitales Produkt Vertragsgegenstand ist und es sich um einen Verbrauchervertrag handelt, die §§ 327 ff. BGB n.F. Vorrang vor den Regelungen des besonderen Schuldrechts haben. 

Teil dieses neuen Vertragsgegenstandes sind digitale Produkte. Von den §§ 327 ff. BGB n.F. sind nun vor allem Verträge betroffen, die die Erstellung, Bereitstellung, Verarbeitung und Speicherung von digitalen Daten beinhalten. Maßgeblich ist nicht die Art des Vertrages, sondern dessen digitale Form. Beispielsweise fallen darunter nun Cloudanbieter, Streamingdienste und Anbieter von Computersoftware. Für die Einordnung als “digitalen Vertrag” ist es zudem unerheblich, ob die Daten zusätzlich in physischer Form, wie etwa auf einer CD, gespeichert sind. §§ 327 Abs. 5, 475a Abs. 1 BGB n.F. stellen klar, dass nicht der Datenträger für die Einordnung als Sache maßgeblich ist, sondern die darauf befindliche Software, welche den Datenträger letztlich zum digitalen Inhalt macht und nicht zu einer Sache. 

Neuer Mangelbegriff  

Je nach Vertragstyp und -gegenstand gibt es nun verschiedene Mängelbegriffe, namentlich in den §§ 434, 475b, 475c BGB n.F. Dabei handelt es sich jedoch nicht um gänzlich unterschiedliche Begriffe und Bestimmungen. Vielmehr ergänzen sie sich und sind für verschiedene Arten von Verträgen anwendbar. 

Kaufrechtlicher Mangelbegriff gem. § 434 BGB n.F. 

Sofern ein Kaufvertrag gem. § 433 BGB vorliegt, der kein Verbrauchervertrag ist, gilt der Mangelbegriff des § 434 BGB n.F. Demnach ist gem. § 434 Abs. 1 BGB n.F. eine Sache frei von Sachmängeln, wenn sie bei Gefahrübergang den subjektiven, den objektiven und den Montageanforderungen entspricht und keine andere als die vertraglich geschuldete Sache geliefert wird.  

Den subjektiven Anforderungen wird gem. § 434 Abs. 2 BGB n.F. entsprochen, wenn die vertraglich vereinbarte Beschaffenheit vorliegt oder sich die Sache für die nach dem Vertrag vorausgesetzte Verwendung eignet. Die objektive Beschaffenheit der Sache gem. § 434 Abs. 3 BGB n.F. bezieht sich sodann darauf, dass die Sache der üblichen Beschaffenheit entspricht, also mittlerer Art und Güte ist. Die Anforderungen des § 434 Abs. 4 BGB n.F. sind erfüllt, wenn die Montage sachgemäß durchgeführt worden ist oder zwar unsachgemäß durchgeführt worden ist, dies jedoch weder auf einer unsachgemäßen Montage durch den Verkäufer noch auf einem Mangel in der vom Verkäufer übergebenen Anleitung beruht. 

Im Unterschied zum derzeit geltenden kaufrechtlichen Mangelbegriff in § 434 BGB a.F. ist der subjektive Fehlerbegriff nun nicht mehr vorrangig, vielmehr stehen subjektive und objektive Fehler nun gleichwertig nebeneinander. Demnach können ab dem 01. Januar 2022 Fälle eintreten, in denen der Kaufgegenstand zwar der vereinbarten Beschaffenheit entspricht, jedoch trotzdem mangelhaft ist, weil er den objektiven Anforderungen des Produkts nicht gerecht wird.  

Kaufrechtlicher Mangelbegriff gem. § 475b BGB n.F.  

Des Weiteren wurde ein Mangelbegriff für den Verbrauchsgüterkauf eingeführt. Dieser ist in § 475b BGB n.F. verankert und gilt für Verbrauchsgüterkäufe, die eine Ware mit digitalen Elementen zum Kaufgegenstand haben. Dabei handelt es sich um Waren, die digitale Produkte enthalten oder derart mit digitalen Produkten verbunden sind, dass die Ware ohne den digitalen Part seine Funktion nicht erfüllen kann. Beispiele sind Smartphones, Tablets oder Smart Home Geräte.  

Mangelhaft sind diese Produkte gem. § 475b Abs. 2 BGB n.F., wenn sie bei Gefahrübergang nicht den subjektiven oder objektiven Anforderungen entsprechen oder wenn die Montage- oder Installationsanforderungen nicht erfüllt sind. Zunächst gilt der Mangelbegriff des § 434 BGB n.F. (s.o.) vollumfänglich. Außerdem ergänzt der § 475b BGB n.F. diese Voraussetzungen mit einer Aktualisierungspflicht des Verkäufers.  

Im Rahmen der subjektiven Anforderungen an das Produkt bestimmt § 475b Abs. 3 BGB n.F., dass die Ware nur frei von Sachmängeln ist, wenn der Verkäufer die im Vertrag vereinbarten Aktualisierungen im maßgeblichen Zeitraum bereitstellt. Unter Aktualisierungen fallen sodann Updates und Upgrades. Neu ist hier, dass der Mangelbegriff sich bezüglich der Aktualisierungen nicht auf den Zeitpunkt des Gefahrübergangs beschränkt, sondern der ganze Vertragszeitraum maßgeblich ist. 

Auch wenn im Vertrag selbst keine Aktualisierungen vereinbart wurden, müssen im Rahmen der objektiven Anforderungen aus § 475b Abs. 4 BGB n.F. vom Verkäufer dennoch diejenigen Aktualisierungen vorgenommen werden, die für den Erhalt der Vertragsmäßigkeit der Ware erforderlich sind. Erfasst sind von dieser Vorschrift vor allem funktionserhaltende Updates und Sicherheitsupdates. Im Gesetz ist kein genauer Zeitraum für die Aktualisierungspflichten nach § 475b Abs. 3 BGB n.F. genannt, er bestimmt sich also danach, wann und wie lange ein Durchschnittskäufer die Updates nach den Umständen des Einzelfalls erwarten kann. Des Weiteren muss der Verkäufer den Kunden über die Aktualisierungen informieren. Diese Informationspflicht unterliegt aber keiner bestimmten Form.  

Die objektiven Aktualisierungspflichten sind abdingbar. Dies kann beispielsweise in Allgemeinen Geschäftsbedingungen (AGB) geschehen. Zu beachten ist dabei aber, dass die strengen Voraussetzungen des § 476 Abs. 1 S. 2 BGB n.F. eingehalten werden müssen. 

In § 475b Abs. 6 BGB n.F. stehen die Neuerungen für Montage- und Installationsanforderungen. Für die Montageanforderungen gilt nichts anderes als bei § 434 BGB n.F. Die Installationsanforderungen sind ähnlich wie die Montageanforderungen dann erfüllt, wenn die Installation der Produkte sachgemäß durchgeführt worden ist oder die unsachgemäße Installation weder auf einer unsachgemäßen Installation durch den Unternehmer noch auf einer fehlerhaften Anleitung beruht, die durch den Unternehmer oder durch denjenigen, der die digitalen Elemente bereitgestellt hat, übergeben worden ist. 

Kaufrechtlicher Mangelbegriff gem. § 475c BGB n.F. 

§ 475c BGB n.F. BGB ergänzt den § 475b BGB n.F., wenn es um die dauerhafte Bereitstellung von digitalen Elementen in Verbrauchsgüterkäufen geht. Dauerhaft bedeutet gem. § 327e Abs. 1 S. 3 BGB n.F. die fortlaufende Bereitstellung über einen Zeitraum. Beispiele sind hier Verkehrsdaten in einem Navigationsgerät, Smartphone Apps oder eine Cloudanbindung bei einer Spielekonsole. 

Die Sache ist nur frei von Sachmängeln, wenn im Bereitstellungszeitraum die erforderlichen Aktualisierungen vorgenommen werden. Unabhängig von einer konkreten Vereinbarung über den Bereitstellungszeitraum müssen gem. § 475c Abs. 2 BGB n.F. die digitalen Elemente nach Ablieferung der Sache mindestens zwei Jahre in einem vertragsgemäßen Zustand gehalten werden. 

Verbraucherrechtlicher Mangelbegriff bei digitalen Produkten gem. § 327e BGB n.F.  

In § 327e BGB n.F. ist der Mangelbegriff für Verbraucherverträge mit digitalen Inhalten geregelt. Das Produkt ist demnach frei von Sachmängeln, wenn es den subjektiven, objektiven und Integrationsanforderungen entspricht.  

Bezüglich der subjektiven Anforderungen ist auf die Ausführungen zu § 434 Abs. 2 BGB n.F. zu verweisen. Darüber hinaus gehört dazu aber noch die Bereitstellung des vertraglich vereinbarten Zubehörs, der Anleitungen, eines Kundendienstes und der Aktualisierungen. Unter Aktualisierungen fallen Updates und Upgrades der Software (vgl. die Ausführungen zu § 475b Abs. 3 BGB n.F.). 

Um die objektiven Voraussetzungen des Produkts gem. § 327e Abs. 3 BGB n.F. zu erfüllen, muss es sich für die gewöhnliche Verwendung eignen oder die übliche Beschaffenheit aufweisen, also mittlerer Art und Güte sein. Zudem müssen (anders als in § 434 BGB n.F.), auch zwingend die Vorschriften der DS-GVO eingehalten werden, da die digitalen Produkte sonst nicht den berechtigten Erwartungen der Verbraucher entsprechen. Darüber hinaus muss das digitale Produkt zusätzlich gem. § 327e Abs. 3 S. 1 Nr. 3 BGB n.F. der Testversion entsprechen und gem. § 327e Abs. 3 S. 1 Nr. 4 BGB n.F. Zubehör und Anleitungen enthalten, sofern der Verbraucher dies erwarten kann. Des Weiteren sind auch die erforderlichen Aktualisierungen im Sinne des § 327f BGB n.F. vorzunehmen (§ 327e Abs. 3 S. 1 Nr. 5) und es ist jeweils die aktuellste Version des Produkts bereitzustellen (§ 327e Abs. 3 S. 1 Nr. 6 BG n.F.) 

Die Integration ist gem. § 327e Abs. 4 BGB n.F. gewahrt, wenn sie ähnlich wie die Montageanforderungen, sachgemäß durchgeführt wurde oder zwar unsachgemäß durchgeführt worden ist, dies jedoch weder auf einer unsachgemäßen Integration durch den Unternehmer noch auf einem Mangel in der vom Unternehmer bereitgestellten Anleitung beruht. Integration bedeutet dabei, dass das digitale Produkt durch Verbindung oder Einbindung mit den oder in die Komponenten der digitalen Umgebung des Verbrauchers eingebracht wird, damit das Produkt den Anforderungen der §§ 327a ff. BGB n.F. entspricht. Zur digitalen Umgebung gehören Hardware, Software und Netzverbindungen aller Art. 

Abgrenzungen 

Wie bereits erläutert, ergänzen sich die neuen Mangelbegriffe im BGB und sind je nachdem, was für ein Vertrag vorliegt, anwendbar.  § 434 BGB n.F. gilt für Kaufverträge, die keine Verbraucherverträge sind. §§ 475b, c BGB n.F. kommen ergänzend zur Anwendung, wenn ein Verbrauchsgüterkauf vorliegt, der eine Ware mit digitalen Elementen zum Gegenstand hat. Ein Beispiel hierfür wäre ein Vertrag über ein Smartphone oder ein Smart Home Gerät. Letztlich ist der   § 327e BGB n.F. maßgeblich, wenn es sich um einen Verbrauchervertrag handelt, bei dem ein digitales Produkt der Vertragsgegenstand ist. Beispiele hierfür sind SaaS- (Software as a Service) oder Cloudverträge zwischen einem Verbraucher und einem Unternehmer, da bei ihnen die Software als digitales Produkt im Fokus des Vertrages steht. 

Es ist also genau abzugrenzen, ob ein Verbrauchervertrag vorliegt und wenn es um Verträge im digitalen Bereich geht, welche Art von Produkten oder Dienstleistungen vertrieben werden, damit genau unter §§ 327 ff., 475b, c BGB n.F. subsumiert werden kann. Falls die Fallkonstellation weder unter §§ 327 ff. BGB n.F. noch unter § 475b BGB n.F. fällt, bspw. wenn es um einen Kaufgegenstand mit digitalen Elementen geht, bei dem die digitalen Elemente aber nicht bei Vertragsschluss bereitgestellt wurden oder das Produkt auch ohne digitale Elemente funktionieren kann, richtet sich die Mangelhaftigkeit der Sache nach § 434 BGB n.F. und die der digitalen Inhalte, also der Software, nach § 327e BGB n.F. 

Weitere Änderungen des Schuldrechts 

Neben den Mangelbegriffen wurde noch der § 439 Abs. 3 BGB geändert; in der neuen Fassung kann dem Käufer vom Verkäufer der Kostenersatz bei Entfernung der mangelhaften Sache bei vertragsgemäßem Einbau nur verweigert werden, wenn der Käufer positive Kenntnis von der Mangelhaftigkeit beim Einbau hatte. Vorher schadete ebenfalls fahrlässige Unkenntnis von der Mangelhaftigkeit. Zudem wird die Beweislastumkehr in       § 477 BGB n.F. von sechs Monaten auf ein Jahr verlängert. 

Fazit 

Die Einführung des neuen Schuldrechts wird vermutlich zu einer großen Umstellung führen, gerade weil es seit der großen Schuldrechtsmodernisierung im Jahr 2002 keine vergleichbar umfangreiche Änderung des Schuldrechts und vor allem auch keine Änderung des Mangelbegriffs gab. 

Durch die Einführung der verschiedenen Mangelbegriffe wird nun deutlich, dass das Verbraucherrecht immer weiter vom geltenden Recht zwischen zwei Unternehmern oder zwei Verbrauchern abweicht. Wie bereits dargestellt, finden die Ausführungen zu §§ 327 ff., 475b, c BGB n.F. keine Anwendung auf Verträge, an denen kein Verbraucher beteiligt ist bzw. zwei Verbraucher beteiligt sind.  

Neu ist vor allem die Einführung des Verbrauchervertrages über digitale Produkte und des Verbrauchsgüterkaufs über Waren mit digitalen Elementen und die dabei entstehenden Aktualisierungspflichten in Form von Updates und Upgrades. 

Als Folge der umfangreichen Stärkung der Verbraucherrechte durch die Umsetzung der Richtlinien ergibt sich nun eine verschärfte Haftung für Unternehmen, da sie fortan eine weitaus umfangreichere Sachmängelgewähr leisten müssen. Außerdem müssen bisher genutzte AGB ggf. geändert werden, damit sie die ab dem 01. Januar 2022 geltenden schuldrechtlichen Bestimmungen erfüllen. 

Wir unterstützen Sie gerne dabei, Ihre Verträge über digitale Produkte und Ihre AGB auf den neusten Stand zu bringen.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Entwicklungsstand zum neuen IT-Sicherheitsgesetz

Wir klären Sie über die aktuellen Entwicklungen zum IT-Sicherheitsgesetz auf.

Entwicklungsstand zum IT-Sicherheitsgesetz

Seit nun fast zwei Jahren wird an einer Erweiterung zum IT-Sicherheitsgesetz gearbeitet. Das IT-Sicherheitsgesetz ist erstmals im Juli 2015 in Kraft getreten (IT-SiG 1.0). Lange wurde über ein zweites Gesetz diskutiert, das sog. IT-SiG 2.0, dessen Fertigstellung ursprünglich bereits im Jahr 2019 erwartet wurde, jedoch bis heute nicht verabschiedet wurde. Stattdessen wurden drei weitere Referentenentwürfe eingereicht bis schließlich der dritte Entwurf am 16.12.2020 von der Bundesregierung beschlossen wurde. Dieser Beschluss blieb nicht ohne Kritik, da der Beschluss bereits innerhalb von zwei Wochen nach Vorlage des dritten Referentenentwurfs erfolgte. Kritiker sehen diesen Zeitraum als zu kurz an, um noch die restlichen Problemstellen des Entwurfs zu bereinigen, wie zum Beispiel die Höhe der Kosten oder die Verwendung von Netzwerkkomponenten chinesischer Netzwerkausrüster. Zudem beanstanden sie, dass die gesetzlich erforderliche Evaluierung nicht stattgefunden hat. Eine Verabschiedung wird nicht vor Frühjahr 2021 erwartet. Die erste Lesung des Gesetzes erfolgte am 28.01.2021 und wurde mit zwei Anträgen zur weiteren Beratung an den Ausschuss für Inneres und Heimat überwiesen.

Wozu dient das IT-Sicherheitsgesetz im Allgemeinen?

Der Fokus des Gesetzes ist die Verbesserung der Sicherheit und des Schutzes der IT-Systeme und Dienste. Insbesondere im Bereich der kritischen Infrastrukturen (KRITIS) sollen diese Verbesserungen erreicht werden. Aber auch die IT-Sicherheit der Bundesverwaltung, der Unternehmen sowie der Bürger wird von den Regelungen des IT-Sicherheitsgesetzes erfasst.

Um die Sicherheit informationstechnischer Systeme weiter zu erhöhen und ganzheitliche Ansätze zu integrieren wurde ein Entwurf für ein zweites Gesetz (IT-SiG 2.0) ausgearbeitet.

Was soll mit dem neuen Gesetz erreicht werden?

Mit dem neuen Gesetz soll die Informationssicherheit weiter verbessert werden. Der Fokus liegt vor allem auf der Ausweitung von Befugnissen des BSI. Das BSI soll nun verstärkt als Verbraucherschützer auftreten und dafür u.a. ein IT-Sicherheitskennzeichen einführen dürfen. Dadurch soll letztlich auch die IT-Sicherheit von Produkten sichtbar gemacht werden.

Das BSI erhält durch das neue Gesetz auch das Recht auf Abfrage- und Anordnungsbefugnis gegenüber Telekommunikationsdienstanbietern.

Im Rahmen der Gesetzesänderung sollen des Weiteren die bestehenden Meldepflichten für Betreiber von KRITIS auf weitere Teile der Wirtschaft erstreckt werden.

Darüber hinaus ist das BSI nun befugt Daten über einen längeren Zeitraum zu speichern. Im Entwurf ist ein Zeitraum von zwölf Monaten vorgesehen.

Des Weiteren soll das BSI vermehrt mit dem BKA oder dem Verfassungsschutz zusammenarbeiten.

Außerdem beinhaltet das neue Gesetz mehrere Änderungen oder Eingriffe in andere Gesetze, bspw. das TKG, TMG oder das EnWG, sowie erhebliche Änderungen des Bußgeldregimes.

Was haben Unternehmen zu beachten?

Sofern der Gesetzesentwurf verabschiedet wird, haben Unternehmer insbesondere folgende Änderungen zu beachten:

Zunächst sind die drastisch steigenden Geldbußen zu nennen. Im IT-SiG 1.0 lag der Strafrahmen bei 100.000,00 € pro Verstoß und nun werden Geldbußen bis zu 2.000.000,00 € veranschlagt. In vorherigen Entwürfen war noch eine Bußgeldverhängung in Höhe von 20.000.000,00 € oder eine Verknüpfung an die Jahresumsätze vorgesehen. Dahingehend wurde zumindest eine mildere Regelung getroffen, wenngleich die jetzige Bußgeldhöhe als empfindlich einzustufen ist.

Weiter wird das Security Incident & Event Management System (SIEM) verpflichtend, bisher galt es nur als Empfehlung. Bei einem SIEM handelt es sich um ein softwarebasiertes Konzept aus dem Bereich des Sicherheits-Managements, mit dem ein umfassender und zentralisierter Überblick über die Sicherheitslage einer IT-Infrastruktur ermöglicht wird.

Des Weiteren werden Unternehmen von besonderem öffentlichem Interesse dazu verpflichtet sich beim BSI zu registrieren und im Rahmen einer Selbsterklärung darzulegen, welche Schutzmaßnahmen zur IT-Sicherheit vorgesehen sind und durchgeführt werden. Unternehmen stehen dann im besonderen öffentlichen Interesse, wenn sie nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Welche Unternehmen dann konkret unter diese Regelung fallen, muss von der Rechtsverordnung noch abschließend definiert werden. Vor allem ist bislang nicht ersichtlich, ob diese Unternehmen immer noch unter Aufsicht des BSI stehen, wenn sie wirtschaftlich betrachtet nicht mehr zu den größten Unternehmen zählen.

Fazit

Die Erweiterung des Schutzes für kritische Infrastrukturen und die Abwehr von Gefahren für die Wirtschaft und Allgemeinheit ist durchaus zu begrüßen. Dennoch geht durch die Ausweitung der Befugnisse des BSI ein weitgehender Eingriff in die technischen Zugriffs- und Weisungsbefugnisse einzelner Unternehmen einher. Diese Befugnisse sollten nicht dem BSI zustehen. Ferner weist das neue Gesetz noch Lücken auf, die letztlich erst durch Rechtsverordnungen ausgefüllt werden müssen und so die Unternehmen vor einigen Unsicherheiten stellt. Insgesamt stellt das neue IT-SiG 2.0 die Unternehmen vor einen höheren bürokratischen Verwaltungsaufwand und unverhältnismäßigen Sanktionsmaßstab.

Wir werden Sie über die weiteren Entwicklungen informieren.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

Fehlerkultur im Zusammenhang mit Datenpannen

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN