Recht für die Praxis

02.06.2023 - LG Köln zur freien Wahl zwischen den Cookie-Buttons "Alles akzeptieren" und "Einstellungen ändern", "Nicht alles akzeptieren" oder "Alles auswählen"

Das Landgericht (LG Köln 33 O 376/22, Urteil vom 23.03.2023) verlangt für eine wirksame Cookie-Einwilligung gleichwertige Wahlmöglichkeiten zwischen den Schaltflächen, insbesondere nach Größe, Form und Gestaltung. Werde für den Button "Alle akzeptieren" eine Einklicklösung angeboten wird, dürfe für die Wahl anderer Einstellungen keine schlechtere Wahlmöglichkeit angeboten werden.Auch sei in der Formulierung „Einstellungen ändern“ kein unmissverständlicher Hinweis auf eine – wenn auch auf zweiter Ebene – alternative Ablehnungsmöglichkeit der technisch nicht notwendigen Cookies enthalten. Werde dem Verbraucher also neben einer Willenserklärung („Alles akzeptieren“) eine unspezifische Konfigurationsmöglichkeit angeboten, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, werde durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.

Es sollten deshalb auf erster Ebene besser nicht nur zwei Entscheidungsmöglichkeiten angeboten wenden. Vielmehr sollen es gleichwertige Buttons sein, die unmissverständliche nach Größe, Form und Gestaltung sofort erkennen lassen, welche Entscheidungsmöglichkeiten bestehen. Sinnvoll erscheint ein Butto, mit dem alle Cookies akzepiert werden können, ein Button, mit dem keine nicht notwendigen Buttons zugelassen werden und ein Button der die Auswahl zwischen verschiedenen Cookies ermöglicht, die einer Einwilligung bedürfen.

12.05.2023 – Einigung zum neuen Hinweisgeberschutzgesetz

Dem Gesetz wurde, nachdem es  im Vermittlungsausschuss nachverhandelt wurde, am 12.05.2023 vom Bundesrat zugestimmt. Es muss nun noch vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt verkündet werden. Zum weit überwiegenden Teil soll es einen Monat nach der Verkündung in Kraft treten - möglicherweise also etwa Mitte Juni 2023.

10.02.2023 - Neues Hinweisgeberschutzgesetz gescheitert

Der Bundesrat hat dem HinSchG seine Zustimmung verweigert. Das Gesetz kann folglich nicht wie geplant  in Kraft treten. Der Bundestag kann nun den Vermittlungsausschuss anrufen. Kommt es zu einer Einigung, wird das Geetz innerhalb von drei Monaten nach seiner Verkündung in Kraft treten.

22.12.2022 - Neues Hinweisgeberschutzgesetz in Betrieben ab 50 Beschäftigten

Am 16.12.2022 beschloss der Deutsche Bundestag ein neues „Whistleblower-Schutzgesetz“, offiziell Hinweisgeberschutzgesetz (HinSchG). Es soll dem Schutz hinweisgebender Personen dienen, wenn sie als Beschäftigte in ihrem beruflichen Umfeld zur Aufdeckung und Ahndung von Missständen beitragen. Repressalien wie Kündigung oder sonstigen Benachteiligungen sollen ausgeschlossen und Hinweisgeberinnen und Hinweisgebern Rechtssicherheit gegeben werden.

Dazu hat der Beschäftigungsgeber die Wahlmöglichkeit zu schaffen, diese Hinweise an eine interne Meldestelle des Unternehmens oder an eine externe Meldestelle der Behörden zu geben. Beschäftigungsgeber haben dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können (interne Meldestelle). Dazu hat er auch geeignete Meldekanäle zu schaffen.

Die interne Meldestelle soll auch anonym eingehende Meldungen bearbeiten. Es besteht allerdings keine Verpflichtung, die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen. In jedem Fall hat ein Beschäftigungsgeber zwei gleichwertig nebeneinanderstehende Meldewege vorzusehen, zwischen denen Hinweisgeberinnen und Hinweisgebern frei wählen können.

Personen, die beabsichtigen, Informationen über einen Verstoß zu melden, können wählen, ob sie sich an eine interne Meldestelle oder eine externe Meldestelle wenden. Externe Meldestellen können mit unterschiedlicher fachlicher Zuständigkeit sein eine Meldestelle des Bundes beim Bundesamt für Justiz, eine vom jeweiligen Bundesland eingerichtete Meldestelle, die Bundesanstalt für Finanzdienstleistungsaufsicht oder das Bundeskartellamt. Im HinSchG werden dazu die Voraussetzungen festgelegt, unter denen eine hinweisgebende Person Informationen über Verstöße öffentlich zugänglich machen darf.

Mit alledem muss sich nun ein Arbeitgeber mit mindestens 50 Beschäftigten auseinandersetzen. Die Befugnisse der internen Meldestelle hat der Arbeitgeber nach den Anforderungen des HinSchG und im Rahmen der geltenden rechtlichen Grundlagen einzurichten.

Das Gesetz tritt drei Monate nach der Verkündung in Kraft, d.h. ein Beschäftigungsgeber mit mindestens 50 Mitarbeitenden hat dann nur noch 3 Monate Zeit für die Umsetzung im eigenen Betrieb. Eine recht kurze Zeit. Der Bundesrat muss zwar noch zustimmen. Die Sitzung ist aber schon für den 10.02.2023 geplant. Ende Mai könnte das Gesetz also in Kraft treten. Dann muss dort alles stehen. Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden haben dann noch Zeit bis zum 17.12.2023. Alle diese Unternehmen sind also aufgerufen tätig zu werden.

>

11.05.2022 - Dürfen Verbände wegen Datenschutzrechtsverletzung abmahnen? Ist mit der Datenschutzrechtsverletzung ein unlauterer Wettbewerb verbunden?

Der EuGH (Urt. v. 28.04.2022 – C-319/20) hat in seinem Verfahren „Meta Platforms Ireland ltd.“ entschieden, dass Verbraucherschutzverbände Verbandsklage wegen Verletzung des Schutzes personenbezogener Daten erheben können.

Der EuGH setzt jedoch voraus, dass dies auf nationaler Ebene auf Grund verbraucherschutzrechtlicher Interessen vorgesehen ist. Einer Verletzung der Rechte einer konkret zu benennenden Person bedürfe es nicht. Auch sei kein Auftrag einer Person an den Verbraucherschutzverband erforderlich. Vielmehr sei alleinige Voraussetzung, dass es sich um  

• eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht,
• die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist,
• deren satzungsmäßige Ziele im öffentlichem Interesse liegen und
• die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten

handelt. Das treffe in Bezug auf Verbraucherschutzverbände zu.

Die Möglichkeit einer Beeinträchtigung betroffener Personen einer bestimmten Kategorie oder Gruppe von Personen reiche aus.

Der Verstoß gegen eine Vorschrift zum Schutz personenbezogener Daten könne gleichzeitig den Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen (Rd. 78). Dazu müssten die Mitgliedstaaten nur von der ihnen eingeräumten Befugnis in dem Sinne Gebrauch machen, dass die Verbände zur Wahrung von Verbraucherinteressen befugt sind, gegen Verletzungen der in der DSGVO vorgesehenen Rechte gegebenenfalls über Vorschriften zum Schutz der Verbraucher oder zur Bekämpfung unlauterer Geschäftspraktiken vorzugehen (Rd. 79). Ob das im zugrundeliegenden Rechtsstreit bereits der Fall ist, wird nun der BGH zu entscheiden haben.

Weiterhin offen ist, ob das alles auch für den Mitbewerberschutz gilt. Die Vorschriften der DSGVO schützt jedenfalls nur natürliche Personen bei der Verarbeitung personenbezogener Daten. Eine Regelung, die den Wettbewerbsvereinen ein Recht im B2B-Bereich gibt, lässt sich über Art. 80 DSGVO jedenfalls nicht unmittelbar herleiten. Die Rechtsentwicklung bleibt abzuwarten.

01.12.2021 - Cookie-Banner-Dienst unzulässig?

Das Verwaltungsgericht Wiesbaden (Az.: 6 L 738/21.WI) hat der Hochschule RheinMain mit Einstweiliger Verfügung vom 01.12.2021 untersagt, den Cookie-Dienst Cookiebot auf ihrer Website zum Zweck des Einholens von Einwilligungen so einzubinden, dass personenbezogene oder -beziehbare Daten der Websitenutzer (einschließlich deren IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen in den USA betrieben werden.

Cookie-Banner sollen dem Websitenutzer die freie informierte Enscheidung darüber geben, zu welchen Zwecken seine personenbezogenen Daten erhoben und weiterverarbeitet werden dürfen. Dabei geht es nicht nur um die Daten, die der Websitebetreiber verarbeiten möchte, sondern auch um die Daten, die im Hintergrund durch den Betreiber des Cookie-Banners verarbeitet werden. Im konkreten Fall verarbeitete der Cookie-Dienst die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befindet. Hierüber und über die Risiken hätte informiert werden müssen. Auch wäre für diese Verarbeitung eine Einwilligung erforderlich gewesen.

Auch wenn das Verfahren noch nicht abgeschlossen ist, weil noch die Möglichkeit der Beschwerde an den Hesischen Verwaltungsgerichtshof besteht, sollte jeder Plattformbetreiber, der Cookie-Banner nutzt, genau prüfen, welche Daten durch den Dienstleister abgegriffen werden, und wo die Server stehen, auf denen die Date verarbeitet werden. Ggf. Sollte der Cookie-Dienst gewechselt werden.

15.04.2021 - Corona - Was gilt denn nun?

Ich blicke nicht mehr durch. Meldungen über Meldungen in allen Medien, die uns zur Verfügung stehen, mit denen wir überschüttet werden. Und dann noch die vielen unterschiedlichen Regelungen, die obendrein noch ständig geändert werden. Ich kann es auch nicht mehr hören. Schon wenn das Wort fällt, geht die Klappe runter. Da suche ich mir lieber etwas in den Mediatheken der Fernsehsender. Und das geht bestimmt nicht nur mir so.

Aber wie will man etwas erreichen, wenn immer mehr Menschen in unserem Land nicht mehr zuhören? Wie, wenn man in dem Chaos der Meldungen nichts mehr versteht? Und wie, wenn (noch) nicht alle der deutschen Sprache mächtig sind?

Ich habe versucht, schnell mal die für mich in meiner Region aktuellen Regelungen im Netz zu finden. Fehlanzeige! Statt überall zu diskutieren, was nun besser ist (Wofür eigentlich? Ich habe da mal was von Wahlen gehört.), sollten Bund, Länder, Städte und Kreise mal das Internet nutzen, um gemeinsam auf den Seiten einer Domain ihre Regelungen bekannt zu machen. Und das in Anlehnung an den Sinn und Zweck des Art. 7 Abs. 2 DSGVO (auch wenn es hier nicht um Datenschutz geht) in einer verständlichen und leicht zugänglichen Form, in einer klaren und einfachen Sprache! Warum nicht in einer bloßen Strichaufzählung zu einheitlichen Überschriften, die auf der Seite des Bundes, der per Klick erreichbaren Unterseite eines Landes und der per Klick erreichbaren Unterseite der jeweiligen Stadt und des jeweiligen Kreises Verwendung findet. Es könnte so einfach sein.

Sprache ist übrigens das Stichwort. Da gibt es viele, die bei uns in Deutschland gesprochen werden. Eine Internetseite, so, wie ich sie mir wünschen würde, sollte die Chance der Integration nutzen und über die Fahnen der jeweiligen Staaten den Zugang zu Übersetzungen schaffen. Ja, Integration. War da nicht was?

Sind die Verantwortlichen technisch und in praktischer Umsetzung so verstaubt , daß sie über diese Möglichkeiten noch nie nachgedacht haben?