Datenschutz-Newsletter Mai 2025

05.05.2025, 15:58 Uhr

Google-Tag Manager lädt das Google Tag jetzt ohne Vorwarnung

Webseitenbetreiber sollten ihre Webseite manuell umstellen und die Funktionsweise des Cookie-Banners prüfen

Der Google Tag Manager (GTM) wird häufig von Webseitenagenturen eingesetzt, um externe Webtools wie Google Analytics oder Fremdtools wie das Meta (Facebook) Pixel einfach zu integrieren und zentral zu steuern. Viele Websites und Templates sind zudem so aufgebaut, dass sie ohne den GTM kaum noch betrieben werden können. Der GTM funktioniert als Container, der mitsamt einer Einstellungsdatei geladen wird und danach weitere Webtools nachlädt. Bisher konnten Cookie-Banner den GTM effektiv blockieren: Der Container wurde erst aktiviert, wenn eine bewusste Nutzerinteraktion stattfand, beispielsweise ein Klick auf eine eingebundene Karte. Erst dann wurde der GTM und die nachgelagerten Tools geladen – eine Datenübertragung an Google erfolgte vorher nicht. Ab April 2025 nimmt Google eine grundlegende Änderung vor: Der GTM wird nun bereits beim Seitenaufruf geladen, ohne dass eine Interaktion erforderlich ist. Damit erhält Google schon beim ersten Besuch einer Webseite verschiedene Nutzerdaten, auch wenn der Nutzer noch keine Einwilligung gegeben hat. Viele Cookie-Banner werden dadurch die Datenübertragung nicht mehr vollständig verhindern können. Aus datenschutzrechtlicher Sicht ist diese Entwicklung kritisch: Ohne gültige Rechtsgrundlage (aktive Einwilligung) wird eine Übertragung personenbezogener Daten an Google direkt bei Seitenaufruf erfolgen, was klar gegen die DSGVO verstößt. Nach bisherigen Informationen kann dieses automatische Laden nur verhindert werden, indem man die einzelnen Tags im GTM mühsam manuell restriktiv konfiguriert – was allerdings die ursprünglichen Vorteile des Tag Managers deutlich einschränkt.

Gerne überprüfen wir für Sie, ob Ihr Cookie-Banner und Ihre Tag-Manager-Implementierung noch den aktuellen Datenschutzanforderungen entsprechen.

Speicherung von privaten Handynummern vom Arbeitgeber für den Krisenfall zulässig?

Bei einem Cyber-Angriff kann plötzlich alles ganz schnell gehen: Mitarbeitende können sich nicht mehr remote einloggen, der Zugriff auf Netzwerk und E-Mails ist nicht mehr möglich. In solchen Situationen ist es wichtig, die Kolleginnen und Kollegen zumindest telefonisch erreichen zu können – um sie über den Vorfall zu informieren und sie zu bitten, ihre PCs ausgeschaltet zu lassen. Da wäre es vorteilhaft, die privaten Handynummern speichern zu können. Für eine solche Speicherung gibt es aber in der Regel weder im Datenschutz- noch im Arbeitsrecht eine Rechtsgrundlage. Möglich ist die Speicherung der Rufnummer zwar durch eine datenschutzrechtliche Einwilligung des Arbeitnehmers. Diese ist jedoch schon wegen des sozialen Abhängigkeitsverhältnisses des Arbeitnehmers nur schwer zu rechtfertigen. Ausnahmen können unter Umständen bei Mitarbeitern der IT-Abteilung oder für Mitarbeiter, die in außergewöhnlichen Krisensituationen wie Großschadenslagen informiert werden müssen, bestehen. Als milderes Mittel gibt es jedoch die Möglichkeit, dass der Arbeitgeber Diensthandys anschafft, über die eine Kommunikation erfolgen kann. In jedem Fall muss aber eine Dienstanweisung/Dienstvereinbarung Regeln definieren, wann die Telefonnummer gespeichert und verwendet werden darf.

E-Mail-Marketing wird in Zeiten teurer Google Adwords immer wichtiger: Wir geben einen Überblick über die größten Irrtümer

E-Mail-Marketing bietet Unternehmen eine effektive Möglichkeit, direkt mit Kunden in Kontakt zu treten, kann jedoch zu erheblichen rechtlichen Risiken führen, wenn es nicht korrekt durchgeführt wird. Der Versand von Werbe-E-Mails unterliegt insbesondere den strengen Anforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und der DSGVO. So ist nach dem UWG eine unaufgeforderte Werbung per E-Mail grundsätzlich unzulässig, es sei denn, der Empfänger hat ausdrücklich in den Erhalt der E-Mails eingewilligt. Eine Einwilligung muss dabei freiwillig, informiert und eindeutig erfolgen – dies bedeutet, dass der Empfänger aktiv zustimmen muss, beispielsweise durch das Ankreuzen einer Checkbox bei der Anmeldung und informiert durch eine Einwilligungserklärung. Die Identität des Empfängers muss in Deutschland zusätzlich durch eine Double-Opt-In-Mail bestätigt werden. Erst dann darf der Versand erfolgen. Werden die Vielzahl der Vorgaben nicht eingehalten, kann der Versand von E-Mails als unlautere Handlung gewertet werden, was zu Abmahnungen und Bußgeldern führen kann. Zu beachten ist, dass bereits bestehende Einwilligungen regelmäßig überprüft und gegebenenfalls erneuert werden müssen. Eine vor längerer Zeit erteilte Zustimmung des Kunden könnte unter anderem nicht mehr aktuellen datenschutzrechtlichen Anforderungen entsprechen. Auch bei der Gestaltung der Werbe-E-Mails ist eine einfache Möglichkeit zur Abmeldung zu berücksichtigen. Zudem sollten diese ein Impressum enthalten oder darauf verlinken. Besonders heikel ist die Kaltakquise, also die unaufgeforderte Kontaktaufnahme mit potenziellen Kunden. Diese Form der Werbung ohne vorherige Einwilligung ist in der Regel unzulässig. Allenfalls in engen Grenzen können E-Mail-Newsletter mit ähnlichen Produkten wie die bereits gekauften an Bestandskunden versendet werden.

Gerne unterstützen wir Sie beim rechtssicheren Versand von E-Mail-Newslettern.

Digitale Barrierefreiheit: Das BFSG gilt ab dem 28.06.2025

Das BFSG gilt für Wirtschaftsakteure, also Hersteller, Importeure, Händler oder Dienstleistungserbringer, die bestimmte Produkte oder Dienstleistungen in Verkehr bringen. Zu den betroffenen Produkten zählen insbesondere digitale Verbraucherendgeräte und Selbstbedienungsterminals. Im Bereich der Dienstleistungen erfasst das Gesetz vor allem solche im elektronischen Geschäftsverkehr, wobei der gesamte Online-Handel im B2C-Bereich – also zwischen Unternehmern und Verbrauchern – unter den Anwendungsbereich fällt. Online-Shops, die sich an Verbraucher richten, sind daher in erster Linie von den Anforderungen des BFSG betroffen. Allerdings bestehen neben dem Grundsatz der Anwendbarkeit des BFSG auch Ausnahmen, wie etwa für Kleinstunternehmen mit weniger als zehn Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens zwei Millionen Euro. Auch der Betrieb eines reinen B2B-Shops fällt nicht unter das Gesetz. Zusätzlich sieht § 17 BFSG eine Härtefallregelung vor, wenn die Einhaltung der Anforderungen zu einer unverhältnismäßigen Belastung führen würde. Ebenso sind Fälle ausgenommen, in denen die Umsetzung der Anforderungen eine grundlegende Veränderung des gesamten Produkts oder der Dienstleistung erfordern würde.

Welche konkreten Anforderungen zur barrierefreien Gestaltung eingehalten werden müssen, erläutern wir im nächsten Newsletter.

Wenn Sie der Meinung sind, dass Sie unter das BFSG fallen, sprechen Sie uns bitte an.

O M G ! 😱📱📜⚖️🤔 Emojis und WhatsApp-Chats können rechtlich verbindliche Erklärungen darstellen

Verträge müssen nicht schriftlich sein – bei Unklarheiten können sogar WhatsApp-Chats entscheidend sein. So geschehen im Fall eines Käufers eines Ferrari SF90 Stradale Hybrid für 617.917,02 €, der bereits 60.000 € angezahlt hatte. Die Kommunikation zwischen Händler und Käufer erfolgte trotz Schriftformklausel im Kaufvertrag überwiegend über WhatsApp inklusive Emojis im lockeren Ton. Eine Lieferverzögerung von 1,5 Jahren war dem Käufer jedoch irgendwann zu viel. Er wechselte schließlich von WhatsApp zur etwas formelleren Kommunikationsform des Anwaltsschriftsatzes, trat vom Vertrag zurück und forderte die Rückzahlung der Anzahlung. Das OLG München prüfte, ob den Chatverläufen und Emojis Erklärungswert zukomme. Das Gericht betrachtete den 👍-, 😂- und 😅-Emoji in Bezug auf eine mögliche Vertragsänderung mit Billigung der späteren Lieferfrist nicht als bindend, stellte jedoch klar, dass Emojis und WhatsApp-Chats bei der Auslegung von Erklärungen herangezogen werden können. Für die Vertragsauslegung können auch WhatsApp-Chats, Emojis, Videos oder Memes relevant sein – ihre Bedeutung muss im Einzelfall geprüft werden.