Ein Arbeitnehmer kann in einem arbeitsgerichtlichen Vergleich auf seinen Auskunftsanspruch nach Art. 15 DSGVO verzichten – OVG Saarbrücken AZ: 2 A 165/24
Auskunftsansprüche nach Art. 15 DSGVO sind inzwischen häufig Bestandteil arbeitsrechtlicher Streitigkeiten. Insbesondere bei bereits zerrütteten Arbeitsverhältnissen machen Arbeitnehmer neben arbeitsrechtlichen Forderungen auch datenschutzrechtliche Auskunftsansprüche geltend. Arbeitgeber sind in diesen Fällen verpflichtet, eine vollständige Kopie aller personenbezogenen Daten des Arbeitnehmers zur Verfügung zu stellen. Gerade bei langjährigen Beschäftigungsverhältnissen kann dies zu erheblichem Aufwand führen, was das Interesse vieler Arbeitgeber erklärt, solchen Ansprüchen möglichst zu entgehen. In einem konkreten Fall schloss ein Arbeitnehmer im Rahmen eines arbeitsgerichtlichen Verfahrens einen Vergleich, in dem geregelt war, dass sämtliche Ansprüche aus dem Arbeitsverhältnis abgegolten seien. Eine ausdrückliche Regelung zu datenschutzrechtlichen Ansprüchen enthielt der Vergleich nicht. Im Nachgang stellte der Arbeitnehmer dennoch einen Auskunftsantrag, den der Arbeitgeber mit Verweis auf die abschließende Regelung ablehnte. Als auch die Datenschutzbehörde kein behördliches Einschreiten veranlassen wollte, verklagte der Arbeitnehmer die Behörde auf Tätigwerden. Das Oberverwaltungsgericht des Saarlandes stellte klar, dass auch ein Auskunftsanspruch nach Art. 15 DSGVO durch einen arbeitsgerichtlichen Vergleich erfasst sein kann, wenn die Parteien eine abschließende Regelung aller Ansprüche aus dem Arbeitsverhältnis treffen wollten. Eine ausdrückliche Klausel zum Ausschluss des Auskunftsanspruchs sei nicht erforderlich, die allgemeine Abgeltungsklausel genüge.
Gestaltung des Cookie-Banners bei Nutzung von Google Tag Manager – VG Hannover Az: 10 A 5385/22
Der Google Tag Manager ist ein beliebtes Werkzeug, um weitere Dienste auf Webseiten zentral zu steuern. Als sogenanntes Container-Tool lädt er beim Seitenaufruf andere Tools und Tracker nach. In einem aktuellen Fall prüfte die Landesdatenschutzbehörde Niedersachsen den Einsatz eines Cookie-Banners in Kombination mit dem Google Tag Manager. Das Banner bot auf der ersten Ebene die Optionen „Alle akzeptieren“, „Akzeptieren und schließen“ sowie „Einstellungen“. Bei Betätigung der ersten beiden Buttons verschwand das Banner und sämtliche Tracker und Webtools wurden sofort aktiviert. Der Google Tag Manager und die mit ihm verbundenen Webtools ließen sich nur über ein tieferliegendes Menü gezielt abwählen. Beim Aufruf jeder weiteren Webseite des Anbieters erschien das Banner so lange, bis der Nutzer „Alle akzeptieren“ wählte. Das Verwaltungsgericht Hannover bestätigte die Einschätzung der Behörde. Die Gestaltung sei unzulässig, weil sie Nutzer zur schnellen Zustimmung dränge und damit keine freiwillige Einwilligung ermögliche und das Surfen auf der Webseite ohne Zustimmung zu allen Trackingmaßnehmen stark erschwert wird. Auch der Google Tag Manager sei zustimmungspflichtig, da er entscheidet, welche Webtools nachgeladen werden. Das Urteil ist noch nicht rechtskräftig. Es zeigt aber deutlich, dass Datenschutzbehörden Cookie-Banner zunehmend kritisch prüfen. Webseitenbetreiber sollten ihre Einwilligungsmechanismen sorgfältig überprüfen und gegebenenfalls anpassen.
Wenn Ihr Cookie-Banner dem oben beschriebenen ähnelt, unterstützen wir Sie gerne bei der Prüfung der Rechtskonformität. Bei Fragen zur datenschutzkonformen Gestaltung von Cookie-Bannern stehen wir Ihnen ebenfalls zur Verfügung.
Nutzung von ChatGPT im Unternehmen – Das Training mit eingegebenen Daten sollte ausgeschaltet sein und ein AVV sollte abgeschlossen werden
Moderne KI-Systeme sind nur durch vorheriges Training funktionsfähig. Dabei handelt es sich um den Prozess, bei dem die KI aus eingegebenen Daten lernt, Muster erkennt und ihre Antworten kontinuierlich verbessert. Beim Einsatz von KI ist es daher besonders wichtig, das Training durch den Anbieter zu deaktivieren, um zu verhindern, dass sensible Unternehmensdaten und personenbezogene Daten in das allgemeine KI-Modell einfließen. Werden diese Daten – egal ob beabsichtigt oder versehentlich – in das Training aufgenommen, könnten sie später ungewollt wieder angezeigt werden. Dies kann zur Offenbarung von Geschäftsgeheimnisse oder der Verarbeitung personenbezogener Daten führen, ohne dass eine Rechtsgrundlage vorliegt.
Ein weiterer wichtiger Punkt ist der Abschluss eines AVV mit OpenAI, der von OpenAI „Data Processing Addendum“ genannt wird. Dieser muss separat abgeschlossen werden und ist nicht Teil des normalen Vertragsprozesses. Den AVV finden Sie unter folgendem Link: https://openai.com/policies/data-processing-addendum/. Scrollen Sie ganz bis zum Ende der Seite und klicken Sie auf „Execute Data Processing Agreement“. Dort geben Sie Ihre Daten ein, einschließlich der Organisations-ID, die Sie im Benutzermenü finden können. Nach dem Absenden müssen Sie Ihre E-Mail-Adresse per Zahlencode verifizieren. Wir empfehlen, uns als Ihren Datenschutzbeauftragten das unterzeichnete Dokument zur Dokumentation zukommen zu lassen, damit wir es in die W+ST-DSGVO-App einpflegen können.
Zusätzlich sollten Unternehmen separate virtuelle Räume buchen, um Datenströme besser zu kontrollieren und Risiken zu minimieren. Firmen sollten unbedingt verhindern, dass KI-Systeme unsicher oder unkontrolliert eingesetzt werden.
Wir bieten spezielle Schulungen für Mitarbeiter und Führungskräfte an und unterstützen die Geschäftsleitung bei der Auswahl passender KI-Programme sowie der Einhaltung rechtlicher Vorgaben.
Datenlöschung in KI-Systemen – Ein komplexes Problem
Das grundlegende Problem eingegebener Daten in KI-Systemen liegt in der Art und Weise, wie diese die Daten verarbeiten. Informationen werden dabei auf hochkomplexe und nicht transparente Weise in den Trainingsmodellen verknüpft. Wo und in welcher Form die Daten letztlich gespeichert sind, lässt sich in der Regel nicht mehr im Nachhinein nachvollziehen. Sobald personenbezogene oder vertrauliche Informationen einmal an das KI-System übermittelt wurden, ist eine vollständige Löschung praktisch kaum möglich. Selbst wenn Anbieter Maßnahmen zur Entfernung der eingegebenen Daten vornehmen, besteht weiterhin das Risiko, dass Informationen durch sogenannte „Prompt Injecting“-Techniken, also einer Überwindung der Sicherheitsschranken der KI durch Austricksen, wieder zum Vorschein kommen. Dabei reichen gezielte Nutzereingaben aus, um Fragmente ehemals eingegebener Daten erneut sichtbar zu machen. Besonders problematisch ist die unkontrollierte Nutzung von KI durch Mitarbeitende über private Konten oder der nicht abgestimmte Einsatz von Diensten, die für Endnutzer bestimmt sind und bei denen die Eingaben automatisch in das allgemeine Trainingsmodell einfließen. Unternehmen sollten ihren Mitarbeitenden nur KI-Zugänge bereitstellen, bei denen vertraglich ausgeschlossen ist, dass Daten für das Training genutzt werden. Solche speziellen Kontomodelle bieten einige Anbieter an. Ob die Vorgaben technisch immer eingehalten werden, ist jedoch schwer prüfbar.
Umso wichtiger ist es, bereits heute klare interne Richtlinien vorzugeben und die Eingabe personenbezogener Daten durch die Mitarbeiter zu verhindern.
Tell-a-friend – Freundschaftswerbung effektiv, aber datenschutzrechtlich problematisch
Tell-a-Friend-Programme respektive Freundschaftswerbung zielen darauf ab, bestehende Kunden als Vertrauensbotschafter einzubinden. In einem Onlineformular können Kunden die Kontaktdaten eines Freundes hinterlegen. Anschließend wird dem Freund oder Bekannten automatisch Werbematerial zugesendet. Obwohl persönliche Empfehlungen als besonders wirksam gelten, entsteht mit dem automatischen Versand ein datenschutzrechtliches Problem: Das werbende Unternehmen wird zum Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO und muss nachweisen können, dass der Empfänger der Werbung wirksam in die Zusendung der Werbung eingewilligt hat. Viele greifen auf eine einfache Checkbox zurück, in der der Empfehlende bestätigt, die Zustimmung des Dritten eingeholt zu haben. Diese Bestätigung reicht jedoch nicht aus, da nicht überprüfbar ist, ob der Empfänger der Werbung tatsächlich konkret gefragt wurde und der Zusendung des Werbematerials zugestimmt hat. Ein Verfahren, bei dem der Empfehlende die Nachricht selbst versendet, schafft Abhilfe: Das System generiert lediglich einen vorformulierten Text und öffnet ihn im E-Mail-Programm des Empfehlenden, wie beispielsweise „Ich wollte dir diese Information weiterleiten, es könnte für dich interessant sein.“ Der Versand erfolgt manuell durch den Empfehlenden, indem er den Button zum Versenden selbst betätigt. Dadurch verarbeitet das Unternehmen keine personenbezogenen Daten des Dritten und muss dessen Einwilligung nicht nachweisen. Verantwortlich ist der Empfehlende. Unternehmen sollten jedoch sicherstellen, dass durch die Generierung der Links und des Werbematerials kein Tracking oder eine ähnliche Datenverarbeitung erfolgt.
Schlechte Bewertungen von Kunden oder (ehemaligen) Arbeitnehmern löschen lassen
Für Unternehmen ist es oft nicht einfach, ungerechtfertigte Bewertungen auf Google, Jameda, Kununu oder anderen Bewertungsportalen löschen zu lassen. Zwar besteht grundsätzlich auch die Möglichkeit, dass das Unternehmen die Plattformbetreiber eigenständig kontaktiert, um die Löschung unwahrer oder beleidigender Bewertungen zu erreichen. Allerdings blocken die Portale Beschwerden von Unternehmen ohne rechtlichen Beistand häufig ab und berufen sich auf die Meinungsfreiheit. Nur in klaren Fällen, wie etwa extremen Beschimpfungen, kommen die Bewertungsportale der Löschung ohne weiteres nach. Mit rechtlicher Unterstützung kann in der Regel eher eine Löschung erreicht werden. Zwar ist nicht jede negative Bewertung löschbar, jedoch lohnt es sich, die Bewertungen rechtlich sichten zu lassen. Eine Löschung kommt insbesondere bei falschen Tatsachenbehauptungen oder bei nicht nachweisbarem Kundenkontakt, Beschimpfungen oder der Bloßstellung von Personen mit Namen infrage. Ein direkter Kontakt zum Bewertenden ist dabei nicht erforderlich. Vielmehr richtet sich der Anspruch bestenfalls direkt gegen den Betreiber der Plattform selbst.
Gerne können Sie uns Ihre negativen Bewertungen zusenden. Wir prüfen diese und geben Ihnen eine kurze Einschätzung zur Erfolgsaussicht einer Löschung.
Barrierefreiheit von Onlineshops – eine technische und rechtliche Herausforderung im B2C-Bereich
Das Barrierefreiheitsstärkungsgesetz (BFSG) verpflichtet Anbieter digitaler Dienstleistungen wie B2C-Onlineshops, ab dem 29. Juni 2025 ihre Websites barrierefrei zu gestalten. Für Dienstleistungen und Produkte, die vor dem Inkrafttreten des BFSG am 28. Juni 2025 bereits auf dem Markt waren, gilt eine Übergangsfrist bis zum 28. Juni 2030.
Die technischen Anforderungen des BFSG orientieren sich an den internationalen Web Content Accessibility Guidelines (WCAG) in den Stufen A und AA. Diese technischen Leitlinien sehen unter anderem eine klare Struktur, gute Übersichtlichkeit, einen deutlichen Kontrast im Design sowie die Unterstützung durch technische Hilfsmittel wie Screenreader vor. Wenn eine Webseite diese Kriterien erfüllt, sind die wichtigsten Voraussetzungen für Barrierefreiheit bereits gewährleistet. Zukünftig bieten wir eine Prüfung der Webseite unserer Mandanten an, um festzustellen, ob die Anforderungen des BFSG eingehalten werden. Für die technische Umsetzung der WCAG-Konformität anhand unseres Prüfberichts sollten sich Mandanten an eine spezialisierte Webagentur wenden. Wir unterstützen Sie bei den weiteren rechtlichen Anforderungen und Maßnahmen zur Einhaltung des Gesetzes. Das Gesetz betrifft Unternehmen, die Produkte oder Dienstleistungen im Onlineshop an Verbraucher verkaufen und dabei mehr als zehn Mitarbeitende beschäftigen oder einen Jahresumsatz von über zwei Millionen Euro erzielen. Kleinstunternehmen mit weniger als zehn Mitarbeitenden und geringem Umsatz sind ausgenommen. Websites müssen ab dem Stichtag 29.06.2025 sofort barrierefrei sein. Verstöße können zu Abmahnungen, Unterlassungsansprüchen und Bußgeldern führen. Verbraucher, anerkannte Verbände und Mitbewerber können Verstöße der Marktüberwachungsbehörde melden, die gegebenenfalls auch die Einstellung nicht barrierefreier Angebote anordnen kann. Bußgelder können bis zu 100.000 Euro betragen. Unternehmen sollten frühzeitig prüfen, ob ihre Webauftritte diese Anforderungen erfüllen, und gegebenenfalls technische Anpassungen vornehmen.
Kontaktieren Sie uns gerne, wenn Sie eine Prüfung der Barrierefreiheit wünschen.
Trump kritisiert EU-Regulierungen DSGVO und Digital Markets Act (DMA)
Die Kritik von Donald Trump an den EU-Regulierungen durch DSGVO und DMA führt zu weiteren transatlantischen Spannungen im digitalen Bereich. Während die USA diese Gesetze als Hemmnis für Innovation betrachten, betont die EU deren Bedeutung für Verbraucherschutz und fairen Wettbewerb. Mit Trumps Rückkehr ins Weiße Haus wird die Debatte um die digitale Regulierung amerikanischer Unternehmen durch die EU neu entfacht. Im Mittelpunkt stehen dabei die Datenschutz-Grundverordnung DSGVO und der Digital Markets Act DMA. Die DSGVO betrifft weltweit Unternehmen, die Daten von EU-Bürgern verarbeiten. Dazu zählen auch große amerikanische Tech-Konzerne, gegen die bereits hohe Bußgelder wegen Datenschutzverstößen und missbräuchlicher Marktmacht verhängt wurden. Besonders betroffen sind Meta, Apple und Google. Der 2023 in Kraft getretene Digital Markets Act richtet sich gegen marktbeherrschende Plattformen wie Apple, Meta und Amazon. Er verbietet die Bevorzugung eigener Dienste und verlangt Offenheit gegenüber Wettbewerbern. Ein Beispiel dafür ist, dass der Chrome-Browser in der Vergangenheit standardmäßig auf Android-Handys vorinstalliert war, wodurch andere Browser benachteiligt wurden. Die EU-Kommission hat entsprechende Verfahren gegen diese Unternehmen eingeleitet. Trump bezeichnet sowohl DSGVO als auch DMA als „Steuern auf amerikanische Unternehmen“ und warnt vor negativen Folgen für die Innovationskraft der US-Tech-Branche. Er kritisiert die Regulierungen als unfaire Belastung amerikanischer Firmen und sieht darin eine Gefährdung der US-Souveränität. Er spricht von „Übersee-Erpressung“ und fordert als Reaktion Zölle auf europäische Produkte. Die EU betont dagegen, dass DSGVO und DMA dem Schutz der Verbraucher und der Förderung eines fairen Wettbewerbs dienen. Diese Kontroverse zeigt die unterschiedlichen regulatorischen Ansätze und wird die Zukunft der transatlantischen Beziehungen sowie der globalen digitalen Wirtschaft maßgeblich beeinflussen.
Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.
