IT-Recht

1. Recht am eigenen Bild: Bilder dürfen grundsätzlich nur mit Einwilligung verbreitet/öffentlich gezeigt werden (§ 22 KunstUrhG). Ausnahmen (z. B. Zeitgeschehen, „Beiwerk“, Versammlungen) sind eng und stehen in § 23 KunstUrhG. 

2. Datenschutz: Fotos/Videos sind personenbezogene Daten. Ihre Nutzung braucht eine Rechtsgrundlage (z. B. Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse) und muss die DSGVO-Grundsätze einhalten (Zweckbindung, Datenminimierung, Transparenz). Beides – Bildrecht und Datenschutz – gilt nebeneinander und muss parallel erfüllt sein

=> Das KunstUrhG und die DSGVO gelten nebeneinander. Bei Bildveröffentlichungen müssen beide Rechtsgrundlagen beachtet

werden, dass KunstUrhG schützt das Persönlichkeitsrecht am Bild, die DSGVO regelt die Verarbeitung personenbezogener

Daten.

Die Einwilligung muss freiwillig, informiert, eindeutig und zweckgebunden erteilt werden (ideal: schriftlich mit „wo, wie lange, wofür“). Im Arbeitsverhältnis ist wegen des Abhängigkeitsverhältnisses besondere Zurückhaltung geboten – Freiwilligkeit sicherstellen! Du kannst eine Einwilligung jederzeit widerrufen; dann ist künftige Nutzung zu stoppen (Vergangenes bleibt rechtmäßig).

• Recht am eigenen Bild schützt deine äußere Erscheinung – sowohl bei der Herstellung als auch bei der Verbreitung. Auch erkennbare Abbildungen ohne Gesicht fallen darunter (z. B. markante Tattoos, Kennzeichen + Kontext). 

• Informationelle Selbstbestimmung schützt alle personenbezogenen Daten (inkl. Bilder) und gibt dir Auskunfts-, Berichtigungs- und Löschrechte. Grundlage: das Grundgesetz (Menschenwürde + freie Entfaltung) und das berühmte „Volkszählungsurteil“: Du sollst grundsätzlich selbst über Preisgabe und Verwendung deiner Daten bestimmen. 

Social Media hat riesige Reichweite – die Einwilligung muss plattform-spezifische Weiterverbreitung abdecken; Taggen/Markieren erfordert separate Zustimmung. Ausnahmen ohne Einwilligung: Personen der Zeitgeschichte, Beiwerk (du bist nur nebensächlich im Bild) und Versammlungen/Großereignisse – aber keine Bloßstellung oder Entwürdigung. Auch hier gilt: Immer beide Schienen (KunstUrhG und DSGVO) mitdenken.

Beim Widerruf muss das Unternehmen das Foto von Website & Kanälen entfernen, weitere Nutzung stoppen und dokumentieren, dass die frühere Veröffentlichung rechtmäßig war. Best Practices: Einwilligungen schriftlich einholen (Zweck/Ort/Dauer), Widerrufsbelehrung aufnehmen, separate Einwilligungen für Website/Social/Print, regelmäßig prüfen, alles dokumentieren und Mitarbeitende schulen. So werden rechtliche Risiken minimiert und Vertrauengewahrt.

• Geistiges Eigentum bezeichnet immaterielle Güter, die durch geistige oder kreativ Leistungen entstehen und rechtlich geschützt werden können

• Schutzrechte:

  • Urheberrecht: Schützt individuelle, kreative Werke (Texte, Bilder, Musik, Software, etc.)

    Markenrecht: Schützt Kennzeichen, Namen, Logos und Slogans, die Waren/Dienstleistungen eindeutig zuordnen

  • Designrecht: Schützt das äußere Erscheinungsbild eines

    Erzeugnisses (Form, Farbe, Muster)

  • Patentrecht: Schützt technische Erfindungen oder Verfahren mit Neuheitswert

Förderung von Innovation & Fortschritt

- Schutzrechte schaffen Anreize für Forschung und Entwicklung

- Unternehmen investieren eher in neue Ideen, wenn sie rechtlich

geschützt sind

Schutz vor Nachahmung & unfairem Wettbewerb

-Schutzrechte verhindern Kopien und Plagiate

-Sichern die Einzigartigkeit und Glaubwürdigkeit von Marken

Rechtliche Sicherheit

-Gibt die Möglichkeit, gegen Plagiate oder Missbrauch juristisch

vorzugehen

-Schafft Vertrauen bei Partnern und Kund:innen

Hohe Kosten & aufwändige Verfahren

-Anmeldung von Patenten, Marken oder Designs ist teuer und zeitintensiv

-Besonders Start-ups & kleine Unternehmen sind oft benachteiligt

Komplexität & Bürokratie

-Unterschiedliche Regeln in verschiedenen Ländern

-Schwierige Durchsetzung von Recht bei internationalen Verstößen

Ungleiche Zugänglichkeit & Gerechtigkeitsfrage

-Reiche Länder & Unternehmen profitieren stärker vom System

-Wissen bleibt oft „eingesperrt“, statt geteilt zu werden

Innovationshemmnis durch Monopolrechte

-Schutzrechte können Wettbewerb auch behindern

-Große Konzerne blockieren mit Patenten keine Innovatoren

• Das Patentrecht gewährt Erfindern ein zeitlich begrenztes Monopol für ihre technischen Erfindungen

• Es ist ein zeitlich begrenztes Ausschließlichkeitsrecht und schützt so vor unbefugter Nachahmung

• Im Gegenzug zur Offenlegung der Erfindung schafft es Wissenszugang und Anreize für Innovation und technischen Fortschritt

• Lehre zum technischen Handeln

• Einsatz von beherrschbaren Naturkräften (keine reine

  Verstandeslogik)

• Anweisung (= Lehre) – Wiederholbarkeit, d.h. kein

  Zufallsprodukt

• Keine Entdeckung (wie z.B. Röntgenstrahlen oder

  Kernspaltung)

=> Patentschutz können technische Gegenstände oder Verfahren erlangen, wie z.B. Maschinen, Geräte, chemische Erzeugnisse (Arzneimittel) aber auch Verfahren

• Neuheit (§ 3 PatG): vor dem Stichtag nirgends öffentlich zugänglich.

• Erfinderische Tätigkeit (§ 4): für den Fachmann nicht naheliegend => aus dessen Sicht darf sich die Lösung nicht naheliegend aus dem Stand der Technik ergeben

• Gewerbliche Anwendbarkeit (§ 5): herstell- oder benutzbar.

• Entdeckungen,

• wissenschaftliche Theorien,

• mathematische Methoden,

• ästhetische Formschöpfungen (Design),

• Regeln/Methoden für geistige Tätigkeiten/Spiele/Geschäftstätigkeiten sowie „Computerprogramme als solche“.

=>Keine Patenterteilung, wenn Veröffentlichung/Verwertung gegen öffentliche Ordnung oder gute Sitten verstößt (klassisches Beispiel: Klonverfahren).

Programme „als solche“ sind ausgeschlossen => Reine Algorithmen, Geschäftsmethoden, UI-Layouts etc., ohne technischen Bezug, sind nicht als „Erfindung“ anerkannt.

Patentfähig ist eine computerimplementierte Erfindung, wenn:

• sie technische Mittel einsetzt (typisch: Computer, Server, Sensor, Netzwerk ist ein technisches Mittel), und

• sie ein konkretes technisches Problem löst, und zwar technisch, also mit einem nachweisbaren technischen Effekt, der über das bloße „Abarbeiten von Code“ hinausgeht

  
  

• =>Verbesserung der Computerfunktion selbst (z.B. effizientere Speicherverwaltung, Cache-Strategie, CPU-Last-Reduktion auf Betriebssystem-/Hardwareebene).

  
  

  
  

1. Anmeldung

Einreichung der Patentanmeldung beim Deutschen Patent- und Markenamt (DPMA) mit Beschreibung, Patentansprüchen und Zeichnungen.

2. Formale Prüfung

Prüfung auf Vollständigkeit der Unterlagen und Einhaltung formaler Anforderungen.

3. Recherche

Ermittlung des relevanten Stands der Technik durch das DPMA, um Neuheit und erfinderische Tätigkeit zu beurteilen.

4. Sachliche Prüfung

Intensive Prüfung der Patentfähigkeit (Neuheit, erfinderische Tätigkeit, gewerbliche Anwendbarkeit) und gegebenenfalls Erteilung oder Zurückweisung.

5. Offenlegung und Einspruchsverfahren

Veröffentlichung der Anmeldung und Möglichkeit für Dritte, innerhalb von 9 Monaten Einspruch gegen die Erteilung einzulegen.

• Ausschließlichkeitsrecht: Alleiniges Recht zur Herstellung,

  Benutzung, Anbietung und Verbreitung der patentierten Erfindung.

• Unterlassungsanspruch: Recht, Dritte an der unbefugten Nutzung der Erfindung zu hindern.

• Schadensersatzanspruch: Bei Verletzung des Patents kann

  Schadensersatz gefordert werden.

• Lizenzierung: Möglichkeit, Nutzungsrechte an Dritte zu vergeben und Lizenzgebühren zu erhalten.

• Aufrechterhaltung: Jährliche Entrichtung von Gebühren an das

  an das DPMA, um das Patent in Kraft zu halten.

• Verteidigung: Bei Verletzungen des Patents muss der Inhaber selbst aktiv werden, um seine Rechte durchzusetzen.

• Offenlegung: Die Erfindung muss so detailliert beschrieben

  werden, dass ein Fachmann sie nacharbeiten kann.

• Wirtschaftliche Verwertung: Obwohl keine allgemeine

  Nutzungspflicht besteht, kann bei Nichtnutzung eine Zwangslizenz drohen

• Das Urheberrecht schützt kreative Werke (Literatur, Kunst, Film etc.) + Persönlichkeit des Urhebers, während gewerbliche Schutzrechte (Patent, Marke etc.) eher auf technische/kennzeichnende Leistungen mit Eintragung/Prüfung zielen

• Schutz der wirtschaftlichen Interessen (Vergütung, Kontrolle der Verwertung) und der ideellen Interessen (Anerkennung, Integrität des Werks) des Urhebers.

=> Schutz entsteht automatisch mit Schaffung; keine Registrierung nötig (nicht eingetragenes Schutzrecht)

• Das Werk muss eine individuelle, eigenschöpferische Gestaltung aufweisen, die sich vom Alltäglichen/Handwerklichen abhebt.

• Es ist stark personenbezogen und gehört nicht Unternehmen, sondern dem natürlichen Urheber (Unternehmen erhalten nur Nutzungsrechte).

• Schützen die persönliche Beziehung zum Werk: Recht auf Erstveröffentlichung, Anerkennung der Urheberschaft (Namensnennung), Schutz vor Entstellung oder entstellender Kontextnutzung.

• Sie sind grundsätzlich unverzichtbar und nicht übertragbar, können aber im Rahmen von Einwilligungen/Verträgen konkretisiert werden.

• Regeln die wirtschaftliche Nutzung des Werks: Vervielfältigung, Verbreitung, Ausstellungsrecht, Vortrags-/Aufführungs-/Vorführrechte, öffentliche Wiedergabe/ öffentliche Zugänglichmachung (insb. Online), Senderecht etc.

• Diese Rechte können als einfache oder ausschließliche Nutzungsrechte vertraglich eingeräumt oder lizenziert werden.

Geregelt in § 16 UrhG: Der Urheber hat das ausschließliche Recht, Vervielfältigungsstücke seines Werkes herzustellen, egal

• ob vorübergehend oder dauerhaft,

• in jedem Verfahren (analog, digital, Kopie, Scan, Download, Screenshot, Cloud-Kopie etc.).

Ohne Erlaubnis des Berechtigten ist jede Vervielfältigung grundsätzlich unzulässig – außer es greift eine Schranke.

Das Vervielfältigungsrecht ist nicht absolut; zentrale Ausnahmen u.a.:

• Privatkopie (§ 53 UrhG): Kopien für den privaten Gebrauch sind in gewissen Grenzen erlaubt, solange keine offensichtlich rechtswidrige Vorlage (z.B. illegaler Stream / Warez-Seite) genutzt wird.

• Unterricht, Wissenschaft, Forschung (§§ 60a ff. UrhG): Erlaubte Kopien für Unterrichtsmaterial, Lehrplattformen etc. in engen Grenzen (15%)

• Zitate (§ 51 UrhG): Vervielfältigung von Teilen eines Werkes zulässig, wenn wirklich als Beleg/Zitat benutzt, mit Quellenangabe.

• Panoramafreiheit, § 59 UrhGZulässig ist, Werke, die sich bleibend an öffentlichen Wegen, Straßen oder Plätzen befinden, mit Mitteln der Malerei oder Graphik, durch Lichtbild oder durch Film zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben. Bei Bauwerken erstrecken sich diese Befugnisse nur auf die äußere Ansicht.

Grundsatz: bis 70 Jahre nach Tod des Urhebers; danach ist das Werk gemeinfrei und darf frei genutzt werden.

• Der Erschöpfungsgrundsatz erlaubt den Weiterverkauf rechtmäßig gekaufter Einzelstücke (z.B. Software-DVD), aber nicht das Anfertigen oder Verbreiten von Kopien.

• Bei dauerhaft lizenzierten Download-Programmen kann der Käufer seine Lizenz weiterverkaufen, wenn er die eigene Nutzung vollständig einstellt (UsedSoft).

• Volumenlizenzen können in einzelne Lizenzen aufgespalten und separat weiterverkauft werden, unteilbare Client-Server-Lizenzen hingegen nur als Gesamtpaket.

• An persönliche Online-Accounts gebundene Software (z.B. Half-Life 2 mit Aktivierung) ist praktisch nicht frei weiterverkäuflich, weil der Zugang vertraglich nicht übertragbar ist.

• Für E-Books und Hörbücher wird der Erschöpfungsgrundsatz beim Download derzeit enger gesehen, weshalb „gebrauchte“ Downloads hier rechtlich unsicher sind.

• Wer Software oder andere Werke im Internet zum Download anbietet, muss vorab prüfen, ob der Rechteinhaber das erlaubt hat, sonst begeht er eine Urheberrechtsverletzung.

• Das TMG regelte die Rechtsverhältnisse von „Telemedien“: also Websites, Online-Shops, → Impressum, Haftung der Diensteanbieter, Informationspflichten, erste Datenschutzvorgaben. 

• Seit 14.05.2024 ist das TMG außer Kraft; seine Rolle übernimmt das Digitale-Dienste-Gesetz (DDG), das den EU-Digital Services Act (DSA) in nationales Recht einbettet. Für normale Webseiten bleibt vieles ähnlich; für Plattformen gelten nun modernere, detaillierte Pflichten zu Haftung, Transparenz und Umgang mit rechtswidrigen Inhalten.

• Schon § 5 TMG (und inhaltlich fortgeführt im DDG-Umfeld) verlangte bei geschäftsmäßigen Angeboten Angaben zu: Name/Firma, Anschrift, Rechtsform & Vertretungsberechtigten, E-Mail, ggf. Telefon, Handelsregister, Aufsichtsbehörde, USt-ID. 

• Das Impressum muss leicht erkennbar und mit max. zwei Klicks erreichbar sein. Es dient Transparenz & Verbraucherschutz und ist ein klassischer Abmahn-Fall, wenn es fehlt oder falsch ist.

• Content-Provider: Veröffentlichen eigene Inhalte (Unternehmensseite, Online-Magazin). → Haften voll nach allgemeinen Gesetzen, weil sie Kontrolle über Inhalt haben. 

• Access-Provider: Stellen nur die Internetverbindung bereit. → Grundsätzlich keine Haftung für fremde Inhalte, keine Pflicht zur generellen Überwachung; Eingreifen nur bei klaren gesetzlichen Pflichten/Anordnungen.

• Host-Provider (z.B. Plattformen, Foren, Cloud): Speichern fremde Inhalte. → Haftungsprivileg: keine Verantwortung, solange keine Kenntnis von Rechtsverstößen; aber nach Hinweis müssen sie zügig löschen/sperren (Notice-and-Take-Down). DSA/ DDG bestätigen dieses System im Wesentlichen.

• Grundsatz

  Ein Link ist zunächst nur eine technische Verknüpfung; dadurch allein entsteht keine automatische Haftung.

• Unproblematisch (regelmäßig)

  
  

  • Links im Rahmen seriöser Berichterstattung / Meinungsäußerung, die nur Quellen belegen oder den Inhalt dokumentieren (BGH „AnyDVD“: Heise haftet nicht für Link auf Seite mit illegaler Software; geschützt durch Art. 5 GG). 

  • Links auf offensichtlich legale Angebote (offizielle Seiten, etablierte Dienste), ohne Anhaltspunkte für Rechtsverletzungen.

  • Deep Links / Framing auf rechtmäßig frei zugängliche Inhalte, sofern keine „neue Öffentlichkeit“ erschlossen wird und der Rechteinhaber die Online-Stellung erlaubt hat (EuGH „Svensson“, „BestWater“).

  • Keine Kenntnis von Rechtswidrigkeit + keine Evidenz; bei Hinweis auf Rechtsverletzung wird der Link zügig entfernt.

  
  

• Haftungsrisiko / Haftung

  Du näherst dich der Haftung (als Täter, Teilnehmer oder jedenfalls Verantwortlicher), wenn:

  
  

  • bewusst Links genutzt werden, um Zugang zu klar rechtswidrigen Inhalten zu erleichtern (z.B. illegalen Streams/Downloads, Umgehung von Kopierschutz oder Paywalls).

  • du positive Kenntnis von der Rechtswidrigkeit hast oder sie sich geradezu aufdrängt (offenkundig illegaler Inhalt) und du den Link trotzdem setzt/stehen lässt.

  • der Link in einen Kontext eingebettet ist, in dem du dir die rechtswidrigen Inhalte zu eigen machst(zustimmende Übernahme, Werbung dafür, „hier könnt ihr kostenlos illegal XY laden“).

  • das Setzen des Links kommerziell erfolgt: Nach EuGH „GS Media“ besteht bei Gewinnerzielungsabsicht eine Prüfpflicht; wird auf offensichtlich illegal eingestellte Inhalte verlinkt, kann das als Urheberrechtsverletzung gewertet werden. 

  • du als Betreiber (Website, Forum, Plattform) auf Hinweise („notice“) nicht reagierst und rechtswidrige verlinkte Inhalte nicht entfernst (heute im EU-Recht insb. über DSA / Haftungsprivilegien konkretisiert).

Merksatz fürs Examen / die Klausur:

Unproblematisch sind Links bei legalen Inhalten und seriöser, distanzierter Berichterstattung; Haftung droht, sobald du wissentlich oder grob fahrlässig als „Verteiler“ rechtswidriger Inhalte auftrittst oder dir diese erkennbar zu eigen machst.

• Technisch überholt

  Der weite, unscharfe Begriff der „Telemedien“ und die Systematik passten nicht mehr zu modernen Diensten wie sozialen Netzwerken, Plattformen, App-Ökosystemen, Cloud-Services, algorithmischen Empfehlungssystemen etc.

• Unklare Verantwortlichkeiten

  
  

  • Unscharf war v.a. die Störerhaftung für Hostprovider, Forenbetreiber, WLAN-Betreiber.

  • Unklare / uneinheitliche Prüf- und Überwachungspflichten: Was muss ein Plattformbetreiber bei Hinweisen tun? Wie weit geht die Prüfpflicht ohne generelle Überwachungspflicht?

• Spannungen mit EU-Recht

  
  

  • Parallelvorschriften und Unklarheiten neben/binnen DSGVO, ePrivacy-Regelungen sowie Haftungs- und Informationspflichten aus EU-Richtlinien.

  • Zunehmender Bedarf nach EU-weit einheitlichen Plattformregeln, der schließlich durch den Digital Services Act (DSA) adressiert wurde.

    
    

• Folge / Lösung

  Ablösung und Neuordnung durch das Digitale-Dienste-Gesetz (DDG) als moderner nationaler Rahmen, der mit dem DSA verzahnt ist und das alte TMG-Regime weitgehend ersetzt.

• Funktionswechsel: „Neues TMG+“

  Das DDG ersetzt das TMG, knüpft aber an dessen Logik an: Informationspflichten (v.a. Impressumspflicht), Verantwortlichkeit von Diensteanbietern, Haftungsprivilegien für Access-/Cache-/Host-Provider bleiben im Kern erhalten – nun DSA-konform ausgestaltet. 

• Umsetzung & Flankierung des DSA

  Das DDG ist das nationale Ausführungsgesetz zum Digital Services Act:

  
  

  • definiert zuständige Behörden (insb. Koordinator für digitale Dienste),

  • regelt Aufsicht, Verfahren und Sanktionen (Bußgelder bei Verstößen gegen DSA-Pflichten),

  • konkretisiert Pflichten für Vermittlungsdienste im deutschen Kontext. 

  
  

• Konkretisierung für Plattformen (DSA + NetzDG-Elemente)

  Für Hostingdienste, Plattformen, soziale Netzwerke & Co insbesondere:

  
  

  • Pflicht zu Melde- und Beschwerdeverfahren für rechtswidrige Inhalte.

  • Anforderungen an Transparenz (z.B. Berichte, Hinweis auf Moderationspraxis, Umgang mit Meldungen).

  • Vorgaben zu Notice-and-Action-Prozessen, Kooperationspflichten mit Behörden und Aufsichtsstellen.

  • Übernahme/Integration bisheriger Regelungsinhalte aus dem NetzDG in ein einheitlicheres System.

  
  

• Praktische Folgen

  
  

  • Normale Websites / klassische Telemedien: De facto kaum Neuerungen: Impressumspflicht & Haftungsprivilegien wie gewohnt, nur unter neuer Gesetzesnummer.

  • Plattformbetreiber & größere Dienste: Klare Compliance-Pflichten (Prozesse, Dokumentation, Risikomanagement, Beschwerdewege, Transparenzberichte, Zusammenarbeit mit Behörden, Bußgeldrisiko).

  
  

• Wenn Unbekannte über ein WLAN urheberrechtswidrig (z.B. Filesharing) handelten, konnte der Anschlussinhaber als Störer auf Unterlassung haften. 

• Von ihm wurden Sicherungsmaßnahmen (Verschlüsselung) und Belehrungspflichten erwartet; bei Verstoß drohten Abmahnungen und Unterlassungsansprüche (aber meist kein Schadensersatz).

• Effekt: Viele hatten Angst, WLAN öffentlich anzubieten → hinderlich für digitale Infrastruktur.

Die klassische Störerhaftung für WLAN-Betreiber wurde weitgehend zurückgefahren: Betreiber sollen nicht mehr automatisch für Rechtsverstöße Dritter haften

In Einzelfällen Sperrmaßnahmen verlangt werden, wenn sie verhältnismäßig und zumutbar sind

Ein Anspruch ist das Recht, von einem anderen ein Tun oder Unterlassen zu verlangen.

In jedem Fall muss es dafür eine Rechtsnorm geben, deren Rechtsfolge genau das Gewünschte zuspricht (z. B. Zahlung, Herausgabe, Schadensersatz).

Ohne passende Anspruchsgrundlage kein Anspruch im Zivilprozess

Mit der Vier-Fragen-Formel: WER verlangt WAS von WEM, aus WELCHEM Grund. So ordnest du Beteiligte, Anspruchsziel und passende Norm (z. B. Kaufpreiszahlung, Herausgabe, Schadensersatz).

• Kaufvertrag: Käufer → Übergabe/Übereignung; Verkäufer → Kaufpreis.

• Werkvertrag: Unternehmer → Werk herstellen; Besteller → Vergütung.

• Mietvertrag: Vermieter → Gebrauch der Mietsache; Mieter → Miete.

• Darlehen: Darlehensgeber → Geldsumme; Darlehensnehmer → Rückzahlung + ggf. Zinsen.

• Dinglich (§ 985 BGB): Eigentümer kann vom Besitzer Herausgabe verlangen, wenn kein Recht zum Besitzbesteht (z. B. Leihe beendet).

• 
  

• Deliktisch (§ 823 Abs. 1 BGB): Wer rechtswidrig und schuldhaft absolute Rechte verletzt (Eigentum, Gesundheit etc.), schuldet Schadensersatz; Höhe nach §§ 249 ff. BGB (Beispiel: Verkehrsunfall; daneben § 7 StVG)

Wer ohne Rechtsgrund etwas erlangt, muss es herausgeben

Typischer Fall: Leistung wurde erbracht, aber der Vertrag war (noch) nicht wirksam → Rückabwicklung

Rechtsgeschäfte entstehen durch Willenserklärungen.

Einseitig (z. B. Kündigung, Rücktritt, Anfechtung) lösen Rechtsfolgen durch eine Erklärung aus.

Mehrseitig sind Verträge bzw. Beschlüsse (mind. zwei passgenaue Erklärungen).

Abgabe kann schriftlich, mündlich oder konkludent erfolgen (Kopfnicken; Münze in den Automaten; Einfahrt ins Parkhaus = Angebot Mietvertrag; Einsteigen in den Bus = Angebot Beförderungsvertrag).

Schweigen ist grundsätzlich keine Erklärung (Ausnahme: normiertes/beredtes/kaufmännisches Schweigen)

Ein Vertrag verlangt Willenserklärungen von mindestens zwei Personen.

Die erste heißt nach § 145 BGB der Antrag (auch und häufig Angebot,

Offerte) und die zweite nach § 146 BGB die Annahme.

Die beiden Willenserklärungen müssen inhaltlich übereinstimmen.

Eine verspätete oder eingeschränkte Annahme gilt als Ablehnung des

Antrags mit neuem Antrag (vgl. § 150 BGB).

Es muss eine Einigung (Konsens) bestehen über einen bestimmten oder zumindest bestimmbaren Vertragsinhalt.

Wesentliche Vertragsbestandteile eines gegenseitigen Vertrages sind:

• die Vertragsparteien,

• der Gegenstand der Leistung,

• der Gegenstand der Gegenleistung.

Eine auf Vertragsabschluss gerichtete Willenserklärung, die so bestimmt ist, dass ein einfaches „Ja“ (oder konkludentes Einverständnis) genügt

Voraussetzungen: inhaltliche Bestimmtheit (essentialia) und Verbindlichkeit; nicht nur bloße Einladung zur Abgabe eines Angebots

Einladungen sind keine Angebote: Werbeprospekte, Anzeigen, Schaufensterauslagen. => Grenzfälle: Selbstbedienungsladen, Web-Shop. Nach AG München (04.02.2010) ist das Warenangebot im Online-Shop regelmäßig nur invitatio; erst die Bestellung ist das Angebot

Zugang liegt vor, wenn die Erklärung in den Machtbereich des Empfängers gelangt.

Praxis: Post auch im Urlaub sichten lassen (BAG). E-Mail-Lesebestätigung ist kein sicherer Beweis des Zugangs. Widerruf: möglich, wenn er vor oder gleichzeitig zugeht

Der Antragende ist an sein Angebot gebunden (§ 145 BGB). Erlöschen nach § 146 BGB, z. B. durch Ablehnung oder verspätete Annahme (Details in §§ 147–149). ⇒ In der Praxis Fristen genau prüfen (Postlauf, E-Mail-Verzögerung).

Fehlerhafte Willenserklärungen, die auf einem Irrtum

beruhen, können angefochten werden.

Wirkung: Nichtigkeit des Rechtsgeschäfts von Anfang an => Es wird behandelt, als sei es nie wirksam zustande gekommen.

Trotz der Nichtigkeit muss der Anfechtende unter Umständen Schadensersatz leisten => Der andere Teil ist so zu stellen, wie er stünde, wenn er niemals auf die Gültigkeit der Erklärung vertraut hätte

• Inhaltsirrtum: Man weiß, was man sagt, aber nicht, was es rechtlich bedeutet.

• Erklärungsirrtum: Verschreiben, Versprechen, „Zahlendreher“.

• Eigenschaftsirrtum: Irrtum über wesentliche Eigenschaften von Person/Sache (wertbildende Faktoren; nicht über den Preis selbst).

• Frist: unverzüglich nach Kenntnis, Ausschluss nach 10 Jahren.

Wer durch Vorspiegeln/Unterdrücken von Tatsachen einen Irrtum bewusst hervorruft, kann angefochtenwerden

Klassiker: Gebrauchtwagen als „unfallfrei“ trotz schwerem Unfallschaden

Anfechtungsfrist: § 124 BGB = 1 Jahr nach Entdecken der Täuschung

Leistungsstörungen gliedern sich in Unmöglichkeit (Nichtleistung), Verzug (Zuspätleistung) und Gewährleistung/Schlechtleistung (mangelhafte Leistung).

Rechtsfolgen reichen von Schadensersatz über Rücktritt/Kündigung bis zu Leistungsverweigerungsrechten

Ja, Fernabsatz, wenn:

• 
  

  1. Unternehmer ↔ Verbraucher Vertrag schließen,

  2. es um Waren oder Dienstleistungen geht und

  3. ausschließlich Telefon, E-Mail, Website, App o. ä. genutzt werden (ohne persönliches Treffen) – und zwar im Rahmen eines organisierten Systems (klassischer Online-Shop, Hotline, App).

• Kein Fernabsatz, wenn es nur zufällig „auf Distanz“ passiert (z. B. einmaliger E-Mail-Tausch ohne Online-Shop) oder zwischendurch ein Ladentermin stattfand.

• Wichtig: Fernabsatz = Extra-Schutz für Verbraucher (Pflichtinfos, Widerruf etc.).

Mini-Beispiel: Bestellung in einem typischen Online-Shop mit Warenkorb → Fernabsatz.

Einmalige Kaufabrede per privater E-Mail zwischen Nachbarn → kein Fernabsatz.

• Website/Produktseite ist meist nur Einladung („Schau mal, was wir verkaufen“).

  Deine Bestellung ist das Angebot.

• Ob der Händler annimmt, steht in seiner Antwort:

  • „Eingangsbestätigung“ = nur technischer Empfang → noch kein Vertrag.

  • „Auftrags-/Versandbestätigung“ oder ausdrückliche Zusage → Vertrag da.

• eBay & Auktionen: Bei eBay sind Angebot/Annahme in den Plattformregeln festgelegt (vorzeitiger Abbruch ohne Grund kann haftungspflichtig machen; „Startpreis 1 €“ sagt nichts über den Wert).

• Merksatz: Vertrag erst, wenn ein klar erkennbares „Ja“ des Händlers vorliegt (Text oder Handlung wie Versand).

Mini-Beispiel: „Danke für Ihre Bestellung – wir prüfen jetzt.“ → noch kein Vertrag.

„Ihre Bestellung wurde angenommen – Versand morgen.“ → Vertrag.

• Vor dem Klick müssen klar sichtbar sein:

  Produkt, Gesamtpreis inkl. Steuern, zusätzliche Kosten (z. B. Versand), Vertragslaufzeit/Automatik-Verlängerung, Widerrufsrecht (Info), Zahlungs-/Lieferbedingungen.

• Preisvergleich/Listen: Spätestens mit dem ersten Klick muss erkennbar sein, ob Versandkosten enthalten sind.

• Bestell-Button muss eindeutig heißen, z. B. „zahlungspflichtig bestellen“ (oder ähnlich klar).

• Fehlt diese Klarheit, kommt regelmäßig kein wirksamer Vertrag zustande – genau dafür gibt es die Button-Lösung.

Mini-Beispiel: Button „Jetzt kaufen (Endpreis 39,90 € inkl. Versand)“ + klare Infos darunter → sauber.

Button „Weiter“ ohne Preisangaben → kritisch.

• Frist: In der Regel 14 Tage ab Erhalt der Ware (bei Dienstleistungen ab Vertrag, ggf. Besonderheiten).

• Start der Frist nur mit ordentlicher Belehrung (Text). Ohne Belehrung läuft die Frist nicht normal an.

• So widerrufst du: Klare Erklärung (z. B. Formular, E-Mail) – ohne Begründung.

• Rückabwicklung: Händler zahlt Kaufpreis (und standard-Versand) innerhalb von 14 Tagen zurück; du schickst die Ware zurück (wer die Rücksendekosten trägt, muss vorher mitgeteilt sein). Wertersatz, wenn die Ware mehr als nötig genutzt wurde.

• Typische Ausnahmen (kein Widerruf):

  maßgeschneiderte Ware, versiegelte Software/Audio/Video nach Öffnen, schnell verderbliche Güter, Zeitungen/Zeitschriften (außer Abo), vollständig erbrachte Dienstleistungen mit vorheriger Zustimmung.

  Online-Auktionen: gelten nicht als „Versteigerung“ im rechtlichen Sinne → Widerruf meist möglich.

Mini-Beispiel: Abendkleid zuhause nur anprobiert → Widerruf ok.

Zelt drei Tage „getestet“ → evtl. Wertersatz.

Cloud heißt: IT-Leistungen (Rechenpower, Speicher, Software) werden über das Internet spontan bezogen, flexibel skaliert und meist „pay per use“ abgerechnet – statt eigene Server zu kaufen.

Es gibt Public Clouds (für viele Kunden standardisiert, schnell & variabel) und

Private Clouds (nur für eine fest definierte Nutzergruppe, z. B. ein Unternehmen).

Service-Ebenen: IaaS (Infrastruktur wie virtuelle Server),

PaaS (Developer-Plattformen) und

SaaS (fertige Apps wie Mail, ERP).

Beispiel: Statt eigenen Mailserver zu betreiben, nutzt ein Start-up SaaS-E-Mail in der Public Cloud.

Leistungsbeschreibung ist das Herzstück (welche Dienste, Umfang, Laufzeit).

Details regelt das SLA mit KPIs (z. B. Verfügbarkeit/Response-Zeit) und ggf. Pönalen (Vertragsstrafen) bei Schlechtleistung.

Bei internationalen Anbietern unbedingt anwendbares Recht und Gerichtsstand sauber festlegen (sonst teure Verfahrensüberraschungen).

Nutzung von Software in der Cloud ist rechtlich oft Miete; Wartung/Anpassung eher Dienst/Werk – passt die Beschreibung, passt die Rechtsfolge. Praxis-Merker: Ohne präzises SLA keine verlässliche Qualität.

Bei Berufsgeheimnisträgern (z. B. Anwälte, Notare, Steuerberater) steht § 203 StGB im Raum: Eine unbefugte Offenbarung von Geheimnissen ist strafbar. Deshalb sind besonders strenge vertragliche/technische Sicherungen (Standort, Verschlüsselung, Zugriff, Sub-Processor) nötig – und im Zweifel eine konservative Gestaltung, bevor Mandantendaten ausgelagert werden.

• Internet-System-Vertrag (z. B. Entwicklung/Einrichtung eines kompletten Web-Auftritts): in der Regel Werkvertrag

• Softwareerstellungsvertrag: meist Werkvertrag (fertige, funktionsfähige Software als Erfolg), je nach Fall auch Werklieferung (§ 651 BGB), wenn Standardkomponenten geliefert und angepasst werden. 

• Pflege eines Webauftritts (laufende Betreuung/Contentpflege): typischerweise Dienstvertrag

• Wartung/Software-Anpassung: häufig Werkvertrag (konkretes Ergebnis wie Bugfix/Feature), kann im Einzelfall auch Dienstvertrag sein, wenn nur „Bemühungen“ geschuldet sind. 

  
  

  Merke: Werk = Erfolg geschuldet (Abnahme!), Dienst = Tätigkeit geschuldet (keine Erfolgsgarantie). Diese Einordnung bestimmt Abnahme, Vergütung, Haftung und Beweislast.

• Glasklare Leistungsbeschreibung: Was genau wird geliefert/geleistet? Welche Version/Module, Schnittstellen, Usability-Kriterien? Ohne Präzision drohen Streit & Mehrkosten. 

• Vorleistungspflichten (z. B. hohe Anzahlung, Content/Feedback des Kunden): exakt regeln und durch Meilensteine + Leistungsfortschrittskontrolle absichern (Kennzeichnung von Zwischenergebnissen, Abnahmekriterien pro Meilenstein). Idee wie aus Bau/Architektur: Plan → Bauabschnitt → Abnahme → nächste Rate. 

• SLA anhängen: KPIs (z. B. Verfügbarkeit, Reaktions-/Behebungszeiten) + Pönalen bei Unterschreitung. Rechtswahl/Gerichtsstand festlegen (Auslandsanbieter!). 

  Merke: Gute Verträge sind Checklisten: Leistung, Qualität, Termine, Abnahme, Change-Requests, Vergütung je Stufe.

• Ziel: Deutschland robuster gegen Cyberangriffe machen: KRITIS schützen, staatliche Cyberabwehr stärken, Pflichten für Unternehmen erweitern.

• KRITIS-Sektoren wie Energie, Wasser, IT/TK, Verkehr, Gesundheit, Finanz/Versicherung bleiben; neu hinzukommt Siedlungsabfallentsorgung. Zusätzlich wurden Schwellenwerte gesenkt, dadurch fallen mehr Betreiberunter die Regeln.

• UBI = Unternehmen im besonderen öffentlichen Interesse (drei Gruppen):

  UBI-1 (AWV-UBI): z. B. Rüstungsindustrie, VS-IT;

  UBI-2 (Wertschöpfungs-UBI): sehr große deutsche Unternehmen und wesentliche Zulieferer;

• UBI-3 : Betriebe, in denen bei Störungen große Gefahren entstehen können (Störfall-Betriebe).

• Angriffe erkennen: Es müssen automatische Systeme eingesetzt werden, die Angriffe laufend erkennen.

• Vorfälle melden: Erhebliche IT-Störungen sind sofort an das Bundesamt zu melden.

• Nachweis der Sicherheitsqualität: Regelmäßig zeigen, dass die Schutzmaßnahmen dem aktuellen Stand der Technik entsprechen (belegt durch Prüfungen und Dokumentation).

• Vertrauenswürdige Produkte: Hersteller müssen die Sicherheit ihrer Produkte und ihrer Lieferketten belegen.

• Kennzeichnung für Verbraucher: Digitalen Produkten kann ein IT-Sicherheitskennzeichen verliehen werden, das über Sicherheitsmerkmale informiert.

• Prüfen und warnen: Das Bundesamt darf eigene Sicherheitsanalysen vornehmen (zum Beispiel an Software oder Netzen) und öffentlich vor unsicheren Produkten warnen.

• Lage sammeln und bewerten: Sicherheitsvorfälle werden zentral erfasst und bewertet, damit schneller reagiert werden kann.

• Bessere Zusammenarbeit: Staatliche Stellen zur Cyberabwehr arbeiten enger zusammen; das Bundesamt übernimmt die Koordination.

• Recht auf Löschung: Daten müssen gelöscht werden, wenn z.B. Zweck wegfällt, Einwilligung widerrufen, unrechtmäßige Verarbeitung etc. => Das Recht auf Löschung betrifft typischerweise die direkten Daten, die ein Unternehmen oder

  Anbieter über eine Person hat

• Recht auf Vergessenwerden: Speziell: Entfernung von Links/Suchergebnissen (De-Listing), damit Infos bei Namenssuche nicht mehr so leicht auffindbar sind.

  
  

  => Immer mit Interessenabwägung: Persönlichkeitsschutz vs. Informations-/Pressefreiheit.

  
  

• Google ist Verantwortlicher

  für die Verarbeitung der personenbezogenen Daten in seinen Suchergebnissen (vgl. EuGH „Google Spain“).

• Pflicht zum De-Listing (Art. 17 DSGVO)

  bei Treffern zur Namenssuche, wenn die angezeigten Infos im konkreten Fall:

  
  

  • unrichtig oder

  • veraltet / nicht mehr relevant oder

  • unangemessen oder

  • unverhältnismäßig belastend

  
  

  sind und dadurch das Recht der betroffenen Person auf Schutz ihrer Daten und Persönlichkeit überwiegt.

• Kein De-Listing, wenn kumulativ:

  
  

  • die Info wahr und

  • aktuell/relevant ist und

  • ein überwiegendes öffentliches Interesse an der Auffindbarkeit über die Namenssuche besteht

    (z.B. Politiker:innen, schwere Straftaten, wichtige Wirtschaftsinfos).

Prüfungsschema (prüfungsfest formuliert):

1. Personenbezug der Suchtreffer (Name → konkrete Person identifizierbar).

2. Anspruchsgrundlage: Art. 17 Abs. 1 DSGVO (insb. lit. a, c, d) i.V.m. EuGH „Google Spain“ und Folge-Rechtsprechung.

3. Interessenabwägung

   
   

   • Rechte der betroffenen Person (Privatsphäre, Resozialisierung, Zeitablauf etc.)

   • vs. Informationsfreiheit der Nutzer (Art. 11 GRCh) und öffentliches Informationsinteresse.

   
   

4. Ergebnis:

   
   

   • Bei Überwiegen der Betroffenenrechte: Entfernung bestimmter Links nur bei Namenssuche (nicht Löschung der Inhalte auf der Quellseite, kein Totalverbot anderer Suchanfragen).

   
   

1. Personenbezogene Daten werden rechtmäßig verarbeitet

   • Gesichter, Kennzeichen, Hausfassaden, Gärten etc. sind personenbezogene Daten.

   • Rechtsgrundlage: Berechtigtes Interesse des Anbieters und der Öffentlichkeit (Art. 6 Abs. 1 lit. f DSGVO).

   • Erforderlich: Interessenabwägung → kein überwiegendes Interesse der Betroffenen.

2. Datenschutzmaßnahmen (Privacy by Design)

   • Automatische Verpixelung von Gesichtern und Kfz-Kennzeichen.

   • Möglichkeit, zusätzlich eine weitere Verpixelung/Entfernung (z.B. gesamtes Haus) einfach zu beantragen.

   • Keine langfristige Speicherung der Rohdaten ohne Notwendigkeit.

3. Aufnahmebedingungen

   • Aufnahmen grundsätzlich von öffentlich zugänglichen Wegen/Plätzen aus.

   • Keine gezielte Ausspähung des Innenbereichs von Wohnungen oder abgeschirmter Privatbereiche.

   • Keine besonderen Hilfsmittel, die einen unzulässigen Einblick ermöglichen (z.B. extreme Überhöhung zur Einsicht in Hinterhöfe).

4. Panoramafreiheit & Urheberrecht

   • Außenansichten von Gebäuden, Kunstwerken im öffentlichen Raum etc. sind über die Panoramafreiheit (§ 59 UrhG) regelmäßig zulässig, solange von öffentlichem Raum aus aufgenommen.

5. Transparenz & Betroffenenrechte

   • Information der Öffentlichkeit über Art und Zweck der Aufnahmen.

   • Wahrung aller Rechte nach DSGVO: Auskunft, Widerspruch, Löschung/Verpixelung.

   
   

• Beleidigung: Jemand wird durch Worte, Bilder, Videos oder Gesten in seiner Ehre herabgesetzt (z. B. Ausfälligkeiten, „Mittelfinger“). Unhöflichkeit oder ein vertrauliches Gespräch reichen allein nicht. Strafe: Geldstrafe bis Freiheitsstrafe (max. etwa zwei Jahre). 

• Üble Nachrede: Es werden Tatsachen über jemanden verbreitet, die nicht nachweisbar wahr sind und den Ruf schädigen (z. B. „X klaut im Büro“, ohne Belege). Ebenfalls mit Worten, Bildern oder Videos möglich; Strafrahmen wie oben. 

• Verleumdung: Bewusst falsche Tatsachen werden über jemanden verbreitet, um ihn verächtlich zu machen oder seinen Ruf zu zerstören. Schwerer als üble Nachrede; Strafe bis zu fünf Jahren. Merksatz: Meinung darf hart sein – Unwahrheiten nicht.

• Die Meinungsfreiheit schützt Werturteile und Kritik – auch scharf. Sie endet, wo die Menschenwürde verletzt wird oder ehrverletzende Schmähungen beginnen. Tatsachenbehauptungen müssen stimmen; wer bewusst Falsches behauptet, kann sich nicht auf Meinungsfreiheit berufen. Hass ist keine Meinung. 

• Sonderfall: Hetze gegen bestimmte Gruppen kann zusätzlich strafbar sein („verhetzende Beleidigung“).

• Faustregel: Sagt man was jemand ist (Werturteil) → oft erlaubt; behauptet man was jemand getan hat (Tatsache) → das muss wahr sein.

Datenschutz gilt, sobald eine Kamera personenbezogene Daten erfasst – also erkenn­bare Personen oder Kennzeichen.

Das betrifft auch Fälle, in denen versehentlich Bereiche außerhalb des eigenen Grundstücks erfasst werden (z. B. Gehweg, Nachbar­einfahrt).

Grundlage sind die Datenschutz-Grundverordnung (z. B. Grundsätze, Rechtsgrundlage, Informationspflicht) und das allgemeine Persönlichkeitsrecht.

Erlaubt ist die Überwachung des eigenen Grundstücks, und zwar so sparsam wie möglich (nur was für den Zweck nötig ist).

Unzulässig ist das Filmen von öffentlichen Flächen (Straße, Gehweg) oder Nachbarbereichen (z. B. Fenster, Eingänge).

Zusätzlich ist eine gut sichtbare Information nötig: Wer ist verantwortlich (Kontakt), Zweck und Rechtsgrundlage, mögliche Empfänger, ggf. Drittland-Übermittlungen, Speicherdauer/Löschfristen und die Rechte der Betroffenen.

Wichtig: Das Hinweisschild legalisiert keine Überwachung öffentlicher Bereiche.

Betroffene können Auskunft über gespeicherte Aufnahmen verlangen,

Löschung fordern,

Widerspruch einlegen und

sich bei der Aufsichtsbehörde beschweren.

Für eine rechtssichere Nutzung:

(1) Kamera so ausrichten, dass nur das eigene Areal erfasst wird;

(2) sparsam speichern und zeitnah löschen; (3)

Hinweisschild mit den Pflichtangaben gut sichtbar anbringen;

(4) Anfragen zügig beantworten und unzulässige Aufnahmen löschen.

Es schützt die Vertraulichkeit und Integrität deiner IT-Systeme (z. B. Laptop, Smartphone). Heimliches Eindringen des Staates (Auslesen, Mitlesen) ist nur erlaubt, wenn konkrete Anhaltspunkte für eine Gefahr für überragend wichtige Rechtsgüter bestehen (z. B. Leib, Leben, Freiheit oder die staatliche Existenz). Nur in echten Ausnahmelagen – nicht „auf Verdacht“.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Personbeziehen. Identifizierbar ist jemand schon dann, wenn man ihn direkt oder indirekt bestimmen kann – etwa über Name, Adresse, Kfz-Kennzeichen, Online-Kennungen wie Nutzer-ID, Standortdaten oder eine Kombination mehrerer Merkmale.

Zweck des Datenschutzes

Datenschutz dient dem Schutz des Persönlichkeitsrechts und der informationellen Selbstbestimmung. Online-Dienste dürfen personenbezogene Daten nur erheben, speichern oder nutzen, wenn

1. eine gesetzliche Grundlage das erlaubt (z. B. Vertragserfüllung, berechtigtes Interesse, rechtliche Pflicht), oder

2. du wirksam eingewilligt hast.

   Ohne Rechtsgrundlage ist die Verarbeitung grundsätzlich unzulässig.

Zuständigkeit bei globalen Diensten

Bei international tätigen Plattformen hängt die Zuständigkeit von Datenschutzaufsichtsbehörden oft vom EU-Sitz der Hauptniederlassung ab („One-Stop-Shop“). Beispiel: Für Facebook/Meta war lange die irische Behörde federführend zuständig, weil die EU-Zentrale in Irland sitzt. Andere nationale Behörden können zwar mitwirken, aber die Leitentscheidung läuft typischerweise über die Behörde am Hauptsitz.

Personenbezogene Daten dürfen

grundsätzlich für Werbung nur mit ausdrücklicher

Einwilligung des Betroffenen verarbeitet oder genutzt

werden.

Die Einwilligung muss im Regelfall

schriftlich erfolgen (deutlich hervorgehoben – nicht

versteckt in AGBs); ihr muss eine Unterrichtung über den

Verarbeitungszweck vorausgehen.

Die Einwilligung ist

jederzeit frei widerruflich. Im Zweifel ist nach der

Rechtsprechung ein sog. Opt-In-Verfahren erforderlich.

Einwilligungspflicht nach TTDSG (§ 25)

• Cookies dürfen nur gesetzt werden, wenn der Nutzer vorher zustimmt

• Ausnahmen: Cookies, die technisch unbedingt erforderlich

• Einwilligung muss DSGVO-konform sein

• Verstöße: Abmahnungen & Bußgelder bis zu 300.000 €

Anforderungen an Cookie-Banner

• Verständliche Infos + Jederzeit widerrufbar

• Opt-In (aktive Zustimmung) notwendig

• Keine Dark Patterns (manipulative Gestaltung) oder

Nudging (Subtile Beeinflussung) erlaubt

Nein. Das frühere „Listenprivileg“ (einfache Adresslisten) gibt es nicht mehr. Heute braucht es eine Rechtsgrundlageoder eine ausdrückliche Einwilligung. Unternehmen müssen zudem Transparenz herstellen (z. B. Herkunft der Daten angeben) und Widersprüche beachten.

• Technisch unbedingt notwendige Cookies (z. B. Warenkorb) sind ohne Einwilligung erlaubt.

• Funktionale/Analyse-/Marketing-Cookies und seitenübergreifendes Tracking brauchen vorherige Zustimmung.

Anforderungen an Cookie-Banner

• Verständliche Infos + Jederzeit widerrufbar

• Opt-In (aktive Zustimmung) notwendig

• Keine Dark Patterns (manipulative Gestaltung) oder

Nudging (Subtile Beeinflussung) erlaubt

Personenbezogene Daten

• Bewerbungsunterlagen

• Vereinbarungen (Arbeitsvertrag, Zielvereinbarung etc.)

• Stammdaten

• Krankheitstage / Fehlzeiten

• Beurteilungen

Artikel 5 DSGVO

• Rechtmäßigkeit → Verarbeitung nur mit Rechtsgrundlage

• Transparenz & Fairness → Arbeitnehmer muss wissen, welche Daten warum verarbeitet werden

• Zweckbindung → Nutzung nur für festgelegte, legitime Zwecke

• Datenminimierung → nur notwendige Daten erheben & speichern

• Richtigkeit → Daten müssen korrekt & aktuell sein, Fehler zu berichtigen/löschen

• Speicherbegrenzung → Daten nur so lange speichern, wie erforderlich (Löschkonzept nötig)

• Integrität & Vertraulichkeit → Schutz vor Verlust, Zerstörung & unbefugtem Zugriff

• Rechenschaftspflicht → Arbeitgeber muss Einhaltung der Grundsätze nachweisen können

Artikel 15 DSGVO

Auskunftsrecht

• Den Zweck der Datenverarbeitung

• Die Kategorien der verarbeiteten Daten

• Die Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden

• Die Dauer der Speicherung der Daten und die Kriterien für die Festlegung dieser Dauer

=> DSGVO: schützt Arbeitnehmer vor unverhältnismäßiger Datensammlung und schafft Transparenz

Nur wenn sie erforderlich, verhältnismäßig und transparent ist – und in der Regel mitbestimmt durch den Betriebsrat.

Beispiele: Erfassung von Arbeitszeiten, Produktivität oder Qualität kann zulässig sein, wenn sie der Steuerung von Prozessen dient und keine Persönlichkeitsprofile über Eigenschaften der Person erstellt werden.

In Deutschland und der EU sind die Regeln streng, in den USA ist vieles weitergehend erlaubt, weil es weniger spezielle Schutzgesetze gibt.

Unlauter handelt u. a., wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte

Unlautere Geschäftspraktiken sind verboten.

Irreführung liegt vor, wenn eine Aussage einen falschen Eindruck erzeugt und die Kaufentscheidung beeinflussen kann.

Maßgeblich ist der Gesamteindruck: Wie versteht ein durchschnittlich informierter Mensch die Werbung?

Online ist zu beachten, dass viele Details erst nachgeklickt werden – das erhöht das Risiko, dass Wichtiges „untergeht“. Werturteile („super lecker“) sind eher erlaubt; prüfbare Behauptungen müssen stimmen.

Preise müssen eindeutig zuordbar, gut erkennbar und vollständig sein. Beim Online-Verkauf gehört dazu, ob Umsatzsteuer enthalten ist und ob Liefer-/Versandkosten anfallen. Der Endpreis muss am Ort der Preiswerbung klar sein – auch in Preisvergleichslisten. Zeigt eine Preissuchmaschine 29,90 €, der Shop verlangt später 34,90 €, ist das irreführend. 

Beispiel: In der Liste steht „39,90 € inkl. MwSt.“ – erst im Warenkorb kommen „Pflicht-Versandkosten“ dazu → problematisch.

Ja – aber nur mit angemessener Bevorratung. Wer ein Sonderangebot bewirbt, muss vorher so planen, dass die Ware für einen „angemessenen Zeitraum“ in „angemessener Menge“ verfügbar ist (Nr. 5 Anhang zu § 3 Abs. 3 UWG). 

2-Tage-Faustregel / Beweislast:

Die „zwei Tage“-Regel ist heute kein Automatismus mehr für die Unlauterkeit, sondern ein Beweislast-Indikator:

• Ist das Angebot vor Ablauf von 2 Tagen ausverkauft, muss der Händler beweisen, dass er trotzdem angemessen bevorratet hatte (z.B. unerwartet hohe Nachfrage, Lieferschwierigkeiten). 

Ersatzprodukt:

Ein Ersatzprodukt hilft nur, wenn es aus Verbrauchersicht wirklich gleichwertig ist (Preis, Qualität, Leistung, Marke/Modellniveau). Sonst bleibt es ein unzulässiges Lockangebot. 

Merksatz:

Wer lockt, muss liefern – oder fair und deutlich begrenzen.

Wenn ein Preis blickfangmäßig (z.B. groß, farbig, dominant) beworben wird, müssen alle zwingenden Preisbestandteile bzw. unvermeidbaren Zusatzkosten unmittelbar beim Blickfang mitgenannt werden.

Sonst liegt eine Irreführung vor, weil der Verbraucher den Endpreis falsch einschätzt (§ 5, § 5a UWG i.V.m. Preisangabenrecht).

Sternchenhinweis:

Ein Sternchen ist nur okay, wenn der Hinweis leicht erkennbar, klar zugeordnet und ohne Suchen wahrnehmbar ist. Ein „versteckter“ Sternchentext reicht nicht. 

Beispiel (BGH Kabelanschluss):

Wird ein Telefon-/Internetpreis groß beworben, aber der Tarif funktioniert nur mit einem kostenpflichtigen Kabelanschluss, dann müssen dessen Kosten direkt beim Blickfangpreis stehen. 

Merksatz:

Was für den Preis zwingend ist, muss am Preis stehen.

an darf die Lieferfähigkeit nicht schönreden. Wer online wirbt, muss wahrheitsgemäß sagen, ob und wann geliefert werden kann. Vage Formeln („bald wieder da“) reichen nicht, wenn man tatsächlich nicht liefern kann. Kundinnen und Kunden rechnen im Online-Handel mit zeitnaher Lieferung.

Werbung und redaktionelle Inhalte müssen klar getrennt sein. „Als Information getarnte Werbung“ (z. B. Blog-Artikel, die faktisch Ads sind) ist unzulässig. Online betrifft das z. B. Frames oder Unterseiten, die Werbung wie redaktionellen Inhalt aussehen lassen. Kennzeichnung (z. B. „Anzeige“) ist Pflicht.

Grundsätzlich nur mit vorheriger ausdrücklicher Einwilligung. Für Newsletter gilt praktisch Double-Opt-In als Nachweis: Anmeldung + Bestätigungs-E-Mail mit aktivem Klick. Ohne Einwilligung sind Werbe-Mails eine unzumutbare Belästigung; außerdem drohen zivilrechtliche Ansprüche (Eingriff in Persönlichkeitsrecht oder Gewerbebetrieb).

„Bestandskunden“-Ausnahme: Erlaubt ist E-Mail-Werbung nur für ähnliche eigene Produkte, wenn die Adresse im Kauf erhoben wurde, kein Widerspruch vorliegt und der Widerspruch jederzeit möglich ist.

• rivatpersonen: Werbeanrufe nur mit vorheriger, ausdrücklicher Einwilligung.

• Unternehmen: Erlaubt, wenn eine mutmaßliche Einwilligung plausibel ist (z. B. offenkundiges Interesse des IT-Leiters an passender Software). Beweislast liegt beim Anrufer.

• Dokumentation: Einwilligungen müssen nachweisbar gespeichert werden; Aufbewahrungspflichten gelten.

  
  

Ein RMS ist die „Frühwarn- und Schutzanlage“ eines Unternehmens:

Risiken werden systematisch erkannt, bewertet, gesteuert und überwacht, damit Schäden gar nicht erst entstehen oder klein bleiben.

Das hilft bei Finanz-, Rechts-, Technologie- und IT-Risiken, stärkt Vertrauen bei Investor:innen und Behörden und macht Entscheidungen fundierter – nicht nur „aus dem Bauch“.

Es schafft bessere Entscheidungsgrundlagen (weniger Bauchgefühl, mehr Daten), mehr Transparenz & Vertrauen bei Kund:innen, Mitarbeitenden und Aufsicht, und es senkt Haftungsrisiken für das Management, weil Pflichten nachweisbar erfüllt werden. Oft wird Risikomanagement damit sogar zum Wettbewerbsvorteil.

Leitungen von AGs und GmbHs müssen angemessene Maßnahmen für ein Überwachungs-/Risikofrüherkennungssystem treffen und mit der Sorgfalt eines ordentlichen Geschäftsleiters handeln – sonst droht persönliche Haftung. Kurz: Risiken früh erkennen, transparent berichten, verantwortungsvoll entscheiden

• Cyberangriffe & Erpressersoftware: Daten werden verschlüsselt, Freigabe nur gegen Lösegeld – Produktionsstopp droht.

• Datenschutzverstöße: Personenbezogene Daten werden unzulässig verarbeitet oder offengelegt – Bußgelder, Reputationsschaden.

• Cloud-/Systemausfälle: Dienste sind nicht erreichbar – Bestellungen, Schichtpläne oder Zahlungen stehen still.

  Ein gutes RMS behandelt diese Risiken gezielt und wiederkehrend.

1. Identifizieren: Alle wesentlichen Risiken sammeln (z. B. Finanzen, IT, Personal, Lieferkette).

2. Analysieren & Bewerten: Wie wahrscheinlich ist der Eintritt? Wie hoch wäre der Schaden? → Prioritäten setzen.

3. Steuern: Risiko vermeiden, mildern (Maßnahmen), übertragen (Versicherung) oder bewusst akzeptieren, wenn beherrschbar.

4. Überwachen & Berichten: Risiken ändern sich – daher kontinuierlich verfolgen und regelmäßig an Geschäftsleitung/Aufsicht berichten.

Unternehmen brauchen IT-Sicherheitsstandards, die Verfügbarkeit, Unversehrtheit/Integrität und Vertraulichkeitvon Informationen schützen (Definition im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik). Dazu zählen eine Risikoanalyse, die Festlegung interner und externer Risiken, der Schutz personenbezogener Daten sowie die Beachtung strafrechtlicher Schutzvorschriften (z. B. gegen Daten- und Systemangriffe).

• Datenschutzbeauftragter (DSB): Achtet darauf, dass das Unternehmen die Datenschutzgesetze einhält (v. a. Datenschutz-Grundverordnung und Bundesdatenschutzgesetz).

  
  

  Ziel: Personendaten schützen und Datenpannen vermeiden.

• Compliance-Beauftragter (CB): Achtet darauf, dass alle Gesetze und internen Regeln eingehalten werden (z. B. Anti-Korruption, Kartellrecht, Geldwäsche, Arbeitsschutz).

  Ziel: Rechtsverstöße und Skandale verhindern und eine faire Unternehmenskultur sichern.

• DSB: Gesetzlich geregelt. Pflicht zur Bestellung, wenn z. B. mehr als 20 Personen regelmäßig mit Personendaten arbeiten, Datenverarbeitung Kerntätigkeit ist (z. B. Cloud-Provider, Tracking-Anbieter) oder besonders sensible Daten verarbeitet werden.

• CB: Kein einzelnes „Compliance-Gesetz“. Die Rolle ergibt sich aus allgemeinen Organisationspflichten der Unternehmensleitung , Gesellschafts- und Corporate-Governance-Vorgaben. Nicht zwingend, aber Best Practice – besonders in größeren/risikoreichen Unternehmen.

1. Einhaltung überwachen: Regeln, Prozesse und Technik auf Datenschutz-Konformität prüfen (Löschfristen, Zugriffe, Datensicherheit).

2. Beraten & Schulen: Führungskräfte und Mitarbeitende zu Datenschutzfragen beraten, schulen und sensibilisieren.

3. Folgenabschätzungen begleiten: Bei Datenschutz-Folgenabschätzungen mitwirken, wenn Risiken für Betroffene hoch sind (z. B. neue Tracking-Tools).

4. Anlaufstelle sein: Für Aufsichtsbehörden und betroffene Personen (Auskunft, Löschung, Beschwerden).

5. Meldewege & Pannen: Datenpannen managen helfen (Meldung an Behörde, Information Betroffener) und reporten an die Geschäftsleitung.

1. Compliance-System aufbauen: Regeln, Prozesse, Hinweisgebersystem und Kontrollen gestalten (CMS).

2. Risiken erkennen: Rechts- und Ethikrisiken identifizieren (z. B. Korruption, Kartellverstöße, Geldwäsche, Arbeitsschutz, Lieferkettengesetz).

3. Richtlinien & Training: Verhaltenskodex, Fachrichtlinien und Schulungen (z. B. Anti-Korruption, Interessenkonflikte).

4. Hinweisen nachgehen: Interne Untersuchungen bei Verdachtsfällen, Maßnahmen vorschlagen.

5. Berichten: Regelmäßige Berichte an Geschäftsführung/Aufsichtsrat, KPI-Monitoring.

   Beispiele: Prüfung von Beraterprovisionen, Geschenkerichtlinien, Sanktionslisten, Lieferanten-Due-Diligence.

• Schutzfunktion: Beide sollen Rechtsverstöße und Reputationsschäden verhindern.

• Beratend statt operativ: Sie beraten und überwachen, führen aber in der Regel nicht die Fachprozesse.

• Berichtspflichten: Regelmäßige Berichte an die Unternehmensleitung/Gremien.

• Weisungsfreiheit & Vertraulichkeit: Unabhängig in der Sache, mit Verschwiegenheitspflicht; keine Interessenkonflikte (z. B. DSB sollte nicht zugleich IT-Leitung sein).

• Fokus: DSB = Datenschutz/IT-Datensicherheit; CB = alle Rechts-/Ethikthemen im Unternehmen.

• Rechtsrahmen: DSB gesetzlich verankert mit klaren Aufgaben; CB beruht auf Leitungspflichten und best practice.

• Bestellung: DSB in bestimmten Fällen vorgeschrieben; CB freiwillig/empfohlen.

• Behördenkontakt: DSB kommuniziert mit Datenschutzaufsicht; CB hat keine spezialisierte Aufsichtsbehörde, arbeitet aber oft mit verschiedenen Behörden/Prüfern zusammen.

• Sanktionen: Datenschutzverstöße können zu hohen DSGVO-Bußgeldern führen; Compliance-Versäumnisse zu Unternehmensbußen, Strafbarkeit einzelner Personen, Ausschlüssen von Vergaben und Reputationsschäden.

• Organisation: DSB kann intern (eigene Fachkraft) oder extern bestellt werden; Unabhängigkeit sicherstellen und bei der Aufsichtsbehörde melden. CB sitzt meist in Recht/Compliance (teils als Chief Compliance Officer), berichtet an Vorstand/Geschäftsführung/Aufsichtsrat.

• Zusammenspiel:

  
  

  • Schulungen: Gemeinsame Trainings zu IT-Sicherheit, Datenschutz, Korruptionsprävention.

  • Hinweisgebersystem: DSB prüft Datenschutz, CB bewertet Sachverhalt & Maßnahmen.

  • Lieferkette & CSR: CB koordiniert gesetzliche Sorgfaltspflichten, DSB prüft Datenflüsse/Transfers.

  • IT-Sicherheitsmaßnahmen: DSB achtet auf DSGVO-Konformität (z. B. Datenminimierung, Löschkonzepte), CB auf Gesamt-Compliance (z. B. Vergabe-, Export-, Wettbewerbsrecht).

    Merksatz: DSB schützt Daten – CB schützt das Ganze. Beide Rollen ergänzen sich und brauchen klare Zuständigkeiten, kurze Wege und Rückhalt durch die Führung.