Security-Check und Schwachstellenanalyse für die Chance auf mehr Sicherheit

Generell ist es gemäß Art. 32 DSGVO unabdingbar, ein entsprechend abgesichertes Active Directory (AD) vorweisen zu können, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Ein Active Directory ermöglicht die Gliederung eines Netzwerks entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung.
Dazu werden Objekte im Netzwerk wie Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben sowie andere Geräte wie Drucker und Scanner verwaltet und deren Eigenschaften festgelegt.
Ein gut aufgebautes Active Directory ermöglicht es einem Administrator, die relevanten Informationen der Organisation bereitzustellen, diese einfach zu organisieren und zu überwachen.

Insbesondere angesichts der kontinuierlichen Zunahme von Cyberangriffen und der voraussichtlichen Fortdauer dieses Trends ist die Stärkung der IT-Sicherheit von entscheidender Bedeutung, was logischerweise auch im Interesse des Datenschutzes liegt.
Die Herausforderungen beginnen jedoch oft bereits aufgrund der enormen Datenmenge dabei, einen Bericht darüber zu erhalten, wo genau im eigenen System die Schwachstellen liegen und welche Prioritäten gesetzt werden sollten.
Gemäß Artikel 32 der DSGVO obliegt es den Verantwortlichen, einen angemessenen Sicherheitsstandard auf dem Stand der Technik herzustellen und aufrechtzuerhalten.

Die Unterstützung und Beratung in dieser Hinsicht zählt jedoch auch zu den Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO in Verbindung mit Art. 32 DSGVO und Art. 25 DSGVO.
Durch eine entsprechende Einbindung des Datenschutzbeauftragten ist es möglich, zahlreiche Risikofaktoren zu überprüfen und entsprechende Berichte zu erstellen, um potenzielle Schwachstellen gezielt zu beseitigen.

Das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz in der EU

Das EU-Parlament hat einen wegweisenden Schritt getan, indem es den „AI-Act“ genehmigt hat, der klare Richtlinien für den Einsatz von Künstlicher Intelligenz in der Europäischen Union festlegt. Diese Entscheidung markiert einen Meilenstein in der weltweiten Regulierung von KI-Technologien und soll das Vertrauen in die europäische KI-Branche stärken sowie ihre Wettbewerbsfähigkeit auf globaler Ebene erhöhen.

Ein herausragendes Merkmal des „AI-Act“ ist die Einführung des „Made in EU“-Siegel, das darauf abzielt, das Vertrauen in die europäische KI-Branche zu stärken und ihre Wettbewerbsfähigkeit auf globaler Ebene zu erhöhen. Durch die Betonung auf Gründlichkeit und Qualität bei der Umsetzung von KI-Systemen soll die europäische KI-Branche als eine Quelle für zuverlässige und ethisch verantwortungsvolle Innovationen positioniert werden.

Das Gesetz klassifiziert KI-Systeme in verschiedene Risikogruppen, wobei je nach potenziellen Gefahren unterschiedliche Regulierungsanforderungen gelten. Von geringem oder minimalem Risiko bis hin zu Hochrisiko-KI-Systemen werden entsprechende Maßnahmen zur Risikominderung und -kontrolle festgelegt, um eine sichere Anwendung zu gewährleisten.

Ein weiterer wichtiger Schritt ist das Verbot bestimmter KI-Anwendungen wie soziales Scoring und Gesichtserkennung im öffentlichen Raum, die im Widerspruch zu den grundlegenden Werten der EU stehen. Diese Maßnahme zielt darauf ab, die Privatsphäre und die individuellen Rechte der Bürgerinnen und Bürger zu schützen und eine Überwachung ähnlich wie in China zu verhindern.

Dennoch gibt es Ausnahmen für Sicherheitsbehörden, die Gesichtserkennung zur Verfolgung bestimmter schwerwiegender Straftaten wie Menschenhandel oder Terrorismus nutzen dürfen. Diese Ausnahmen sind jedoch eng definiert und unterliegen strengen Regeln.

Das „AI-Act“ ist ein wichtiger Schritt für die EU, um den verantwortungsvollen und ethischen Einsatz von Künstlicher Intelligenz zu fördern und gleichzeitig potenzielle Risiken zu adressieren. Wir bleiben gespannt auf die weitere Entwicklung und Auswirkungen dieses wegweisenden Gesetzes.

 

Das EU-Lieferkettengesetz kommt nun doch

Die EU-Mitgliedstatten sind nun doch noch zu einer Einigung gekommen, was die EU-Lieferkettenrichtlinie betrifft.

Insbesondere nachdem Deutschland die Zustimmung zunächst verweigert hatte, wurde das Thema nun überarbeitet. Inhaltlich wurde das Gesetz nun durch Grenzanhebungen deutlich abgeschwächt. Ziel war es, durch die Abschwächung die Länder zur Zustimmung zu bewegen, die sich bisher enthalten haben.

In der ursprünglichen Gesetzesfassung sollte die EU-Lieferkettenrichtlinie bereits für Unternehmen ab 500 Beschäftigten und einem Jahresumsatz ab 150 Millionen Euro gelten. Dies hätte zur Folge gehabt, dass von der Richtlinie weitaus mehr Unternehmen betroffen wären, als vom national geltenden Lieferkettengesetz.

Im Rahmen der Überarbeitung des Gesetzes wurden nun neue Grenzen festgelegt, die im Vergleich zur Ursprungsfassung deutlich höher liegen.

Die EU-Lieferkettenrichtlinie soll nun für Unternehmen ab 1000 Beschäftigten sowie einem Jahresumsatz ab 450 Millionen Euro gelten.

Auch an den Übergangsfristen wurde gearbeitet:

Unternehmen die ab 1000 Beschäftigte haben und einen Umsatz von 450 Millionen Euro generieren, haben fünf Jahre Zeit, die entsprechenden Maßnahmen umzusetzen.

Unternehmen mit einer Beschäftigtenzahl ab 4000 Mitarbeitern und einem generierten Umsatz von 900 Millionen Euro, haben vier Jahre Übergangszeit.

Hat ein Unternehmen 5000 Mitarbeiter oder mehr und generiert 1,5 Milliarden Umsatz (oder mehr), gilt eine Übergangsfrist von drei Jahren.

Experten schätzen, dass durch diese Anhebungen ca. 70% weniger Unternehmen betroffen sind, als noch von der alten Fassung.

Die Anhebung der Grenzen ist jedoch nicht die einzige Verschärfung. Auch die zuvor festgelegten Risikosektoren wurden gänzlich herausgestrichen. Darunter wurden solche Wirtschaftsbereiche verstanden, die aufgrund ihres Tätigkeitsfeldes ein besonders hohes Risiko für Menschenrechtsverletzungen innehaben. Auch dieser Faktor findet sich in der neuen Gesetzesversion nicht mehr wieder.

 

 

Die indirekte Wirkung der NIS2-Richlinie: Warum B2B-Kunden die Einhaltung verlangen können

Die NIS2-Richtlinie der Europäischen Union stellt eine erweiterte Initiative dar, um die Sicherheit von Netz- und Informationssystemen innerhalb des Binnenmarktes zu stärken. Während die Richtlinie direkt bestimmte Organisationen betrifft, entfaltet sie ihre Wirkung zunehmend auch auf Unternehmen, die nicht unmittelbar unter ihre Bestimmungen fallen. Ein entscheidender Mechanismus dieser indirekten Wirkung liegt im Business-to-Business (B2B)-Sektor, wo Kunden die Einhaltung der NIS2-Standards von ihren Lieferanten und Dienstleistern verlangen können.

Kundenforderungen als Treiber für Sicherheitsmaßnahmen

Im B2B-Kontext haben Sicherheit und Zuverlässigkeit oberste Priorität. Unternehmen, die direkt unter die NIS2-Richtlinie fallen, müssen sicherstellen, dass ihre Netz- und Informationssysteme den höchsten Sicherheitsstandards entsprechen. Diese Anforderung überträgt sich auf ihre Zulieferer und Dienstleister, da jede Schwachstelle in der Lieferkette potenziell die Sicherheit und Verfügbarkeit der Dienste gefährdet. Infolgedessen können diese Unternehmen von ihren B2B-Kunden verlangen, dass auch sie die NIS2-Standards erfüllen, um das Risiko von Sicherheitsvorfällen zu minimieren und die Kontinuität der Geschäftsprozesse zu gewährleisten.

Die Umsetzung als Notwendigkeit

Die Forderung nach Einhaltung der NIS2-Richtlinie durch B2B-Kunden macht die Umsetzung der entsprechenden Sicherheitsmaßnahmen für Zulieferer und Dienstleister praktisch zu einer Notwendigkeit. Dies gilt insbesondere für Unternehmen, die in kritischen Sektoren tätig sind oder essentielle Dienste anbieten, wo die Auswirkungen von Sicherheitsvorfällen besonders gravierend sein können. Die Einhaltung der NIS2-Standards wird somit zu einem entscheidenden Faktor für die Aufrechterhaltung bestehender Geschäftsbeziehungen und die Sicherung neuer Aufträge.

Die Anforderungen der NIS2-Richtlinie setzen neue Standards für die Sicherheit von Netz- und Informationssystemen in der EU. Für Unternehmen, die nicht direkt unter diese Richtlinie fallen, kann die Einhaltung dennoch zur Notwendigkeit werden – insbesondere wenn B2B-Kunden dies verlangen. Die Umsetzung der NIS2-Standards bietet nicht nur Schutz vor Sicherheitsrisiken, sondern dient auch der Stärkung der Marktposition und der Sicherung der Geschäftskontinuität.

Ersatz immaterieller Schäden wegen Datenschutzverstößen nach Art. 82 DSGVO

Viele werden nicht müde darauf hinzuweisen, dass ein immaterieller Schaden auch nach der DSGVO ersatzfähig sein kann. Aus diesen Sätzen liest man mittlerweile teilweise doch sehr überraschende Schlussfolgerungen, die den Eindruck erwecken, dass bereits ein Unwohlsein wegen eines Verstoßes gegen die DSGVO automatisch zu einem Schadensersatzanspruch führt.

Das Zauberwort in dieser Hinsicht, das viele zu übersehen scheinen, ist das Wort kann. Vor diesem Hintergrund ist allein die Feststellung, dass auch immaterieller Schaden ersatzfähig sein kann, weder neu noch sonderlich bahnbrechend. Im deutschen Recht gibt es diese Möglichkeit bereits seit Jahrzehnten und ist in Art. 82 I DSGVO explizit geregelt.

Derzeitiger Status Quo der Rechtsprechung zum Schadensersatz aus der DSGVO.

Mit der Entscheidung in der Rs. C-300/21 positionierte sich der EuGH erstmals zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches nach Art. 82 DSGVO.

Der EuGH stellte hier fest, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet – erforderlich ist ein konkreter Schaden, der kausal auf einem Datenschutzverstoß beruht. Der DSGVO-Schadensersatz hat keine Straffunktion und kann nur zum Ausgleich von individuellen Schäden herangezogen werden. Anders als z.B. im amerikanischen Recht.

Der BGH folgt offenbar der gleichen Ansicht. In seinem Beschluss vom 12.12.2023 (Az. VI ZR 277/22) betont er das die als Schaden geltend gemachten negativen Folgen eines Datenschutzverstoßes der Anspruchsteller konkret benennen muss. Das Einfügen von Textbausteinen scheint hierzu nicht ausreichend.

Es ist also notwendig, dass ein Nachweis eines konkreten Schadens erfolgt und auch dargelegt werden muss, wer für diesen Schaden verantwortlich ist.

Wer muss aber nun was beweisen?

Die Faustregel im deutschen Zivilrecht lautet dazu generell:

Der Anspruchssteller trägt die Beweislast für die rechtsbegründenden Tatbestandsmerkmale, der Anspruchsgegner für die rechtshindernden, rechtsvernichtenden und rechtshemmenden Merkmale.

Vereinfacht ausgedrückt gesagt, muss der Kläger beweisen, dass sein Anspruch besteht. Der Verteidiger muss beweisen, dass der Anspruch nicht besteht.

Was den Schaden betrifft, hat der EuGH bereits klargestellt, dass Anspruchssteller einen solchen, auch in der DSGVO, nach den oben beschriebenen Regeln nachzuweisen hat.

Auch für die Kausalität zwischen Verstoß und Schaden besteht Einigkeit, dass der Kläger die Beweislast trägt.

Wer die Beweislast für den Verstoß selbst gegen die DSGVO trägt, ist jedoch sehr umstritten.

Grund hierfür ist die in Art. 5 II DSGVO geregelte Rechenschaftspflicht. Danach ist der Verantwortliche für die Einhaltung der in Art. 5 I DSGVO genannte Datenschutzgrundsätze verpflichtet, die der Verantwortliche auch nachweisen können muss.

Viele argumentieren nun, dass hieraus eine generelle Beweispflicht des Verantwortlichen entsteht, da die Einhaltung der DSGVO in seinen Pflichtenkreis gehört.

Nach dem Grundsatz der Verfahrensautonomie ist es Sache der Mitgliedsstaaten, die verfahrensrechtliche Modalität der Rechtsbehelfe zu regeln. Daher sind die Beweisregeln des jeweiligen nationalen Prozessrechtes anzuwenden. Die in Art. 5 II DSGVO normierte Rechenschaftspflicht gilt eben nur gegenüber Datenschutzaufsichtsbehörden, denen es nach Art. 58 I a DSGVO gestattet ist, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.

Die Rechenschaftspflicht begründet also „nur“ eine Pflicht außerhalb des Prozesses, nicht aber eine zivilrechtlich bindende Beweislastregel. Dies schon deshalb, weil niemand eine Pflicht hat, sich im Prozess zu verteidigen und vorzutragen. Schon der Wortlaut der Norm zeigt also, dass hier nicht die Prozesssituation gemeint sein kann.

Kind-Hörgeräte: Cyberangriff verursacht Lieferchaos

Eine Ransomware-Attacke hat den deutschen Hörgerätehersteller Kind, mit Sitz in Großburgwedel, schwer getroffen, wodurch die Lieferkette zu Hunderten von Filialen deutschlandweit unterbrochen wurde. Der Cyberangriff, der am 6. Februar stattfand, hat die IT-Infrastruktur des Unternehmens stark beeinträchtigt, was zu erheblichen Betriebsstörungen führte. Trotz der unmittelbaren Reaktion des Unternehmens, die betroffenen Systeme zu isolieren, und der laufenden Bemühungen, den Schaden zu beheben, bleibt die Wiederherstellung der vollen Arbeitsfähigkeit eine Herausforderung.

Die Unternehmensgruppe, die seit 1952 besteht und mittlerweile auch in anderen Geschäftsfeldern wie Augenoptik und Arbeitsschutzkleidung tätig ist, beschäftigt über 3.500 Mitarbeiter und betreibt mehr als 700 Fachgeschäfte. Der Angriff hat nicht nur interne Prozesse gestört, sondern auch direkte Auswirkungen auf etwa 3.000 Mitarbeiter und den Service in rund 600 Geschäften in Deutschland, Österreich, der Schweiz und Luxemburg. Derzeit sind keine Lieferungen an diese Geschäfte möglich, was die Geschäftstätigkeit erheblich beeinträchtigt, obwohl die Filialen geöffnet bleiben und Kundenberatung weiterhin möglich ist.

Kritische Stimmen, wie die des IT-Experten Günter Born, hinterfragen die Einschätzung des Unternehmens bezüglich der Schadensbegrenzung, da der Betrieb immer noch nicht vollständig wiederhergestellt ist und Mitarbeiter in einigen Bereichen auf manuelle Arbeitsmethoden zurückgreifen müssen.

Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberkriminalität für Unternehmen in Deutschland, wie jüngste Angriffe auf andere bedeutende Firmen zeigen. Die Ermittlungen laufen, während Kind daran arbeitet, die Sicherheit zu erhöhen und die vollständige Betriebsfähigkeit wiederherzustellen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/keine-neuen-hoergeraete-kind-gruppe-kann-nach-cyberangriff-filialen-nicht-beliefern-2402-182251.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Datendiebstahl in Frankreich: Millionen Betroffene

Cyberangriffe haben die persönlichen Daten von mehr als 33 Millionen Menschen in Frankreich, also fast der Hälfte der Bevölkerung, kompromittiert. Dies stellt nach Angaben der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) den größten Datendiebstahl in der französischen Geschichte dar. Die Angriffe richteten sich gegen Viamedis und Almerys, zwei Serviceanbieter des französischen Gesundheitsversicherungssystems, und resultierten in der unerlaubten Beschaffung von Daten wie Geburtsdaten, Familienstand, Sozialversicherungsnummern und weiteren Informationen. Bankdetails oder medizinische Daten wurden nicht entwendet.

Experte Yann Padova betrachtet diesen Vorfall als den signifikantesten Datendiebstahl in Frankreich. Die CNIL hat angekündigt, zu prüfen, ob die ergriffenen Sicherheitsmaßnahmen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Nach einem Bericht von Euronews nutzten die Hacker Phishing-Methoden, um sich Zugang zu den Systemen zu verschaffen. Die betroffenen Personen werden von ihren Krankenversicherungen über den Vorfall informiert. Die CNIL warnt vor der Möglichkeit, dass die gestohlenen Daten für zielgerichtete Phishing-Angriffe verwendet werden könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/cyberangriff-hacker-erbeuten-daten-von-jedem-zweiten-buerger-frankreichs-2402-182100.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Gerichtsurteil zu Call-ID-Spoofing im Online-Banking

Beim Online-Banking ist das sogenannte Spoofing, bei dem Betrüger eine falsche Identität vorspiegeln, eine verbreitete Masche. Beim Call-ID-Spoofing verwenden sie gefälschte Telefonnummern, um Vertrauen zu erschleichen. Ein Gerichtsurteil des LG Köln stellte klar, dass Kunden, die unter solchen Umständen handeln, nicht als grob fahrlässig gelten. In einem Fall verlor ein Sparkassenkunde 14.000 Euro durch einen solchen Betrug, nachdem er auf einen getarnten Anruf reagierte und unbewusst Transaktionen autorisierte.

Im spezifischen Fall erhielt der Kunde im September 2022 einen Anruf, bei dem die ihm bekannte Nummer seiner Bank angezeigt wurde. Der Anrufer behauptete, das Konto sei wegen Betrugsfällen gesperrt und könne durch Freigabe über die pushTAN-App entsperrt werden. Der Kunde folgte der Anweisung, nicht wissend, dass er einem Betrüger aufsaß, der Call-ID-Spoofing nutzte.

Das Gericht entschied, dass die Bank den vollen Betrag erstatten muss, da der Kunde nicht adäquat autorisiert hatte. Diese Entscheidung betont die Verantwortung der Banken, bei Betrugsfällen ihre Kunden zu schützen und stützt sich auf rechtliche Grundlagen, die eine solche Erstattung vorsehen. Das Urteil verdeutlicht zudem, wie wichtig es für Verbraucher ist, sich über die Risiken des Online-Bankings und die Betrugsmethoden wie Spoofing bewusst zu sein, um sich besser schützen zu können.

Dieser Fall wirft auch ein Licht auf die fortschrittlichen Methoden, die Betrüger nutzen, und die Notwendigkeit für Banken, ihre Sicherheitsmaßnahmen ständig zu aktualisieren, um ihre Kunden zu schützen. Es zeigt außerdem, dass Kunden bei verdächtigen Anrufen oder Aufforderungen, die ihre Finanztransaktionen betreffen, äußerst vorsichtig sein und die Echtheit der Anfragen kritisch überprüfen sollten. Die Rolle der Gerichte bei der Klärung solcher Fälle ist entscheidend, um Präzedenzfälle zu schaffen, die sowohl Verbrauchern als auch Finanzinstituten Orientierung bieten.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139492-bank-kundschaft-fehlbetraege-manipulation?utm_source=newsletter&utm_medium=email&utm_campaign=wee

EuGH klärt: Schadensersatz bei Datenpannen erfordert Beweis des Missbrauchs

Der Europäische Gerichtshof (EuGH) legte am 15. Januar 2024 in einem Urteil (Az. C-687/21) fest, dass bei Datenschutzverletzungen ein immaterieller Schadensersatz nur dann gerechtfertigt ist, wenn eindeutig ein Missbrauch personenbezogener Daten erfolgt. Diese Entscheidung folgte einem Vorfall, bei dem ein Saturn-Kunde fälschlicherweise Daten eines anderen erhielt, ohne dass diese missbraucht wurden.

Der EuGH erklärte, dass ein subjektives Unbehagen oder die Angst vor potenziellem Datenmissbrauch nicht ausreicht, um einen immateriellen Schaden anzuerkennen. Entscheidend ist der Nachweis, dass die Daten tatsächlich missbraucht wurden. Diese Klarstellung erschwert die Durchsetzung von Schadensersatzansprüchen bei Datenpannen, wenn kein konkret nachweisbarer Schaden entstanden ist.

Diese Rechtsprechung dient als Schutz für Unternehmen vor unbegründeten Klagen und trägt zur Rechtssicherheit bei. Sie zeigt auch die Grenzen des Schadensersatzrechts im Kontext der Datenschutz-Grundverordnung (DSGVO) auf und betont die Notwendigkeit eines nachweisbaren Schadens. Die Entscheidung wird als pragmatisch und unternehmensfreundlich betrachtet, da sie die Beweislast bei Datenschutzklagen klärt und potenzielle Massenklagen erschwert.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/c68721-eugh-dsgvo-schadensersatz-anspruch-immaterieller-schaden-personenbezogene-daten-datenschutz/

Rechtswidrige Cookie-Banner / Prüfen Sie Ihre Webseite

Datenschutzprobleme bezüglich Cookie-Hinweisen auf Webseiten sind ein anhaltendes Thema, das Datenschützer und deutsche Gerichte beschäftigt. Eine Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat gezeigt, dass viele Webseiten nicht den rechtlichen Anforderungen entsprechen, weil sie den Nutzern keine adäquate Möglichkeit bieten, Cookies abzulehnen. Dieses Problem wurde besonders deutlich durch einen Fall, in dem das Oberlandesgericht Köln WetterOnline wegen ähnlicher Verstöße verurteilte.

Die Datenschutzkonferenz betonte, dass Webseiten eine gleichwertige Option zum Ablehnen von Cookies bereitstellen müssen, neben der Möglichkeit, alle Cookies zu akzeptieren. Diese Anforderung entspricht den Vorgaben des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sowie der Datenschutz-Grundverordnung (DSGVO). Webseitenbetreiber sind nun aufgefordert, ihre Cookie-Hinweise entsprechend anzupassen, um rechtlichen Maßnahmen zu entgehen.

Darüber hinaus wurden nicht nur Webseiten, sondern auch Smartphone-Apps auf Datenschutzverstöße hin überprüft. Bei dieser Prüfung wurden fast durchgängig Verstöße bei den untersuchten Apps festgestellt, einschließlich der unerlaubten Erhebung sensibler Daten ohne vorherige Zustimmung der Nutzer. Diese Erkenntnisse verdeutlichen die dringende Notwendigkeit einer strengeren Überwachung und Durchsetzung der Datenschutzrichtlinien auf digitalen Plattformen.

Die Praxis zeigt, dass die Gestaltung von Cookie-Bannern oft darauf abzielt, Nutzer zur Zustimmung zu bewegen, indem Ablehnoptionen schwer auffindbar oder optisch weniger hervorgehoben sind. Dies wurde besonders im Fall von WetterOnline deutlich, wo das Oberlandesgericht Köln feststellte, dass die Gestaltung des Cookie-Consent-Tools nicht den rechtlichen Anforderungen entsprach. Die optische Hervorhebung des Akzeptieren-Buttons und das Fehlen einer gleichwertigen Ablehnoption führten dazu, dass Nutzereinwilligungen als nicht freiwillig angesehen wurden.

Diese Entscheidung unterstreicht die Bedeutung von Transparenz und informierter Zustimmung im digitalen Raum. Webseitenbetreiber müssen sicherstellen, dass ihre Cookie-Hinweise klar und verständlich sind und den Nutzern eine echte Wahlmöglichkeit bieten. Die Einhaltung dieser Prinzipien ist entscheidend, um das Vertrauen der Nutzer zu gewinnen und rechtliche Risiken zu minimieren. In diesem Zusammenhang spielen auch die Gerichte eine wichtige Rolle, indem sie durch ihre Urteile Maßstäbe für die rechtskonforme Ausgestaltung von Cookie-Hinweisen setzen und damit den Datenschutz im digitalen Zeitalter weiter formen.

Wir raten Ihnen Ihre Webseiten regelmäßig auf die Anforderungen zu überprüfen. Gerne können wir dies für Sie übernehmen und eine Webseiten-Sicherheitsprüfung erstellen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139540-hunderte-webseiten-mit-rechtswidrigen-cookie-bannern?utm_source=newsletter&utm_medium=email&utm_campaign=ohn