News
Gesetz für faire Verbraucherverträge – Wichtige Änderungen und Handlungsbedarf für Unternehmen
Gesetz für faire Verbraucherverträge – Wichtige Änderungen und Handlungsbedarf für Unternehmen
Das „Gesetz für faire Verbraucherverträge“ ist seit dem 1. Oktober 2021 zu großen Teilen in Kraft. Durch die Änderung der entsprechenden Vorschriften des Bürgerlichen Gesetzbuches (BGB) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) wird die Kündigung von Langzeitverträgen für Verbraucher erleichtert, das AGB-Recht verschärft und die Dokumentationspflichten für die Einwilligung bei Telefonwerbung erweitert. Da die Neuregelungen stufenweise in Kraft traten, gelten aktuell bereits neue Vorgaben für die Verwendung von AGB sowie die erweiterten Dokumentationspflichten für die Einwilligung in die Telefonwerbung. Ab dem 1. Juli 2022 gelten darüber hinaus die neuen Regeln für die Kündigung von Verbraucherverträgen, die über eine Website geschlossen wurden.
AGB-Neuregelung
Verbraucherverträge mit einer längeren Laufzeit (wie z.B. für das Fitnessstudio oder die Streamingdienste) stehen im Mittelpunkt der Regelung. Um den unerwünschten Verlängerungen von Verträgen nach Ablauf der Mindestlaufzeit entgegenzuwirken, wurde durch die Anpassung von § 309 Nr. 9 BGB die Kündigungsfrist von derzeit drei Monaten auf einen Monat verkürzt.
Stillschweigende Vertragsverlängerungen von drei Monaten bis zu einem Jahr sind nur nach Hinweis auf die ablaufende Vertragslaufzeit möglich. Verbraucher müssen zwei bis vier Monate vor Ablauf der Vertragslaufzeit darauf aufmerksam gemacht werden, wann die Vertragslaufzeit endet, bis zu welchem Datum die Kündigung möglich ist und auf welche Zeit der Vertrag verlängert wird, falls vom Kündigungsrecht kein Gebrauch gemacht wird. Stillschweigende Verlängerungen um mehr als ein Jahr sind ganz ausgeschlossen.
Eine weitere Anpassung des AGB-Rechts enthält das Verbot von Abtretungsausschlüssen (§ 308 Nr. 9 BGB n. F.). Klauseln, die dem Verbraucher verbieten, eigene Ansprüche gegen das Unternehmen an Dritte abzutreten, können unter Umständen unwirksam sein. Betroffen sind vor allem auf Geld gerichtete Ansprüche (§ 308 Nr. 9 lit. a BGB n. F.). Wenn beim Unternehmer ein schützenswertes Interesse nicht besteht oder das berechtigte Interesse des Verbrauchers überwiegt, gilt die Regelung auch für andere Rechte (§ 308 Nr. 9 lit. b BGB n. F.).
Kündigungsbutton für online abgeschlossene Verträge
Verträge, die über eine Website abgeschlossen werden und ein Dauerschuldverhältnis begründen, müssen nach der Neuregelung einfacher gekündigt werden können. Unternehmer müssen nach der Neuregelung der Norm eine unmittelbar und leicht zugängliche „Kündigungsschaltfläche“ (Kündigungsbutton) einrichten, die gut lesbar und eindeutig formuliert auf die Kündigungsmöglichkeit hinweist (§ 312k Abs. 1, 2 BGB n. F.). Nach Abgabe der Kündigungserklärung über diese Schaltfläche bekommt man zukünftig sofort eine Kündigungsbestätigung in elektronischer Textform. Wichtig: Fehlt diese Funktion auf der Website, können die Verbraucher ihre Verträge jederzeit und ohne Einhaltung einer Frist kündigen.
Telefonwerbung
Durch die Gesetzesänderungen wurden zudem die wettbewerbsrechtlichen Anforderungen an die Telefonwerbung formell angepasst. So wird für die Dokumentation der Einwilligung in die Werbung eine angemessene Form vorgeschrieben (§ 7a Abs. 1 UWG n. F.). Die „angemessene Form“ wird nicht näher definiert und hängt von der Art der Einwilligung ab. In der Gesetzesbegründung (S. 31) wird als Beispiel für die mündliche Einwilligung die Dokumentation mittels einer Tonaufzeichnung vorgeschlagen. Die Aufbewahrungsfrist für die Dokumentation von Einwilligungen wurde ebenfalls neu geregelt und beträgt nun fünf Jahre ab Erteilung der Einwilligung. Darüber hinaus ist zu beachten, dass nach jeder Verwendung der Einwilligung die Frist neu zu laufen beginnt.
Handlungsbedarf für Unternehmen
Die Neuregelung bedeutet, dass einige bisher verwendete AGB-Klauseln in Zukunft unwirksam sein könnten. Die bisher verwendeten AGB müssen (falls noch nicht geschehen) im Hinblick auf die neuen Klauselverbote überprüft und ggf. angepasst werden. Bei Telefonwerbung sind in erster Linie die neugestalteten Aufbewahrungsfristen für Einwilligung zu beachten, da beim Verstoß spürbare (bis zu 50.000 EUR, § 20 Abs. 1 Nr. 2 i. V. m. Abs. 2 UWG n. F.) Bußgelder drohen. Hier müssen Unternehmen ihre internen Prozesse der Dokumentation prüfen und ggfs. anpassen. Wir empfehlen zudem auch eine zeitnahe Implementierung eines Kündigungsbuttons, um in der Zukunft das Risiko von fristlosen Kündigungen durch Verbraucher zu vermeiden.
News
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.