Geheimhaltungsvereinbarungen, auch bekannt als Non-Disclosure Agreements, dienen dazu, vertrauliche Informationen zu schützen, die zwischen Geschäftspartner*innen ausgetauscht werden. Wie wertvoll eine Geheimhaltungsvereinbarung für die Parteien wirklich ist, kommt allerdings stark auf die Ausführung an – der Teufel steckt auch hier im Detail. Denn Geheimhaltungsvereinbarungen sind meist nur ein Nebenschauplatz bei Verhandlungen größerer Projekte, bisweilen geraten sie in den Hintergrund. Da ist die Versuchung groß, eine Standardvor­lage aus dem Internet, aus einem früheren Projekt oder von der Konkurrenz zu übernehmen – fertig ist das NDA.

Was auf den ersten Blick wie eine schnelle, kostensparende Lösung aussieht, kann allerdings im Streitfall erhebliche Probleme verursachen. Denn ist das NDA nicht auf die Situation der Vertragsparteien zugeschnitten, fehlen häufig entscheidende Details. Zumindest diese fünf Fragen sollten sich Unternehmer*innen vor dem Abschluss einer Geheimhaltungsvereinbarung stellen.

1. Wer sind die richtigen Vertragsparteien?

Oft läuft es in der Praxis so: Vertragspartei A sendet ihr NDA-Muster als „Lückentext“ an Partei B. Diese trägt ihren Unternehmensnamen und Firmensitz selbst ein. Ist der Vertragspartner Teil einer Konzernstruktur, wird häufig die Muttergesellschaft genannt. Abgeschlossen wird der Vertrag dann zwischen A und der Konzernmutter B. Legt A der Tochtergesellschaft B, mit der sie die Geschäfte macht, wichtige Informationen offen, ist dies von der geschlossenen Geheimhaltungsvereinbarung nicht gedeckt. Im Streitfall folgt das böse Erwachen für Partei A: Obwohl Tochtergesellschaft B alle Verhandlungen geführt hat, die Firmennamen von Mutter- und Tochtergesellschaft B ähnlich klingen, beide vielleicht sogar denselben Firmensitz haben, ist der Vertrag mit der „falschen“ Gesellschaft geschlossen worden und somit nutzlos. Die offengelegten Informationen sind im Zweifel nicht geschützt.

Teilweise sehen NDA-Muster vor, dass auch verbundene Unternehmen von der Vereinbarung umfasst sind. Dann muss vorab geklärt werden, ob die unterzeichnende Gesellschaft die relevanten Gesellschaften wirksam vertritt. Sonst kann es sein, dass die verbundenen Gesellschaften zwar geschützt, nicht aber selbst zur Verschwiegenheit verpflichtet sind.

Komplexer wird es, wenn weitere Unternehmen beteiligt sind. Ein Beispiel: Partei A, B und C schließen der Einfachheit halber für ein gemeinsames Projekt ein mehrseitiges NDA. Im Grundsatz spricht nichts dagegen, solange genau geregelt ist, welche Partei welche Informationen inwieweit geheim halten muss. Doch gerade, wenn ein zweiseitiges NDA-Muster nur marginal auf diese Situation angepasst wird, fehlen häufig Regelungen, welche Informationen in welcher Beziehung ausgetauscht werden dürfen.

Ein Beispiel: A legt gegenüber B Informationen offen, B muss diese geheim halten. Tauscht B die Informationen mit C aus, ist nicht klar, ob B damit nicht bereits gegen das NDA verstößt und ob C diese Informationen dann überhaupt vertraulich behandeln muss.

2. Welche Informationen sollen geschützt werden?

Geschäftsgeheimnisse sind regelmäßig bereits nach dem Geschäftsgeheimnisgesetz (GeschGehG) geschützt. Voraussetzung ist allerdings ein „Geheimnis“ im Sinne des Gesetzes und dass das Unternehmen Maßnahmen zu dessen Geheimhaltung ergreift. Ratsam ist es daher, sensible Informationen durch entsprechende NDAs abzusichern. Aus dem NDA sollte sich zunächst klar ergeben, ob die Geheimhaltungsvereinbarung die Informationen beider Parteien schützt oder nur eine Partei einseitig zur Geheimhaltung verpflichtet ist.

Dann ist genau festzulegen, welche Informationen geschützt werden sollen – etwa nur bestimmte technische Details oder auch kaufmännische Themen. Soll die Zusammenarbeit selbst vertraulich behandelt werden? Oder soll sie beispielsweise zu Werbezwecken offengelegt werden können? Je konkreter der Umfang der vertraulichen Informationen im NDA definiert ist, umso weniger Anlass für Konflikte gibt es später. Eine sehr konkrete Geheimhaltungsvereinbarung lässt sich in den meisten Fällen nicht automatisch auf andere Projekte übertragen und hilft bei einem Folgeprojekt im Zweifel also wenig.

3. Wie werden Informationen geschützt?

Bei besonders sensiblen Informationen lohnt es sich, zu regeln, welche Personen im Unternehmen davon wissen dürfen und die interne Weitergabe auf Personen mit Need-to-know für die Durchführung des Projekts zu beschränken.

Bevor eine Geheimhaltungsvereinbarung unterzeichnet wird, die die Anfertigung von Kopien und Backups verbietet, sollte geprüft werden, ob technisch überhaupt gewährleistet werden kann, dass keine automatischen Backups auf irgendeinem Server schlummern.

Auch die Laufzeit einer Geheimhaltungsvereinbarung ist oft formularmäßig vorgegeben und nicht an den Einzelfall angepasst. Sollen die Details nach erfolgreicher Durchführung eines Projekts veröffentlicht werden? Oder sind die Informationen derart sensibel, dass sie niemals weitergegeben werden sollen? Zu kurze Fristen, die unabhängig von der tatsächlichen Dauer eines Projekts vereinbart werden, sind gege­benenfalls riskant.

4. Wie schützt man sich für den Fall von Verstößen gegen das NDA?

Vertragsstrafen dienen dazu, Verstöße gegen Geheimhaltungsvereinbarungen zu ahnden – auch ohne, dass ein konkreter Schaden dargelegt werden muss. Wird die Aufnahme einer Vertragsstrafe in das NDA verabsäumt, bleibt nur der Nachweis eines tatsächlichen Schadens, der in der Praxis regelmäßig schwierig bis unmöglich zu erbringen ist.

Geheimhaltungsvereinbarungen sind in den meisten Fällen nach dem Recht über Allgemeine Geschäftsbedingungen (AGB) zu bewerten. In diesen Grenzen muss sich das NDA bewegen und darf im Einzelfall nicht unangemessen sein. Für die Partei, die das NDA-Muster bereitgestellt hat, gelten hier strenge Regeln: Ist beispielsweise in einer beidseitigen Geheimhaltungsvereinbarung eine unangemessen hohe Vertragsstrafe vorgesehen, muss der/die Vertragspartner*in diese im Zweifel nicht zahlen – das Unternehmen, von dem das NDA­Muster kam, bei einem eigenen Verstoß allerdings schon.

5. Passen die Schlussbestimmungen?

Schlussbestimmungen – insbesondere zu Gerichtsstand und anwendbarem Recht – werden in Verträgen gerne übersehen. Sie spielen aber auch in Geheimhaltungsvereinbarungen eine nicht unwesentliche Rolle. Sieht das NDA-Muster einen Gerichtsstand am Sitz einer Vertragspartei vor oder regelt hierzu gar nichts, hat die Partei, die eine Verletzung der Vereinbarung rügt, nur die Wahl, einen öffentlichen Rechtsstreit zu führen oder dem Verstoß gar nicht nachzugehen.

Bei internationalen Vertragsbeziehungen kommt hinzu, dass eine Entscheidung auch durchsetzbar sein muss. Hier kann eine Schiedsklausel die sachgerechte Lösung darstellen. Ist nicht die Anwendung deutschen Rechts, sondern eines anderen Landes vereinbart, können die zu beachtenden Punkte ganz anders aussehen. Ob darin ein Nachteil für die Parteien liegt, hängt von den Umständen des Einzelfalls ab.

Fazit

Schweigen muss, wer im NDA zur Verschwiegenheit verpflichtet wurde. Sonst niemand. Die Verschwiegenheitspflicht gilt dabei nur für die Themen, die wirksam als vertraulich erklärt wurden. Dabei ist zu bedenken, dass nicht alle unternehmens- oder projektbezogenen Informationen so schützenswert sind, dass sich viel Aufwand für die Gestaltung einzelner NDAs lohnt. Die Faustregel: je wichtiger die Information, umso wichtiger ist ein guter Vertrag über den Schutz dieser Information.

Kritisch werden die Punkte des NDA erst, wenn ein(e) Vertragspartner*in gegen die Vertraulichkeit verstößt oder ein(e) potenzielle(r) Investor*in prüft, ob die wertvollen Informationen eines Unternehmens auch ausreichend geschützt sind. Beide Szenarien sind denkbar ungünstige Zeitpunkte für die Feststellung, dass wichtige Informationen ungeschützt sind.

Die Autorin Isabelle Hörner ist Rechtsanwältin bei der Kanzlei Menold Bezler in Stuttgart und berät u.a. zum Vertrags-, Handels- und Vertriebsrecht.

Elementare Schritte zur rechtlichen Absicherung

Eine solide Rechtsstruktur beginnt bereits bei der Wahl der passenden Rechtsform. Ob GmbH, UG oder eine andere Variante, jede Gesellschaftsform hat eigene Haftungs- und Steueraspekte. Wer im Vorfeld klärt, wie Gesellschafter*innen entlohnt werden und welche Kontroll- oder Mitspracherechte bestehen, verhindert spätere Konflikte.

Ebenfalls wichtig ist ein umfassendes Risikomanagement, das mögliche Streitfälle frühzeitig einkalkuliert. Gemeinsam mit juristischen Fachpersonen lassen sich Verträge entwickeln, die Interessen aller Beteiligten klar definieren. Dabei lohnt es sich, den aktuellen Status quo abzubilden und zukünftige Entwicklungen wie Kapitalerhöhungen oder den Einstieg neuer Investorinnen zu berücksichtigen. Fehlende oder lückenhafte Regelungen sorgen im Eifer des Geschäftsalltags sonst für Unsicherheit.

Gerichtsprozesse und mögliche Stolpersteine

Kein junges Unternehmen plant, direkt vor Gericht zu landen. Dennoch entsteht gerade bei innovativen Geschäftsmodellen ein erhöhtes Konfliktpotenzial, beispielsweise durch Patentrechte, Markenstreitigkeiten oder Datenschutzvorwürfe. Ein Gerichtsverfahren bindet finanzielle Mittel und Kapazitäten des gesamten Teams. Somit empfiehlt sich eine klare Strategie für den Fall rechtlicher Auseinandersetzungen.

In diesem Kontext spielen Rechtsmittel wie Berufung oder Beschwerde eine Rolle, wenn ein Urteil nicht akzeptiert wird. Ergänzend besteht in seltenen Fällen die Möglichkeit zur Wiederaufnahme des Verfahrens, etwa bei neu aufgetauchten Beweisen oder gravierenden Verfahrensfehlern. Dieser Schritt wird häufig unterschätzt, da er komplexe Voraussetzungen hat und keineswegs immer zum Erfolg führt. Deshalb wird in den meisten Fällen auf gütliche Einigungen gesetzt oder eine möglichst rasche Beilegung angestrebt, bevor sich die Auseinandersetzung weiter zuspitzt.

Gerade bei Konflikten mit Kund*innen oder Geschäftspartner*innen können alternative Streitbeilegungsmechanismen wie Mediation oder Schiedsverfahren eine sinnvolle Ergänzung sein. Solche Verfahren gelten als schneller und weniger belastend für die Geschäftsbeziehung. Eine entsprechende Klausel in den Verträgen erleichtert später den Zugriff auf diese Methoden.

Vertragliche Grundlagen im Start-up

Grundlegende Dokumente wie Gesellschaftsverträge, Geschäftsordnungen und Investitionsvereinbarungen verdienen besondere Aufmerksamkeit. Jede Passage sollte praxisnah formuliert werden, damit keine Unklarheiten entstehen, etwa zu Stimmrechten oder Gewinnverteilung. Selbst wenn sich Gründer*innen gut kennen oder ein Vertrauensverhältnis zu Investor*innen besteht, ist Verbindlichkeit erforderlich.

Um ungewollte Interpretationsspielräume zu vermeiden, empfiehlt sich eine Dokumentation aller Vereinbarungen in schriftlicher Form. Besonders wichtig ist, bereits vor dem Markteintritt Regelungen zum Schutz geistigen Eigentums zu treffen. Ebenso helfen Geheimhaltungsvereinbarungen (NDAs), sensible Geschäftsdaten zu schützen. Wer standardisierte Vorlagen nutzt, riskiert jedoch, spezifische Risiken zu übersehen. Individuell zugeschnittene Verträge tragen maßgeblich zum Erfolg eines Unternehmens bei und verhindern, dass Ärgernisse erst in der Wachstumsphase auffallen.

Haftung und Risikoanalyse

Nicht nur die Gesellschaft als juristische Person kann in Haftung genommen werden, sondern unter Umständen auch einzelne Geschäftsführer*innen oder Gesellschafter*innen. Zu den häufigsten Problemfeldern zählt die Verletzung von Informations- und Aufklärungspflichten, die zu Schadensersatzansprüchen führt. Darüber hinaus setzt eine mangelhafte Buchführung das Team unkalkulierbaren Risiken aus.

Um Schieflagen vorzubeugen, empfiehlt sich eine gründliche Risikoanalyse, die potenzielle Gefährdungen beleuchtet. Datenschutzverstöße können beispielsweise hohe Bußgelder nach sich ziehen, während fehlerhafte Produktangaben zu Produktrückrufen führen können. Spezifische Branchenanforderungen sind zu beachten, etwa im Gesundheitssektor oder in hoch regulierten Bereichen wie FinTech.

Mit einer D&O-Versicherung lassen sich Schadensersatzansprüche gegen leitende Personen abfedern. Diese Police deckt allerdings nicht jede erdenkliche Situation ab. Im Vorfeld ist zu prüfen, welche Ausschlüsse gelten und in welchen Fällen die Versicherung tatsächlich greift. Auch eine allgemeine Betriebshaftpflicht ist ratsam, um bei Schäden gegenüber Dritten gewappnet zu sein.

Schutz des geistigen Eigentums und Datenschutz

Start-ups basieren oft auf innovativen Ideen, neuen Technologien und kreativen Marken. Daher sind Patente, Urheberrechte und Markenrechte wesentlich, um das eigene geistige Eigentum zu schützen. Die Anmeldung von Patenten oder Marken ist jedoch mit gewissen Kosten und formalen Anforderungen verbunden. Wer frühzeitig in diesen Schutz investiert, kann sich gegebenenfalls gegen Nachahmerinnen wehren und behält eine starke Position im Wettbewerb.

Daneben gewinnt der Datenschutz mit jedem Schritt in Richtung Digitalisierung an Bedeutung. Persönliche Daten von Kund*innen, Mitarbeiter*innen oder Nutzer*innen zu sammeln, ist an strenge Anforderungen gebunden. Bei einem Verstoß drohen empfindliche Strafen durch die Datenschutzaufsichtsbehörden. Zudem schadet schon ein Imageschaden dem Vertrauen der Öffentlichkeit und potenziellen Geschäftspartner*innen. Eine professionelle Datenschutz-Compliance schafft nicht nur Rechtssicherheit, sondern wird zunehmend zum Qualitätsmerkmal am Markt.

Strategische Absicherung und Versicherungen

Neben den bereits genannten Policen für Geschäftsführer*innen und den allgemeinen Betrieb lohnt sich eine Auseinandersetzung mit branchen- oder projektspezifischen Versicherungen. Cyber-Versicherungen etwa gewinnen an Bedeutung, da Angriffe auf IT-Infrastrukturen erhebliche finanzielle Verluste auslösen können. Warenkreditversicherungen werden ebenfalls relevant, wenn mit großen Liefermengen gearbeitet wird und Ausfälle die Liquidität bedrohen.

Eine gründliche Prüfung einzelner Versicherungsprodukte hilft dabei, den jeweils passenden Schutz zu finden. Pauschale Empfehlungen greifen selten, denn Umfang und Kosten variieren stark. Oftmals lässt sich aber ein individuelles Paket zusammenstellen, das zentrale Risikobereiche abdeckt, ohne das Budget über Gebühr zu belasten. Solche Maßnahmen fördern die Stabilität des Geschäftsmodells und signalisieren Stakeholder*innen, dass das Management verantwortungsbewusst handelt.

Praxisnahe Tipps für den Start-up-Alltag

Rechtliche Sorgfalt beginnt nicht erst bei formellen Verträgen oder Gerichtsstreitereien. Der tägliche Umgang mit E-Mails, Geschäftsgeheimnissen oder Kund*innendaten erfordert ebenso Aufmerksamkeit. Eine transparente Unternehmenskultur, in der rechtliche Belange offen diskutiert werden, senkt das Risiko teurer Fehler. Schulungen und Workshops können die Belegschaft für Themen wie Compliance, Geheimhaltung oder Datenschutz sensibilisieren.

Zusätzlich ist sinnvoll, Rechts- und Steuerberatung nicht nur punktuell, sondern als festen Bestandteil in Entscheidungsprozesse einzubinden. Regelmäßige Updates zu Gesetzesänderungen oder neuen Vorschriften verhindern böse Überraschungen. Außerdem entsteht durch enge Zusammenarbeit mit Expert*innen ein Netzwerk, das im Ernstfall rasch weiterhelfen kann. Dieser ganzheitliche Ansatz beschleunigt das Unternehmenswachstum, weil er Raum für strategische Überlegungen freihält und Streitfälle minimiert.

Schlussfolgerung

Zukünftige Erfolgschancen hängen stark von einer soliden und vorausschauenden Rechtsstrategie ab. Zwar sorgen neue Technologien und internationale Märkte für enorme Expansionsmöglichkeiten, bringen jedoch auch weitergehende Verpflichtungen, etwa im Bereich Datenschutz oder E-Commerce. Zusätzlich spielen Kooperationen mit etablierten Unternehmen eine immer größere Rolle, was harmonisierte Verträge und gegenseitiges Vertrauen voraussetzt.

Wer frühzeitig in die Qualität der eigenen Rechtsgrundlagen investiert, schafft damit die Basis für Stabilität und langfristige Chancen. Bei sorgfältiger Planung bleiben Start-ups flexibel, können Innovationen zügig vorantreiben und sind zugleich gewappnet für die Herausforderungen eines sich rasant wandelnden Wirtschaftsumfelds.

Ziel der ePrivacy-Verordnung ist die Neuregelung der Nutzung und Bereitstellung elektronischer Kommunikationsdienste. Eine neue ePrivacy-Verordnung hätte erhebliche Auswirkungen auf digitale Geschäftsmodelle. Da sich der Entwurf der Bundesregierung nicht als konsensfähig erwiesen hat, hat das lange Ringen um eine Neuregelung allerdings vorerst kein Ende. Unternehmen sollten sich darauf einstellen, dass die bisherigen Regelungen womöglich noch etliche Jahre gelten werden.

ePrivacy-Verordnung: Neue Regeln für digitale Geschäftsmodelle

Parallel zur Datenschutzgrundverordnung (DSGVO) sollte am 25. Mai 2018 eigentlich eine weitere europäische Verordnung zum Thema Datenschutz in Kraft treten. Die „Verordnung über Privatsphäre und elektronische Kommunikation“ (kurz: ePrivacy-Verordnung) soll die Privatsphäre der Nutzer im Rahmen elektronischer Kommunikation schützen und die veraltete ePrivacy-Richtlinie ablösen. Als Ergänzung der DSGVO soll die ePrivacy-Verordnung unter anderem die Kommunikation über Messengerdienste und E-Mail regeln. Zudem sollen Anrufe und Nachrichten über internetbasiert Kommunikationsdienste gleichermaßen geschützt werden wie Telefonanrufe und SMS.

Für viele Start-ups ist das Thema ePrivacy relevant, weil die Verordnung neben der Werbung mittels elektronischer Nachrichten (E-Mail, SMS, Messenger) auch das Online-Marketing, einschließlich Tracking, neu regeln soll.

Wirtschaftsverbände warnen bereits seit 2017 vor restriktiven Neuregelungen

Die EU-Kommission und das Europäische Parlament haben bereits im Jahr 2017 eigene Entwürfe für eine ePrivacy-Verordnung vorgelegt. Vor allem der Entwurf des Parlaments fiel vergleichsweise nutzer- und datenschutzfreundlich aus und stieß in der Wirtschaft daher auf heftige Kritik. So sah der Entwurf des Parlaments zum Beispiel eine „Do Not Track“-Einstellung als zwingendes Default-Setting für Browser vor.

Neben den großen Technologie- und Telekommunikationskonzernen warnen auch Verlage und die Werbewirtschaft bereits seit Längerem vor derart restriktiven Neuregelungen. Sie befürchten irreparable Schäden für digitale Geschäftsmodelle – unter anderem weil weitere Einschränkungen beim Tracking die Werbefinanzierung im Internet zerstören könnten. Angesichts der erheblichen Kritik aus der Wirtschaft konnten sich die Mitgliedstaaten im Rat der Europäischen Union bislang nicht auf einen eigenen Entwurf einigen. In diesem Rat sitzen die Fachminister der EU-Mitgliedstaaten. Ein (Gegen-)Entwurf des Rats ist aber erforderlich, damit der Rat mit der EU Kommission und dem Europäischen Parlament in das weitere Gesetzgebungsverfahren eintreten kann (sogenanntes Trilog-Verfahren).

Seit Dezember 2017 hat der Rat unter der Führung von Estland, Bulgarien, Österreich, Rumänien, Finnland und Kroatien im Halbjahresturnus jeweils unterschiedliche Entwurfsfassungen veröffentlicht, von denen allerdings keine konsensfähig war. Wechselseitig wurden die Entwürfe von Beobachtern entweder als zu restriktiv für digitale Geschäftsmodelle oder als zu wirtschaftsfreundlich kritisiert.  

Aktueller deutscher Kompromissvorschlag scheitert ebenfalls

Angesichts dieser festgefahrenen Situation hatte sich die seit dem 1. Juli 2020 amtierende deutsche Ratspräsidentschaft vorgenommen, mit ihrem Entwurf vom 4. November 2020 endlich einen zustimmungsfähigen Kompromiss zwischen den unterschiedlichen Interessen von Verbraucherschützern und digitaler Wirtschaft zu finden. Etliche Beobachter bezeichneten den deutschen Entwurf im Vorfeld als letzte Chance für eine Einigung.

Mit seinem Vorschlag wich Deutschland von dem eher wirtschaftsfreundlichen Entwurf der kroatischen Präsidentschaft ab und kam den Bedenken der Verbraucherverbände und Daten-schützer entgegen. Vor allem schlug Deutschland vor, das sogenannte berechtigte Interesse als Rechtsgrundlage für Online-Tracking zu Werbezwecken aus dem Entwurf zu streichen. Dies hätte zur Folge gehabt, dass Tracking und Retargeting – also die gezielte werbliche Wiederansprache der Nutzer in den Online-Angeboten Dritter – auch in Zukunft nur mit einer ausdrücklichen Einwilligung der Nutzer möglich gewesen wären. Eine Ausnahme von dieser Grundregel sollte laut Entwurf lediglich für Presseverlage gelten.

Diverse Verbraucherverbände hatten vor dem Treffen der entscheidungsbefugten Arbeits-gruppe für Telekommunikation signalisiert, mit dem deutschen Vorschlag leben zu können. Bei den Vertretern der Werbe-, Verlags- und Technologie-Unternehmen stieß der Entwurf – und insbesondere die Streichung des berechtigten Interesses als Rechtsgrundlage für Tracking zu Werbezwecken – dagegen auf wenig Gegenliebe. Diese Kritik fand in einigen Mitgliedstaaten Gehör. Und so gelang es letztlich auch der deutschen Ratspräsidentschaft nicht, die so gegensätzlichen Interessen miteinander zu versöhnen.  

Unternehmen sollten sich auf Fortgeltung der aktuellen Regeln einstellen

Nach dem Scheitern des deutschen Entwurfs liegt der sprichwörtliche Ball ab dem 1. Januar 2021 bei der neuen portugiesischen Ratspräsidentschaft. Dass noch ein Kompromiss zwischen den Mitgliedstaaten erzielt werden kann, erscheint allerdings fraglich. Derzeit ist nicht ersichtlich, warum den Portugiesen gelingen sollte, woran bereits ein gutes Dutzend anderer Länder gescheitert ist. Selbst wenn der Rat unter der portugiesischen Präsidentschaft einen gemeinsamen Entwurf verabschieden sollte, bedarf es zudem viel Fantasie, um sich einen sowohl für das Parlament als auch für den Rat zustimmungsfähigen Gesamtkompromiss auszumalen. Die Zeichen sprechen also eher für ein endgültiges Aus der ePrivacy-Verordnung.

Welche Folgen hätte ein solches Scheitern für digitale Unternehmen?

Ohne Neuregelung würden bis auf Weiteres die aktuellen Bestimmungen der ePrivacy-Richtlinie anwendbar bleiben. Diese sind in Deutschland vor allem im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt. Danach ist das Setzen und Auslesen von Cookies zu Werbezwecken ohnehin nur mit vorheriger Einwilligung der Nutzer zulässig. Dies hat der Bundesgerichtshof vor Kurzem bestätigt. Dasselbe gilt, nach Auffassung der Datenschutzbehörden, auch für den Einsatz bekannter Analysetools wie Google Analytics.

Aus Unternehmenssicht ist das Scheitern der ePrivacy-Verordnung daher nicht nur Anlass zur Freude. Es bestand zumindest die Hoffnung, das vergleichsweise starre aktuelle Regelungskorsett durch einen progressiven Entwurf stärker an die Bedürfnisse der digitalen Wirtschaft anpassen zu können. Diese Hoffnung hat sich nun zerschlagen. Anderseits kann die Werbewirtschaft nach der flächendeckenden Implementierung der bekannten Cookie-Banner mit dem Status quo sicher deutlich besser leben als mit den restriktiven Vorschlägen des Europäischen Parlaments. Insofern bleibt der Trost, dass der Rat der Europäischen Union bis auf Weiteres größeres Unheil verhindert hat.

Der Autor, Dr. Lukas Stelten, ist Rechtsanwalt bei der Wirtschaftskanzlei CMS in Deutschland. Er berät deutsche und internationale Unternehmen zu sämtlichen datenschutzrechtlichen Fragestellungen, einschließlich internationalen Datentransfers, der Verwendung von Beschäftigten- und Sozialdaten sowie der Nutzung von Kundendaten.

Die meisten Menschen verstehen ihren Nachlass rein materiell: Immobilien, Bankvermögen oder Unternehmensanteile. Sie übersehen dabei digitale Nachlasswerte wie den Zugriff auf Mail-Accounts, den Firmen-Server, Daten in einer Cloud, Inhalte sozialer Netzwerke oder Online-Konten. Ohne Zugangsrechte sind Unternehmen von vielen Informationen abgenabelt, die elementar für den Firmenerfolg sind. Es drohen weitreichende Folgen für den Betrieb, die Mitarbeiter und die Unternehmerfamilie.

Gerade Firmeninhaber sollten Vorsorge für ihren digitalen Nachlass treffen. Nur so können sie den Fortbestand des Unternehmens auch weitgehend unabhängig von ihrer Person sichern. Schließlich tragen Chefs nicht nur einen Großteil des Firmenwissens in sich, sondern besitzen meist exklusive Zugriffsrechte, Passwörter und PINs. Das digitale Erbe lässt sich per Unternehmertestament, Erbvertrag oder Vollmacht regeln. In vielen Fällen ist auch eine Kombination sinnvoll.

Das digitale Erbe per Testament regeln

Firmeninhaber sollten ihr Testament oder ihren Erbvertrag in puncto digitales Erbe auf den Prüfstand stellen und gezielt ergänzen. Gerade bei Kleinunternehmen verläuft die Grenze zwischen privaten und unternehmerischen Interessen oft fließend. Ohne klare Regelungen drohen Interessenskonflikte. Erben treten als Rechtsnachfolger des Erblassers automatisch auch in dessen Providerverträge ein und übernehmen alle Rechte und Pflichten. Damit verfügen sie grundsätzlich auch über das Zugangsrecht zu allen digitalen Daten. Sind die erforderlichen Passwörter nicht bekannt, können sie diese zurücksetzen lassen. Hierzu zählen womöglich auch der Zugang zu geschäftlich genutzten Mail-Accounts, Business-Netzwerken wie Xing oder Domain-Verträgen.

Firmeninhaber können ihren Erben auftragen, wie sie mit dem digitalen Nachlass verfahren sollen. Sie können beispielsweise für bestimmte Daten eine alleinige Nutzung für betriebliche Zwecke oder eine unverzügliche Löschung festschreiben. Eine angeordnete Testamentsvollstreckung stellt sicher, dass diese Verfügungen auch umgesetzt werden.

Allerdings kann es bei der Rechtsnachfolge zu Problemen kommen. Viele Provider prüfen zunächst, ob der Anspruch auf Datenzugang nicht mit dem Datenschutz, Telekommunikationsrecht oder Persönlichkeitsrecht kollidiert. Einige verweigern Erben jeglichen Datenzugang unter Hinweis auf ihre AGB, andere löschen bei Tod eines Kunden sogar alle Daten, wie etwa Yahoo.

Problematisch ist die Rechtsnachfolge für digitale Daten vor allem dann, wenn nicht die nächsten Angehörigen die Erben sind. In diesen Fällen wirkt der Persönlichkeitsschutz des Erblassers über den Tod hinaus. Noch gibt es hierzu keine gesicherte Rechtsprechung. Der Persönlichkeitsschutz umfasst unter Umständen auch E-Mails und Inhalte in sozialen Medien. Die Folge: Erben dürfen diese Inhalte nicht oder nur eingeschränkt nutzen.

In jedem Fall ist die Umsetzung der erbrechtlichen Verfügungen zeitraubend. Nicht selten können die Ausstellung des Erbscheins und die Kommunikation mit zumeist ausländischen Providern Monate in Anspruch nehmen. Es drohen zudem überlange Wartezeiten oder auch Pattsituationen, weil sich Erben uneins sind. Daher ist es ratsam, nicht allein auf testamentarische Verfügungen zu setzen, insbesondere wenn auch unternehmerische Interessen im Spiel sind.  

Vollmacht für den Fall der Fälle

Eine schnelle und gezielte Nutzung des digitalen Nachlasses ermöglicht eine sogenannte postmortale Vollmacht. Hierbei bevollmächtigt der Firmeninhaber eine Vertrauensperson im Todesfall im Rahmen der bestehenden Providerverträge über den digitalen Nachlass zu verfügen. Der Bevollmächtigte muss nicht zu den Erben zählen, ihre Interessen aber berücksichtigen. So ist der Fortgang aller unternehmerischen Aktivitäten gewährleistet, ohne Zugangsbeschränkungen in Kauf nehmen zu müssen (siehe Infokasten „Für den Ernstfall vorsorgen“). Gleichzeitig bleiben aber alle erbrechtlichen Verfügungen gewahrt.

Von zentraler Bedeutung für mittelständische Unternehmen ist etwa der jederzeitige Zugang zum Server, zur Cloud oder zum Online-Banking. Gleiches gilt für wichtige E-Mail-Accounts, die oft Chefsache sind. Hier laufen viele Anfragen und Angebote auf. Landen Mails im verwaisten Mail-Postfach, bleiben viele Geschäftschancen ungenutzt.

Die Verantwortung des Firmeninhabers geht weit über seinen Tod hinaus. Wer das digitale Erbe mit Weitblick regelt, wahrt nicht nur den unternehmerischen Erfolg, sondern beugt auch privaten Streitigkeiten vor. Schnell werden digitale Nachlässe wie E-Mails, Fotos oder der Facebook-Account zum Zankapfel. Vorausschauende Verfügungen sorgen für klare Verhältnisse unter den Erben und sichern den Fortbestand des Unternehmens.

In vielen Firmen ist der Einsatz von Fremdpersonal nicht mehr wegzudenken. So gewinnen Unternehmen Flexibilität und reduzieren Fixkosten. Das reformierte Arbeitnehmerüberlassungsgesetz (AÜG) macht das Thema zur Chefsache. Zum einen erschwert das neue AÜG den Einsatz von Leiharbeitern erheblich. Zum anderen erhöht es die Gefahr von Scheinselbständigkeit. Firmen sollten bestehende Verträge rund um Fremdpersonal kritisch prüfen und neue mit Weitblick ausgestalten. So können Unternehmen externe Kräfte trotz der verschärften Vorgaben bedenkenlos einsetzen.

Neues im Arbeitnehmerüberlassungsgesetz (AÜG)

Das neue Gesetz soll missbräuchlichen Praktiken beim Einsatz von Fremdpersonal einen Riegel vorschieben. Es regelt sowohl die Arbeitnehmerüberlassung als auch die Vermittlung und den Einsatz von Selbständigen. Ein zentraler Aspekt ist die Neuregelung der Einsatzzeiten von Leiharbeitern. Im alten AÜG war nicht klar geregelt, wie lange eine Überlassung höchstens erfolgen darf. Künftig ist die Höchstdauer auf 18 Monate limitiert. Tarifverträge oder Betriebsvereinbarungen lassen abweichend davon eine Einsatzdauer von maximal 24 Monaten zu.

Zeiträume vor dem 1. April 2017 bleiben außen vor. Personalverantwortliche sollten sich vorsichtshalber den 22. September 2018 im Kalender rot anstreichen. Dann endet bei laufenden Kontrakten erstmalig die Höchstüberlassungsdauer. Soll ein Zeitarbeiter im Anschluss im selben Unternehmen erneut zum Einsatz kommen, ist eine Unterbrechung von mehr als drei Monaten vorgeschrieben.

Vom Leiharbeiter ungewollt zum Arbeitnehmer

Werden die Zeitvorgaben nicht eingehalten, wird aus einem Leiharbeiter automatisch ein sozialversicherungspflichtiger Arbeitnehmer mit Urlaubsanspruch und Kündigungsschutz. Übersehen Unternehmen den Arbeitnehmerstatus, drohen neben hohen Lohnsteuer- und Sozialversicherungsnachzahlungen zusätzlich strafrechtliche Konsequenzen. Auch bei der Entlohnung von Zeitarbeitern müssen Entleiher aufpassen. Leiharbeitern steht spätestens nach neun Monaten das gleiche Gehalt („Equal Pay“) wie dem Stammpersonal zu. Tarifliche Sonderregelungen ermöglichen eine Einsatzzeit von bis zu 15 Monaten ohne Equal Pay.

Dazu muss der Entleiher dem Verleiher mitteilen, in welcher Höhe das vergleichbare Arbeitsentgelt zu veranschlagen ist. Bei Verstößen gegen das Equal-Pay-Gebot droht dem Verleiher ein Bußgeld, das in der Spitze 500.000 Euro betragen kann. Die Berechnung und Mitteilung des vergleichbaren Arbeitsentgeltes erfordert erhöhte Sorgfalt. Bei Fehlern kann das Zeitarbeitsunternehmen Bußgelder beim Entleiher einklagen.

Arbeitnehmer-Überlassungsvertrag

Für die Gestaltung eines Arbeitnehmer-Überlassungsvertrags (AÜV) gelten verschärfte Regeln. Der vereinbarte AÜV muss eindeutig als solcher bezeichnet und noch vor Arbeitsbeginn des Zeitarbeiters unter Dach und Fach sein. Im Vertrag darf der Name des Leiharbeiters sowie die Unterschrift des Ver- und Entleihers nicht fehlen. Bei Verstößen gegen die „Kennzeichnungs- und Konkretisierungspflicht“ kann die Arbeitsagentur gegen beiden Parteien ein Bußgeld in Höhe von bis zu 30.000 Euro verhängen. Darüber hinaus verliert der Überlassungsvertrag gegebenenfalls seine Gültigkeit und der Zeitarbeiter wird zum sozialversicherungspflichtigen Angestellten des Entleihers.

Festhaltenserklärung

Grundsätzlich bleibt ein Ausweg. Falls zwischen Entleiher und Zeitarbeiter unbeabsichtigt ein Arbeitsverhältnis entsteht, eröffnet das neue AÜG eine arbeitgeberfreundliche Lösung. Der frisch gebackene Arbeitnehmer kann innerhalb eines Monats erklären, dass er am Arbeitsvertrag mit dem Verleiher festhält (sog. Festhaltenserklärung). So vermeiden Mitarbeiter, dass sie sich wider Willen in der Rolle eines ungewollten Arbeitnehmers wiederfinden. Der Leiharbeitnehmer muss sich die Erklärung persönlich bei der Arbeitsagentur bestätigen lassen und spätestens drei Tage später beim Ver- oder Entleiher vorlegen. Firmen sollten nach einer erfolgten Festhaltenserklärung von einer Weiterführung der Überlassung absehen. Eine erneute Festhaltenserklärung wäre in jedem Fall unwirksam.

Einsatz von Freelancern

Auch beim Einsatz von Freelancern über Vermittlungsagenturen ist erhöhte Vorsicht geboten. Die Beschäftigung erfolgt auf der Grundlage eines Werk- oder Dienstvertrages zwischen dem Selbständigen und dem Einsatzunternehmen. Die Crux: Wenn Freelancer etwa über Zeit, Ort und Art ihrer Tätigkeit nicht frei entscheiden können, besteht eine Scheinselbständigkeit. Bisher konnten Vermittler im Rahmen der sog. Fallschirmlösung sich und ihre Auftraggeber vor negativen Konsequenzen schützen. Dafür sorgte eine vorsorglich beantragte Arbeitnehmerüberlassungserlaubnis. Der Dienstleister konnte so eine Scheinselbständigkeit nachträglich zur rechtmäßigen Leiharbeit umdeklarieren. Damit ist jetzt Schluss. Das neue Gesetz schließt die Fallschirmlösung grundsätzlich aus.

Der Rechtmäßigkeit bestehender und künftiger Verträge kommt damit eine enorme Bedeutung zu. Die tatsächliche Beurteilung der Beschäftigungsform hängt oft von Kleinigkeiten ab. Firmen sollten bestehende Verträge und die gelebte Einsatzpraxis kritisch unter die Lupe nehmen und gegebenenfalls nachjustieren.

Beteiligungen für Mitarbeitende sind für junge Unternehmen essentiell, um auf dem Arbeitsmarkt um die besten Talente konkurrieren zu können. Arbeitnehmende müssen sich dank gut ausgestalteter Beteiligungsprogramme nicht mehr zwischen lukrativem Gehalt und innovativem Arbeitgebenden entscheiden – wovon insbesondere Start-ups profitieren.

Die technische Umsetzung eines Beteiligungsprogramms für Mitarbeitende kann auf unterschiedliche Arten und Weisen erfolgen. Aktuell sind in Deutschland Virtual Stock Option Plans (VSOPs) die gängige Form in der Praxis. Doch seit der Verabschiedung des Zukunftsfinanzierungsgesetzes wird eine weitere – bisher wenig beachtete – Methode für Jungunternehmen interessant: Genussrechte. Doch welche Gemeinsamkeiten und Unterschiede haben Genussrechte und VSOPs und warum lohnt es sich, diese Alternative genauer zu betrachten?

Virtuelle Beteiligung

Im deutschen Venture Capital-Markt werden Mitarbeitendenbeteiligungen typischerweise durch virtuelle Anteile abgebildet (VSOPs). Mitarbeiter*innen werden dabei wirtschaftlich so gestellt, als hätten sie eine echte (gesellschaftsrechtliche) Beteiligung am Unternehmen erhalten. Allerdings erhalten Beschäftigte bei VSOPs nur einen schuldrechtlichen Anspruch gegen das Unternehmen. Das bedeutet, dass sie im Falle eines Exits eine Sonderzahlung erhalten. Dabei ist der Strukturierungs- und Verwaltungsaufwand gering, da Unternehmen zur vertraglichen Beteiligung in der Regel auf standardisierte Verträge zurückgreifen können. Da keine Gesellschaftsanteile übertragen werden, gelangen keine Mitarbeiter*innen in das Cap Table und der Gang zum Notariat bleibt erspart. Nachteilig sind hingegen die steuerlichen Konsequenzen für die Mitarbeitenden: Bei entsprechender Ausgestaltung kommt es zwar zum Zeitpunkt der Ausgabe der virtuellen Beteiligung nicht zu einer Besteuerung der Mitarbeiter*innen.  Allerdings unterliegt der Erlös dann bei Zahlung der normalen Lohnversteuerung mit einem Spitzensteuersatz von 45 Prozent zzgl. Solidaritätszuschlag und ggf. Kirchensteuer.

Genussrechte als Alternative?

Aufgrund aktueller steuerlicher Gesetzesänderungen rückt eine andere Gestaltungsmöglichkeit (wieder) in den Fokus: eigenkapitalähnliche Genussrechte. Im Folgenden werfen wir einen detaillierten Blick auf das Beteiligungsmodell.

Ausgestaltung

Genussrechte können inhaltlich annähernd genauso flexibel ausgestaltet werden wie VSOPs und stellen aus juristischer Sicht ebenfalls keine reale Beteiligung dar, sondern nur einen schuldrechtlichen Anspruch gegen das Unternehmen auf die Beteiligung am Gewinn. Aber auch eine Teilhabe am klassischen Exit-Erlös kann vereinbart werden. Bei der Ausgabe der Genussrechte leistet der Arbeitnehmende entweder eine Kapitaleinlage oder er erhält das Genussrecht schlicht unentgeltlich/verbilligt. Genussrechte können vom Arbeitgeber zu einem beliebigen Nennwert ausgegeben werden und eine Teilhabe am Gewinn und/ oder einem Liquidations-/Exiterlös mit oder ohne Verzinsung sowie mit oder ohne Verlustbeteiligung vermitteln.

Aufwand und praktische Umsetzung

Verträge für Genussrechte können für nahezu jede Gesellschaft maßgeschneidert gestaltet werden. Die Ausgabe obliegt – wie auch bei VSOPs – grundsätzlich der Geschäftsführung. In der Praxis sollte bei der Ausgabe ein entsprechender Gesellschafterbeschluss die Geschäftsführungsmaßnahme flankieren, um mögliche Streitigkeiten in Bezug auf die Wirksamkeit der Maßnahme vorzubeugen. Oftmals ist dies aufgrund von satzungsrechtlichen Zustimmungsvorbehalten ohnehin notwendig.

Der Beteiligungs- und Verwaltungsaufwand ist gering, da Unternehmen – wie bei den VSOPs – auf standardisierte Verträge zurückgreifen können. Formerfordernisse sind nicht gegeben und ein Gang zum Notar ist ebenfalls nicht notwendig.

Die für Mitarbeitendenbeteiligungen üblichen Vesting- bzw. Leaver-Regelungen unterscheiden sich bei den Genussrechten von den VSOPs kaum. Ein Augenmerk sollte bei einem Verfall aufgrund eines Leaver-Events auf die Rückübertragung von Genussrechten an den Arbeitgebenden gelegt werden. Dies sollte im Beteiligungsprogramm geregelt werden.

Steuerliche Vorteile der Genussrechte

Die Gewährung von Genussrechten (wie auch von echten Anteilen) führte bislang zum Zeitpunkt der Zuteilung zu einer lohnsteuerpflichtigen Sachzuwendung in Höhe des Marktwerts der gewährten Beteiligung, auch wenn noch kein Exit-Erlös erzielt wurde (Dry-Income-Problematik). Dafür profitieren echte Anteile sowie Genussrechte von einem linearen Steuertarif für Kapitaleinkünfte mit einem maximalen Steuersatz von 25 Prozent zzgl. Solidaritätszuschlag und Kirchensteuer (§ 32d EStG).

Zukunftsfinanzierungsgesetz – Steuerliche Begünstigung von Genussrechten

Mit Inkrafttreten des Zukunftsfinanzierungsgesetz (ZuFinG) am 1. Januar 2024 hat der Gesetzgeber die Regelungen des § 19a EStG überarbeitet, um die genannte Dry-Income-Problematik zu mildern und um Beteiligungen für Mitarbeitende im Venture Capital-Bereich attraktiver zu machen. Die Vorschrift findet sowohl auf echte Anteile wie auch auf Genussrechte Anwendung.

Eine Dry-Income-Problematik besteht zwar bei VSOPs nicht, denn die Lohnsteuerpflicht fällt bei entsprechender Strukturierung bei VSOPs erst zum Zeitpunkt eines Exits in Höhe des individuellen (progressiven) Steuersatzes mit maximal 45 Prozent zzgl. Solidaritätszuschlag und ggf. Kirchensteuer an. Der lineare Steuertarif für Kapitaleinkünfte (max. 25 Prozent zzgl. Solidaritätszuschlag und Kirchensteuer) auf etwaige Wertzuwächse findet im Rahmen der VSOPs jedoch gerade keine Anwendung – im Gegensatz zu eigenkapitalähnlich ausgestalteten Genussrechten. Damit können Genussrechte bei entsprechender Ausgestaltung das „Beste aus beiden Welten“ vereinen: Einen Besteuerungsaufschub im Rahmen der Lohnsteuer für die unentgeltliche/verbilligte Einräumung des Genussrechts und einen niedrigen Steuertarif für Kapitaleinkünfte bei der Realisierung des Wertzuwachses beim Exit. Sollte der Wert des Genussrechts dann niedriger sein als zum Zeitpunkt der Gewährung, ist für die aufgeschobene Lohnsteuer dann auch nur der niedrigere Wert maßgebend.

Bedingungen für den Besteuerungsaufschub

Der Besteuerungsaufschub für etwaig anfallende Lohnsteuer im Zusammenhang mit der unentgeltlichen/verbilligten Einräumung wird unter bestimmten Voraussetzungen gewährt:  Zu diesen zählt, dass eine qualifizierte Unternehmensbeteiligung vom Arbeitgebenden zusätzlich zum regulären Arbeitslohn unentgeltlich oder vergünstigt am Unternehmen eingeräumt wird (keine bloße Entgeltumwandlung), die Gründung des Unternehmens nicht länger als 20 Jahre zurückliegt und das Unternehmen zum Zeitpunkt der Einräumung des Genussrechts einen Jahresumsatz von EUR 100 Mio. oder eine Jahresbilanzsumme von EUR 86 Mio. nicht überschreitet sowie nicht mehr als 1.000 Mitarbeitende hat.

Dies stellt ein absolutes Alleinstellungsmerkmal der eigenkapitalähnlichen Genussrechte gegenüber den VSOPs dar. Denn eine Beteiligung über virtuelle Anteile an einem Unternehmen gilt gerade nicht als Vermögensbeteiligung im Sinne des § 19a EstG i.V.m. dem 5. VermBG und profitiert somit – anders als die Genussrechte – nicht von der Begünstigung des § 19a EStG.

Der Besteuerungsaufschub endet nach § 19a EStG erst, wenn entweder das Genussrecht ganz oder teilweise entgeltlich oder unentgeltlich übertragen wird (Exit) oder das Dienstverhältnis beendet wird, spätestens aber nach 15 Jahre. Sofern das Unternehmen gegenüber dem Finanzamt unwiderruflich erklärt, im Exit-Fall für die Lohnsteuer zu haften, endet der Besteuerungsaufschub auch nicht beim Wechsel des Arbeitgebenden oder spätestens nach 15 Jahren, sondern tatsächlich erst beim Exit.

Fazit

Für die Einführung eines Beteiligungsprogramms für Mitarbeitende in Form von eigenkapitalähnlichen Genussrechten bzw. die Umstellung eines bestehenden virtuellen Mitarbeitendenbeteiligungsprogramms (VSOP) auf eigenkapitalähnliche Genussrechte sprechen steuerrechtliche Vorteile. Dazu zählt insbesondere der Besteuerungsaufschub für etwaig anfallende Lohnsteuer im Zusammenhang mit der unentgeltlichen/ verbilligten Einräumung und die Anwendung des linearen Steuersatzes für Kapitaleinkünfte auf etwaige Wertzuwächse. Hierdurch bekommen Start-ups im umkämpften Arbeitsmarkt um die besten Talente starke Argumente im Vergleich zur Konkurrenz.

Allerdings sollten sich Unternehmer*innen durch eine fachkundige Beratung absichern, um Risiken von eigenkapitalähnlichen Genussrechten vorzubeugen. Dazu zählen insbesondere die saubere Strukturierung zur Einhaltung der steuerlichen Erfordernisse sowie die Abwägung mit alternativen Modellen, insbesondere virtuelle und reale Beteiligungsmodelle für Mitarbeitende.

Die Autoren:

Dr. Andreas Demleitner ist Rechtsanwalt & Steuerberater im Bereich Corporate Tax bei PwC und berät als Partner sowohl Start-ups als auch Investor*innen im Venture Capital-Umfeld mit den Schwerpunkten Durchführung von Finanzrunden und Implementierung von Mitarbeiterbeteiligungsmodellen, Andreas.demleitner@pwc.com
Dr. Minkus Fischer, EMBA, ist Local Partner bei PwC Legal im Bereich Legal Deals im Stuttgarter Büro. Er berät seit über zehn Jahren in den Bereichen Corporate/M&A, mit einem Schwerpunkt in Venture Capital-Transaktionen, Minkus.fischer@pwc.com

Die Sicherheit und der Schutz von sensiblen Daten sind in einer wachsenden digitalen Welt von größter Bedeutung. Denn leider sind Betrüger*innen ständig auf der Suche nach Möglichkeiten, an diese persönlichen Informationen zu gelangen. Dabei hat sich das Darknet zu einer der Hauptschnittstellen für den illegalen Handel mit gestohlenen Daten etabliert. Auch die Methoden der Betrüger zur Datenbeschaffung werden immer dreister und ausgeklügelter. Im Folgenden erfährst du, wie unsere Daten ins Darknet gelangen und wie sich Besorgte davor schützen können.

Die dunkle Seite des Internets und kriminellen Handlungen

Das Darknet ist ein abgeschotteter Bereich im Internet, der nicht über herkömmliche Suchmaschinen zugänglich ist. Hier können Nutzende ihre Identität verschleiern und anonym kommunizieren. Es wird für verschiedenste Zwecke genutzt, darunter illegale Aktivitäten wie der Austausch gestohlener Daten. Normalerweise gibt es verantwortliche Stellen bzw. spezielle Aufsichtsbehörden, die kontaktiert werden können, um gegen Datenschutzverletzungen im World Wide Web vorzugehen. Doch in diesem abgeschirmten Bereich des Internets wird alles dafür getan, um vor den entsprechenden Zuständigkeiten ungesehen zu bleiben. So befinden sich die Betreiber*innen der Server in der Regel außerhalb Europas, was es für Strafverfolgungsbehörden äußerst schwierig macht, einmal gestohlene Daten zu löschen oder Täter zur Rechenschaft zu ziehen. Erst im Darknet veröffentlicht, können solche Datensätze mehrfach betrügerisch genutzt oder verkauft werden, was die Sicherheit und Privatsphäre der Betroffenen langfristig gefährdet. Auch können die Personen schwerer ausfindig gemacht werden, da sie die entwendeten Informationen nicht selbst nutzen und ihre rechtswidrigen Aktivitäten schwer auf sie zurückzuführen sind. Auf dem digitalen Schwarzmarkt zahlen Käufer*innen für solche gestohlene Daten und damit verbundene Dienstleistungen in Kryptowährungen wie Bitcoin. Diese Währungen führen auch dazu, dass die Bezahlvorgänge kaum nachvollziehbar sind.

Von Phishing bis Europol-Masche: Wie Betrüger*innen an die Daten kommen

Zu den bekanntesten Methoden, um an die begehrten Informationen zu kommen, zählt Phishing. Diese Masche ist vor allem für ihre Spam-Mails bekannt, bei denen die Betroffenen dazu verleitet werden, auf einen Link zu klicken und vertrauliche Daten preiszugeben. Jedoch findet diese Methode inzwischen auch über das Telefon statt. Die Betrüger*innen tarnen sich beispielsweise als Europol-Mitarbeitende und fordern ihre Gesprächspartner*innen dazu auf, ihre IBAN-Nummer zu nennen. Mittlerweile ist selbst die Suche nach einer Wohnung oder einem Job nicht mehr sicher. So verwenden Trickser gefälschte Angebote und stellen ein vorgetäuschtes Identitätsverfahren vor, um Suchende dazu zu bringen, Fotos ihrer Ausweise zu übermitteln.

Eine weitere dreiste Masche besteht darin, Leidtragende während eines Gesprächs schnell zu einem eindeutigen „Ja“ zu animieren. Wenn die Person zum Beispiel zustimmt, dass das Telefonat aufgezeichnet wird, haben die Betrüger bereits fast alles erreicht, was sie wollten. Danach stellen sie einige harmlose Fragen, und schon haben sie genug Material gesammelt, um das Gespräch beliebig zusammenschneiden zu können. Dann scheint es, als hätten die Betroffenen mit ihrem „Ja“ einem Kaufvertrag oder einem Abonnement zugestimmt.

Finanzielle Ausbeute: So viel bis du wert

Im Darknet existiert bereits ein florierender Handel mit gestohlenen Identitäten, die es Käufer*innen ermöglichen, verschiedene kriminelle Aktivitäten durchzuführen. Doch wie viel Gewinn können die Betrüger*innen damit überhaupt erreichen? Im Report des auf Antiviren-Programme spezialisierten Herstellers Bitdefender wird deutlich, dass eine gestohlene Identität in Form eines biometrischen EU-Passes auf dem Schwarzmarkt bis zu 4.500 Euro bringen kann. Die McAfee-Studie „The Hidden Data Economy“ von 2018 enthüllte wiederum, dass Darknet-Händler*innen in der Europäischen Union bis zu 40 Euro für vollständige Kreditkartendaten verlangen können. Auch Konten von Online-Zahlungsdiensten werden hier gehandelt. Dabei ist jedoch der Preis abhängig vom Guthaben des gehackten Kontos und variiert zwischen 20 und 300 Euro. Um also Betrüger*innen nicht auf den Leim zu gehen und sich den Ärger mit geklauten Daten zu ersparen, ist der Datenschutz im digitalen Zeitalter auch für Privatpersonen wichtiger denn je!

Praktische Maßnahmen: Wie entgehe ich der Täuschung?

Identitätsklau per Telefon ist nach wie vor eine weitverbreitete Methode für Datenhändler*innen, über die jede(r) informiert sein sollte. Um die persönlichen Daten zu schützen, ist es wichtig, bei der Weitergabe sensibler Informationen generell vorsichtig zu sein. Hier sind einige wichtige Maßnahmen, die ergriffen werden können, um einem möglichen Betrugsversuch vorzubeugen: Wenn ein Anruf verdächtig erscheint oder eine unbekannte Person Geld verlangt, handelt es sich in den meisten Fällen um einen Schwindel. Die größte Sicherheit besteht darin, das Gespräch sofort zu beenden. Um Datenverluste und finanzielle Schäden zu vermeiden, sollten niemals persönliche Informationen wie Anschrift, E-Mail-Adresse, Geburtstag, Passwörter oder Bankdaten an Fremde weitergegeben werden. Seriöse Behörden oder Unternehmen werden am Telefon unter keinen Umständen nach solchen Angaben fragen.

Ist der Schaden bereits entstanden und die Daten wurden preisgegeben, sollte die Bundesnetzagentur eingeschaltet werden. Auch die Polizei sollte unter der Rufnummer 110 kontaktiert werden. Wurde beispielsweise Geld illegal vom eigenen Konto abgebucht, kann die Bank dieses innerhalb von vier Wochen zurückholen. Hier gilt es jedoch zu beachten, dass dies nur funktioniert, wenn die Überweisung nicht von der betroffenen Person selbst getätigt wurde. Daher sollten niemals Zahlungen an eine unbekannte Person getätigt werden. Häufig kommen betrügerische Anrufe aus dem Ausland. Daher ist besondere Vorsicht bei folgenden Vorwahlen geboten: +88 (Globales Navigationssatellitensystem), +225 (Elfenbeinküste), +231 (Liberia), +252 (Somalia), +257 (Burundi), +261 (Madagaskar) oder +370 (Litauen). Schließlich kann es auch helfen, sich regelmäßig über die neuesten Betrugsmaschen zu informieren und somit im Falle eines entsprechenden Anrufs sensibilisiert zu sein.

Der Autor Thomas Wrobel ist Spam-Schutz-Experte, CTO der Müller Medien-Tochter validio und Gründer von Clever Dialer. Die App liefert verlässliche Anrufinformationen und schützt Verbraucher*innen vor Spam-Telefonaten.

Ein für Gründer*innen regelmäßig relevantes Thema ist die Beteiligung eines/einer später hinzutretenden Co-Founder*in zu dem als UG/GmbH organisierten Start-up. Klassischerweise soll der/die hinzutretende Gründer*in dabei kein Cash Investment mitbringen, sondern das Start-up durch seine künftige Tätigkeit unterstützen. Das Ziel ist mithin regelmäßig, dass der/die hinzutretende Co-Founder*in lediglich den Nominalbetrag der Anteile (in der Regel ein Euro je Anteil) leistet, nicht aber den ggf. weit höheren Verkehrswert. Dies ist etwa beabsichtigt, wenn das Gründungsteam nachträglich erweitert werden soll, auf Betreiben eines/einer beteiligten Investor*in oder wenn in einer Nachfolgekonstellation ein(e) neue(r) Co-Founder*in für ein ausgeschiedenes Teammitglied nachrückt.

Das Problem besteht nun darin, dass die Gewährung der Anteile in diesen Szenarien nach deutschem Steuerrecht grundsätzlich der Einkommensteuer unterliegen kann. Ein für die Einkommensbesteuerung relevanter Zufluss liegt bei der Gewährung einer Beteiligung grundsätzlich schon vor, wenn „echte“ Anteile (im Gegensatz zu virtuellen Anteilen) rechtlich wirksam übernommen werden.

Je nach konkreter Situation dürfte dann der/die beitretende Co-Founder*in, der/die für die Einräumung lediglich den Nominalbetrag leistet, im Hinblick auf den Differenzbetrag bis zum Verkehrswert der eingeräumten Anteile einkommensteuerpflichtig sein. Es erfolgt mithin eine Besteuerung auf Grundlage des Werts der Anteile, obgleich dem/der Co-Founder*in kein Cash-Betrag zufließt (sog. Dry Income). Dies ist ein ganz erhebliches Steuerrisiko, das den/die beitretende(n) Co-Founder*in direkt betrifft. Es ist wegen der Pflicht der Gesellschaft zur ordnungsgemäßen Abführung entsprechender Lohnsteuer auch ein Thema für die Geschäftsführung der Gesellschaft.

Fondsstandort- und  Einkommensteuergesetz

Der Gesetzgeber hatte an sich im Jahr 2021 die Intention, dieses Thema zu regeln, und als Folge sollte auch der/die beitretende Co-Founder*in entlastet werden. Der in diesem Zusammenhang im Rahmen des sog. Fondsstandortgesetzes (2021) neu gefasste § 19a Einkommensteuergesetz (EStG) hilft an dieser Stelle allerdings nur bedingt. Nach § 19a Abs. 1 EStG unterliegen die Anteile bei Einräumung zwar zunächst nicht der Einkommensbesteuerung, sondern gemäß § 19 Abs. 4 Nr. 1 EStG erst bei der späteren Übertragung im Exit-Fall. Dies würde für sich gesehen dem/der Co-Founder*in zur Risikominimierung steuerrechtlich entgegenkommen, da eine Besteuerung dann erst erfolgt, wenn tatsächlich der Exit-Erlös erzielt wird.

Allerdings wird die Einkommensteuer nach den weiteren Varianten des § 19 Abs. 4 EStG auch dann fällig, wenn seit der Übertragung der Vermögensbeteiligung zwölf Jahre vergangen sind oder das Dienstverhältnis des/der Gründer*in beendet wird.

Nach § 19a Abs. 5 EStG hat das Betriebsstättenfinanzamt den nicht besteuerten Vorteil im Rahmen einer Anrufungsauskunft gemäß § 42e EStG bei Einräumung der Anteile zu bestätigen. Im Falle des späteren Exits wird dann für die Bewertung des zu besteuernden geldwerten Vorteils auf diese Feststellungen Bezug genommen.

Aus Sicht des/der beitretenden Co-Founder*in besteht damit auch bei Anwendung des § 19a EStG weiterhin die Gefahr, dass sich das Steuerrisiko zu einem Zeitpunkt realisiert, in dem er/sie aus dem Beitritt noch keine Erlöse erzielt hat. Auch wird die Steuerlast nicht abhängig von der Wertentwicklung der eingeräumten Anteile reduziert, sondern lediglich auf einen späteren Zeitpunkt verlagert.

Hurdle Shares und Growth Shares

Dieses Thema wird im Rahmen einer Finanzierungsrunde aktuell anderweitig über die Gewährung von sog. Hurdle Shares oder auch Growth Shares gelöst. Hierbei handelt es sich um Anteile (in der Regel Common Shares mit Stimmrechten etc.), deren Wert im Ergebnis im Zeitpunkt der Übertragung bei einer späteren Erlösverteilung als negativer Rechnungsposten zum Abzug gebracht wird (sog. negative Liquidationsprä­ferenz). Deren Anerkennung durch die Finanzverwaltung setzt dabei voraus, dass sämtliche Erlöse, also Liquidations-, Gewinn- und sonstige Erlöse, erfasst werden. Im Zeitpunkt der Einräumung wird so der Wert der Anteile und damit der zu besteuernde geldwerte Vorteil neutralisiert.

Wesentlich bei der Einräumung dieser Anteile ist damit die Festlegung eines sog. Hurdle Amount je Anteil, der definiert, welcher Abzug von künftigen Erlösen erfolgen soll. Dieser Wert entspricht regelmäßig dem Verkehrswert des jeweiligen Anteils zum Zeitpunkt der Einräumung abzüglich des tatsächlich gezahlten Anteilspreises (in der Regel Nominalbetrag). Vereinfacht ist der/die hinzutretende Co-Founder*in bei einem künftigen Exit mithin nur mit der Wertsteigerung ab seinem/ihrem Beitritt beteiligt. In der Folge erzielt der/die Co-Founder*in, anders als in den Fällen der Dry-Income-Besteuerung, keinen unmittelbaren Lohnzufluss, der bereits bei Einräumung zu versteuern wäre. Dies gilt allerdings nur insoweit, als der Hurdle Amount der tatsächlichen Differenz zwischen dem gezahltem Anteilspreis und dem Verkehrswert entspricht. Bei Abweichungen zugunsten des/der Co-Founder*in führt die Differenz zu einem sog. geldwerten Vorteil, der als Teil des Arbeitslohns im Zeitpunkt des Zuflusses zu versteuern ist.

Neben der Vermeidung der Anfangsbesteuerung bei Einräumung der Anteile erzielen die Hurdle Shares auch eine reduzierte Steuerlast im Exit-Fall. Aufgrund der Gestaltung als echte Beteiligung (im Gegensatz etwa zu einer virtuellen Beteiligung, hier Besteuerung mit dem persönlichen Steuersatz – also unter Umständen bis zu 45 Prozent zzgl. Solidaritätszuschlag), werden aus der Beteiligung Kapitaleinkünfte erzielt, die dem sog. Abgeltungssteuersatz (25 Prozent zzgl. Solidaritätszuschlag) unterliegen oder (bei Beteiligungen von mindestens einem Prozent) im Teileinkünfteverfahren zu 40 Prozent steuerfrei gestellt sind. Bei Zwischenschaltung einer Holding-UG kann die Steuerlast unter Umständen noch weiter reduziert werden (bis zu 95 Prozent der Einkünfte steuerfrei).

Zur Vermeidung von steuerlichen Risiken empfiehlt es sich, die Strukturierung der Co-Founder-Beteiligung über Hurdle Shares im Rahmen einer Lohnsteueranrufungsauskunft (denkbar, aber aufwendiger ist auch eine verbindliche Auskunft oder eine Kombination) mit der Finanzverwaltung abzustimmen. Die diesbezügliche Rückmeldung hat zwar nur Bindungswirkung für die Gesellschaft und nimmt zudem einige Monate in Anspruch – während dieser Zeit kann die Beteiligung noch nicht final umgesetzt werden –, sollte aber insbesondere wegen der Bewertungsunsicherheiten bei Start-ups als Absicherung erwogen werden.

Diese Wartezeit bedeutet jedoch nicht, dass der Beitritt der/des Co-Founder*in (etwa im Rahmen einer Finanzierungsrunde) bis zur positiven Auskunft des Finanzamts aufgeschoben werden muss. Dieser Umstand kann im Rahmen der Erstellung der Beteiligungsdokumentation entsprechend abgebildet werden und die finale Einräumung der Beteiligung vom Eingang einer positiven Rückmeldung abhängig gemacht werden. Auch für den Fall einer negativen Rückmeldung werden in der Regel bereits Vorkehrungen getroffen, etwa durch die alternative Einräumung von virtuellen Anteilen (dann allerdings mit höherer Besteuerung; s.o.).

Zukunftsfinanzierungsgesetz

Aktuell bestehen Diskussionen über weitere gesetzgeberische Maßnahmen, die für das hier beschriebene Thema relevant sind. Insbesondere durch den aktuell vorliegenden Referenten­entwurf des Gesetzes zur Finanzierung von zukunftssichernden Investitionen (kurz: Zukunftsfinanzierungsgesetz) werden verschiedene Maßnahmen vorgesehen, durch die unter anderem die o.g. Punkte an den bestehenden Regelungen aufgegriffen werden.

Bezüglich der Beteiligung eines/einer Co-Founder*in sind die rechtlichen und insbesondere steuerrechtlichen Rahmenbedingungen zu beachten. Hier wird der Gesetzgeber seit einiger Zeit tätig; es ist jedoch noch nicht absehbar, mit welchen Änderungen zu rechnen ist. Bis dahin wird es in den meisten Fällen einer nachträglichen Beteiligung naheliegen, eine Gestaltung von Hurdle Shares vorzusehen und den Vorgang steuerrechtlich mit der Finanzverwaltung entsprechend vorab zu klären.

Die Autoren: Alexander Weber, LL.M. (Victoria University of Wellington) ist Partner und Roman Ettl-Steger, LL.M. (King’s College London) Salaried Partner, beide am Münchner Standort der Kanzlei Heuking Kühn Lüer Wojtek im Bereich Venture Capital, www.heuking.de

Elektronische Transaktionen und Daten, die von Endgeräten und anderen Quellen stammen, bilden die Grundlage für die Geschäftsmodelle einige der größten Unternehmen der Welt. Doch der jahrzehntelange Wildwuchs in der Datenspeicherung sorgte für Misstrauen der Verbraucher*innen und verlangte nach gesetzgeberischen und regulatorischen Maßnahmen.

Auch das Jahr 2023 wird einige neue Regelungen und Maßnahmen bringen, auf die sich die Unternehmen vorbereiten müssen. Hier vier Prognosen:

1. Internationale Datenübermittlungen

Bis Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU. Dies änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.

Am 16. Juli 2020 erklärte der EuGH das bis dahin geltende Privacy Shield für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Firmen bedeutend komplizierter gestaltete. Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA ist inzwischen eines der komplexesten und zeitaufwendigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.

Nun kommt Bewegung in die Sache: Die EU-Kommission hat Mitte Dezember 2022 ihren Entwurf für den bevorstehenden Angemessenheitsbeschluss veröffentlicht, die Arbeiten am neuen EU-U.S.-Data-Privacy-Framework laufen auf Hochtouren.

Bis zum Erlass, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage. Bis dahin werden die anderen möglichen Übermittlungsinstrumente des Art. 46 DSGVO – insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR) – sowie die Ausnahmetatbestände des Art. 49 DSGVO (speziell die Einwilligung der betroffenen Personen) genutzt werden, und zwar mit allen bekannten Herausforderungen und Nachteilen.

2. EU-Dateninitiativen werden verabschiedet

Neue EU-Dateninitiativen werden verabschiedet oder in Kraft treten. Sie beeinflussen, wie Daten mit anderen geteilt werden dürfen und zwingen Organisationen, die einen Wert aus personenbezogenen Daten ziehen, dazu, die Modalitäten für die Weitergabe, den Schutz und den Zugriff auf diese Informationen zu ändern. Besonders folgende:

• Digital Services Act (DSA): Der DSA wird die veraltete E-Commerce-Richtlinie aus dem Jahr 2000 ablösen. Sein extraterritorialer Geltungsbereich betrifft die derzeitigen Geschäftsmodelle vieler datengesteuerter Organisationen, darunter Internetdienst- und Cloud-Anbieter, soziale Medien und Online-Plattformen, Marktplätze und Suchmaschinen. So werden unter anderem zusätzliche Transparenzanforderungen für Online-Werbung, ein Verbot von „Dark Patterns“ und Einschränkungen für Werbung auf der Grundlage sensibler Daten erlassen.
• Data Act: Das Datengesetz soll harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten schaffen. Es stellt sicher, dass ein breiteres Spektrum von Akteuren die Kontrolle über ihre Daten erhält. Es sollen mehr Informationen für innovative Zwecke zur Verfügung stehen, während gleichzeitig Anreize für Investitionen in die Datengenerierung erhalten bleiben. Das soll schließlich zu einem maximalen Wert der Daten für Wirtschaft und Gesellschaft führen.
• Europäischer Raum für Gesundheitsdaten: Befasst sich mit den gesundheitsspezifischen Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten, der gemeinsamen Nutzung und der Gestaltung eines gemeinsamen Raums, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Zudem soll er es Forschern und politischen Entscheidungsträgern ermöglichen, diese elektronischen Gesundheitsdaten in einer vertrauenswürdigen und sicheren Weise zu nutzen, bei der die Privatsphäre gewahrt bleibt.
• Artificial Intelligence Act: Viele Umfragen zeigen, dass sich Verbraucher über die Verwendung ihrer personenbezogenen Daten in KI-Anwendungen Sorgen machen. Der Vorschlag für eine Verordnung mit harmonisierten Regeln für künstliche Intelligenz soll diese Bedenken ausräumen und die ethische Nutzung von KI gewährleisten. Flankiert wird er von den außervertraglichen, zivilrechtlichen Haftungsregeln für künstliche Intelligenz. Diese sollen dafür sorgen, dass Betroffene die gleichen Schutzstandards genießen, falls ihnen unter anderen Umständen durch KI-Produkte oder -Dienste ein Schaden entstehen sollte.

3. Umstellung auf neue Standardvertragsklauseln (SCC)

Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln (SCC), die seit dem 27. September 2021 für alle neuen Verträge gelten. Diese neuen SCC sind modular aufgebaut und decken alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.

In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. Laut diversen deutschen Datenschutzbehörden soll es keine weitere Fristverlängerung geben, sie wollen also kein Auge mehr zudrücken. Daher müssen Firmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen.

4. Vormarsch neuer Instrumente der Rechtsdurchsetzung

Reine Kontrollmaßnahmen der Aufsichtsbehörden werden 2023 nicht mehr allein im Vordergrund stehen. Der Trend geht vielmehr zur zivilrechtlichen Durchsetzung der Beendigung datenschutzwidriger Verarbeitungen und der Entschädigung von Datenschutzverstößen. Dies zeigte sich bereits 2022 im Fall von Google Fonts.

Hunderte von Organisationen in Deutschland und Österreich sahen sich im Sommer und Herbst 2022 mit Abmahnungen und Unterlassungserklärungen wegen Google Fonts konfrontiert. Solche Trittbrettfahrer werden in Zukunft voraussichtlich vermehrt einzelne Gerichtsentscheidungen nutzen, um mit derartigen Massenverfahren gegen angebliche Datenschutzverstöße auf breiter Front vorzugehen. Davon dürften insbesondere Websites und Apps betroffen sein, da sich datenschutzwidrige Konfigurationen und nicht autorisierte Tools mit geringem Aufwand schnell und eindeutig nachweisen lassen. Dass sich solche Massenabmahnungen zumindest in einer Grauzone bewegen und die Schwelle zur Missbräuchlichkeit leicht überschritten werden dürfte, zeigen die ersten Gerichtsverfahren gegen die abmahnenden Anwälte.

Natürlich werden auch die Aufsichtsbehörden weiterhin die DSGVO durchsetzen, doch auch diese dürften in Zukunft Neuland betreten. Es ist nur eine Frage der Zeit, bis sie zunehmend die ihnen nach Artikel 58 DSGVO zur Verfügung stehenden Instrumente nutzen, um die Datenverarbeitung (vorübergehend) zu untersagen und die Löschung von Daten anzuordnen. Da die Wirkung dieser Maßnahmen sofort eintritt, sind die Auswirkungen und die Intensität der Intervention am größten. Aufgrund der rechtlichen Brisanz solcher Entscheidungen haben die Behörden bisher jedoch nur selten von ihnen Gebrauch gemacht. Doch ändert sich bald. So könnten in Fällen wie bei Google Analytics im Jahre 2022 zukünftig nicht nur eine Feststellung der Datenschutzwidrigkeit seitens Behörden erfolgen, sondern zusätzlich eine Untersagung der Übermittlung.

Die größte und wesentlichste Veränderung bei der Rechtsdurchsetzung dürfte jedoch das verstärkte Eingreifen von NGOs und anderen Verbraucherschutzverbänden darstellen. Organisationen wie NOYB haben bei verschiedenen europäischen Aufsichtsbehörden Hunderte von Beschwerden über Cookie-Banner und Websites eingereicht, die gegen Datenschutzgesetze verstoßen. Artikel 80 der DSGVO ermöglicht es NGOs und Verbraucherverbänden, Beschwerden bei den Behörden einzureichen und im Namen der betroffenen Personen Schadenersatz zu fordern. Diese Möglichkeit kannten bisher nur wenige, deswegen wurde sie kaum wahrgenommen. Allerdings dürfte es zu einer verstärkten Aktivität solcher Organisationen kommen, speziell nach dem Grundsatzurteil des EuGH über die Rechtsstellung von Verbraucherschutz-Organisationen im Mai 2022.

Der Europäische Verbraucherverband hat bereits angekündigt, dass seine Mitglieder ihre Befugnisse im Rahmen der DSGVO nutzen wollen, um den Verbraucherdatenschutz zu verbessern.

Der Autor Dr. Frank Schemmel (Practice Lead International Privacy & Compliance) ist seit 2018 bei DataGuard - der All-in-one-Plattform in Sachen Compliance-Anforderungen, Informationssicherheit und Datenschutz – tätig.