Surfen im Web gleicht für viele Nutzer einem Hindernislauf durch ein Dickicht aus Pop-ups und Klick-Labyrinthen. Wer seine Privatsphäre schützen will, muss sich oft mühsam durch kryptische Menüs für Cookies arbeiten. Wer nur schnell an Inhalten kommen will, klickt oft entnervt auf „Alle akzeptieren“ bei den Browser-Dateien. Diesem Zustand der „Einwilligungsmüdigkeit“ will die Berliner Legal-Tech-Firma Law & Innovation Technology nun ein Ende setzen. Vor wenigen Tagen hat das Unternehmen den „Consenter“ veröffentlicht: ein Werkzeug, das die Bundesdatenschutzbehörde als ersten Dienst zur Verwaltung von Cookie-Einwilligungen im Einklang mit den gesetzlichen Vorgaben offiziell anerkannt hat.

Der Startschuss erfolgte zunächst diskret: Die Projektverantwortlichen haben das Browser-Plugin im Rahmen eines sogenannten Silent Release verfügbar gemacht. Aktuell ist der Einwilligungsagent über einen speziellen, nicht öffentlich gelisteten Link im Chrome Store für Googles Browser zu finden. Doch dabei soll es nicht bleiben.

Während Versionen für Safari und Firefox bereits in der Pipeline sind, bereiten die Entwickler die große Bühne vor: Zur offiziellen Veröffentlichungsfeier am 26. Januar in Berlin soll der Dienst öffentlich gelistet und in den darauffolgenden Monaten sukzessive ausgebaut werden.

Consenter versteht sich als „Trust-Plattform“ mit dem Ziel, die digitale Selbstbestimmung aus der Theorie in die Praxis zu führen. Maximilian von Grafenstein, Professor für dieses Thema an der Universität der Künste Berlin (UdK) und Initiator des Projekts, sieht darin eine Brücke zwischen Endnutzern und Webseitenbetreibern.

Der Agent soll es ermöglichen, informierte Entscheidungen über die Datennutzung zentral zu verwalten, ohne dass bei jedem Seitenaufruf ein neues Banner den Lesefluss stört. Einmal in der Browser-Erweiterung festgelegt, werden die Präferenzen automatisch an die besuchten Webseiten übermittelt. Daraufhin verschwinden die lästigen Banner im Idealfall.

Eigener Consent-Banner nötig

Der Weg zur behördlichen Anerkennung war von regulatorischen Hürden geprägt. Von Grafenstein sagte heise medien, dass der Agent aktuell mit einem eigens entwickelten Cookie-Banner zusammenarbeiten müsse. Grund dafür sei eine Diskrepanz in der Rechtsauffassung: Während das höherrangige Recht im Paragraph 26 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) vorschreibe, dass Webseiten solche Signale berücksichtigen müssten, habe das damalige Ministerium für Verkehr und Digitales in seiner Ausführungsverordnung die Freiwilligkeit betont.

Da klassische Consent Management Platforms (CMPs) die Signale kaum freiwillig implementieren, sah sich das Team gezwungen, eine eigene Lösung für die Betreiberseite zu bauen. Der Erfolg des Systems hängt daher massiv davon ab, dass nicht nur Nutzer die Browser-Extension installieren, sondern auch Webseitenbetreiber das entsprechende Banner implementieren.

Dabei bringt der Consenter Betreibern Vorteile. Statt rechtlicher Grauzonen und Nutzerfrust soll ein transparentes Datenschutzniveau als Wettbewerbsvorteil dienen. Das System basiert auf einem interdisziplinären Forschungsprozess, an dem Institutionen wie das Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) sowie das Einstein Center Digital Future (ECDF) der UdK beteiligt waren.

Der Dienst, den das Bundesforschungsministerium gefördert hat, bietet eine automatisierte Risikobewertung für Drittanbieter-Technologien. Diese fungiert als eine Art unabhängige Datenschutzfolgenabschätzung, die es Betreibern erlaubt, ihr Schutzniveau glaubhaft zu kommunizieren. Das soll das Vertrauen der Besucher stärken.

Mit begleitender empirischer Forschung will das Consenter-Team zudem den Beweis erbringen, dass echte Transparenz tatsächlich die Einwilligungsraten erhöhen kann. Für die Zukunft haben die Entwickler auch ehrgeizige Pläne: Consenter soll etwa in die digitale EU-Brieftasche (EUDI-Wallet) integriert werden. Gemeinsam mit einem europäischen Netzwerk aus Forschung und Regulierung wollen sie die digitale Souveränität stärken und Compliance von einer lästigen Pflicht in einen strategischen Marktvorteil verwandeln.

(wpl)

In einer Zeit, in der das papierlose Büro und die digitale Kommunikation mit Behörden zum Standard werden sollen, wirkt das klassische Urkundenrecht oft wie ein Relikt aus der Ära der Wachssiegel. Doch die Frage, was im digitalen Raum als Beweis gilt und was sanktioniert wird, ist hochaktuell. Das Bayerische Oberste Landesgericht (BayObLG) musste sich kürzlich mit einem Fall befassen, der die Grenzen zwischen einer strafbaren Fälschung und einer rechtlich irrelevanten Spielerei mit Bilddateien neu vermisst. Die jetzt vorliegende Entscheidung vom 14. November sorgt für Klarheit in einem Bereich, der durch die zunehmende Akzeptanz von E-Mails als offiziellem Kommunikationsmittel massiv an Bedeutung gewinnt (Az.: 206 StRR 368/25).

Der Ausgangspunkt des Verfahrens liest sich wie eine alltägliche Computer-Bastelei mit fatalen Folgen. Eine Frau hatte ein echtes Schreiben einer Anwaltskanzlei an ihrem Rechner modifiziert, den Text bearbeitet und das Ergebnis ausgedruckt. Dieses manipulierte Dokument fotografierte sie ab und versandte die Bilddatei schließlich via WhatsApp und E-Mail an einen Dritten.

Formale Mängel und die Grenzen der Urkunde

Das Dokument wies dabei eine entscheidende Lücke auf, denn es fehlte jegliche Unterschrift oder eine berufsübliche Grußformel. Lediglich der Briefkopf und der veränderte Textkörper waren zu sehen. Während die Vorinstanzen darin noch eine klassische Urkundenfälschung sahen, sprachen die Richter am BayObLG die Angeklagte frei.

Die Begründung führt tief in die Dogmatik des deutschen Strafrechts. Eine Urkunde im klassischen Sinne erfordert eine verkörperte Gedankenerklärung, die einen Aussteller erkennen lässt und geeignet ist, im Rechtsverkehr einen Beweis zu erbringen. Bei einem anwaltlichen Schreiben gehört die Unterschrift zwingend zum Standardrepertoire der Authentizität.

Fehlen diese Merkmale, handelt es sich aus rechtlicher Sicht lediglich um einen unverbindlichen Entwurf ohne Beweischarakter. Das Gericht stellte klar, dass eine Fotokopie oder ein Scan, der nach außen hin erkennbar als bloße Reproduktion auftritt, keine Urkunde im Sinne des Gesetzes ist.

Digitale Daten und der Schutz des Rechtsverkehrs

Selbst wenn durch Computerbearbeitung der Anschein eines echten Dokuments erweckt wird, müssen die typischen Merkmale des Originals vorhanden sein, um eine ernsthafte Verwechslungsgefahr zu begründen. Ebenso wenig sah das BayObLG den Tatbestand der Fälschung beweiserheblicher Daten gemäß Paragraf 269 Strafgesetzbuch (StGB) erfüllt.

Diese Klausel wurde einst geschaffen, um Manipulationen an nicht physisch verkörperten Datenbeständen wie elektronischen Registern zu ahnden. Die Münchner Richter unterstrichen aber, dass eine Bilddatei, die erkennbar nur das Foto eines Schriftstücks darstellt, lediglich als sekundärer Beleg fungiert. Sie behaupte nicht, selbst die originale Erklärung zu sein, sondern verweis nur auf eine – hier manipulierte – Papierquelle. Damit fehle ihr die Qualität eines originären Erklärungsträgers, die für eine Verurteilung nach dem „Digital-Paragrafen“ zwingend erforderlich wäre.

Diese juristische Differenzierung hat laut dem IT-Rechtler Jens Ferner enorme praktische Auswirkungen, da sie ein Signal gegen eine pauschale Kriminalisierung digitaler Kopien setze. Nutzer bewegten sich im straffreien Raum, solange Anhänge eindeutig als Reproduktionen erkennbar blieben und nicht den Anschein eines „digitalen Originals“ erweckten. Leichtsinn sei aber nicht angebracht. Wer gefälschte Scans einreiche, um sich Vorteile zu erschleichen, könne weiterhin wegen Betrugs belangt werden. Voraussetzung: Ein Vermögensschaden ist nachweisbar. Im vorliegenden Fall war das wegen fehlenden Vorsatzes und Schadens nicht gegeben.

(wpl)

Der automatisierte Abgriff öffentlich zugänglicher Informationen (Scraping) beschäftigt die Justiz seit Jahren. Das Oberlandesgericht (OLG) München hat mit einem jetzt veröffentlichten Endurteil von Ende September (Az. 36 U 1368/24 e) ein deutliches Signal an Betreiber sozialer Netzwerke gesendet. Im Kern geht es um den Schutz von Daten, die zwar theoretisch einsehbar sind, aber durch mangelhafte Voreinstellungen zum Ziel massenhafter Sammelei werden. Das OLG sprach einem Betroffenen nicht nur Schadensersatz zu, sondern korrigierte auch eine wesentliche verfahrensrechtliche Hürde zugunsten der Nutzer.

Der Fall führt zurück ins Jahr 2019. Damals wurde bekannt, dass über eine Kontakt-Import-Funktion bei Facebook weltweit rund 533 Millionen Datensätze abgegriffen und später im Darknet veröffentlicht worden waren.

Auch der Kläger war betroffen: Seine Telefonnummer, die er eigentlich nicht öffentlich teilen wollte, wurde mit seinem Profil verknüpft. Grund: Die standardmäßige Suchbarkeitsoption war auf „alle“ voreingestellt. Dritte konnten so über automatisierte Anfragen Listen von Telefonnummern abgleichen und die zugehörigen Profile identifizieren.

Das Landgericht München hatte die Klage ursprünglich abgewiesen. Das höher gestellte OLG sieht die Verantwortlichkeit aber klar beim Plattformbetreiber. Facebook habe gegen den Grundsatz der Datenminimierung und die Pflicht zu datenschutzfreundlichen Voreinstellungen verstoßen. Dass die Nutzer theoretisch die Möglichkeit hätten, ihre Privatsphäre-Einstellungen manuell anzupassen, entlasse den „Herrn der Technik“ nicht aus der Verantwortung.

Eine Standardeinstellung, die eine weltweite Suchbarkeit der Telefonnummer ermögliche, sei für den eigentlichen Vertragszweck – die Vernetzung von Menschen – schlicht nicht erforderlich. Das Gericht monierte zudem das Fehlen technischer Hürden wie Captchas oder effektiver IP-Überprüfungen, die den massenhaften Abgriff hätten erschweren können.

Greifen der DSGVO: „Sekundäre Darlegungslast“

Besondere juristische Relevanz entfaltet das Urteil bei der Frage, wann ein Vorfall zeitlich einzuordnen ist. Da die Datenschutz-Grundverordnung (DSGVO) erst seit Mai 2018 gilt, argumentieren Konzerne häufig, die kritischen Datenabflüsse hätten bereits vor diesem Stichtag begonnen und fielen so in eine rechtliche Grauzone.

Dieser Taktik schiebt das OLG einen Riegel vor: Facebook treffe eine sogenannte sekundäre Darlegungslast, entschied es. Da nur der Betreiber Einblick in die internen technischen Abläufe und Logfiles habe, müsse er detailliert nachweisen, wann genau das Scraping stattfand. Gelingt dieser Nachweis nicht, wird zugunsten des Nutzers die Anwendbarkeit der strengen DSGVO-Regeln unterstellt.

Bei der Bemessung des Schadens folgte das OLG der aktuellen Linie des Europäischen Gerichtshofs und im Kern auch der des Bundesgerichtshofs. Demnach begründet bereits der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden. Dass die Informationen im Darknet auftauchten, manifestiere diesen Verlust dauerhaft. Dem Kläger sprach die Berufungsinstanz dafür 200 Euro zu. Diese an sich überschaubare Summe kann angesichts der Millionen Betroffenen für Meta bei einer Klagewelle schnell bedrohliche Ausmaße annehmen.

Das Urteil unterstreicht dem IT-Rechtler Jens Ferner zufolge einen sich in der Rechtsprechung vollziehenden Paradigmenwechsel: Plattformen hafteten nicht nur für aktive Fehler, sondern auch für strukturelle Designschwächen ihrer Systeme. Der Beschluss mache deutlich, dass die DSGVO kein zahnloser Tiger sei, sondern ein wirksames Instrument des individuellen Rechtsschutzes. Für Firmen bedeute dies, dass datenschutzfreundliche Voreinstellungen („Privacy by Default“) keine bloße Empfehlung seien, sondern eine rechtliche Notwendigkeit.

(wpl)