Kategorien
E-Business Rechtliches

Schutz vor XING-Abmahnungen: So erstellen Sie ein Impressum

Alles fing im Februar dieses Jahres an, als der bei München tätige Rechtsanwalt Alessandro Fuschi mit einem „Textbaustein-Fax“ bedacht wurde. Die Abmahnung erging, weil sich ein Kollege aus Baden-Württemberg wettbewerbsrechtlich benachteiligt fühlt. Im direktem Wettbewerb stehen die beiden Anwälte aber nicht, sie wohnen über zwei Autostunden voneinander entfernt. Außerdem ist Fuschi lediglich Angestellter und unterhält somit keine eigene Rechtsanwaltskanzlei. Das Vergehen des angestellten Strafrechtlers? Er unterhielt auf seinem XING-Profil kein Impressum, was aber laut Telemediengesetz unter bestimmten Umständen zwingend erforderlich ist.

keyboard-286442_640

Der Frankfurter Allgemeinen Zeitung sagte der Absender der Schreiben, er habe angeblich „keine Abmahnwelle losgetreten“. Es habe lediglich gezielt einige wenige Kollegen getroffen. Angeschrieben wurden nur solche Anwälte, die sich selbst als Spezialisten des Bereichs Medienrecht bezeichnen. Der Abmahner vertritt die Ansicht, die Spezis dürften sich nicht über geltendes Recht hinwegsetzen und auf ihr Impressum verzichten. Die Angelegenheit wird übrigens innerhalb der nächsten Monate gleich mehrfach vor Gericht verhandelt.

Bis die ersten Urteile mit Signalwirkung ergehen, sollten alle Personen, die Dienstleistungen bei Business-Netzwerken anbieten, lieber auf Nummer sicher gehen. Auch Markus Brehm empfiehlt bei Anwalt.de bei noch ungeklärter Rechtslage dazu, aus Vorsorge bei LinkedIn, Xing & Co. ein Impressum zu installieren, zumal die Abmahnungen „offenbar lediglich der Generierung von Anwaltshonorar dienen“.

man-286477_640

Die Hamburger XING AG hingegen versucht in einem aktuellen Blogbeitrag die Befürchtungen ihrer Nutzer abzuwiegeln. Yee Wah Tsoi antwortete auf unsere Presseanfrage, es sei überhaupt noch nicht geklärt, ob ihre User ein Impressum anlegen müssten. Diese Einschätzung entnimmt man beispielsweise der Diskussion eines Blogbeitrages im Wall Street Journal. XING geht „nicht von einem generellen Problem aus“, welches die Nutzer abseits der Rechtsanwälte betreffen wird. Nichtsdestotrotz könne jedes Mitglied in der Desktopversion ganz leicht ein Impressum anlegen. Auf die Frage, seit wann es bei XING überhaupt ein Impressum gibt, wurde nicht geantwortet. Unklar ist zudem, warum das Impressum an einem derart unpopulären Ort untergebracht wurde. Würde man den Font noch etwas kleiner darstellen, so bedarf es spätestens einer Lupe, um den Link zum Impressum zu finden.

Video: Bei unzureichendem Impressum bei XING droht Abmahnung!

Rein geschäftlich genutzte Profile sind impressumspflichtig

Man könne und dürfe „als Unternehmen im Einzelfall keine Rechtsberatung leisten“ wurde uns entgegnet, als wir fragten, warum die Benutzer nicht in einer Rundmail über die Abmahngefahr aufgeklärt wurden. Medienanwalt Christian Solmecke von WBS LAW kann allerdings keinen Grund für eine Unterscheidung von Facebook und XING erkennen. Bei beiden Netzwerken könne das Profil frei gestaltet und darüber hinaus gepostet werden. Geschäftlich genutzte Profile bei Business-Netzwerken werden laut Somecke auch die Gerichte als Telemedien ansehen, womit sie impressumspflichtig sind. Von daher bedarf es nur eines Wettbewerbers in der näheren Umgebung und eines auftragsarmen Juristen, schon kann der Rubel rollen. Da beispielsweise Webdesigner und Online-Journalisten für Unternehmen in ganz Deutschland oder sogar weltweit tätig sind, dürfte sogar der regionale Bezug wegfallen.

Beendet die Bagatellklausel die leidigen Abmahnungen?

Nicht nur Christian Solmecke wartet gespannt auf die ersten Urteile. Interessant wird insbesondere die Klärung der Fragestellung, ob die gerügten Wettbewerbsverstöße unter die Bagatellklausel fallen. Greift ein Teil des Gesetzes gegen unseriöse Geschäftspraktiken, wäre es mangels hoher Kostennoten mit den neuen Abmahnungen schnell wieder vorbei.

Es scheint, der Abmahner aus Baden-Württemberg hat seine Opfer gezielt danach ausgesucht, ob sie durch besonders selbstbewusste oder gar vorlaute Aussagen auffallen. Der in Kornwestheim tätige Robenträger wurde folgerichtig von Alessandro Fuschi darauf hingewiesen, es gebe doch „sinnvollere Beschäftigungen, als nicht vorhandene Verstöße der Kollegen abzumahnen“.

Anleitung: Wie schütze ich mich vor Abmahnungen bei XING?

Den Schutz vor Abmahnungen kann man in wenigen Schritten realisieren. Zunächst loggen Sie sich bitte wie üblich mit Ihrem Usernamen und Passwort bei XING ein.

XING-Abmahnungen-Schritt1

Danach gehen Sie in der Hauptseite nach ganz oben links. Unter dem Logo wurde das eigene Profilbild angebracht. Darunter steht, ob man XING kostenlos (Basis) oder mit einem kostenpflichtigen Premium-Zugang benutzt. Klicken Sie auf Ihr eigenes Foto, um das Profil zu editieren.

XING-Abmahnungen-Schritt2

Ganz unten bei der Korrektur des Profils erscheint der Punkt „Persönliches“. So etwa das Geburtsdatum, der Geburtsname und die Anzahl der Profil-Besucher. Darunter steht rechts gut versteckt der Link „Impressum bearbeiten“. Wenn man darauf klickt, öffnet sich mittig ein kleines Fenster, wo alle Angaben zum XING-Impressum eingetragen werden können.

XING-Abmahnungen-Schritt3

Bei eRecht24 und auf anderen Portalen werden kostenlose Impressums Generatoren angeboten. Dort wird man nach allen notwendigen Angaben gefragt und erhält am Ende alle Angaben, die man per Copy & Paste ganz einfach bei XING oder bei anderen sozialen Netzwerken eintragen kann.

Screenshot-Impressumsgenerator-e-recht24.de

Sollte beim Business- oder sozialen Netzwerk Ihrer Wahl für das vollständige Impressum nicht genügend Platz vorhanden sein, verlinkt man stattdessen auf das Impressum der eigenen Firmenwebseite oder des eigenen Blogs. Besser man baut einen Hinweis zu viel ein, als eine Abmahnung eines Konkurrenten zu kassieren, der einen ärgern und Geld kosten will.

XING-Abmahnungen-Schritt4

Nur weil bislang ausschließlich Rechtsanwälte abgemahnt wurden, bedeutet leider nicht automatisch, dass dies auf ewig so bleiben wird! Auf der Suche nach dem schnell verdienten Euro könnten schon bald mehrere Trittbrettfahrer aufspringen.

So weise ich besonders prominent auf mein Impressum hin ;-)

Hinweis-für-Abmahner

(dpe)

Kategorien
E-Business Rechtliches

Urheberrechte verletzende Inhalte: Sind Provider zur Sperrung verpflichtet?

Im Internet gibt es zahlreiche Webseiten, die ausschließlich Links zu urheberrechtlich geschützten Inhalten wie Kinofilmen und Musik anbieten. Den Rechteinhabern sind solche Webseiten verständlicherweise ein Dorn im Auge. Aber können daher Anbieter von Internetzugängen wie die Deutsche Telekom AG juristisch gezwungen werden, den Zugang zu derartigen Angeboten zu sperren? Das Hanseatische Oberlandesgericht verneinte jüngst die Sperrpflicht in einem Rechtsstreit gegen die Deutsche Telekom AG. Das Urteil vom 21.11.2013 – Az.: 5 U 68/10 – ist noch nicht rechtskräftig

boy-214086_640

Ausgangspunkt für eine mögliche Haftung von Access-Providern wie der Deutschen Telekom AG (DTAG) ist die Überlegung, dass nicht nur Täter oder Teilnehmer einer Urheberrechtsverletzung haften, sondern unter Umständen auch sogenannte Störer, die in irgendeiner Weise ursächlich zur Urheberrechtsverletzung beitragen. Eine solche Störerhaftung der DTAG hat das OLG Hamburg im vorliegenden Fall jedoch letztlich verneint.

Sachverhalt

Im entschiedenen Fall ging es um die Website „3dl.am“, auf der u.a. Linksammlungen zu urheberrechtlich geschützten Musikfiles abrufbar waren. Die Website „3dl.am“ gab es allerdings bereits zum Zeitpunkt des Berufungsverfahrens vor dem OLG Hamburg nicht mehr, dafür zahlreiche zumindest ähnliche Seiten wie z.B. „3dl.tv“.

Die GEMA nahm die DTAG (Beklagte) auf Unterlassung in Anspruch und forderte sie auf, den Zugriff auf verschiedene Songtitel der Band Die Ärzte und von Bushido über die Website 3dl.am nicht länger zu ermöglichen. Die GEMA trug dazu vor, die Beklagte habe unter anderem die Möglichkeit, den Datenverkehr, der beim Abruf von Informationsangeboten im Internet durch Nutzer entstehe, anhand bestimmter Kriterien zu filtern. Durch Mustererkennung sei es einem Access-Provider wie der DTAG möglich, solche Unterseiten der Website „3dl.am“ zu identifizieren und ihre Übermittlung zu blockieren, die die auf die streitgegenständlichen Werke hinweisenden Suchbegriffe – Titel und Interpret – enthielten.

Die DTAG lehnte das Sperrungsverlangen jedoch ab.

Gerichtliche Entscheidung

Das OLG Hamburg bejahte zwar grundsätzlich die Anwendbarkeit der Störerhaftung auf Access-Provider nach deutschem und europäischem Recht, verneinte letztlich aber eine Haftung der DTAG aufgrund fehlender Zumutbarkeit der geforderten Maßnahmen (Sperrung). Denn im Rahmen der Zumutbarkeit sei insbesondere zu berücksichtigen, dass die Beklagte als Access-Provider lediglich die Infrastruktur zur Begehung rechtsverletzender Handlungen durch den eigentlichen Rechtsverletzer zur Verfügung stelle und ansonsten nicht zur Rechtsverletzung beitrage. Außerdem würde nach Ansicht des Gerichts die geforderte Sperrung bzw. Filterung unzulässig in die grundgesetzlich geschützte Telekommunikationsfreiheit (Art. 10 Abs. 1 GG) eingreifen. Vor diesem Hintergrund verneinte der Senat eine Verpflichtung der Beklagten zur Einrichtung von Filterungs- und Sperrmechanismen ohne gesetzliche Grundlage.

little-89159_1280

Bewertung

Die Argumentation des Gerichts überzeugt, da es Access-Provider ohne gesetzliche Grundlage an klaren Vorgaben zur Umsetzung von Sperrungs- bzw. Filterungsverlangen fehlt. Das Urteil steht jedoch teilweise im Widerspruch zu der kürzlich ergangenen Entscheidung des EuGH in der Rechtssache UPC Telekabel Wien GmbH gegen Constantin Film Verleih GmbH und Wega Filmproduktionsgesellschaft mbH (Entscheidung v. 27. März 2014, C-314/12).

Hier hatte der EuGH entschieden, dass es einem Anbieter von Internetzugangsdiensten (Access-Provider) aufgegeben werden kann, für seine Kunden den Zugang zu einer urheberrechtsverletzenden Website, im konkreten Fall „kino.to“, zu sperren. Der EuGH führte dabei unter anderem aus, es sei Sache des Access-Providers, die konkreten Maßnahmen zu bestimmen, die zur Erreichung des angestrebten Ziels zu treffen seien. Damit wird letztlich die Verantwortung auf den Provider abgewälzt, der unter Umständen Gefahr läuft, durch die gewählte Filterung bzw. Sperrung auch legale Angebote mitzusperren (sog. Overblocking, siehe hierzu auch Beitrag des Kollegen Stadler auf Legal Tribune Online).

Rechteinhaber dürften sich durch die EuGH-Entscheidung aufgefordert fühlen, Access-Provider wie die DTAG direkt in Anspruch zu nehmen. Es ist nicht auszuschließen, dass früher oder später auch deutsche Gerichte Access-Providern Sperrungs- bzw. Filterungsanordnungen auferlegen.


Der Autor:

JAN O. BAIER, LL.M. (UCT), Fachanwalt für Urheber- und Medienrecht

Jan O. Baier ist in der KanzleiSchürmann Wolschendorf Dreyer tätig und berät und vertritt nationale und internationale Mandanten umfassend im Urheber- und Medienrecht sowie im Wettbewerbs-, Marken- und IT-Recht. Von Herrn Baiers Beratungsschwerpunkten umfasst sind insbesondere die Bereiche Rundfunk-, Presse- und Äußerungsrecht, Datenschutzrecht, Domainrecht sowie das Recht der Neuen Medien.

Jan O. Baier ist Fachanwalt für Urheber- und Medienrecht, verfügt aufgrund seiner beruflichen Erfahrung über ausgezeichnete Kenntnisse der Medien- und Internetbranche und unterstützt Mandanten insbesondere bei der Entwicklung wirtschaftlicher Strategien und beim Aufbau innovativer Geschäftsmodelle. 

(dpe)

Kategorien
E-Business Rechtliches

Apples iBeacons: Unbegrenzte Möglichkeiten oder haufenweise rechtliche Fallstricke?

Mit dem Launch von iOS 7 hat Apple vor einigen Monaten „iBeacon“ eingeführt. Besonders Einzelhändler und Marketers interessieren sich für die neue Technologie, verspricht sie doch die Chance, Online-Shopper zurück in den stationären Einzelhandel zu bringen. Den Ideen für iBeacon-basierte Geschäftsmodelle und Apps sind nahezu keine Grenzen gesetzt. Doch wo liegen die rechtlichen Grenzen?

20131228103926!Beacons-ble-module

Technischer Hintergrund

Ein iBeacon ist ein kleiner Funksender, dessen einzige Funktion im permanenten Aussenden einer aus Zahlen und Buchstaben bestehenden ID besteht. Sobald sich ein iBeacon-kompatibles Endgerät in Reichweite des Funksignals befindet, empfängt es die ID und reicht es an eine auf dem Gerät installierte App weiter, die daraufhin eine bestimmte, von der ID abhängige Aktion ausführt. Dies setzt voraus, dass die App programmiert worden ist, um auf genau dieses Signal zu reagieren. Bei den ausgelösten Aktionen kann es sich beispielsweise um das Auslösen und Anzeigen einer bestimmten Push-Mitteilung oder um die Gutschrift von Prämien handeln. Ein iBeacon kann allerdings – wie ein Radiosender – nur senden, aber keine Informationen empfangen. Aus datenschutzrechtlicher Sicht sind iBeacons daher an sich unproblematisch –rechtliche Probleme bereiten kann aber, was eine App mit den iBeacon-Signalen macht.

Wettbewerbsrecht

 Die Frage, unter welchen Voraussetzungen zu Werbezwecken eine iBeacon-basierte Push-Mitteilung auf dem Endgerät des Nutzers angezeigt werden darf, ist noch nicht gerichtlich geklärt. Nach § 7 UWG ist Werbung verboten, wenn sie eine „unzumutbare Belästigung“ des Empfängers darstellt. Werbung per SMS, MMS und E-Mail, die ohne vorherige Einwilligung des Empfängers versendet wird, wird vom Gesetz automatisch als „unzumutbare Belästigung“ angesehen. Dies wird damit begründet, dass die auf diesen Kommunikationswegen übertragenen Nachrichten typischerweise auf dem Endgerät des Nutzers gespeichert werden und dadurch Speicherplatz verbrauchen. Push-Mitteilungen sind aber nur auf den ersten Blick mit diesen Kommunikationsmitteln vergleichbar. Typischerweise werden sie nämlich nicht auf dem Endgerät gespeichert, sind also „flüchtig“. Allerdings mutet das Speicherplatz-Argument heutzutage überholt an, und für das Ausmaß der Belästigung spielt es bei lebensnaher Betrachtung keine Rolle, ob diese nun per SMS oder als Push-Mitteilung empfangen wird. Bis die Gerichte diese Frage geklärt haben, ist es daher ratsam, auch vor dem Versand von Push-Mitteilungen die Einwilligung des Empfängers einzuholen. Wichtig ist dabei, dass dem Nutzer eine einfache Möglichkeit zum Widerruf seiner Einwilligung angeboten wird – idealerweise innerhalb der App. Je nach der Gestaltung der App kann es aber auch ausreichen, den Nutzer innerhalb der App eine Anleitung zur Verfügung zu stellen, die ihm leicht verständlich erklärt, wie er die Anzeige von Push-Nachrichten in den Systemeinstellungen seines Geräts ausschalten kann.

shield-105499_640

Eine weitere wettbewerbsrechtliche Herausforderung stellt die inhaltliche Gestaltung der Push-Mitteilungen dar. So ist unter anderem das Verbot der sogenannten unsachlichen Beeinflussung von Verbrauchern zu beachten. Eine solche kann eintreten, wenn der Nutzer bei einer Kaufentscheidung einem besonderenZeitdruck unterworfen wird, ihm also beispielsweise per Push-Nachricht mitgeteilt wird, dass er nur dann in den Genuss eines besonderen Angebots kommt, wenn er es in den nächsten 10 Minuten annimmt. Wichtig ist auch das Verbot des irreführenden Verschweigens von wesentlichen Informationen sowie – wenn mit Preisangaben geworben wird – die Beachtung der Vorgaben der Preisangabeverordnung (PAngV). Da es sich bei Push-Mitteilungen um Telemediendienste handelt, müssen außerdem die Werbevorschriften des Telemediengesetzes beachtet werden. Diese verlangen unter anderem, dass Push-Werbebotschaften klar als Werbung zu erkennen sind und dass aus ihnen hervorgeht, wer Auftraggeber der Werbung ist. Noch schwieriger wird es, wenn die Push-Mitteilungen Werbung in Gestalt von Rabattgutscheinen, Prämien oder Gutscheinen enthalten. Dann müssen nämlich zugleich die Angebotsbedingungen auf klare und verständliche Weise zugänglich gemacht werden.

 Die Einhaltung dieser Vorschriften kann sich angesichts der kleinen Smartphone-Bildschirme als ziemlich kniffelig darstellen.

 Datenschutzrecht

 Die zweite Herausforderung für das iBeacon-basierte Marketing birgt das Datenschutzrecht. Es geht zum einen um die Frage, ob und ggf. wie eine Einwilligung des Nutzers eingeholt werden muss. Zum anderen ist zu klären, ob die Datenschutzerklärung der App angepasst werden muss.

 iBeacons können den Standort eines Nutzers nicht ermitteln. Insoweit unterscheidet sich die Technik von der Standortermittlung per GPS. Die per GPS ermittelten Standortdaten (Längen- und Breitengrade) sind aus sich heraus verständlich. Die Standortermittlung per iBeacon ist aber eher mit der Wi-Fi-Methode zu vergleichen. Sowohl bei der iBeacon- als auch bei der Wi-Fi-Methode werden die von den Funksendern (also den iBeacons bzw. WLAN-Zugangsstationen) ausgesendeten IDs mit einer Datenbank abgeglichen. In dieser Datenbank sind die zu den jeweiligen IDs gehörigen Standorte hinterlegt. Mittels der iBeacon-Technologie kann der Standort daher auch dann von einer App ermittelt werden, wenn der Nutzer die Ortungsfunktion für diese App in den iOS-Systemeinstellungen deaktiviert hat. Bei der Entwicklung der App ist daher unbedingt darauf zu achten, dass eine (versehentliche) Verarbeitung von Standorten über Umwege ausgeschlossen wird.

secret-205648_640

Aus Sicht der deutschen und europäischen Datenschutzbehörden dürfen Geodaten in der meisten Fällen nur mit vorheriger, ausdrücklicher Einwilligung des Nutzers erhoben und verarbeitet werden. Die Einwilligung muss freiwillig erfolgen und soll jederzeit „aus der Nutzungssituation heraus“ widerrufen werden können. Außerdem soll die Einwilligung nach einiger Zeit erneuert werden. Zumindest sollten daher Apps, die mit Standortdaten umgehen, entweder eine Opt-out-Möglichkeit innerhalb der App anbieten, oder aber es sollte – sofern die betriebssystemseitigen Opt-out-Möglichkeit benutzt werden – detailliert und verständlich (idealerweise bebildert) beschrieben werden, wie und wo der Nutzer die entsprechenden Einstellungen vornehmen kann.

Fazit

Die iBeacon-Technik hat großes Potenzial. Damit einem die rechtlichen Anforderungen keinen Strich durch die Rechnung machen, sollten diese schon in der Planungsphase der App beachtet und im Pflichtenheft festgeschrieben werden. Hierzu ist – wegen der derzeit noch unklaren Rechtslage – neben einer guten juristischen auch eine gute technische Kenntnis erforderlich. Mit dieser lassen sich dann aber auch die meisten App-Konzepte und Geschäftsmodelle ausreichend rechtskonform und zukunftssicher umsetzen. Ganz ohne eine gewisse Risikobereitschaft bei allen Beteiligten geht es zur Zeit aber noch nicht.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Kategorien
E-Business Rechtliches

Gericht bestätigt: Internetportale müssen digitale Kündigung zulassen

In einer für Internetportale aufschlussreichen Entscheidung hat das LG München festgestellt, dass die Anforderungen an eine Kündigung des Nutzungsvertrages des Portals nicht zu hoch sein dürfen. Insbesondere das Erfordernis einer schriftlichen Kündigung (per Brief oder Fax) mit Pflichtangaben sei nicht zulässig. Allgemeine Geschäftsbedingungen (AGB), die ein solches Schriftformerfordernis aufstellen, seien unwirksam. Kunden und Nutzer dürfen vielmehr auch in digitaler Form, also per E-Mail kündigen.

Gerechtigkeit

Der Sachverhalt

In dem besagten Fall vor dem LG München verwendete ein Online-Dating-Portal folgende Klausel in den AGB:

„Die Kündigung bedarf zu ihrer Wirksamkeit der Schriftform. Die elektronische Form ist ausgeschlossen. Die Übersendung per Fax genügt. Die Kündigung muss Benutzername, Kundennummer, Transaktions- bzw. Vorgangsnummer enthalten.“

Eine Anmeldung bzw. Registrierung auf dem Portal war demgegenüber für jeden Nutzer ganz einfach online möglich. Zum Vertragsschluss kam es somit elektronisch. Gegen die Verwendung dieser Klausel klagte erfolgreich die Verbraucherzentrale Bundesverband e.V (vzbv).

Rechtliche Bewertung des LG München: Wer den Vertragsschluss digital anbietet, muss so auch die Kündigung akzeptieren

Das LG München sah in dem Schriftformerfordernis eine unangemessene Benachteiligung für den Nutzer. Wer seinen Nutzern einen elektronischen Vertragsschluss anbiete, müsse auch eine entsprechende Kündigung akzeptieren. Eine Kündigung per E-Mail sei somit zulässig und die Klausel in den AGB unwirksam.

Des Weiteren stufte das LG München die Pflichtangaben als eine unangemessene Benachteiligung gemäß § 309 Nr. 13 BGB ein. Der Nutzer verstehe die Klausel insoweit, dass die Angabe bestimmter Daten für die Wirksamkeit der Kündigung erforderlich sei. Auf diese Weise werde eine Kündigung unverhältnismäßig erschwert, was nicht zulässig sei.

Fazit

Das Urteil ist bislang noch nicht rechtskräftig, es verfestigt sich jedoch weiterhin eine verbraucherfreundliche Rechtsprechung. In vielen AGB von Internetportalen lassen sich dessen ungeachtet noch immer besondere Schriftformerfordernisse oder die Pflicht zur Angabe bestimmter Daten bzgl. der Kündigung finden. Es muss insofern empfohlen werden, die eigenen AGB zu überprüfen und diese ggf. entsprechend der Vorgaben des LG München anzupassen.

Verbraucherverbände klagen regelmäßig gegen solche Rechtsverstöße in AGB und diese Verfahren werden öffentlich. Auf diese Weise kann ein erheblicher Imageschaden drohen. Eine Anpassung der AGB ist somit nicht nur im Sinne der Verbraucher, sondern auch für die Betreiber der Internetportale von besonderer Bedeutung.  

Weiterführende Links

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Kategorien
E-Business Rechtliches

AGB für Webworker: Kleingedrucktes ganz groß

Die allgemeinen Geschäftsbedingungen (kurz AGB) stellen viele Unternehmer vor schwierige Fragen: Brauche ich welche? Wenn ja, warum? Was muss dort stehen? Was darf nicht darin stehen? Wo erhalte ich rechtssichere AGB? Um Ihnen die Entscheidung abzunehmen, ob Sie weiter lesen sollen oder nicht, verrate ich Ihnen schon jetzt: Mit sehr großer Wahrscheinlichkeit brauchen Sie AGB! UND: Ab Juni 2014 gilt eine neue EU-Verbraucherrechterichtlinie!

Was sind allgemeine Geschäftsbedingungen?

Symbolbild Kleingedrucktes - AGB

Allgemeine Geschäftsbedingungen werden umgangssprachlich oft auch als das „Kleingedruckte“ bezeichnet. Es handelt sich dabei um vorformulierte Vertragsbedingungen für den Massengebrauch. Diese erleichtern für Unternehmer den Geschäftsverkehr, weil sie eine einheitliche und detaillierte Regelung der Rechtsbeziehung zwischen Käufer und Verkäufer schaffen.

Merkmal der AGB ist, dass sie vom Verkäufer einseitig festgelegt werden und nicht zwischen Käufer und Verkäufer einzeln ausgehandelt werden. Allerdings gilt: Wird ein Punkt im Angebot einzeln ausverhandelt, dem im Kleingedruckten widersprochen wird, so hat die individuelle Vereinbarung stets Vorrang.

Die Kaufrealität im Internet zeigt, dass es Unterschiede zwischen Käufern und Käufern geben muss. Oder haben Sie schon einmal in einem Webshop wie Amazon individuell Punkte ausverhandelt? Diese Unterschiede gibt es auch per Gesetz: Und zwar wird unterschieden zwischen einem B2B-Geschäft (= von Unternehmer zu Unternehmer) und einem Geschäft zwischen Unternehmer und Endverbraucher.

Natürlich schafft ein „Riese“ wie Amazon jetzt nicht unbedingt andere Geschäftsbedingungen für den kleinen freiberuflichen Webworker (z. B.: Webdesigner, SEO etc.), aber für Angebote des Webworkers an einen anderen Unternehmer können die individuellen Vereinbarungen viel verändern.

Generell gilt daher: Für Geschäfte mit dem privaten Endverbraucher greifen strengere Schutzbestimmungen, im B2B-Bereich kann man relativ frei verhandeln.

Sind AGB ein Muss?

Gerechtigkeit

De jure ist diese Frage leicht zu beantworten: Nein! Es gibt keine gesetzliche Pflicht zur Einführung von allgemeinen Geschäftsbedingungen. In Deutschland werden die AGB durch das Bürgerliche Gesetzbuch (BGB) in den §305-310 geregelt (früher AGB-Gesetz). In Österreich kommt vor allem das Konsumentenschutzgesetz zur Anwendung (KSchG), das mit zwingenden Sonderregelungen die Endverbraucher schützt. Diese gesetzlichen Bestimmungen würden, wenn AGB fehlen, die Geschäftsbeziehungen rechtlich regeln.

De facto sieht die Lage vor allem im Internet anders aus: Wer beispielsweise einen Webshop betreibt, fällt unter die Fernabsatz-Bestimmungen. Die gesetzlich vorgeschriebenen Informations- und Belehrungspflichten sind von so großer Anzahl, dass diese kaum ohne AGB umgesetzt werden können. D.h.: Wer im Internet verkauft, kommt um das Kleingedruckte nicht herum.

Doch abgesehen von den Belehrungspflichten gibt es noch weitere gute Gründe, die Unternehmer überzeugen sollten, nicht auf AGB zu verzichten. Beispiele: Wenn für den gewünschten Vertragstyp eine gesetzliche Regelung gar nicht vorhanden ist oder diese wegen neuer (wirtschaftlicher) Gegebenheiten nicht mehr passend ist. Oder wenn die gesetzlichen Regelungen nicht konkret genug ausformuliert sind. Dank AGB kann unter anderem aus einer „angemessenen Frist“ im Gesetzestext, eine konkrete Zeitangabe werden.

Zudem haben Unternehmer nur mit AGB die Chance, Bedingungen im Rahmen der Gesetzmäßigkeiten zu Ihren Gunsten einzuführen. Andernfalls gelten immer die gesetzlichen Regelungen, die vor allem darauf bedacht sind, den Käufer zu schützen.

Wann gelten meine AGB?

Dem Kleingedruckten auch Geltung zu verschaffen ist von elementarer Wichtigkeit. Denn: Nur weil man AGB ausformuliert hat und auch auf seiner Website abrufbar macht, gelten diese nicht automatisch. Damit sie wirklich wirksam werden, müssen sie ausdrücklich in den Vertrag aufgenommen werden.

Hierbei kommt wieder der Unterschied zwischen B2B-Geschäften und Endverbraucher-Geschäften zum Tragen: Verkauft beispielsweise der freiberufliche Seo seine Dienstleistung an einen anderen Unternehmer, reicht es aus, wenn der Käufer die Einbeziehungsabsicht vor Vertragsabschluss erkennen kann. Widerspricht er den AGB nicht, so gelten sie. In der Praxis ist allerdings ein ausdrücklicher Hinweis, dass man die AGB verwenden will, empfehlenswert. So kann man rechtssicher von der Geltung ausgehen. Zudem müssen die Geschäftsbedingungen jederzeit speicher- und abrufbar zur Verfügung gestellt werden. Es ist wichtig, dass der Vertragspartner sie jederzeit einsehen kann.

Handelt es sich um ein Geschäft mit einem privaten Verbraucher, so gelten weit strengere Vorschriften: Will man beispielsweise in einem Webshop Produkt X verkaufen, reicht es nicht aus, irgendwo auf der Seite auf die AGB hinzuweisen. Der Shopbetreiber muss vor Abschluss des Bestellvorgangs darauf hinweisen, dass die Geschäftsbedingungen einbezogen werden.

Technisch kann dies so umgesetzt werden, dass der Bestellvorgang nur abgeschlossen werden kann, wenn die AGB ausdrücklich vom Käufer akzeptiert wurden (z. B.: durch Bestätigung mit Häkchen). Für besonders umfangreiche Bedingungen gilt: Der Kaufinteressent sollte die AGB auch herunterladen und (kostenlos) kopieren können.

Zudem muss der Shopbetreiber in diesem Beispiel dem Käufer die AGB zumutbar aufbereiten. Das heißt: Sie dürfen z. B. nicht in ganz kleinen Scroll-Boxen umständlich zu lesen sein, sondern müssen übersichtlich gestaltet sein. Ebenso dürfen die Klauseln nicht so formuliert werden, dass der Käufer einen Anwalt kontaktieren muss, um sie zu „übersetzen“. Sie sollten also möglichst leicht verständlich sein.

Achtung bei Geschäften im Ausland: Die AGB müssen in der Verhandlungssprache oder in einer Weltsprache (Englisch, Französisch) verfasst sein. Und: Wenn Sie ins Ausland verkaufen, müssen Sie sich vor allem bei Geschäften mit privaten Endverbrauchern im Normalfall an die gesetzlichen Bestimmungen in dessen Land halten. Hier kann es auch innerhalb der EU zu unterschiedlichen Regelungen kommen.

Die häufigsten Klauseln AGB und deren Grenzen

Welche Klauseln Sie in Ihren AGB brauchen, hängt stark von Ihrer Branche und Ihren Produkten ab. Häufig verwendete Klauseln betreffen:

  • Ausschluss von Schadenersatzansprüchen
  • Ausschluss von Gewährleistungsansprüchen
  • Nutzungsrechte
  • Zahlungsbedingungen
  • Aufrechnungsverbote
  • Rechtswahl (z. B.: es gilt deutsches Recht)
  • Gerichtstandklausel
  • Leistungs- bzw. Erfüllungsort
  • Transportrisiko und Transportkosten
  • Lieferfristen
  • Vertragsstrafen etc.

Die Grenzen des gesetzlich Möglichen bei AGB sind immer dann erreicht, wenn Sie Ihren Vertragspartner in Ihren Bedingungen unangemessen benachteiligen. Solche Klauseln, die Rechtsvorschriften ändern oder ergänzen, unterliegen in Deutschland einer Inhaltskontrolle und sind unwirksam. Die Maßstäbe setzen dabei bei privaten Verbrauchern die Paragrafen 305 ff. des BGB. Diese enthalten unter anderem Kataloge von verbotenen Klauseln. In Österreich bestimmt bei privaten Endkunden das KSchG, welche Klauseln von vornherein nicht wirksam sind.

Ebenfalls nicht wirksam sind sogenannte überraschende Klauseln. Dabei handelt es sich um Bedingungen, die absolut nicht branchenüblich sind. Zudem werden unklar oder mehrdeutig formulierte Klauseln im Zweifel immer zu Lasten des Verwenders der AGB ausgelegt. Schließlich hatte dieser die Möglichkeit sich klarer auszudrücken.

Auch bei der Frage, welche Klauseln erlaubt sind und welche unwirksam, macht es einen Unterschied, ob es sich um ein B2B-Geschäft handelt oder ob man an einen privaten Endverbraucher verkauft. Unternehmer genießen gegenüber anderen Unternehmern weniger gesetzlichen Schutz. D.h.: In Deutschland finden einige Vorschriften der § 305 ff. BGB im B2B-Bereich keine Anwendung, in Österreich jene des KSchG. Sollten beide Vertragspartner ihre AGB zum Vertragsgegenstand machen wollen und sich in den AGB widersprechende Klauseln finden, so gilt im Zweifel die gesetzliche Regelung.

Egal, ob B2B oder Geschäfte mit dem Privatkunden: Ist eine Klausel unwirksam, hat dies jedoch keine Auswirkung auf die anderen Bestandteile der AGB. Diese bleiben nach wie vor Vertragsbestandteil, wenn sie vorab entsprechend eingebunden wurden. Ein Hinweis auf die AGB nach Verkaufsabschluss (z. B.: auf der Rechnung) ist ungültig.

Wo erhalte ich rechtssichere AGB für Webworker?

agb-finden

Auf der Suche nach den AGB kommt so mancher Unternehmer auf die Idee, die Bedingungen einfach via Copy & Paste von der Website der Konkurrenz abzukupfern. Das sollten und dürfen Sie allerdings nicht tun! Einerseits besteht keine Sicherheit, dass diese AGB für die Branche von einem Experten geprüft und rechtssicher sind, andererseits begehen Sie damit eine Urheberrechtsverletzung gegenüber dem Verfasser (1. Abmahngefahr) und auch der Betreiber der Website kann wettbewerbsrechtliche Ansprüche (2. Abmahngefahr) gegen Sie geltend machen.

Die einfachste aber wahrscheinlich nicht die günstigste Variante ist jene, einfach einen Rechtsanwalt aufzusuchen und diesen Ihre AGB aufsetzen zu lassen. Die Kosten hängen von der nötigen Arbeitszeit, der Kompliziertheit und den Risiken Ihres Geschäftsmodell ab. Im Schnitt dürfte eine solche AGB-Erstellung zwischen 800 Euro und 1400 Euro kosten. Dafür muss der Anwalt aber dann auch für die AGB haften.

Sie können Ihre AGB natürlich auch Anhand einiger Muster selbst erstellen. Auf der Website der Handelskammer Frankfurt finden Sie Links zu Mustern aus vielen Branchen. Die Wirtschaftskammer in Österreich geht sogar noch einen Schritt weiter: Sie stellt allen Mitgliedern Muster-AGB für die entsprechenden Branchen zur Verfügung.

Die Vorgehensweise der österreichischen Kammer zeigt auch gleich, was essentiell am Einsatz eines Musters ist: AGB aus fremden Branchen machen keinen Sinn. Die AGB müssen auf Ihr Tätigkeitsfeld, Ihren Kundenkreis und branchenspezifische Gefahren zugeschnitten sein. Zudem empfehlen sowohl die deutsche als auch die österreichische Kammer nachdrücklich, durch Sie selbst angepasste Muster stets von einem Anwalt prüfen zu lassen. So haben Sie eine preisgünstige Variante (da Sie die AGB ja selbst erstellt haben) und genießen die Sicherheit und Haftung durch die Überprüfung eines Rechtsexperten.

Falls Sie auf ein AGB-Muster setzen wollen, gehen Sie dabei mit folgenden Überlegungen heran:

1. Wie risikoreich ist Ihr Angebot? Produzieren und verkaufen Sie beispielsweise neue Tabletten gegen Glatzenbildung, ist das so speziell und für die Gesundheit Ihrer Kunden auch noch so gefährlich, dass Sie auf keinen Fall auf Muster zurückgreifen sollten. Auch nicht, um Sie später einem Anwalt zur Durchsicht zu geben. Wahrscheinlich ist es für Sie sogar günstiger, wenn er von Anfang an alles selbst macht, als wenn er erst Ihre Fehler korrigieren und dann die Lücken finden und stopfen muss.

2. Sind Sie ein klassischer Anbieter in Ihrer Branche? Ihr Tätigkeitsfeld ist für Ihre Branche ganz typisch? Ihr Portfolio an Angeboten umfasst das Gleiche, wie die das der meisten Konkurrenten Ihrer Branche? Dann eignet sich vermutlich ein Muster, das Sie gut durchdacht einem Anwalt zur Überprüfung vorlegen. Sie müssen nur überlegen, ob es sich für Sie lohnt, das selbst zu tun. Wieviel Zeit haben Sie investiert? Wie steht diese Zeit im Verhältnis zu den Anwaltskosten.

Im Netz kursieren einige AGB-Generatoren und Muster. Viele der Anbieter bieten die Überprüfung durch Ihren Anwalt gleich dazu an – teils gegen Preise von deutlich unter 100 Euro. Der Haken steckt hier unter Umständen im Detail: Oft wird nur eine Checkliste versprochen, welche die Fehler auflistet. Eine korrigierte und einsetzbare Fassung Ihrer AGB ist nicht enthalten. Ob Sie damit oder mit einem Anwaltsbesuch günstiger fahren, hängt von Ihrem Geschick ab. Tipp: Sprechen Sie die Kosten mit einem Anwalt und die darin enthaltenen Leistungen im Vorhinein genau ab. So gibt es keine Überraschungen.

Neue Bestimmungen ab Juni 2014

Durch eine Richtlinie treten EU-weit bis spätestens 14. Juni 2014 neue Verbraucherrechte in Kraft. So auch in Deutschland und Österreich. Die Änderungen betreffen im Wesentlichen folgende Punkte:

  • Neue, grundlegende Informationspflichten
  • Häkchen dürfen beim Bestellvorgang nicht schon gesetzt sein (z. B. Stornoversicherung)
  • Widerrufsrecht
  • Gefahrtragungsregeln beim Versendungskauf
  • Kostentragungsregeln (z. B.: bei Widerruf)
  • Kostenfallen (Pflichtangaben beim Bestell-Button)

Informieren Sie sich rechtzeitig, ob Sie aufgrund der neuen Bestimmungen etwas ändern müssen. Details zum neuen deutschen Gesetz finden sie auf der Website des Justizministeriums und für Österreich auf der Website der Wirtschaftskammer (Links anbei).

Links zum Beitrag

Neue Bestimmungen ab 13.6.2014 (Deutsches Recht)

Übersicht Musterverträge der IHK Frankfurt am Main

Allgemeine Infos zu AGB der IHK Frankfurt am Main

Bürgerliches Gesetzbuch Deutschland (§ 305 ff.)

Allgemeine Infos zu AGB der Wirtschaftskammer Österreich

Neue Bestimmungen ab 13.6.2014 (Infos der WK Österreich)

Konsumentenschutzgesetz Österreich

Kategorien
E-Business Rechtliches

Datenschutzrückblick 2013: Von Pfeifen und anderen Katastrophen

Das Jahr 2013 stand ohne Zweifel im Zeichen des Whistleblowers Edward Snowden. Snowden zeigte der Welt, dass es Datenstaubsauger gibt, die im Zweifelsfall auch illegale Methoden anwenden, um weltweit an alle verfügbaren Informationen zu gelangen. Limitiert werden NSA & Co. derzeit nur von den unglaublichen Datenmassen, die wahrscheinlich noch nicht komplett in Echtzeit analysiert oder länger als für ein paar Tage gespeichert werden können. Es geht bei diesem Datenschutzrückblick allerdings nicht nur um die Tätigkeit der Geheimdienste. Neben den behördlichen Staubsaugern gab es auch letztes Jahr wieder unvorsichtige Unternehmen, die zu regelrechten Datenschleudern mutiert sind. Wir fassen in unserem Rückblick die peinlichsten Pannen des Jahres 2013 zusammen. Wenn ein „Tiefschlag“ fehlen sollte, bitten wir um Rücksicht und darum, das fehlende Event unbedingt in den Kommentaren zu verewigen.

800px-NSOC-2012-w640

Wer unseren letzten Datenschutzrückblick gelesen hat, der weiß, dass Datenschutz vieles sein kann. Nicht den Vornamen der Ehefrau als Passwort zu verwenden gehört genauso dazu, wie die Reduzierung der eigenen im Web gestreuten persönlichen Angaben. Nicht nur Privatpersonen, auch Unternehmen können sehr effektiv für mehr Schutz sorgen. Das gilt gleichermaßen für die Daten ihrer Kunden, als auch die ihrer Mitarbeiter. Es ist auffällig, dass die meisten Journalisten trotz der immer neuen Enthüllungen von Snowden bis heute keine E-Mails verschlüsseln. Truecrypt für verschlüsselte Container oder ganze Festplatten ist einfach zu bedienen. OpenPGP für einen E-Mail-Client einzurichten ist hingegen zeitaufwendig. Wer mit dem Smartphone oder Tablet-PC unterwegs ist, für den ist die Verschlüsselung sehr hinderlich bei der Kommunikation per E-Mail.

Wahrscheinlich liegt es auch daran, weil man Überwachung nicht riechen, hören, schmecken oder fühlen kann. Wenn uns Behörden und Geheimdienste tagtäglich bespitzeln, so passiert dies komplett im Verborgenen. Sie vollziehen ihre Arbeit höchst effektiv aber absolut geräuschlos. Bis auf die stetigen Warnrufe einiger weinger IT Spezialisten bekommt man davon nichts mit. Leider werden schlechte Nachrichten durch ständige Wiederholung nicht besser. Haben wir uns vielleicht schon ein wenig an die vielen Desaster und die ständige Bespitzelung gewöhnt? Sind wir weniger daran interessiert, weil wir uns nichts zuschulden kommen lassen und glauben, man könne uns ruhig im Web zusehen? Oder ist der Grund vielmehr darin verborgen, weil es zur E-Mail-Verschlüsselung noch immer keine massentaugliche Lösung gibt?

Verwaltung benutzt Toilette als Zwischenlager für Akten

Wie man an diesem Fall sieht, beschränkt sich Datenschutz nicht nur auf Informationen in digitaler Form. Als Mitte Januar ein Abgeordneter des Göttinger Rathauses auf die Toilette ging, staunte er nicht schlecht. Ein Verwaltungsmitarbeiter hatte einen Karton mit 2.000 Blättern auf der Toilette deponiert oder sogar vergessen. Nach offiziellen Angaben wurden die sensiblen Informationen dort nur zwischengelagert, bevor sie vernichtet werden sollten. In der Datentoilette wurden so „einigermaßen aktuelle“ ärztliche Befunde, Betreuungsvereinbarungen, Kostenerstattungen psychosozialer Behandlungen, Hartz IV-Bescheinigungen und vieles mehr aufbewahrt. Als Reaktion tauchte der zuständige Fachbereichsleiter im Fraktionsbüro des Finders auf, um die Herausgabe der Unterlagen zu verlangen. In der Stellungnahme hieß es, die Gesetzgebung werde von den Mitarbeitern vollumfänglich beachtet. Das Ganze sei auch nicht so schlimm, weil es keine öffentliche Toilette war. Da der Abgeordnete der Schweigepflicht unterliegt, liege folglich gar kein Datenverlust vor. Schade auch! Das klingt nicht gerade so, als wenn die Göttinger Stadtverwaltung etwas aus diesem Vorfall gelernt hätte.

Aldi Süd: Detektiv sollte Mitarbeiter ausspionieren

Ebenfalls im Januar wurde ein erneuter Skandal bei Aldi Süd bekannt. Nach Angaben des Nachrichtenmagazins Der Spiegel wurden Detektive gezielt darauf angesetzt mit versteckten Kameras eigene Mitarbeiter zu überwachen und Auffälligkeiten zu melden. Auch in den Umkleidekabinen sollten zu diesem Zweck Miniaturkameras installiert werden. So sollte geklärt werden, ob es finanzielle Engpässe bei Beschäftigten gab, und ob es zu privaten Beziehungen zwischen den Mitarbeitern kam. Als sich der freiberuflich tätige Detektiv weigern wollte, wurde ihm von einem Manager der Konzernzentrale ein Aus aller Aufträge angedroht. Spionagevorwürfe der eigenen Belegschaft wurden bereits im Frühjahr 2008 laut. Die Konzernleitung von Aldi hatte diese stets zurückgewiesen.

Als Reaktion sollte eigentlich das Beschäftigtendatenschutzgesetz modernisiert werden. Ende Januar nahm die Koalition den Entwurf kurzfristig wieder von der Tagesordnung. Diverse Gewerkschaften hatten im Vorfeld vor dem Entwurf gewarnt. Auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar kritisierte öffentlich die geplante Lockerung der Videoüberwachung und der Datenerhebung im betrieblichen Bewerbungsverfahren. Das zeigte in mehrfacher Weise Wirkung. Gleich zu Anfang der Großen Koalition wurde Schaar abgesetzt. Da seine Nachfolgerin als weniger skeptisch gilt, sind von der CDU-Politikerin deutlich weniger kritische Zwischentöne zu erwarten.

Google zahlt Strafe aus der Portokasse

In den USA wurde im März 2013 das Verfahren gegen Google beendet. Dem Unternehmen wurde vorgeworfen, bei den Aufnahmen für den Dienst Street View auch unzählige Daten aus WLAN-Netzwerken mitgeschnitten zu haben. Neben den MAC-Adressen, SSIDs und URLs wurden auch unzählige Passwörter im Jahr 2010 gespeichert und langfristig aufbewahrt. Gegen Zahlung von umgerechnet 7 Millionen Euro war Google aus der Sache raus. Verglichen mit einem Jahresgewinn von 13,4 Milliarden Dollar im Jahr 2012, war die auferlegte Strafe ehedem kaum der Rede wert. In Deutschland wurde ein vergleichbares Verfahren gleich komplett eingestellt. Das Unternehmen konnte hierzulande nachweisen, dass die gespeicherten Daten zu keinen fremden Zwecken benutzt und gelöscht wurden.

FDP-Plattform Opfer von Hackerangriffen

Im April 2013 attackierten Mitglieder von Anonymous mit Erfolg das liberale Portal „meine-freiheit.de“ und veröffentlichten unter anderem die Zugangsdaten von prominenten FDP-Politikern im Netz. Da viele Menschen ihre Passwörter mehr als einmal verwenden, könnte es durch die Bekanntgabe der Logindaten von 37.000 Betroffenen zu Folgeschäden gekommen sein. Die verschlüsselten Passwörter seien leicht zu knacken, gab Anonymous Deutschland bekannt. Man gelangte in das interne Netzwerk durch schwache Passwörter von Administratoren und die Verknüpfung einiger Accounts mit mehreren Social-Media-Diensten. Die liberale Plattform wirbt dafür, dass man sich dort auch über diverse verknüpfte soziale Netzwerke einloggen kann. Für die Nutzer mag dies bequem sein. Für Angreifer macht es die Angelegenheit leichter, wenn sie über ein fremdes Portal Zugriff auf interne Bereiche erlangen können. Man sieht wieder: Jede Bequemlichkeit hat ihren Preis.

IMG_4923-1300x866-w640

Webhoster Hetzner: Kundendaten und Zahlungsinformationen erbeutet

Im Juni 2013 teilte der Webhoster Hetzner mit, dass es Cyberkriminellen gelang, über die Verwaltungsoberfläche „Robot“ in die Server des Anbieters einzudringen. Sie konnten dabei auf alle hinterlegten Kundendaten, Zahlungs- und Kreditkarteninformationen zugreifen. Die eingespielte Schadsoftware (Rootkit) führte dazu, dass eine Aufdeckung des virtuellen Einbruchs erschwert wurde. Obwohl die Passwörter der Nutzer verschlüsselt waren, wurden alle Kunden zur Eingabe neuer Passwörter aufgefordert. Auch die Kreditkarteninformationen sollen nach Firmenangeben unvollständig sein. Zweifel hat Hetzner aber noch, ob die Details der Lastschriftverfahren nicht mit ebenfalls heruntergeladenen Kryptoschlüsseln entschlüsselt werden konnten. Wie sich die Cyberkriminellen Zugriff verschafft haben, um ihr neuartiges Rootkit einzuspielen, das von keinem Detektoren erkannt wurde, ist nicht bekannt.

Xbox One & Google Glass: Neue Sammelstellen für Daten lassen aufhorchen

Die neue Spielkonsolengeneration der Xbox wurde von Microsoft erstmals im Mai vorgestellt. Pünktlich zum Weihnachtsgeschäft kam die Xbox One dann auch in Europa auf den Markt. Die neue Kamera ist neben der Steuerung dazu in der Lage, zahlreiche Informationen von ihren Nutzern einzusammeln. Nicht nur, dass die neue Kinect den Nutzer erkennen kann. Sie kann auch sehen, ob der Anwender traurig, fröhlich oder neutral gestimmt ist. Das Gerät kann sogar den Puls messen, weil die Blutzirkulation im Gesicht erfasst wird. Da das Entertainment-Gerät rund um die Uhr online ist, könnte Microsoft zu Marktforschungszwecken auswerten, wie Werbespots bei den Zuschauern ankommen. Auch könnte getestet werden, wie man sie optimieren könnte. Geht die Mehrheit der Anwender auch beim neuen Fernsehspot auf die Toilette? Bei welchen Gags lachen die meisten Zuschauer? Wobei werden die positivsten Reaktionen hervorgerufen?

glass
Glass, Bildquelle: Google

Google Glass ist noch lange nicht marktreif, befindet sich aber seit vielen Monaten in der Erprobung. Die Datenbrille überträgt nicht nur Informationen zum Wohl des Trägers aus dem Internet. Sie kann auch einzelne Bilder oder Videos samt Ton ins Web übertragen. Im Gegensatz zu einem Smartphone können die Aufnahmen völlig unbemerkt erfolgen. Da Google auch sonst vor keiner Nutzung von Daten zurückschreckt, hagelte es überall auf der Welt Proteste. In der Datenschutzerklärung behält sich das Unternehmen schon jetzt vor, dass man die Daten aus unterschiedlichen Diensten zu einem Nutzerprofil zusammenführen will. Soll heißen: Wer das Gerät benutzt, verliert die Kontrolle über die Verwendung aller aufgezeichneten Informationen. Davon sind auch die Personen betroffen, die zufällig oder ungewollt aufgenommen wurden. Derzeit wird aber noch von erheblichen Akkuproblemen berichtet, weil sowohl die GPS-Ortung als auch die Internetverbindung sehr viel Strom verbraucht. Möglicherweise kommen die ersten serienreifen Geräte erst im Jahr 2015 auf den Markt.

LinkedIn: Bücher und Gemälde aus geklauten Passwörtern

Wer sich hierzulande mit anderen Geschäftsleuten vernetzten will, nutzt dafür zumeist Xing. In anderen Nationen wird dafür das Portal linkedin.com bevorzugt eingesetzt. Im Mai tauchten in einem einschlägigen russischen Hackerforum über 6 Millionen Passwörter in verschlüsselter Form auf. Schon 24 Stunden später wurde über Twitter gemeldet, man habe die Hälfte der Hashes entschlüsselt, der Rest folgte kurze Zeit später. Der deutsche Künstler Aram Batholdi machte aus der Not eine Tugend. Er veröffentlichte alle aufgetauchten Passwörter in acht dicken Bänden. „Forgot your passwort?“ Wer sein Passwort doppelt nutzt und suchen sollte, kann seines im Klartext bis zum 20. Januar 2014 auf der Unpainted Media Art Fair in München bewundern. Die Passwörter werden in München zudem als großflächige Bilder an die Wand gehängt. Privat waren sie schon vorher nicht mehr …

Snapchat: 4,6 Millionen Accountdaten abgesaugt

Im August 2013 veröffentlichte das australische Sicherheitsteam Gibson Security erste Details zu zahlreichen Sicherheitslücken bei Snapchat. In den USA wird diese Sexting-App gerne von jüngeren iOS- und Android-Anwendern zum Austausch von Bildern und Videos verwendet. Der Dienst ist dort so populär, dass den Snapchat-Betreibern ein Übernahmeangebot von Facebook in Höhe von drei und von Google in Höhe von vier Milliarden US-Dollar gemacht wurde. Sie lehnten beide Angebote ab und reagierten auch nicht auf diverse Mitteilungen der australischen Datenschützer.

Gibson Security gab im Sommer letzten Jahres bekannt, die Auswertung der Telefonnummern aller 4,6 Millionen Nutzer samt User-, Vor- und Nachnamen könne innerhalb von 20 Stunden erfolgen. Snapchat hätte nur etwa zehn Zeilen Code der Apps ändern müssen, um das Auslesen der Informationen zu verhindern. Am Weihnachtsabend veröffentlichte Gibson Security dann die selbst nachprogrammierte API, um den Anbieter zusätzlich unter Druck zu setzen.

snapchat-w640

Als wenige Tage später von Unbekannten unter snapchatdb.info die Daten nahezu aller User veröffentlicht wurden, gab Snapchat alleine den australischen Datenschützern die Schuld am Dilemma. Im ersten Anlauf entschuldigte sich das Unternehmen nicht einmal bei den eigenen Usern wegen der Panne. Wahrscheinlich hätte ein einzelner Programmierer die ganzen Bugs im Alleingang binnen weniger Tage fixen können. Es bleibt wohl für immer ein Geheimnis, wieso ein milliardenschweres Unternehmen viereinhalb Monate braucht, um endlich eine sichere Version der App zu veröffentlichen.

Facebook ändert mal wieder die Regeln

Im September führte Facebook mal wieder zum eigenen Vorteil neue Regelungen ein. In den Nutzungsbedingungen räumt sich Zuckerbergs Konzern das Recht ein, dass man den Namen, Profilbilder, Inhalte und Informationen aller Nutzer an Unternehmen verkaufen darf. Das zahlende Unternehmen darf die Informationen in Werbeanzeigen nutzen und ihre Werbung somit gezielter ausliefern. Die Nutzer haben keinen Einfluss mehr darauf, wer ihre Bilder verwendet und zu welchem Zweck.

EC-Karten-Netzbetreiber easycash sammelt Daten ohne Auftrag

Der Ratinger EC-Karten-Netzbetreiber easycash geriet im September in die Schlagzeilen. Die Einkäufe von 50 Millionen Bankkunden sollen gespeichert worden sein, um für Partnerfirmen die Kreditwürdigkeit der Konsumenten zu überprüfen. Das Unternehmen speicherte offenbar alle Transaktionen der eigenen EC-Kartengeräte in Supermärkten und Einzelhandelsgeschäften.

Das Unternehmen hat sich darauf spezialisiert, die Kunden per Unterschrift bezahlen zu lassen. Dieses Verfahren ist im Vergleich zur Angabe der Geheimnummer preiswerter, dafür beinhaltet es ein größeres Risiko. Die Kunden erhalten die Ware auch dann, wenn das Konto gnadenlos überzogen oder gesperrt ist. Die Datensammlung ohne explizite Einwilligung der Betroffenen sollte für alle beteiligten Unternehmen das Risiko mindern.

Thilo Weichert bezeichnete das Vorgehen schlichtweg als „Schweinerei“. easycash hingegen gab bekannt, man befolge peinlich genau alle datenschutzrelevanten Vorschriften des Bundesdatenschutzgesetzes. Wie dem auch sei. Vielleicht hätte die Geschäftsleitung bei ihrer ausgeprägten Sammelleidenschaft besser eine Umbenennung des Unternehmens in easycrawl durchführen sollen.

Geheimdienste knacken Online-Protokolle zur Verschlüsselung

Ebenfalls im September 2013 wurde bekannt, dass Online-Protokolle wie HTTPS oder SSL nicht effektiv vor den Aktivitäten der Geheimdienste schützen. Die Verschlüsselungsmethoden funktionieren zwar, die Geheimdienste haben sich aber im Vorfeld Hintertüren zu eigenen Zwecken einrichten lassen. Amerikanische und britische Geheimdienste sollen nachweislich die Verschlüsselung umgehen oder teilweise auch knacken.

Edward Snowden veröffentlicht noch immer zusammen mit unterschiedlichen Medien alle vier Wochen neue Details zu den NSA-Aktivitäten. Im Laufe der Zeit wird klar, dass nahezu weltweit kein Router, keine Festplatte, PC oder Smartphone vor den Aktivitäten der Behörden sicher ist. Jeder Hersteller, der seine Hardware oder Software zum Verkauf anbieten will, muss nach den Vorgaben der US-Gesetze kooperieren. Man muss kein Verschwörungstheoretiker sein um zu erkennen, dass die Geheimdienste dabei grundsätzlich keine Ausnahmen machen. Vor ihren Aktivitäten ist nichts und niemand sicher.

datenschutz-kopp

Was tun?

Die einzige Möglichkeit sich davor zu schützen besteht darin, selbst so wenig Daten wie möglich zu erstellen. Das ist aber in unserer zunehmend von Technik dominierten Welt leichter gesagt als getan. Jedes moderne Smartphone schleudert seine Daten drahtlos im Minutentakt über den „Äther“. Jede App und jeder Dienst will ständig wissen, wo wir uns gerade aufhalten. Wer das abschaltet, kann sein Gerät nur noch sehr eingeschränkt benutzen. Doch selbst das wäre keine Lösung. Auch ohne Handy oder Tablet-PC werden wir unterwegs von Mautbrücken und Überwachungskameras aufgenommen.

Letztlich bleibt einem nur die Option, bei der Produktion der eigenen Spuren so sorgsam und bewusst wie möglich vorzugehen. Das mag einfach klingen, das ist es aber nicht. Sollten wir bis zum nächsten Datenschutzrückblick einen geeigneten Weg finden, ohne wie die Verschwörungstheoretiker einen Aluhut aufzusetzen, werden wir Sie es gerne wissen lassen.

Kategorien
E-Business Rechtliches

Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?

Das sogenannte „Tracking“ von Userverhalten ist schon seit langem ein lukratives Geschäft für viele Unternehmen, besonders im Bereich des E-Business. Denn anhand der gewonnenen Informationen könnten passgenaue Profile der Internetnutzer ausgearbeitet und interessengerechte Werbung ausgesteuert werden. Bisher basierte das Tracking in erster Linie auf Cookies, die auf dem Endgerät des Users gespeichert werden. Doch immer
beliebter werden die sogenannten „Webbrowser Fingerprints“, die auch zum Internettracking verwendet werden können.

dirt-88534_640

Was sind Browser Fingerprints?

Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.

Grundlagen des Trackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden. Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So können mehrere rechtliche Fragen gestellt werden: Ist Datenschutzrecht überhaupt anwendbar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Weiter gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

detektiv

Anwendbarkeit des Datenschutzrechts

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterfallen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die „hinter“ dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte. Eine Zuordnung ist – wenn überhaupt – nur dann möglich, wenn Zusatzinformationen vorhanden sind, oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- sollte keine vorherige Einwilligung vorliegen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

§ 15 TMG Nutzungsdaten 

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 

(2) (…) 

Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist.

Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist,verantwortliche Stelle sein.

Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen. Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle. Einige vertreten noch die Ansicht, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden.

Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

crowd-sourcing-154759_640

Fazit: Zulässiges Tracking, soweit hinreichend anonymisiert

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.

Dies ist sehr zu begrüßen, denn das anonymisierte Internettracking stellt insbesondere für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Für die ISiCO Datenschutz GmbH verantwortet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Kategorien
E-Business Rechtliches

Lizenzfreie Musik: Woher nehmen, um eben nicht zu stehlen? 10 Beispiel-Seiten mit hochwertigen, freien Songs

Lizenzfreie Musik sorgt für Ruhe vor der Gema und anderen Verwaltern von Nutzungsrechten. Hier finden Sie genügend Songs für die Vertonung Ihrer Videos. Und auch für den Audio-Podcast gibt es viel Material zu entdecken. Qualitativ hochwertige Stücke aus den Bereichen Rock, Pop, Jazz, Blues und zahlreichen anderen Genres, die so gar nichts mit fürchterlichen Midi-Gedudel zu tun haben.

teaser-freie-musik

Incompetech

Website: incompetech.com
Musik-Stile: Blues, Klassik, Disco, Jazz, Latin, Pop, Reggae, Rock, Soundtrack, World
Lizenz: Creative Commons License
Besonderheiten: No-Attribution-License gegen Bezahlung

Der Einstieg auf Incompetech fällt leicht, da alle Musiksparten auf der linken Seite ordentlich gelistet werden. Klicken Sie etwa auf Blues, Rock oder Soundtrack, so werden Ihnen gleich die passenden Musikstücke angeboten. Ein weiterer Zugang führt über die Stimmung, hier „Feel“ genannt. Soll der Song eher aggressiv sein, mystisch oder fröhlich. Dabei werden Lieder über alle Musikgenres hinweg heraus gefiltert.

freie-musik19

Die Ergebnisse der Filterung werden untereinander angeboten mit ersten Informationen und der Möglichkeit, dass Lied anzuhören. Sie können weitere Daten zum Musikstück aufrufen oder gleich den Download starten. Dieser erfolgt direkt – ohne Anmeldung – als MP3-Dateien. Die „Credits“ zum Song werden zum Kopieren angeboten, so dass Sie leicht den Urheber in Ihren Werken, etwa im Abspann, nennen können.

freie-musik20

dig.ccmixter.org

Website: dig.ccmixter.org
Musik-Stile: Elektro, Klassik, Pop
Lizenz: Creative Commons Attribution
Besonderheiten: Viele Gesangsstücke

dig.ccmixter.org ist praktisch die Suchmaschine zur Website ccMixter. Gehen Sie auf “Podsafe Music” oder “Free Music for Commercial Projects”. Es werden Ihnen die aktuellsten Beispiele angeboten, die Sie sofort anhören oder herunterladen können. Oder Sie rufen zunächst weitere Informationen zum Stück auf.

freie-musik1

Interessant ist hier, dass Sie nicht nur das komplette Stück erhalten, sondern auch einzelne Spuren, um das Lied neu zu mischen oder Bereiche auszutauschen. Auch eine Funktion zum direkten Einbinden ist vorhanden. Die Suchfunktion lässt eine Filterung nach Einsatzzweck zu, um etwa die passende Musik für das Spiel oder den Film zu entdecken.

freie-musik2

freemusicarchive.org

Website: freemusicarchive.org
Musik-Stile: Elektro, Pop, Rock
Lizenz: Creative Commons License
Besonderheiten: Filterung nach Lizenz und Stimmung möglich

Die Website freemusicarchive.org hat einen eigenen Bereich mit Musik für Videos. Wir können die aktuellen Highlights durchstöbern, oder eine Filterung nach der Stimmung, wie etwa traurig, friedvoll oder lebendig, vornehmen. Auch nach Eingabe des Musikgenres, der Länge oder Tempos eines Stückes kann gesucht werden. Wichtig bei der Suche ist die Auswahl der passenden Lizenz, wie etwa für kommerzielle Zwecke.

freie-musik3

Der Player kann direkt gestartet oder über das Plus-Symbol in einem eigenen Fenster ausgelagert werden. So läuft das Lied auch dann weiter ab, obwohl die Suche auf den nächsten Seiten weitergeht. Neben dem Plus- liegt auch gleich das Download-Icon. Die Musikstücke werden direkt als MP3-File auf der eigenen Festplatte abgespeichert.

freie-musik4

mobygratis.com

Website: mobygratis.com
Musik-Stile: Elektro, Techno
Lizenz: Freigabe über „Online Application System“
Besonderheiten: Echte Star-Musik von Moby

Moby ist als Musiker und DJ weltbekannt. Weniger bekannt ist allerdings, dass er einen Großteil seines Musikkataloges zur Vertonung von nicht-kommerziellen Filmen gratis zur Verfügung stellt. Die Suche kann demnach schnell nach Album ausgeführt werden, aber auch nach Instrument, Tempo, Typ, Stimmung oder Genre.

freie-musik5

Zum Start muss hier allerdings ein Account eröffnet werden, wobei auch gleich die Tracks genannt werden sollen, die man einsetzen möchte. Nicht ganz so flexibel, dafür aber die Hits von einem echten Star. Und diese können wir auf der Website auch ohne Download genießen.

freie-musik6

musopen.org

Website: musopen.org
Musik-Stile: Klassik
Lizenz: Public Domain
Besonderheiten: Schwerpunkt auf E-Musik

Ganz der Klassik hat sich das Projekt musopen.org verschrieben. Hier können wir die Werke der großen Meister Bach, Mozart, Beethoven, Chopin und Schubert durchstöbern. Nach einem Klick auf „Music Recordings“ sehen wir eine lange Liste an Komponisten und Interpreten, Instrumenten und Epochen für eine erste Auswahl, die im Anschluss durch einen Klick auf den Pfeil verfeinert wird.

freie-musik7

Bei der Suche hilft uns ein Bewertungssystem, um noch schneller die Perlen im Archiv zu entdecken. Dann können wir auch schon die Komposition anhören und bei Gefallen herunterladen. Auch die einzelnen „Parts“ der Stücke sind verfügbar, um sich auf einen Ausschnitt des Stücks zu konzentrieren.

freie-musik8

audiofarm.org

Website: audiofarm.org
Musik-Stile: Rock, Hip Hop, Dance, Elektro, Blues
Lizenz: Creative Commons
Besonderheiten: Game Sounds

Auf der Audiofarm werden ganz besondere Stücke gepflegt. Nach einem Klick auf eine der Kategorien, wie etwa Soundtracks, Rock Music oder Indian Classic, werden uns die Lieder in Album-Form angeboten. Wir wählen also ein Album an und schon startet der Player mit dem ersten Stück. Gefällt uns das, so könnten wir den Song einer Playlist hinzufügen, den Embed-Player nutzen oder das Lied herunterladen.

freie-musik9

Wer lieber die Suchfunktion am oberen Rand nutzen möchte, sucht statt nach „All Audio“ besser nach CC Audio. So entdeckt man sehr hochwertige Gesangsstücke und selbst coole Rap-Tracks. Die Audio-Lizenz wird gleich neben dem Player angeboten und so ist nach einem Klick ersichtlich, wie das Lied eingesetzt werden darf.

freie-musik10

beatpick.com

Website: beatpick.com
Musik-Stile: Blues, Klassik, Elektro, Pop, Rock, Hip Hop, Jazz, Punk, Soul
Lizenz: Je nach Einsatzzweck
Besonderheiten: Recherche-Service

Hier werden uns zahlreiche Songs angeboten, die über das Musikgenre, die Stimmung, den eingesetzten Instrumenten oder der Sprache gefiltert werden können. Auch können wir bestimmen, ob es eher ein Instrumentalstück sein soll, oder eine Frau oder ein Mann den Gesangspart übernehmen. Besonders sind die Suchmasken „Sounds like“ (für die Suche nach den Lieblingsbands) oder Song Topics, um bestimmte Themen zu selektieren.

freie-musik11

Sie können bei Interesse Informationen zum Musikstück oder zum Künstler aufrufen, das ganze Album anhören oder das Lied teilen. Ein Klick auf „License Song“ ruft dann die Liste mit möglichen Einsatzzwecken auf. Je nachdem, ob das Stück für eine DVD, ein Spiel, Film, TV oder nicht-kommerziellen Zwecken genutzt werden soll, ergeben sich anderen Lizenzen und Kosten.

freie-musik12

hartwigmedia.de

Website: hartwigmedia.de/
Musik-Stile: Rock, Film, Intros, Dubstep, Metal
Lizenz: Je nach Einsatzzweck
Besonderheiten: Agentur

Hartwig Media ist ein Beispiel für eine kleine Agentur, die sich auf die Produktion von Gema-freier Musik spezialisiert hat. Wählen Sie eine der Kategorien wie etwa Episch-Abenteuer, Underscore-Ruhig, Jingles-Imagefilm oder Intros-Trailer oder klicken Sie auf Musik-Suche, um nach einer Stimmung (Positiv, Negativ, Mysteriös, ect.), einem bestimmten Instrument oder dem Tempo zu filtern.

freie-musik13

Sie können die Songs gleich abspielen und bei Interesse weitere Informationen aufrufen. Eine Internet/Multimedia-Lizenz kostet hier 9,99 Euro, eine TV/Kino/Games-Lizenz 79,99 Euro. Für private und nicht-kommerzielle Zwecke ist die Nutzung generell frei. Dann reicht ein Klick auf den Dateinamen zum Download aus.

freie-musik14

opsound.org

Website: opsound.org
Musik-Stile: Blues, Elektro, Disco, Rock, Pop, Klassik, Game
Lizenz: Creative Commons Attribution
Besonderheiten: 8Bit-Musik

Sehr minimalistisch präsentiert sich die Website opsound.org. Klicken Sie auf der linken Seite auf „genres“ oder „artists“. Eine lange Liste an Interpreten oder Musikstilen wird uns angeboten. Nach einer weiteren Auswahl sehen wir die einzelnen Tracks, die direkt als WAV-Datei herunter geladen werden können.

freie-musik15

Alle Aufnahmen im Archiv wurden unter der Creative Commons Attribution-ShareAlike 3.0 License veröffentlicht und können also im Original oder als Remix verwendet und sogar verkauft werden. Leider fehlt diesem Angebot eine Suchfunktion, so dass wir die Perlen von Hand und per Zufallsprinzip entdecken müssen.

freie-musik16

ende.tv

Website: ende.tv
Musik-Stile: Pop, Rock, Elektro, Hip Hop, World, Country
Lizenz: Frei für nicht-kommerziell und gemeinnützig
Besonderheiten: Musik für Intros und Imagefilme

Ein deutsches Projekt ist ende.tv. Wählen Sie eine der Kategorien an oder nutzen Sie die Suchmaske mit einem Stichwort. Eine monatliche Charts informiert über die besten
Songs auf der Website. Nach der ersten Auswahl werden die Songs aus dem Genre oder nach dem Stichwort aufgelistet und können auch gleich abgespielt werden.

freie-musik17

Ist ein Lied interessant, können Sie es für nicht-kommerzielle Zwecke sofort herunterladen und einsetzen. Für den kommerziellen Einsatz gibt es einen Warenkorb, um das Musikstück zu kaufen. Die Preise reichen da von 30,- bis 850,- Euro, je nach Einsatzzweck.

freie-musik18

(dpe)

Kategorien
E-Business Rechtliches

Kann gefährlich werden: Mitarbeiter kündigt und nimmt die Kunden mit – die Rechtslage

Es kommt nicht selten vor, dass Arbeitnehmer nach dem Ausscheiden aus dem Unternehmen entweder selbst ein Konkurrenzunternehmen gründen oder eine Tätigkeit bei einem Konkurrenten aufnehmen und die Kunden des ehemaligen Arbeitgebers kontaktieren, um diese zu dem neuen Unternehmen zu locken. Gegen derartige Handlungen kann sich der Arbeitgeber durch die Vereinbarung eines nachvertraglichen Wettbewerbsverbotes absichern. Dieses ist aber nur rechtswirksam, wenn dem Arbeitnehmer dafür eine Entschädigungszahlung arbeitsvertraglich zugesichert wird. Da diese je nach Einkommen sehr hoch ausfallen kann, enthalten viele Arbeitsverträge keine entsprechende Klausel. Es stellt sich dann häufig die Frage, ob entsprechende Abwerbehandlungen des ehemaligen Arbeitnehmers wettbewerbswidrig sind. Der ehemalige Arbeitgeber und jetzige Mitbewerber möchte die Handlungen unterbinden, der Arbeitnehmer bis zur Grenze des Erlaubten seine Kontakte nutzen.

lady-41891_640

Grundsatz der Wettbewerbsfreiheit

Die Rechtsprechung bewertet das „Abwerben von Kunden“ nach § 4 Nr. 10 UWG. Danach handelt unlauter, wer einen Mitbewerber gezielt behindert. Dies gilt generell, aber auch für den Fall, dass der Abwerbende ein ehemaliger Arbeitnehmer des Mitbewerbers ist. Die Rechtsprechung geht dabei immer wieder vom Grundsatz der Wettbewerbsfreiheit aus. Zwar stellt der Kundenstamm zumeist einen erheblichen, oft auch den einzigen wirtschaftlichen Wert eines Unternehmens dar, aber es handelt sich dabei nicht um ein geschütztes Rechtsgut. Es gibt keinen Bestandsschutz für den Kundenstamm eines Unternehmens (BGH GRUR 2002, 548 – Mietwagenkostenersatz). Das Abwerben von Kunden gehört nach der Rechtsprechung zum freien Wettbewerb, auch wenn dies bewusst und planmäßig geschieht (BGH GRUR 1986, 547 –Handzettelwerbung). Die hierdurch entstehenden Beeinträchtigungen des früheren Arbeitgebers sind hinzunehmen. Auch ein Telefonanruf eines ausgeschiedenen Mitarbeiters eines Unternehmens bei dessen Kunden, um sie von seinem Ausscheiden und von seiner Tätigkeit für ein neues Unternehmen zu unterrichten, ist zulässig. Dies hat der BGH in einem neueren Urteil entschieden (BGH GRUR 2010, 939 –Telefonwerbung nach Unternehmenswechsel).

Besondere Umstände, die eine Unlauterkeit begründen

Unlauter wird das Abwerben erst, wenn weitere, besondere Umstände hinzukommen. Das ist zum Beispiel der Fall, wenn der Abwerbende den Kunden unlauter anlockt, indem er die „Rationalität seiner Entschließung“ ausschaltet (BGH GRUR 2001, 752 – Eröffnungswerbung). Muss der Kunde sich besonders schnell für ein intransparent gehaltenes Angebot entscheiden, kann dies unlauter sein. Weiter können besondere Umstände vorliegen, wenn der Abwerbende den Kunden zum Vertragsbruch verleitet. Ist der Abwerbende ein ehemaliger Arbeitnehmer des Mitbewerbers, kennt er im Zweifel die Vertragsbindung des Kunden mit dem Mitbewerber und kann gezielt auf einen Vertragsbruch hinwirken. Gleiches gilt, wenn der Abwerbende den Mitbewerber, also den ehemaligen Arbeitgeber bei dem Kunden herabsetzt. Besondere Umstände liegen ferner vor, wenn der Abwerbende fremde Geschäftsgeheimnisse ausnutzt. Die Verwertung von Kundenadressen, die dem Abwerbenden im Gedächtnis geblieben sind, begründet allerdings keine Unlauterkeit (BGH WRP 1999, 912 – Kundenanschriften).

Unlauterkeit durch irreführende Angaben

Weitere besondere Umstände können vorliegen, wenn der Abwerbende den Kunden durch irreführende Angaben veranlasst, die Geschäftsbeziehung zum Mitbewerber zu beenden. In diesem Fall liegt nicht nur eine gezielte Behinderung nach § 4 Nr. 10 UWG vor, sondern auch eine irreführende und damit nach § 5 Abs. 1 UWG unlautere geschäftliche Handlung. Im Fall des Abwerbens durch ehemalige Mitarbeiter kommen hier irreführende Angaben in Betracht, die beim Kunden den Eindruck erwecken, der Abwerbende trete (zunächst noch) als Mitarbeiter des Mitbewerbers in Kontakt zum Kunden. Dabei kann gemäß § 5a UWG auch ein Irreführen durch Unterlassen unlauter sein, wenn der Abwerbende den Kunden, bei dem ein Irrtum hervorgerufen wurde, nicht über die tatsächlichen Verhältnisse aufklärt.

call-15924_640

Unlauterkeit durch die Art und Weise der Kontaktaufnahme

Unabhängig von der Frage, ob das Abwerben von Kunden unlauter ist, kann sich eine Unlauterkeit auch durch die Art und Weise der Kontaktaufnahme ergeben. Der ehemalige Arbeitnehmer darf, wenn er in rechtmäßig die Kunden des Mitbewerbers abwerben will, die Kunden nicht unzumutbar belästigen. Wann eine unzumutbare Belästigung vorliegt, bestimmt sich nach § 7 Abs. 1 und 2 UWG. Die Voraussetzungen einer Unzulässigkeit der Werbung per E-Mail ist in § 7 Abs. 2 Nr. 3 UWG geregelt, Ausnahmen davon in § 7 Abs. 3 UWG.  Eine Werbung mit einem Telefonanruf gegenüber einem Verbraucher ist unzumutbar, wenn dieser keine ausdrückliche Einwilligung hierfür gegeben hat, § 7 Abs. 2 Nr. 2 UWG.  Gegenüber sonstigen Marktteilnehmern, also zum Beispiel Geschäftskunden, ist die Werbung durch einen Telefonanruf unzumutbar, wenn keine mutmaßliche Einwilligung vorliegt. Der BGH hat hierzu allerdings in einem Fall entschieden, dass keine unzumutbare Belästigung durch einen ehemaligen Arbeitnehmer vorliegt, der Kunden zum Zwecke des Abwerbens anruft. Der Abwerbende darf zumindest eine mutmaßliche Einwilligung der Kunden annehmen, weil diese an der nützlichen Information ein nicht unerhebliches Interesse haben können (BGH GRUR 2010, 939 – Telefonwerbung nach Unternehmenswechsel).

Kurz zusammengefasst für eilige Leser

 Besteht kein nachvertragliches Wettbewerbsverbot für den Arbeitnehmer, kann dieser grundsätzlich nach dem Ausscheiden Kunden des ehemaligen Arbeitgebers abwerben. Erst durch weitere, besondere Umstände wird das Abwerben zu einer unlauteren Behinderung des Mitbewerbers gemäß § 4 Nr. 10 UWG. Wenn der ehemalige Arbeitnehmer falsche Angaben gegenüber dem Kunden macht, kann auch eine irreführende geschäftliche Handlung gemäß § 5 UWG vorliegen. Beachtlich kann zuletzt auch die Art und Weise der Kontaktaufnahme sein. Gerade in Fällen, in denen keine Wettbewerbswidrigkeit des Abwerbens feststellbar ist, verlagert sich der Streit auf diese Ebene und die Frage, ob in der Abwerbehandlung eine unzumutbare Belästigung gemäß § 7 Abs. 1 und 2 UWG gesehen werden kann. In allen Fällen kommt der Nachweisbarkeit der besonderen Umstände, welche die Unlauterkeit begründen, eine entscheidende Bedeutung zu.

(dpe)

Der Autor

Axel Dreyer ist seit 2009 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig im Gewerblichen Rechtsschutz, insbesondere im Marken- und Wettbewerbsrecht sowie Patent- und Geschmacksmusterrecht. Neben der Vertragsgestaltung liegt ein Fokus auf der Vertretung von Unternehmen in Prozessen in diesen Gebieten.

Herr Dreyer hat hier eine Vielzahl von Verfahren erfolgreich geführt, bis hin zu wichtigen und veröffentlichten Entscheidungen des Bundesgerichtshofes und des Europäischen Gerichtshofes. Daneben liegt ein Schwerpunkt von Herrn Dreyer im IT-Recht.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Kategorien
E-Business Rechtliches

Das Leistungsschutzrecht und seine Auswirkungen für die Praxis

Am 01.08.2013 ist das „Achte Gesetz zur Änderung des Urheberrechtsgesetzes“, besser bekannt als Leistungsschutzrecht für Presseverleger, in Kraft getreten. Danach dürfen gewerbliche Suchmaschinenanbieter (wie etwa Google und Yahoo) und Nachrichten-Aggregatoren (wie etwa Rivva, 10000flies u.a.) künftig nur noch "einzelne Wörter oder kleinste Textausschnitte" aus aktuellen Presseinhalten in Snippets oder Vorschauen anzeigen.

paper-71543_640
Nur noch Schnipsel erlaubt?

Zum neuen Gesetz und den Ausnahmebestimmungen

Der neu in das Gesetz eingefügte § 87f Urhebergesetz (UrhG) lautet im ersten Absatz wie folgt:

„Der Hersteller eines Presseerzeugnisses (Presseverleger) hat das ausschließliche Recht, das Presseerzeugnis oder Teile hiervon zu gewerblichen Zwecken öffentlich zugänglich zu machen, es sei denn, es handelt sich um einzelne Wörter oder kleinste Textausschnitte. Ist das Presseerzeugnis in einem Unternehmen hergestellt worden, so gilt der Inhaber des Unternehmens als Hersteller.“

Das Leistungsschutzrecht für Presseverleger ist insbesondere auf Drängen der Zeitschriftenverlage 2009 in den Koalitionsvertrag der schwarz-gelben Bundesregierung aufgenommen worden. Es dauerte aufgrund der anhaltenden Debatten um die Notwendigkeit eines solchen Rechts jedoch bis 2012, ehe die Bundesregierung einen ersten Gesetzentwurf vorlegte. Dieser ist insbesondere im Hinblick auf die vorgesehenen Ausnahmebestimmungen (§ 87g Abs. 4 UrhG) heftig kritisiert worden, da unter anderem Blogger befürchteten, auch vom Leistungsschutzrecht betroffen zu sein. Die Bundesregierung besserte daraufhin den Entwurf mehrfach nach.

In der jetzt verabschiedeten Fassung des § 87g Abs. 4 UrhG heißt es:

„Zulässig ist die öffentliche Zugänglichmachung von Presseerzeugnissen oder Teilen hiervon, soweit sie nicht durch gewerbliche Anbieter von Suchmaschinen oder gewerbliche Anbieter von Diensten erfolgt, die Inhalte entsprechend aufbereiten. […]“

Damit scheint klar, dass das Gesetz in erster Linie Suchmaschinen wie Google und Nachrichten-Aggregatoren wie Rivva treffen soll. Aber was genau heißt das nun für die Praxis?

auto-11439_640
Geschützt sind Presseerzeugnisse, nicht Presserzeugnisse…

Ausschnitte aus Presseerzeugnissen sind geschützt

Klar ist nach dem neuen Gesetz, dass in Zukunft auch Ausschnitte aus Presseerzeugnissen geschützt sind, und zwar unabhängig vom sonstigen urheberrechtlichen Schutz als sogenanntes Sprachwerk. Dieser besondere Leistungsschutz soll für den Zeitraum von einem Jahr nach Veröffentlichung des Presseerzeugnisses gelten. Danach erlischt das Leistungsschutzrecht (§ 87g Abs. 2 UrhG). Dies heißt, Presseverleger können für die Nutzung der Textausschnitte prinzipiell Lizenzgebühren fordern oder verlangen, dass die Nutzung unterlassen wird.

Schlagzeile „Bayern schlägt Schalke“ weiterhin erlaubt

Ausgenommen sind nach der jetzigen Fassung jedoch „einzelne Wörter oder kleinste Textausschnitte“. Diese Ausnahme ist „in letzter Minute“ auf Empfehlung des Rechtsausschusses eingefügt worden. Die Begründung hierfür scheint skurril: Sollte das Gesetz zunächst gerade und insbesondere Suchmaschinenbetreiber treffen, wurde die Ausnahme für „einzelne Wörter oder kleinste Textausschnitte“ eingefügt, damit „Suchmaschinen und Aggregatoren ihre Suchergebnisse kurz bezeichnen können, ohne gegen Rechte der Rechteinhaber zu verstoßen […]". Nach der Begründung des Gesetzgebers sollen vor allem einzelne Schlagzeilen, wie zum Beispiel „Bayern schlägt Schalke“, nicht unter das Schutzgut des Leistungsschutzrechtes fallen.

Wo aber verläuft die Grenze zwischen der zulässigen Benutzung „kleinster Textausschnitte“ und der lizenzpflichtigen Verwertung von Ausschnitten aus Presseerzeugnissen?

Aus der Gesetzesbegründung selbst lassen sich hierzu keine verlässlichen Angaben herleiten. Allein der Hinweis, dass Überschriften wie „Bayern schlägt Schalke“ nicht erfasst sein sollen, lässt jedenfalls nicht den Schluss zu, dass nun etwa Überschriften oder Ausschnitte von drei Wörtern frei sein sollen. Eine solch konkrete Festlegung hat der Gesetzgeber gerade nicht getroffen. Es werden daher zukünftig die Gerichte zu entscheiden haben, wo genau die Grenze zwischen zu- und unzulässiger Benutzung verläuft.

Urheberrechtlicher Schutz weiterhin maßgeblich

Bereits in der Vergangenheit mussten sich die Gerichte mit der Frage auseinandersetzen, ob und wann Texte als Sprachwerk urheberrechtlichen Schutz genießen. So hat zum Beispiel der Europäische Gerichthof (EuGH) bereits 2009 entschieden, dass auch die Entnahme von elf zusammenhängenden Wörtern aus einem Text eine unzulässige Vervielfältigungshandlung darstellen kann. Das Gericht stellte hierbei jedoch auch klar, dass dies nur dann der Fall ist, wenn der Text die notwendige urheberrechtliche Schöpfungshöhe mit sich bringt. Das heißt, Alltagsformulierungen sind davon in der Regel nicht umfasst. Die Mehrzahl von Presseartikeln ist allerdings urheberrechtlich geschützt, zumindest wenn sie sich nicht in der bloßen Aufzählung von Fakten erschöpfen.

wrestling-90897_640
Hier wie im Leistungsschutzrecht, der Richter muss es richten…

Fazit

Insgesamt ist mit Blick auf das neu eingefügte Leistungsschutzrecht für Presseverleger eines klar: Für die meisten User ändert sich nur wenig! Denn das neu geschaffene Recht betrifft nur Suchmaschinenanbieter und gewerbliche News-Aggregatoren, und der Anwendungsbereich des Gesetzes ist sehr eng gefasst.

Kleinste Textausschnitte sind vom Leistungsschutzrecht ausgenommen. Darüber hinausgehende Textausschnitte sind oft ohnehin bereits als Sprachwerk urheberrechtlich geschützt. In diesem Fall ist eine ausschnittsweise Verwertung nur mit Zustimmung oder in den gesetzlich geregelten Fällen (Privatkopie, Pressespiegel, etc.) möglich.

Der Autor

Jan O. Baier ist Partner im Berliner Büro der Kanzlei SCHÜRMANN WOLSCHENDORF DREYER. Als Fachanwalt für Urheber- und Medienrecht berät er nationale und internationale Unternehmen aus klassischen und aus relativen jungen Branchen wie den Bereichen E-Commerce, IT, Games und IPTV umfassend im Urheber- und Medienrecht sowie im Wettbewerbs-, Marken-, IT- und Datenschutzrecht.

Vor seiner Tätigkeit als Rechtsanwalt war Jan O. Baier bereits als Justitiar im Telekommunikationssektor sowie mehrere Jahre im TV-Lizenzgeschäft tätig.

(dpe)

Kategorien
E-Business Rechtliches

Rechtliche Herausforderungen für Start-ups: Die Wahl der „richtigen“ Gesellschaftsform

Im heutigen Teil unserer Serie zu Start-ups geht es um eine zentrale Weichenstellung: Die Wahl der „richtigen“ Gesellschaftsform. „Richtig“ steht hier in Anführungszeichen, weil sich die Rechtsformfrage nicht eindeutig oder endgültig beantworten lässt. Jede Rechtsform hat Vor- und Nachteile. Die gegeneinander abzuwägenden Faktoren sind ebenso vielfältig wie die Start-up-Szene. Sie hängen nicht nur vom jeweiligen Businessplan ab, sondern auch von „weichen“ Faktoren wie Geschäftserfahrung, Risikobereitschaft und gegenseitigem Vertrauen der Gründer. Auch sollte bedacht werden, dass die einmal gewählte Rechtsform des Start-ups nicht in Stein gemeißelt ist. Ein späterer (und aufgrund der Unternehmensentwicklung oft auch notwendiger) Rechtsformwechsel kann aber schnell kompliziert und teuer werden, wenn er nicht bereits bei der „Grundsteinlegung“ des Start-ups in den Blick genommen worden ist.

hierarchy-96186_640

Die Konsequenzen der Rechtsformwahl sind weitreichend. Von der Rechtsform hängt es zum Beispiel ab, in welchem Verhältnis die Gründer zueinander stehen, wer die Geschäftsführung übernimmt, wer in welchem Umfang haftet, wie Kapital beschafft werden kann und welche Exit-Möglichkeiten bestehen. Daher ist es anzuraten, möglichst frühzeitig – spätestens aber, wenn das operative Geschäft aufgenommen wird – auf Grundlage einer einzelfallbezogenen Analyse zu ermitteln, welche Rechtsform die „richtige“ ist. Erfahrungsgemäß interessieren sich Start-ups im Rahmen einer solchen Analyse besonders für zwei Aspekte: Zum einen den „Convenience-Faktor“, also die Frage des Handlings etwa in Bezug auf Kosten, administrativen Aufwand und Beteiligungs- und Exit-Möglichkeiten. Zum anderen ist natürlich die Frage nach den persönlichen Haftungsrisiken von großer Bedeutung, da bekanntlich eine Vielzahl von Start-ups nicht zuletzt aus finanziellen Gründen scheitert.

Welche Gesellschaftsarten kommen in Frage?

Es gibt Personengesellschaften und Kapitalgesellschaften. Typische Personengesellschaften sind die Gesellschaft bürgerlichen Rechts (GbR), die offene Handelsgesellschaft (oHG) und die Kommanditgesellschaft (KG). Kapitalgesellschaften sind zum Beispiel die GmbH, die „Unternehmergesellschaft (haftungsbeschränkt)“ und die Aktiengesellschaft (AG). Daneben gibt es Mischformen wie die GmbH & Co. KG.

Personengesellschaften haben keine eigenständige Rechtspersönlichkeit. Sie sind „nur“ eine Gemeinschaft von Einzelpersonen. Eine Personengesellschaft kann daher kein eigenes Vermögen besitzen. Gläubiger einer Personengesellschaft können ihre Forderungen deswegen nicht nur bei der Gesellschaft selbst, sondern nach Belieben auch bei jedem einzelnen Gesellschafter geltend machen. Jeder einzelne Gesellschafter haftet nach außen also direkt und vor allem unbeschränkt mit seinem gesamten Privatvermögen für Forderungen gegen die Gesellschaft.

Dieses Risiko besteht bei Kapitalgesellschaften grundsätzlich nicht. Diese sind nämlich im rechtlichen Sinne eigene Persönlichkeiten, werden also wie Einzelpersonen behandelt. Folglich kann die Kapitalgesellschaft – genauso wie eine Einzelperson – eigenes Vermögen besitzen. Daher haftet die Kapitalgesellschaft auch mit ihrem gesamten (Gesellschafts-)Vermögen für ihre Verbindlichkeiten. Aus diesem Grund muss zur Gründung Stammkapital aufgebracht werden. Im Gegenzug ist eine zusätzliche persönliche Inanspruchnahme der Gesellschafter der Kapitalgesellschaft in der Regel ausgeschlossen, die Haftung ist also „beschränkt“.

Die GbR als Standardlösung

Die meisten Start-ups beginnen als GbR. Die Gründung einer GbR erfolgt häufig unbemerkt: Es braucht nur mindestens zwei Personen, die eine gemeinsame Geschäftsidee haben und mit deren Umsetzung beginnen. Dies ist beispielsweise bereits dann der Fall, wenn ein Businessplan entwickelt wird oder eine Domain registriert wird. Ein ausdrücklicher oder schriftlicher Gründungsakt ist nicht erforderlich – die GbR entsteht also automatisch, sobald die vorgenannten Voraussetzungen erfüllt sind. Eine solche formlose Gründung ist jedoch nicht zu empfehlen, da die GbR erfahrungsgemäß die meisten Streitigkeiten mit sich bringt. Darum sollte möglichst ein „maßgeschneiderter“ schriftlicher Gesellschaftsvertrag geschlossen werden, der Regelungen zu den kritischen Fragen etwa der Geschäftsführung, Finanzierung und Insolvenz enthält.

In vielen Fällen ist die GbR – nicht nur wegen ihrer einfachen Gründung – eine empfehlenswerte Gesellschaftsform. Für die meisten Start-ups überwiegen jedoch die Risiken und Nachteile. Vor allem die Gefahr der persönlichen Haftung sollte nicht unterschätzt werden, auch dann nicht, wenn kaum oder in nur geringem Umfang Verträge mit Dritten geschlossen werden.

Stets besteht nämlich die Gefahr von Schadensersatzansprüchen und Bußgeldern gegen die GbR – etwa bei Abmahnungen wegen wettbewerbswidriger Werbung, nicht rechtskonformen Websites, bei Datenschutzverletzungen oder wenn das Start-up in Schwierigkeiten steckt und seine Zusagen gegenüber Dritten nicht erfüllen kann.

Weiterhin gestaltet sich das IP-Management bei der GbR schwierig. Zwar kann die GbR Rechte erwerben (z. B. an einer Marke, Domain oder urheberrechtlichen Nutzungsrechten). Faktisch stehen diese Rechte aber nicht im Eigentum der GbR, sondern im gemeinsamen Eigentum der Gesellschafter. Dies kann – besonders nach einem Streit – zu komplizierten Verhandlungen im Falle des Ausscheidens eines Gesellschafters führen und macht das Unternehmen für Investoren und VC-Geber unattraktiv.

Auch stellen die fehlenden Form- und Buchführungsvorschriften der GbR ein Risiko für Kapitalgeber dar, da diese sich im Zweifel auf die subjektiven Aussagen der (oft wenig geschäftserfahrenen) Gesellschafter verlassen müssen. Eine Beteiligung von Investoren oder VC-Gebern an der GbR ist in der Regel nicht gewünscht, da diese als Mit-Gesellschafter den gleichen Haftungsrisiken wie die übrigen Gesellschafter unterliegen würden.

man-76196_640

Kapitalgesellschaften sind für Start-ups in der Regel die bessere Wahl!

Für die meisten Start-ups ist es daher empfehlenswert, entweder direkt eine Kapitalgesellschaft zu gründen oder so schnell wie möglich in eine solche zu wechseln. Je länger mit einem Wechsel von einer Personengesellschaft zu einer Kapitalgesellschaft gewartet wird, desto komplizierter und teurer wird er. Sobald der Geschäftsbetrieb einen gewissen Umfang erreicht und eine kaufmännische Einrichtung erfordert, ist der Wechsel aus der GbR aus gesetzlichen Gründen ohnehin zwingend, so dass gilt: Besser früh als zu spät.

GmbH

Die GmbH ist wahrscheinlich die bekannteste deutsche Kapitalgesellschaft. Ihr Gründungsaufwand ist gering. Für Start-ups ist die GmbH in der Regel die beste (und selten die falsche) Wahl. Oft schreckt unerfahrene Gründer das aufzubringende Mindeststammkapital  von 25.000 € ab. Bei genauerem Hinsehen handelt es sich dabei aber nur scheinbar um ein Hindernis. So ist bei der Gründung zunächst nur die Hälfte, also 12.500 €, aufzubringen. Das Geld ist auch nicht, wie etwa eine Mietkaution, „verloren“. Das Stammkapital ist dazu da, um mit ihm zu arbeiten, es auszugeben. Da eine ernsthafte Unternehmensgründung oft ohnehin gewisse Ausgaben erfordert (Gehälter, Büroausstattung, Mietzahlungen, Werbemaßnahmen etc.), sollte die Aufbringung des Stammkapitals in vielen Fällen keine allzu große Hürde sein.

Zur Gründung der GmbH muss ein schriftlicher Gesellschaftsvertrag geschlossen und vom Notar beurkundet werden. Für die Beurkundung fallen Kosten von etwa 500 € an. Zusätzlich kommen noch die Kosten für die Erstellung eines maßgeschneiderten Gesellschaftsvertrages hinzu, der mit Hilfe eines erfahrenen Anwalts erstellt werden sollte. Zwar lässt sich Geld sparen, indem auf Standard- oder Musterverträge zurückgegriffen wird. Erfahrungsgemäß werden diese aber den besonderen Bedürfnissen von Start-ups, etwa im Hinblick auf die Kapitalbeschaffung, nicht gerecht. Da ein guter Gesellschaftsvertrag eine zentrale Voraussetzung für die günstige Unternehmensentwicklung ist, sollte hier also nicht an der falschen Stelle gespart werden.

Die Vorteile der GmbH gegenüber der GbR liegen auf der Hand. Die GmbH kann, da sie eine eigenständige Rechtsperson ist, selbst und unabhängig von den Gesellschaftern geistiges und sonstiges Eigentum erwerben. Dies macht sie von personellen Änderungen unabhängig und erleichtert die Verhandlungen mit Investoren. Die Buchführungspflichten und die gesetzlich vorgeschriebene funktionale Organisation der GmbH (Stichwort: Geschäftsführerbestellung) mögen zwar auf den ersten Blick einer „Start-up-Atmosphäre“ abträglich sein. Letztlich hängt diese aber vor allem von der individuellen Unternehmenskultur ab. Auch erleichtert die GmbH die Gestaltung von Beteiligungs- und Exit-Möglichkeiten erheblich. Nicht zuletzt spricht für die Gründung einer GmbH die Beschränkung der Haftung auf das Gesellschaftsvermögen – ein Rückgriff auf das Privatvermögen der Gesellschafter erfolgt daher nicht.

Unternehmergesellschaft (haftungsbeschränkt)

Eine Sonderform der GmbH ist die „Unternehmergesellschaft (haftungsbeschränkt)“. Sie soll den Schritt zur GmbH erleichtern und ist als eine Art „Zwischenschritt“ gedacht. Sie ist das deutsche Pendant zur britischen Limited, die damit in den meisten Fällen für deutsche Start-ups überflüssig geworden ist. Die Gründung der UG verläuft ähnlich wie bei einer GmbH, insbesondere bedarf es auch hier eines schriftlichen und notariell beurkundeten Gesellschaftsvertrages.

Wie bei der GmbH ist auch die UG eine eigene Rechtsperson, sie kann also eigenes Eigentum erwerben und die persönliche Haftung der Gesellschafter ist ausgeschlossen. Der wesentliche Unterschied zur GmbH liegt darin, dass die Gründung bereits mit einem Kapital von lediglich 1 € erfolgen kann. Dieser Vorteil ist jedoch nur theoretischer Natur, da ein Unternehmen mit einem Vermögen von nur 1 € handlungsunfähig ist. Wenn jedoch nur ein Kapital von deutlich unter 25.000 € aufgebracht werden kann bzw. benötigt wird (z. B. 3.000 € für eine 1-Mann-UG), ist die UG eine interessante Alternative zur GmbH.

Von Gesetzes wegen ist die UG jedoch kein Dauerzustand, denn es besteht die Verpflichtung, nicht den kompletten Jahresgewinn an die Gesellschafter auszuschütten. Statt dessen ist eine Rücklage zu bilden, die ¼ des Jahresüberschusses betragen muss. Sobald auf diese Weise 25.000 € zusammengekommen sind, kann dann aus dieser Rücklage das Stammkapital für die GmbH gebildet werden. Die UG kann also den Einstieg ins Geschäftsleben und die spätere Umwandlung in eine „echte“ GmbH erheblich erleichtern.

Zu bedenken ist allerdings, dass die im sperrigen Firmenzusatz offen zur Schau getragene Unterkapitalisierung der UG unter Umständen unseriös wirken kann.

GmbH & Co. KG

In einigen Fällen ist die GmbH & Co. KG eine interessante Alternative für Start-ups. Diese Gesellschaftsform vereint die Vorteile einer Personengesellschaft (Kommanditgesellschaft) mit denen einer Kapitalgesellschaft (GmbH). Nach außen handelt es sich um eine Kommanditgesellschaft (KG).

Eine KG ist eine besondere Form der Personengesellschaft, da es dort zwei verschiedene Arten von Gesellschaftern gibt: Komplementäre und Kommanditisten. Nur der Komplementär, der auch die Geschäfte führt, haftet unbeschränkt mit seinem Vermögen für Verbindlichkeiten der Gesellschaft. Kommanditisten hingegen können sich vergleichsweise unkompliziert mit einer „Einlage“, also zum Beispiel ein VC-Geber mit einem bestimmten Geldbetrag, an der Gesellschaft beteiligen. Die Haftung des Kommanditisten ist auf die Höhe seiner Einlage beschränkt.

Indem eine GmbH als Komplementär eingesetzt wird, wird dessen an sich unbeschränkte Haftung auf das Vermögen der GmbH beschränkt. Auf diese Weise können sich die Gründer als Geschäftsführer der Komplementärs-GmbH, die zugleich die Geschäfte der KG führt, eine große Kontrolle über das Unternehmen bewahren und gleichzeitig durch Aufnahme von Kommanditisten unkompliziert Kapital beschaffen.

Diese Vorteile werden allerdings durch einen doppelten administrativen und Gründungsaufwand erkauft. Die GmbH & Co. KG ist daher in der Regel nur etwas für „Fortgeschrittene“, die auf häufig wechselnde Geldgeber angewiesen sind.

Societas Europaea (Europäische Aktiengesellschaft)

Auch wenn die Societas Europaea (SE) nur etwas für Fortgeschrittene ist, interessieren sich in letzter Zeit viele Start-ups für diese Gesellschaftsform. Tatsächlich ist die SE in bestimmten Fällen eine interessante Möglichkeit für Start-ups. In der EU gibt es derzeit etwa 1900 SEs (ca. 290 mit Sitz in Deutschland), wobei etwa die Hälfte weniger als 5 Angestellte hat. SEs sind also nicht nur etwas für große Unternehmen. Interessant ist, dass von den ca. 290 deutschen SEs in Deutschland etwa 180 ihren Sitz in Berlin haben. Unter ihnen finden sich überdurchschnittlich viele Start-ups.

Die SE bietet alle Vorteile der klassischen nationalen AG. Anteile sind also leicht und billig übertragbar, was die Kapitalbeschaffung erleichtert. Darüber hinaus kann eine SE – anders als eine nationale Aktiengesellschaft – ihren Sitz innerhalb der EU frei verlegen und in allen EU-Ländern Büros eröffnen. Es müssen also keine Tochtergesellschaften in den einzelnen Ländern errichtet werden.

Das Gesetz sieht vier verschiedene Varianten zur Gründung der SE vor: So kann durch Gründung einer neuen Holding-SE ein europäisches „Dach“ für bestehende nationale Kapitalgesellschaften geschaffen werden. Es können aber auch zwei nationale Gesellschaften zu einer einzigen SE „verschmolzen“ oder eine nationale AG in eine SE umgewandelt werden. Und schließlich können zwei nationale Kapitalgesellschaften eine gemeinsame Tochter-SE gründen.

Welche Varianten sinnvollerweise in Frage kommen, hängt vom Einzelfall und insbesondere auch von den Ausgangsgesellschaftsformen (etwa GmbH oder AG) ab. Immer ist aber eine (bereits bestehende) grenzüberschreitende Tätigkeit erforderlich. Darüber hinaus muss ein Mindestkapital von 120.000 € aufgebracht werden und der Gründungs- und administrative Aufwand ist – wie bei allen Aktiengesellschaften – groß.

euro-76016_640

Fazit

Die Wahl der passenden Gesellschaftsform sollte vor Aufnahme des operativen Geschäfts und mit Bedacht erfolgen, da die Konsequenzen der Entscheidung weitreichend sind. Jede Gesellschaftsform hat Vor- und Nachteile, die auf Grundlage einer einzelfallbezogenen Analyse gegeneinander abzuwägen sind. Neben dem Businessplan spielen dabei auch Faktoren wie die Geschäftserfahrung und das persönliche Verhältnis der Gründer zueinander eine wichtige Rolle.

Auch wenn für die meisten jungen Start-ups nach unserer Erfahrung die GmbH oder –­ als Zwischenschritt ­– die UG (haftungsbeschränkt) die „richtige“ Rechtsform ist, sollten Sie sich vor und während der Gründung beraten lassen. Dies gilt nicht nur für die Rechtsformwahl und die Gestaltung von Gesellschaftsverträgen, sondern auch für den – für unerfahrene Gründer oft schwierigen – Umgang mit Behörden und Kapitalgebern.

Über die Autorin

Simone Rosenthal ist seit 2007 als Rechtsanwältin in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät mittelständische Unternehmen in Fragen des Handels- und Gesellschaftsrechts. Ihr Schwerpunkt liegt insbesondere in der Gestaltung nationaler und internationaler Verträge im Bereich des Handels- und Vertriebsrechts und des Geistigen Eigentums (Lizenzverträge).

Frau Rosenthal verfügt zudem eine besondere Expertise in der Beratung von Unternehmen aus dem Bereich der Neuen Medien und des Internets in Fragen des IT- und Datenschutzrechts.


(dpe)

Kategorien
E-Business Rechtliches

Was tun in Sachen Cloud-Computing? Konsequenzen aus PRISM & Co.

In den letzten Wochen haben die Enthüllungen über das US-amerikanische Überwachungsprogramm PRISM und das britische Tempora für große Aufregung gesorgt. Bürger, Behörden und Unternehmen fragen sich hierzulande nun, welche Konsequenzen sie aus den Enthüllungen ziehen sollen. Besonders drängend ist die Frage für diejenigen Unternehmen, die ihre Daten bereits auf Server US-amerikanischer Cloud-Anbieter ausgelagert haben oder dies in Zukunft vorhaben.

california-106943_640

Konsequenzen für deutsche Unternehmen

Die datenschutzrechtliche Relevanz von PRISM & Co. für deutsche Unternehmen verdeutlichte zuletzt die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013. Darin verkünden Deutschlands oberste Datenschützer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sog. Drittstaaten (das sind alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) zu erteilen. Ausdrücklich betreffe dies auch Genehmigungen zur Nutzung „bestimmter Cloud-Dienste“. Es sei nicht gewährleistet, dass personenbezogene Daten, die deutsche Unternehmen in die USA und andere Drittstaaten übermitteln, dort einem angemessenem Datenschutzniveau unterliegen.

Außerdem wollen die Datenschutzbeauftragten nun prüfen, ob alle Datenübermittlungen auf Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind, solange die Bundesregierung nicht dargelegt hat, „dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland im Sinne der genannten Grundsätze begrenzt wird.“

flag-129531_640

Die Entscheidung erscheint zunächst wie ein Paukenschlag. In der Presseberichterstattung wird zuweilen der Eindruck erweckt, als ob der Datenstrom in die USA nun versiege. So heißt es etwa: „Datenschützer stoppen neue Datentransfers von Firmen in die USA“ (heise Security) oder „Deutsche Datenschützer untersagen Datentransfers in die USA“ (Golem.de). Bei näherer Betrachtung relativiert sich dieser Eindruck jedoch.

Genehmigung nicht immer erforderlich

Die Ankündigung der Datenschützer verliert an Schärfe, betrachtet man sie vor dem datenschutzrechtlichen Hintergrund. Denn häufig ist für die Übermittlung von personenbezogenen Daten in das Ausland überhaupt keine Genehmigung der Datenschutzbehörden erforderlich. So ist nach den Vorschriften des Bundesdatenschutzgesetzes eine Genehmigung nicht erforderlich, wenn die Daten an einen Datenimporteur innerhalb des europäischen Wirtschaftsraumes oder in einem sogenannten „sicheren Drittstaat“ übermittelt werden sollen.

Welche Staaten als sichere Drittstaaten anzusehen sind, wird für die EU-Mitgliedsstaaten – und damit auch für die deutschen Datenschutzbehörden – verbindlich von der EU-Kommission festgelegt. Dazu gehören zum Beispiel Australien, Kanada, die Schweiz und Israel. Eine Sonderlage besteht für die USA: Die USA gelten an sich zwar nicht als sicherer Drittstaat.

camera-19223_640

Aufgrund des Safe-Harbor-Abkommens zwischen der EU-Kommission und dem US-Handelsministerium kann sich der Datenimporteur in den USA jedoch gegenüber der zuständigen US-Behörde zur Einhaltung der im Safe-Harbor-Abkommen enthaltenen Regelungen verpflichten. In diesem Fall gilt ausnahmsweise auch der Datentransfer in die USA als „sicher“, so dass die Genehmigung der deutschen Datenschutzbehörden nicht erforderlich ist. Eine aktuelle Übersichtüber die „sicheren Drittstaaten“ stellt die EU-Kommission auf ihrer Website bereit.

Eine Genehmigung ist ferner nicht erforderlich, wenn die Datenübermittlungen auf Grundlage der (unveränderten) EU-Standardvertragsklauseln erfolgen. Denn auch in diesem Fall hat die EU-Kommission für die Mitgliedsstaaten verbindlich festgestellt, dass in diesem Fall ein ausreichendes Datenschutzniveau gewährleistet ist.

Zusammenfassend kann daher festgestellt werden, dass Datenübermittlungen in die meisten für deutsche Unternehmen bedeutsamen Zielländer von Datenübermittlungen ohnehin keiner Genehmigung bedürfen. Insoweit geht die Ankündigung der Datenschützer, vorerst keine neuen Genehmigungen mehr zu erteilen, ins Leere.

Allerdings hat die Europäische Kommission am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen aus Anlass der jüngsten Enthüllungen einer Prüfung unterziehen wird. Die Prüfung soll bis Ende 2013 abgeschlossen sein. 

Untersagung von Datenübermittlungen

Soweit deutsche Unternehmen personenbezogene Daten aufgrund einer Genehmigung der Datenschutzbehörden in „unsichere Drittstaaten“ übermitteln, kann die zuständige Aufsichtsbehörde die von ihr erteilten Genehmigungen grundsätzlich zurücknehmen oder widerrufen. Die Datenschutzbehörden sind grundsätzlich auch befugt, bei Verstößen gegen das Bundesdatenschutzgesetz einzugreifen und Datenübermittlungen in das Ausland zu untersagen.

shredder-71775_640

In der Praxis dürfte sich ein solches Vorgehen jedoch schwierig gestalten, da die Behörden an die bindenden Feststellungen der EU-Kommission gebunden sind und darlegen müssten, inwiefern deutsches Datenschutzrecht durch die Datenübermittlungen verletzt wird bzw. die Gefahr eines Schadens besteht.

Die deutschen Behörden können das Safe-Harbor-Abkommen auch nicht außer Kraft setzen. Es können lediglich Datenübermittlungen an bestimmte US-Unternehmen auf Grundlage des Safe-Harbor-Abkommens untersagt werden. Auch hierzu müsste dargelegt werden, dass aufgrund der Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweres Schadens“ besteht.

Dies dürfte in der Praxis schwierig sein. Ferner müsste das betroffene US-Unternehmen vor einer Verbotsmaßnahme angehört werden.

Ausblick

Es ist kaum vorstellbar, dass die deutschen Datenschutzbehörden ihre Androhung in die Tat umsetzen werden und gegen Datenübermittlungen in die USA und andere Drittstaaten vorgehen werden. Zum einen würde dies empfindliche und unvorhersehbare Folgen für die deutsche Wirtschaft zur Folge haben. Zum anderen ist bereits zweifelhaft, ob die gesetzlichen Voraussetzungen für solch einen massiven Eingriff vorliegen.

telescope-122960_640

Die Ankündigung der Datenschützer ist daher wohl vor allem als politisches Signal zu verstehen – insbesondere in Richtung der Bundesregierung und der EU-Kommission. Es wäre jedenfalls nicht das erste Mal, dass die Datenschützer zu solchen Mitteln greifen. Auf jeden Fall sollten deutsche Unternehmen die weiteren Entwicklungen im Blick behalten.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Der obige Beitrag wurde unter tätiger Mithilfe eines wissenschaftlichen Mitarbeiters realisiert.

Kategorien
E-Business Rechtliches

Bring Your Own Device – Sind private Geräte im Unternehmenseinsatz eine gute Idee?

Jeder arbeitet mit dem Gerät, das er kennt und mit dem er am besten umgehen kann – der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hinter einer inzwischen nicht mehr ganz so neuen Entwicklung, die es Arbeitnehmern explizit erlaubt, private Geräte an ihrem Arbeitsplatz zu nutzen. Laut dem Branchenverband Bitkom ermöglichen bereits 43% der Unternehmen aus den Informations- und Telekommunikationstechnologien private Gräte am Arbeitsplatz und von diesen haben 60% den Umgang in eigenen Richtlinien geregelt. Als Vorteil wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind, sowie dass Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen birgt erhebliche datenschutzrechtliche Risiken.

shadows-of-byod

Offizielle Richtlinien oder „Schatten-IT“

Die Mehrheit der elektronischen Geräte ist für Verbraucher ausgelegt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten moderne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht offiziell erlauben, werden die Geräte oftmals selbstständig von Mitarbeitern in den Berufsalltag eingebaut – so entsteht eine „Schatten-IT“ ohne das Wissen der Führungspersonen und IT-Verantwortlichen.

Dabei droht einerseits ein unkontrollierter Abfluss von Daten, wenn Kontakt zu einem Firmennetzwerk hergestellt wird, und andererseits können Sanktionen der Datenschutzbehörden bei Verlust von personenbezogenen Daten folgen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die sogenannte „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaffen.

light-101785_640

Ausgestaltung einer Richtlinie (BYOD-Policy) 

Eine unternehmensinterne Richtlinie sollte den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte sowohl ein technisches Anforderungsprofil aufzeigen, als auch rechtliche Rahmenbedingungen definieren. So kann eine Richtlinie die erlaubten Geräte auf bestimmte Hersteller reduzieren oder zugelassene Betriebssysteme bestimmen. Bei letzterem empfiehlt sich, allein aus Sicherheitsgründen, auch die Setzung von Mindestversionsnummern (z.B. nur Geräte ab Android 4.x).

Neben der Verpflichtung zum Einsatz bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und anderer sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, wie zum Beispiel Cloud-Speichermöglichkeiten, können zumindest für den geschäftlichen Bereich untersagt werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von jailbreaks und root-Modifikationen, einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstechnik empfohlen.

iphone-106351_640

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor dem Einsatz derartiger Apps ist zunächst das Unternehmen zu informieren, um dann gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben zu können. Wenn der Arbeitgeber die Nutzung ohne Lizenz duldet, kann er unter urheberrechtlichen Gesichtspunkten haften.

Trennung beruflicher und privater Daten durch Container

Das größte Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen E-Mails, Apps, Urlaubsfotos und andere Dokumenten zusammentreffen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den privaten Bereich reichen, denn zum Beispiel die Überwachung oder gar die Löschung von privaten Daten stellt rechtlich eine Datenerhebung oder –verarbeitung dar, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist. Erfolgen derartige Eingriffe ohne Einwilligung drohen eine zivilrechtliche Schadensersatzpflicht und eine Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Unternehmensrichtlinien auf die Regelung der beruflichen Daten zu begrenzen.

childhood-71651_640

Diese Trennung kann auf technischem Weg über sogenannte Container- oder Sandbox-Programme erreicht werden. Dabei wird auf dem privaten Gerät ein verschlüsselter Bereich angelegt, den der Arbeitgeber aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich und nur von dort ist Zugriff auf das Firmennetzwerk gestattet. Bei neuesten Programmen dient das Gerät lediglich zum Anzeigen von Texten und Grafiken ohne dass Daten auf dem eigenen Datenträger verbleiben (ähnlich einem Stream, dadurch ist lediglich der Arbeitsspeicher des Geräts betroffen). Die Verbindung zu einem Firmenserver kann über sog. Terminal Sessions oder VPN-Clients erfolgen.

Um Bring-Your-Own-Device mit Smartphones oder Tablets technisch zu ermöglichen, gibt es ganze Mobile-Device-Management-Suiten, die diese Funktionen mit einer Übersicht der im Einsatz befindlichen Geräte oder mit Programmen zum Viren- und Malware-Schutz kombinieren. Entscheidet sich der Arbeitgeber, private Geräte zuzulassen, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, z.B. mittels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unberücksichtigt bleibt die Tatsache, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hier helfen nur eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuellen Datensicherung, um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren. Weitere Probleme können beim Verlust der Geräte auftauchen – hier gilt es gegebenenfalls die Aufsichtsbehörden zu informieren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei fehlender Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beachten. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regel zu bestimmen, um mögliche Probleme zu vermeiden.

Fazit: Auf private Geräte muss im Büro oder auf Geschäftsreise nicht verzichten werden, allerdings sollte eine Richtlinie den Rahmen für eine erlaubte Nutzung definieren. Ohne derartige Richtlinien kann eine Schatten-IT innerhalb des Unternehmens entstehen und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häufig mit Bring-Your-Own-Desaster übersetzt. Mit technischen und rechtlichen Rahmenbedingungen können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Kategorien
E-Business Rechtliches SEO & Online-Marketing

Marketing-Fallstricke: Wo liegen die datenschutzrechtlichen Grenzen der Kundenrückgewinnung?

Immer mehr Unternehmen legen heute großen Wert auf Maßnahmen der Kundenbindung und der Kundenrückgewinnung. Allerdings erfüllen die durchgeführten Maßnahmen, insbesondere der Kundenrückgewinnung, nicht immer den Standard des deutschen Datenschutzrechts. Die klassische Kundenrückgewinnung setzt normalerweise dort an, wo alle Versuche den Kunden zu halten, erfolglos geblieben sind, und er sich schon für einen Anbieterwechsel entschieden hat. Das bedeutet, die Maßnahmen zur Kundenrückgewinnung betreffen Konstellationen, in welchen der Kunde die Geschäftsbeziehung bereits beendet und ein Unternehmen verlassen hat.

datenschutz

Grenzen des Datenschutzes

Eine erfolgreiche Strategie für die Kundenrückgewinnungsmaßnahmen hängt vor allem an einem guten, detaillierten Datenbestand. Denn um die verlorenen Kunden wieder zurückzugewinnen, ist es am effektivsten, ihnen individualisierte und damit für sie interessante Angebote zukommen zu lassen. Kaufbedürfnisse des Kunden können so am besten angesprochen werden. Gerade heute, wo es immer mehr personalisierte Werbung gibt, und diese oft genau auf den potentiellen Kunden zugeschnitten ist, lassen sich Kunden mit einem bloßen Standardschreiben schwer „zurückgewinnen“ oder davon abhalten, dass Unternehmen zu verlassen.

Während des laufenden Vertragsverhältnisses ist es für den Unternehmer kein Problem auf einen relativ umfangreichen Datenbestand zurückzugreifen.

MERKE: Auch während des laufenden Vertragsverhältnisses muss der Unternehmer die datenschutzrechtlichen Grenzen des § 28 BDSG beachten!

Schwierig wird es nach Beendigung des Vertragsverhältnisses. Der Unternehmer ist dann aufgrund des Fortfalls der Vertragsbeziehung, die eine Datenverarbeitung rechtfertigen könnte, verpflichtet, Kundendaten zu löschen. Selbst wenn der Unternehmer die Kundendaten aufgrund von gesetzlichen Aufbewahrungsfristen nicht löschen muss, sieht das Datenschutzrecht eine Sperrung betreffender Daten vor. Damit darf der Unternehmer die Kundendaten dann nicht mehr wie bisher benutzen. Für Maßnahmen der Kundenrückgewinnung werden diese Kundendaten damit eigentlich wertlos. Allerdings gibt es im Gesetz zwei Ausnahmen von der Regel.

Ausnahmen vom Löschungsgrundsatz nach Vertragsbeendigung

Nach Beendigung des Vertragsverhältnisses dürfen die Daten für werbliche Zwecke nur in zwei Ausnahmefällen verwendet werden: Es muss eine Einwilligung des Betroffenen vorliegen oder es müssten die Voraussetzungen des „Listenprivilegs“ vorliegen.

Einwilligung

Wenn der Kunde eine Einwilligung für die Nutzung seiner Daten zu werblichen Zwecken abgegeben hat, ergeben sich für den werbenden Unternehmer keine weiteren Probleme.

Tipp für Unternehmer: Wenn Sie Einwilligungserklärungen für die werbliche Nutzung der Daten einholen wollen, sollten Sie darauf achten, dass die formalen Anforderungen der § 4 a BDSG sowie des § 28 Abs. 3 a BDSG eingehalten werden! Die Einwilligung muss auch dokumentiert werden, damit der Unternehmer jederzeit beweisen kann, dass eine solche wirklich vorliegt.

Listenprivileg

Hat das Unternehmen keine Einwilligung des Betroffenen, ist die Verarbeitung oder Nutzung personenbezogener Daten in Zukunft auch zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist.

Nach dem Listenprivileg ist das Direktmarketing datenschutzrechtlich privilegiert. Denn es regelt die in der Praxis wichtigen Ausnahmen vom Einwilligungsvorbehalt des Betroffenen in die Erhebung, Verarbeitung und Nutzung seiner Daten. Das Listenprivileg ist nicht mehr erfüllt, wenn der Gruppe mehrere Eigenschaften zugeordnet werden, beispielsweise Internetkäufer mit Bestellsumme über 100 Euro. Es ist also darauf zu achten, dass die Ein-Merkmal-Abgrenzung der Gruppe gewahrt bleibt.

Merke: Das Listenprivileg gilt nicht für E-Mail Werbung! Wenn das Listenprivileg von Unternehmen in Anspruch genommen wird, ist lediglich ein Anschreiben der Kunden per Post möglich. Andernfalls, insbesondere für E-Mail Werbung, benötigt der Unternehmer immer eine Einwilligung!

recht-paragrafen

Grenzen des Wettbewerbsrechts

Auch wettbewerbsrechtliche Grenzen müssen bei Kundenrückgewinnungsmaßnahmen berücksichtigt werden, insbesondere bei Maßnahmen per Telefon oder E-Mail. Erforderlich ist auch im Wettbewerbsrecht, dass eine ausdrückliche Einwilligung des Betroffenen vorliegen muss. Darüber hinaus können auch Verstöße gegen das Datenschutzrecht einen Wettbewerbsverstoß begründen.

BEISPIEL: In einem Sachverhalt, den das OLG Karlsruhe (Urteil vom 09.05.2012, Az. 6 U 38/11) zu entscheiden hatte, stritten sich zwei Stromlieferanten. Die Beklagte hatte ehemalige Kunden unter Verwendung der Information, dass diese zur Klägerin gewechselt sind, angeschrieben, um diese zu einem Rückwechsel zur Beklagten zu veranlassen. In den Werbeschreiben nutzte die Beklagte die ihr im Rahmen der Vertragsbeendigung zur Kenntnis gelangte Information, dass die Kunden zur Klägerin gewechselt sind und stellte entsprechend ihre aktuellen Stromtarife dem Stromtarif der Klägerin gegenüber. Das Gericht urteilte, dass in der Nutzung der entsprechenden Information, zu welchem Anbieter die Klägerin gewechselt ist, ein klarer Verstoß gegen das Datenschutzrecht vorliege (§§ 4 Abs. 1, 28 BDSG) und daher auch unlauter in Sinne des Wettbewerbsrechts sei.

MERKE: Die Unternehmen sind auch unter wettbewerbsrechtlichen Gesichtspunkten nur auf der sicheren Seite, wenn sie eine Einwilligungserklärung – möglichst vor Vertragsschluss – eingeholt haben, die sich ausdrücklich auf das sogenannte Nachbearbeiten von Kunden im Kündigungsfall oder die Kontaktaufnahme zu Zwecken der Klärung von Vertragsfragen beziehen sollte.

Fazit: Es ist werbetreibenden Unternehmen grundsätzlich zu empfehlen, sich im Vorfeld um die Einholung der Einwilligung zur Nutzung der Daten zu Werbezwecken des Kunden zu bemühen, um eine individuelle Ansprache zu ermöglichen und gezielte Maßnahmen bei der Kundenrückgewinnung ergreifen zu können. Sollte eine solche Einwilligung nicht vorliegen, sind die Grenzen des Datenschutzes schnell erreicht. Die rechtlichen Sanktionen für datenschutzrechtliche Verstöße reichen von Klagen von Verbraucherverbänden bis hin zu sehr hohen Bußgeldern, die von den datenschutzrechtlichen Aufsichtsbehörden verhängt werden.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Kategorien
E-Business Rechtliches

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Die Umsetzung der Cookie-Richtlinie (Richtlinie 2009/136/EC, auch bekannt als e-Privacy-Richtlinie) hat bei europaweit agierenden Unternehmen große Rechtsunsicherheit hervorgerufen. Die meisten europäischen Länder haben die Richtlinie mittlerweile umgesetzt, unklar bleibt jedoch, welche Cookies Unternehmen einsetzen dürfen und wie sie über deren Gebrauch informieren müssen. Der folgende Beitrag soll einen Überblick über unterschiedliche Regelungsansätze und passende Reaktionsmöglichkeit liefern.

cookies-1805_640-w640

Cookies als Marketinginstrument

Cookies, kleine Dateien, die auf Datenträgern der Internetnutzer abgelegt werden, haben sich als unverzichtbares Marketinginstrument etabliert. Zunächst dienten sie nur dem Speichern von benutzerdefinierten Einstellungen oder ersparten das erneute Einloggen bei einem späteren Besuch auf einer Internetseite.

Inzwischen nutzt die Werbewirtschaft Cookies für umfangreiche Analysen des Nutzerverhaltens, um potentiellen Kunden zielgenaue Angebote unterbreiten zu können. Dabei ist es möglich, das Nutzerverhalten über mehrere Seiten hinweg zu analysieren, z. B. um Werbung für Waschmaschinen oder Hausratsversicherungen zu platzieren, wenn sich ein Nutzer zuvor in einer Suchmaschine über Waschmaschinen informiert hat oder einen entsprechenden Artikel in einem Nachrichtenportal gelesen hat (sog. Behavioral-Targeting). Diese Informationen können mit einer geografischen Ortung des Nutzers zusammengeführt werden und mit Hilfe von statistischen Daten ergänzt werden, um ein zukünftiges Nutzungsverhalten vorherzusagen.

Beliebt ist auch, verlorengegangene Kunden wieder anzusprechen (sog. Retargeting), d.h. wenn ein Kunde einmal ein Produkt in einem Onlineshop angesehen hat, diesen während seines Besuchs auf anderen Seiten auf dieses Produkt hinzuweisen. Insbesondere diese Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten führen, fallen unter den Anwendungsbereich der sogenannten Cookie-Richtlinie.

Uneinheitliche Umsetzung

Wie bei allen Europäischen Richtlinien haben die nationalen Gesetzgeber einen weitreichenden Spielraum bei der Umsetzung in die jeweiligen Rechtsordnungen. Zwar haben die allermeisten Länder die Cookie-Richtlinie mittlerweile umgesetzt, die Herangehensweisen unterscheiden sich jedoch stark. Die Mehrheit der Länder (u.a. Dänemark, Großbritannien, Niederlande, Österreich und Spanien) hat sich bei der Umsetzung für eine opt-in-Lösung entschieden, das heißt für das Setzen von Cookies ist eine ausdrückliche Einwilligung der Nutzer erforderlich. Wie diese Einwilligung von den Webseiten eingeholt werden kann, ist jedoch meist im Detail nicht geregelt.

donotenter-w640

In der Praxis findet sich die schärfste Form der Einwilligung in einer der Homepage vorangeschalteten Seite, die beim ersten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermöglicht, wenn ein Bestätigungsbutton angeklickt wurde. Derartige Hinweise wurden insbesondere in Großbritannien lange gefordert, doch nachdem selbst die britischen Datenschutzbehörden inzwischen auf ihren eigenen Seiten auf derartige Hinweise verzichten, sind diese auch in der Privatwirtschaft nur noch vereinzelt zu finden.

Als ähnlich ineffektiv haben sich Pop-Up-Fenster erwiesen, schon allein weil sie von den meisten aktuellen Browsern geblockt werden und daher nicht ihre Hinweis-Aufgabe erfüllen können. Die gängigste Form der opt-in-Zustimmung sind Banner und Tick-Boxen, meist oben oder unten auf einer Webseite angebrachte Schaltflächen, die auf Cookies hinweisen und oftmals auf weitergehende Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen verlinken. Derartige Banner und Tick-Boxen sind stark verbreitet und selbst Google hat sich inzwischen zu einer europaweiten Einführung entschlossen.

In anderen Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine opt-out-Lösung entschieden. Dies bedeutet, dass der Nutzer nicht ausdrücklich zustimmen muss, sondern seine Haltung etwa durch entsprechende Browsereinstellungen oder Plug-Ins signalisieren kann. In diesen Ländern dürfen Cookies oftmals eingesetzt werden, wenn sie standardmäßig von einem Browser akzeptiert werden und wenn ausreichend über deren Einsatz informiert wurde.

Gute und böse Cookies

Ein aktueller Trend der europäischen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies.

„Gute“ Cookies, also solche, die für den Betrieb von Webseiten erforderlich sind und von Kunden ausdrücklich gewünschte Funktionen bieten (z.B. Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Online-Shops), werden entweder direkt vom Regelungsbereich der Gesetze ausgenommen oder für sie ist eine weniger weitreichende Form der Einwilligung erforderlich. Selbst Cookies, die der Analyse von Webseiten dienen, fallen oftmals unter diese Kategorie, zumindest dann, wenn sie von der Webseite selbst gesetzt werden (sog. First-Party-Cookies).

recht-paragrafen

Unter die Kategorie der „bösen“ Cookies fallen die meisten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betreiben. Für diese gelten die höchsten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien nehmen eine derartige Kategorisierung vor. In diesen Ländern unterscheiden sich folglich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen einsetzen und keine Marketing-Cookies einsetzen, keine Einwilligung eingeholt werden muss, müssen andere Unternehmen ihre Webseiten mit hohem technischem und organisatorischem Aufwand an die Cookie-Gesetzgebung anpassen.

Generelle Hinweise oder Cookie-Liste

Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor. Die nationalen Gesetze und darauf aufbauende Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder speziellen Cookie-Hinweisen zu erfolgen hat.

cookies-w640

Hierbei ist ein Trend zu beobachten, eine möglichst eigenständige und leicht verständliche Information zu fordern, wohingegen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht ausreichend angesehen wird.

Der Inhalt solcher Cookie-Hinweise weicht von Land zu Land ab – Schweden fordert beispielsweise, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies informiert wird, in anderen Ländern reicht hingegen eine allgemeine Information über die Art der verwendeten Cookies und die für die Speicherung der Daten verantwortlichen Stelle.

Nicht nur wegen dieser unterschiedlichen Anforderungen empfiehlt es sich für europaweit agierende Unternehmen, ein Cookie-Management vorzuhalten oder einzurichten, das einen Überblick über die selbst verwendeten Cookies schafft.

Digitale Detektive und behördliche Anschreiben

Die Durchsetzung der Cookie-Richtlinie wird derzeit insbesondere in Großbritannien und den Niederlanden forciert. Nach einer einjährigen Einführungszeit hat Großbritannien im letzten Jahr über 150 Webseitenbetreiber angeschrieben und sie auf mögliche Verstöße aufmerksam gemacht. In den Niederlanden wurde eine juristische Beweislastumkehr eingeführt, nach der Unternehmen beweisen müssen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhalten haben (in den meisten anderen Ländern muss die jeweilige Aufsichtsbehörde Verstöße beweisen). Die Überwachung wird von „Digitalen Detektiven“ der niederländischen Datenschutzbehörden gewährleistet, die aktiv das Internet nach Verstößen untersuchen.

chicago-80664_640-w640

Dies entspricht jedoch noch nicht der europäischen gängigen Praxis, da Datenschutzbehörden oftmals nur auf individuelle Beschwerden hin aktiv werden. Fragt man bei nationalen Datenschutzbehörden an, ergibt sich ein sehr uneinheitliches Bild – während vereinzelt darauf hingewiesen wird, dass schlicht die Ressourcen für eine effektive Überwachung fehlen, wird anderorts die unklare Rechtslage betont, die eine Durchsetzung in der Vergangenheit unterbunden hat.

Mögliche Strafen sind jedoch bereits in den einzelnen Gesetzgebungen verankert, wie etwa bis zu 450.000 EUR im Fall der Niederlande. Die Haftung deutscher Unternehmen nach ausländischen Rechtsordnungen wird unterschiedlich beurteilt und ist eine Frage des Einzelfalls. Hier kommt es darauf an, ob das Unternehmen eine Niederlassung in dem jeweiligen Land hat oder mit einer eigenen Webseite gezielt ausländische Kunden „anspricht“.

Deutscher Standpunkt

Deutschland ist eines der wenigen Länder, das die Cookie-Richtlinie noch nicht umgesetzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abgelaufen ist.

germany-96590_640-w640

Im Januar 2012 hatte die SPD-Fraktion einen Gesetzesentwurf in den Bundestag eingebracht, der den Wortlaut der Richtlinie nahezu unverändert in das deutsche Telemediengesetz übernommen hätte und die Richtlinie damit in deutsches Recht umgesetzt hätte. Dieser Entwurf wurde von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abgelehnt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mittlerweile die Auffassung geäußert, die Richtlinie sei in Deutschland auch ohne Umsetzung in nationales Recht unmittelbar anwendbar. Demnach müssten sich deutsche Unternehmen bereits an die Richtlinie halten und ihre Webseiten entsprechen anpassen.

Diese Auffassung ist jedoch aus juristischer Sicht sehr umstritten, da eine Richtlinie für eine direkte Anwendung klar und detailliert genug sein muss. Dies ist vor allem bei dem interpretationsfähigen Begriff der Einwilligung nicht gesichert.

Außerdem scheidet eine unmittelbare Anwendung zwischen Privaten regelmäßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegenüber dem Staat auf Richtlinien berufen können (es besteht keine sog. horizontale Direktwirkung).

Do-Not-Track als Ausweg

Am Ende eines europäischen Harmonisierungsprozesses könnte eine technische Lösung stehen: In den meisten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vorgesehen. Zwar wird dies derzeit von den meisten Ländern als nicht ausreichend betrachtet, wird aber oft damit erklärt, dass derzeitige Browser-Generationen schlicht nicht in der Lage sind, die gesetzgeberischen Anforderungen zu erfüllen.

Die “Do-Not-Track”-Initiative des World Wide Web Consortium (W3C) versucht jedoch genau dies technisch machbar zu machen. Mit dieser Technologie ist es möglich, dass Nutzer beispielsweise den Einsatz von seitenübergreifenden Tracking Cookies unterbinden. In Europa zeigen sich derzeit vor allem Italien und Finnland offen gegenüber derartigen Entwicklungen. In Deutschland werden solche selbstregulatorischen Maßnahmen vor allem wegen der mangelnden internationalen Unterstützung skeptisch beurteilt (siehe z.B. Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein v. 9.10.2012 „Selbstregulierung bei Do-Not-Track gescheitert“).

europe-63026_640-w640

Fazit

Aufgrund des unspezifischen Wortlauts der Cookie-Richtlinie unterscheiden sich nationale Gesetze und Empfehlungen der einzelnen Datenschutzbehörden deutlich. Europaweit agierende Unternehmen können durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vielen Landesgesetzen herstellen, oftmals sind jedoch Besonderheiten der einzelnen Länder zu beachten, die eine Anpassung erforderlich machen. Um die Anforderungen der nationalen Datenschutzbehörden zu erfüllen, muss zunächst ein unternehmensinterner Überblick über die auf der eigenen Homepage verwendeten Cookies geschaffen werden.

Einigkeit herrscht bezüglich der Tatsache, dass Internetnutzer in einfachen, klar verständlichen Worten über den Einsatz von Cookies aufgeklärt werden müssen. Hierbei ist es oftmals erforderlich, bestehende Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls anzupassen. So können Cookies als effektive Marketingtools genutzt werden, ohne den Datenschutz außer Acht zu lassen.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website [Medien und Marken](http://www.medienundmarken.de/home.html) erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Kategorien
E-Business Rechtliches

Ein juristischer Blick auf das Leistungsschutzrecht: Viel Lärm um nichts?

Der Bundestag hat das Leistungsschutzrecht eingeführt (Bundestags-Drucksache 17/11470), der Bundesrat hat es abgesegnet, so dass das sog. Siebente Gesetz zur Änderung des Urheberrechtsgesetzes mit seiner Verkündung im Bundesgesetzblatt in Kraft treten kann. Der Bundesrat hätte zwar mit seiner Mehrheit das Gesetz nicht verhindern, es aber immerhin in den Vermittlungsausschuss überweisen und damit bis über die Bundestagswahl im September hinauszögern können, so dass es wegen des Grundsatzes der Diskontinuität nochmals auf den Weg hätte gebracht werden müssen.

recht-paragrafen

Leistungsschutzrecht: Die Netzgemeinde ist schwer getroffen

Seither herrscht in der Netzgemeinde eine gewisse Ratlosigkeit, weil man die Kraftprobe zwischen der analogen und der digitalen Welt verloren glaubt. Sicherlich, das Kräftemessen zwischen zwei grundverschiedenen Systemen, dem analogen und dem digitalen, geführt mit klassischen Mitteln der Politik, mit Einflussnahme und Lobbyismus, einerseits und den Mitteln des Netzes andererseits, konnte das Leistungsschutzrecht nicht verhindern. Schon sieht der Anführer der digitalen Bataillone, Sascha Lobo, ihren Einfluss enorm geschwächt, alles Aufbäumen gegen das geplante Gesetz habe nichts gebracht, und daher fasst er abschließend das Gewicht der Netzgemeinde zusammen: „Wirkung null wäre noch geprahlt“.

Aber ist all die Aufregung um das Leistungsschutzrecht angebracht? Werfen wir einen juristischen Blick darauf.

Leistungsschutzrecht: Wie es tatsächlich gestaltet ist

Das neue „Leistungsschutzrecht für Presseerzeugnisse“ geht über die Regelungen des Urheberrechtsgesetzes (UrhG) in seiner bisherigen Form hinaus, denn wer einen eigenen Text schreibt, etwa einen Beitrag wie diesen, wurde als Urheber bisher schon geschützt. Neu eingeführt wird nun ein „Schutz des Presseverlegers”. Es geht also nicht um den Autor, sondern um denjenigen, der dessen Text im Rahmen eines „Presseerzeugnisses” verlegt.

Was ein „Presseerzeugnis” ist, wird im neuen § 87f Abs. 2 UrhG definiert:

Ein Presseerzeugnis ist die redaktionell-technische Festlegung journalistischer Beiträge im Rahmen einer unter einem Titel auf beliebigen Trägern periodisch veröffentlichten Sammlung, die bei Würdigung der Gesamtumstände als überwiegend verlagstypisch anzusehen ist und die nicht überwiegend der Eigenwerbung dient.

Soweit, so gut. Es wird klar, dass damit nicht nur Suchmaschinen oder Nachrichtenaggregatoren gemeint sein können, sondern auch Blogs oder sogar Twitter-Accounts, wenn sie entsprechend ausgestaltet sind.

google-news
Klar im Fokus des Gesetzes: News-Aggregatoren wie Google News

Ein nicht besonders auffälliges Sätzchen im neuen § 87 f Abs. 1 UrhG legt nun in diesem Rahmen den Schutzumfang fest:

Der Hersteller eines Presseerzeugnisses (Presseverleger) hat das ausschließliche Recht, das Presseerzeugnis oder Teile hiervon zu gewerblichen Zwecken öffentlich zugänglich zu machen, es sei denn, es handelt sich um einzelne Wörter oder kleinste Textausschnitte.

Der letzte Halbsatz über die Mikrotextausschnitte wurde übrigens kurz vor Beschlussfassung hinzugefügt und wird dazu beitragen, dass sich Gerichte damit auseinanderzusetzen haben, was „kleinste Textausschnitte“ sind, aber letztlich auch dazu führen, dass die Wirkung des Gesetzes verpuffen wird, aber dazu unten mehr.

Klar wird zunächst, dass jeder, der nicht Presseverleger ist und ein „Presseerzeugnis” oder „einen Teil” davon öffentlich zugänglich macht, in das Leistungsschutzrecht eingreift und auf Unterlassung in Anspruch genommen werden kann. Öffentliches Zugänglichmachen bedeutet dabei im Sinne des § 19a UrhG,

das Werk drahtgebunden oder drahtlos der Öffentlichkeit in einer Weise zugänglich zu machen, dass es Mitgliedern der Öffentlichkeit von Orten und zu Zeiten ihrer Wahl zugänglich ist,

so dass jede öffentliche Wiedergabe im Netz davon erfasst sein wird und sharing erst einmal nicht nur caring bedeutet sondern auch fearing, weil laut Gesetzentwurf auch „Teile” geschützt sind und jeder Auszug, der noch als Teil des Presseerzeugnisses angesehen werden kann. Einzelne Wörter sind davon natürlich ausgenommen, denn das wäre doch ein wenig zu weit gesprungen gewesen, wenn sogar das einzelne Wort vom Leistungsschutzrecht umfasst würde. Ein aus mehreren Wörtern bestehender Auszug, sei es nur eine Überschrift, stellt aber jedenfalls dann schon einen geschützten Teil dar, wenn er aus einer geistreichen und den Text kennzeichnenden Wortfolge besteht.

Problematisch kann es daher künftig schon sein, die Überschrift eines Artikels zu twittern oder auf einer Facebook-Fanseite zu posten, allerdings muss noch ein Umstand hinzukommen: Es muss eine gewerbliche Nutzung vorliegen, genauer gesagt muss die Nutzung durch „gewerbliche Anbieter von Diensten (erfolgen), die Inhalte entsprechend aufbereiten“, § 87 g Abs. 4 des neuen UrhG. Wer geschützte Teile eines Texts nicht im Rahmen einer gewerblichen Nutzung verbreitet, greift also nicht in das Leistungsschutzrecht ein.

Den Tatbestand des gewerblichen Zwecks definiert die amtliche Begründung zum neuen § 87 f UrhG als „jede Zugänglichmachung, die mittelbar oder unmittelbar der Erzielung von Einnahmen dient, sowie jede Zugänglichmachung, die im Zusammenhang mit einer Erwerbstätigkeit steht“.

Eine recht weite Auffassung, die über den gewerbe- oder steuerrechtlichen Gewerbebegriff und die dort geltende Absicht, Umsatz zu generieren, hinausgeht, indem sie auch die nur mittelbare Absicht, Einnahmen zu erzielen, ausreichen lässt und damit schon ein Werbebanner potentiell die Annahme von Gewerblichkeit in sich birgt. Aber auch ein Twitter-Account, der gewerblich geführt und über den Links zu Presseerzeugnissen geteilt werden, könnte zum Problem werden, ebenso wie eine Facebook-Fanpage.

Letztlich wird zwar in konkreten Fällen eine Gesamtwertung vorgenommen werden müssen, aber wirklich guten Gewissens kann man nach Inkrafttreten des Leistungsschutzrechts niemandem raten, als Gewerbetreibender oder Freiberufler Teile von Artikel zu verbreiten, auch wenn einzelne Wörter oder „kleinste Textausschnitte” vom Schutzumfang nicht umfasst sind.

Was nämlich genau „kleinste Textausschnitte“ sind, weiß zur Zeit noch niemand, zumal der Textausschnitt sogar dann geschützt ist, wenn er kleiner ist als klein, nämlich „kleinst“, also irgendwie winzig. Genaueres werden zwar die Gerichte klären müssen, aber es wird vermutlich darauf hinauslaufen, dass es nicht nur auf die Anzahl der Wörter des betroffenen Textteils ankommen wird, sondern auch darauf, ob sie ihn prägen und gleichsam dessen Kernaussage darstellen, zumal dann, wenn es sich um besonders wohlgesetzte Worte handelt.

Die Gesetzesbegründung verweist aber auch darauf, dass die bloße Verlinkung vom Leistungsschutzrecht nicht betroffen ist und führt aus:

Der Informationsfluss im Internet wird durch die vorgeschlagene Regelung nicht beeinträchtigt. Schon im Jahre 2003 hat der Bundesgerichtshof entschieden (Urteil vom 17. Juli 2003, Az. I ZR 259/00 – „Paperboy“), dass eine bloße Verlinkung keine Verletzung des Urheberrechts ist. Dies soll auch hinsichtlich der Verletzung des neuen Leistungsschutzrechts für Presseverleger gelten. Das neue Schutzrecht ermöglicht es also nicht, eine Verlinkung zu verbieten. Für das Leistungsschutzrecht für Presseverleger sollen ferner auch die Schranken des Urheberrechts gelten, also vor allem auch die Zitierfreiheit.

Leistungsschutzrecht: ein Fazit

  • Suchmaschinen und Newsaggregatoren haben zwar keinen Anlass, über das Leistungsschutzrecht in Jubelschreie auszubrechen. Das Verlinken eines Artikels bleibt auch künftig möglich, und zwar für jeden. Das ist die gute Nachricht.
  • Die Übernahme von Informationen wird aber erschwert, so dass derjenige, der nach den oben genannten Kriterien Presserzeugnisse zu gewerblichen Zwecken verbreiten will, sei es auch nur über einen Twitter-Account oder eine FB-Fanseite, besser zweimal darüber nachdenken
    sollte. Wer über seinen Twitter-Account presseschauartig Links verbreitet, sollte jedenfalls erhöhte Vorsicht walten lassen. Im Übrigen gelten die sonst üblichen Schranken und insbesondere die Zitierfreiheit
  • Was Blogs betrifft, gilt im Grunde dasselbe: Solange sie nicht als „gewerbliche Anbieter von Diensten“ klassifiziert werden, „die Inhalte entsprechend aufbereiten“, besteht keine Gefahr. Dabei handelt es sich aber um eine Einzelfallentscheidung im konkreten Fall, so dass eher Vorsicht als Nachsicht geboten ist. .

Im Ergebnis also ist nur halb soviel Hysterie angebracht, wie gegenwärtig allerorten aufkommt, denn der Gesetzentwurf zielt ganz offenbar auf Suchmaschinenbetreiber und News-Aggregatoren, und man wird erst noch sehen müssen, wie die Verlage mit dem neuen Instrument umgehen.

Das möglicherweise wichtigste Argument gegen das Leistungsschutzrecht ist also gleichzeitig der Grund, sich nicht mehr als nötig darüber zu echauffieren: seine Wirkungslosigkeit und seine Praxisferne.

Nach viel Verwirrung wegen unklarer Definitionen und schwammiger Gesetzestexte wird sich die Aufregung schnell legen.

Auch der vermeintliche Anführer der digital Beheimateten, Sascha Lobo, kann sich also im Grunde zurücklehnen, weil sich diejenigen, die Snippets für Haustiere halten, auch nicht dafür interessieren, welche Gesetze zum Umgang damit beschlossen werden. Verloren hat also niemand, zumal dem Gesetzesentwurf kurz vor seiner abschließenden Beratung immerhin hinzugefügt wurde, dass die oben genannten „kleinsten Textausschnitte“ (Einschränkung nach Bundestags-Drucksache 17/12534) vom Leistungsschutzrecht nicht umfasst werden sollen. Es ist also sogar ein „kleinster“ Sieg, wenn man das so sagen kann.

Der Autor:

Krunoslav Kopp hat Rechtswissenschaft und Politikwissenschaft studiert. Nach dem Diplom im Fach Politikwissenschaft in Marburg und dem 1. juristischen Staatsexamen in Tübingen absolvierte er das Referendariat in Düsseldorf und legte dort 2002 das 2. juristische Staatsexamen ab.

Nach dreijähriger Tätigkeit als Referent eines Mitglieds des Europäischen Parlaments in Straßburg und Brüssel wechselte er 2005 in den Beruf des Rechtsanwalts und vertritt seither Unternehmen und Freiberufler hauptsächlich in Angelegenheiten des IT-Rechts, Medienrechts, Urheberrechts und Markenrechts. Er berät zudem bei Unternehmensgründungen, vor allem in den Bereichen IT, eCommerce, Kommunikation, Werbung, Event und Multimedia.

Auf [digitalrecht.net] befasst sich Krunoslav Kopp mit Rechtsfragen in der digitalen Gesellschaft.

Links zum Beitrag

  • Leistungsschutzrecht: Versagensangst in der Netzgemeinde | Spiegel Online
  • Gesetzentwurf der Bundesregierung (PDF) | Bundestag.de
  • Beschlussempfehlung und Bericht des Rechtsausschusses (PDF) | Bundestag.de
  • Viel Lärm um nichts | Wikipedia

(dpe)