Kategorien
E-Business Rechtliches

Apples iBeacons: Unbegrenzte Möglichkeiten oder haufenweise rechtliche Fallstricke?

Mit dem Launch von iOS 7 hat Apple vor einigen Monaten „iBeacon“ eingeführt. Besonders Einzelhändler und Marketers interessieren sich für die neue Technologie, verspricht sie doch die Chance, Online-Shopper zurück in den stationären Einzelhandel zu bringen. Den Ideen für iBeacon-basierte Geschäftsmodelle und Apps sind nahezu keine Grenzen gesetzt. Doch wo liegen die rechtlichen Grenzen?

20131228103926!Beacons-ble-module

Technischer Hintergrund

Ein iBeacon ist ein kleiner Funksender, dessen einzige Funktion im permanenten Aussenden einer aus Zahlen und Buchstaben bestehenden ID besteht. Sobald sich ein iBeacon-kompatibles Endgerät in Reichweite des Funksignals befindet, empfängt es die ID und reicht es an eine auf dem Gerät installierte App weiter, die daraufhin eine bestimmte, von der ID abhängige Aktion ausführt. Dies setzt voraus, dass die App programmiert worden ist, um auf genau dieses Signal zu reagieren. Bei den ausgelösten Aktionen kann es sich beispielsweise um das Auslösen und Anzeigen einer bestimmten Push-Mitteilung oder um die Gutschrift von Prämien handeln. Ein iBeacon kann allerdings – wie ein Radiosender – nur senden, aber keine Informationen empfangen. Aus datenschutzrechtlicher Sicht sind iBeacons daher an sich unproblematisch –rechtliche Probleme bereiten kann aber, was eine App mit den iBeacon-Signalen macht.

Wettbewerbsrecht

 Die Frage, unter welchen Voraussetzungen zu Werbezwecken eine iBeacon-basierte Push-Mitteilung auf dem Endgerät des Nutzers angezeigt werden darf, ist noch nicht gerichtlich geklärt. Nach § 7 UWG ist Werbung verboten, wenn sie eine „unzumutbare Belästigung“ des Empfängers darstellt. Werbung per SMS, MMS und E-Mail, die ohne vorherige Einwilligung des Empfängers versendet wird, wird vom Gesetz automatisch als „unzumutbare Belästigung“ angesehen. Dies wird damit begründet, dass die auf diesen Kommunikationswegen übertragenen Nachrichten typischerweise auf dem Endgerät des Nutzers gespeichert werden und dadurch Speicherplatz verbrauchen. Push-Mitteilungen sind aber nur auf den ersten Blick mit diesen Kommunikationsmitteln vergleichbar. Typischerweise werden sie nämlich nicht auf dem Endgerät gespeichert, sind also „flüchtig“. Allerdings mutet das Speicherplatz-Argument heutzutage überholt an, und für das Ausmaß der Belästigung spielt es bei lebensnaher Betrachtung keine Rolle, ob diese nun per SMS oder als Push-Mitteilung empfangen wird. Bis die Gerichte diese Frage geklärt haben, ist es daher ratsam, auch vor dem Versand von Push-Mitteilungen die Einwilligung des Empfängers einzuholen. Wichtig ist dabei, dass dem Nutzer eine einfache Möglichkeit zum Widerruf seiner Einwilligung angeboten wird – idealerweise innerhalb der App. Je nach der Gestaltung der App kann es aber auch ausreichen, den Nutzer innerhalb der App eine Anleitung zur Verfügung zu stellen, die ihm leicht verständlich erklärt, wie er die Anzeige von Push-Nachrichten in den Systemeinstellungen seines Geräts ausschalten kann.

shield-105499_640

Eine weitere wettbewerbsrechtliche Herausforderung stellt die inhaltliche Gestaltung der Push-Mitteilungen dar. So ist unter anderem das Verbot der sogenannten unsachlichen Beeinflussung von Verbrauchern zu beachten. Eine solche kann eintreten, wenn der Nutzer bei einer Kaufentscheidung einem besonderenZeitdruck unterworfen wird, ihm also beispielsweise per Push-Nachricht mitgeteilt wird, dass er nur dann in den Genuss eines besonderen Angebots kommt, wenn er es in den nächsten 10 Minuten annimmt. Wichtig ist auch das Verbot des irreführenden Verschweigens von wesentlichen Informationen sowie – wenn mit Preisangaben geworben wird – die Beachtung der Vorgaben der Preisangabeverordnung (PAngV). Da es sich bei Push-Mitteilungen um Telemediendienste handelt, müssen außerdem die Werbevorschriften des Telemediengesetzes beachtet werden. Diese verlangen unter anderem, dass Push-Werbebotschaften klar als Werbung zu erkennen sind und dass aus ihnen hervorgeht, wer Auftraggeber der Werbung ist. Noch schwieriger wird es, wenn die Push-Mitteilungen Werbung in Gestalt von Rabattgutscheinen, Prämien oder Gutscheinen enthalten. Dann müssen nämlich zugleich die Angebotsbedingungen auf klare und verständliche Weise zugänglich gemacht werden.

 Die Einhaltung dieser Vorschriften kann sich angesichts der kleinen Smartphone-Bildschirme als ziemlich kniffelig darstellen.

 Datenschutzrecht

 Die zweite Herausforderung für das iBeacon-basierte Marketing birgt das Datenschutzrecht. Es geht zum einen um die Frage, ob und ggf. wie eine Einwilligung des Nutzers eingeholt werden muss. Zum anderen ist zu klären, ob die Datenschutzerklärung der App angepasst werden muss.

 iBeacons können den Standort eines Nutzers nicht ermitteln. Insoweit unterscheidet sich die Technik von der Standortermittlung per GPS. Die per GPS ermittelten Standortdaten (Längen- und Breitengrade) sind aus sich heraus verständlich. Die Standortermittlung per iBeacon ist aber eher mit der Wi-Fi-Methode zu vergleichen. Sowohl bei der iBeacon- als auch bei der Wi-Fi-Methode werden die von den Funksendern (also den iBeacons bzw. WLAN-Zugangsstationen) ausgesendeten IDs mit einer Datenbank abgeglichen. In dieser Datenbank sind die zu den jeweiligen IDs gehörigen Standorte hinterlegt. Mittels der iBeacon-Technologie kann der Standort daher auch dann von einer App ermittelt werden, wenn der Nutzer die Ortungsfunktion für diese App in den iOS-Systemeinstellungen deaktiviert hat. Bei der Entwicklung der App ist daher unbedingt darauf zu achten, dass eine (versehentliche) Verarbeitung von Standorten über Umwege ausgeschlossen wird.

secret-205648_640

Aus Sicht der deutschen und europäischen Datenschutzbehörden dürfen Geodaten in der meisten Fällen nur mit vorheriger, ausdrücklicher Einwilligung des Nutzers erhoben und verarbeitet werden. Die Einwilligung muss freiwillig erfolgen und soll jederzeit „aus der Nutzungssituation heraus“ widerrufen werden können. Außerdem soll die Einwilligung nach einiger Zeit erneuert werden. Zumindest sollten daher Apps, die mit Standortdaten umgehen, entweder eine Opt-out-Möglichkeit innerhalb der App anbieten, oder aber es sollte – sofern die betriebssystemseitigen Opt-out-Möglichkeit benutzt werden – detailliert und verständlich (idealerweise bebildert) beschrieben werden, wie und wo der Nutzer die entsprechenden Einstellungen vornehmen kann.

Fazit

Die iBeacon-Technik hat großes Potenzial. Damit einem die rechtlichen Anforderungen keinen Strich durch die Rechnung machen, sollten diese schon in der Planungsphase der App beachtet und im Pflichtenheft festgeschrieben werden. Hierzu ist – wegen der derzeit noch unklaren Rechtslage – neben einer guten juristischen auch eine gute technische Kenntnis erforderlich. Mit dieser lassen sich dann aber auch die meisten App-Konzepte und Geschäftsmodelle ausreichend rechtskonform und zukunftssicher umsetzen. Ganz ohne eine gewisse Risikobereitschaft bei allen Beteiligten geht es zur Zeit aber noch nicht.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Kategorien
E-Business Rechtliches

Gericht bestätigt: Internetportale müssen digitale Kündigung zulassen

In einer für Internetportale aufschlussreichen Entscheidung hat das LG München festgestellt, dass die Anforderungen an eine Kündigung des Nutzungsvertrages des Portals nicht zu hoch sein dürfen. Insbesondere das Erfordernis einer schriftlichen Kündigung (per Brief oder Fax) mit Pflichtangaben sei nicht zulässig. Allgemeine Geschäftsbedingungen (AGB), die ein solches Schriftformerfordernis aufstellen, seien unwirksam. Kunden und Nutzer dürfen vielmehr auch in digitaler Form, also per E-Mail kündigen.

Gerechtigkeit

Der Sachverhalt

In dem besagten Fall vor dem LG München verwendete ein Online-Dating-Portal folgende Klausel in den AGB:

„Die Kündigung bedarf zu ihrer Wirksamkeit der Schriftform. Die elektronische Form ist ausgeschlossen. Die Übersendung per Fax genügt. Die Kündigung muss Benutzername, Kundennummer, Transaktions- bzw. Vorgangsnummer enthalten.“

Eine Anmeldung bzw. Registrierung auf dem Portal war demgegenüber für jeden Nutzer ganz einfach online möglich. Zum Vertragsschluss kam es somit elektronisch. Gegen die Verwendung dieser Klausel klagte erfolgreich die Verbraucherzentrale Bundesverband e.V (vzbv).

Rechtliche Bewertung des LG München: Wer den Vertragsschluss digital anbietet, muss so auch die Kündigung akzeptieren

Das LG München sah in dem Schriftformerfordernis eine unangemessene Benachteiligung für den Nutzer. Wer seinen Nutzern einen elektronischen Vertragsschluss anbiete, müsse auch eine entsprechende Kündigung akzeptieren. Eine Kündigung per E-Mail sei somit zulässig und die Klausel in den AGB unwirksam.

Des Weiteren stufte das LG München die Pflichtangaben als eine unangemessene Benachteiligung gemäß § 309 Nr. 13 BGB ein. Der Nutzer verstehe die Klausel insoweit, dass die Angabe bestimmter Daten für die Wirksamkeit der Kündigung erforderlich sei. Auf diese Weise werde eine Kündigung unverhältnismäßig erschwert, was nicht zulässig sei.

Fazit

Das Urteil ist bislang noch nicht rechtskräftig, es verfestigt sich jedoch weiterhin eine verbraucherfreundliche Rechtsprechung. In vielen AGB von Internetportalen lassen sich dessen ungeachtet noch immer besondere Schriftformerfordernisse oder die Pflicht zur Angabe bestimmter Daten bzgl. der Kündigung finden. Es muss insofern empfohlen werden, die eigenen AGB zu überprüfen und diese ggf. entsprechend der Vorgaben des LG München anzupassen.

Verbraucherverbände klagen regelmäßig gegen solche Rechtsverstöße in AGB und diese Verfahren werden öffentlich. Auf diese Weise kann ein erheblicher Imageschaden drohen. Eine Anpassung der AGB ist somit nicht nur im Sinne der Verbraucher, sondern auch für die Betreiber der Internetportale von besonderer Bedeutung.  

Weiterführende Links

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Kategorien
E-Business SEO & Online-Marketing

Was tun gegen schlechte Bewertungen? – Modernes Empfehlungsmarketing und seine Grenzen

Bewertungs- und Empfehlungsplattformen gewinnen für das Online-Marketing immer mehr an Bedeutung. Durch die zunehmende Verbreitung und Integration von mobiler Internetnutzung und Location-based Services trifft diese Form des Empfehlungsmarketings den Nerv der Zeit und bietet gerade auch kleineren und mittelständischen Unternehmen gute Chancen zur Neukundengewinnung. Zusätzliche Relevanz erfahren die Bewertungsplattformen dadurch, dass Online-Bewertungen von Suchmaschinen wie Google beim Ranking berücksichtigt werden. Für viele Unternehmen ist die Notwendigkeit guter Online-Bewertungen daher groß, denn schlechte Bewertungen sind schlecht fürs Geschäft – nicht nur in finanzieller Hinsicht.  

pepperoni-273982_640

Die Frage, was sich Unternehmen im Einzelfall gefallen lassen müssen und was nicht, ist aus rechtlicher Sicht oft schwierig zu beantworten. Am häufigsten wird darüber gestritten, ob einzelne Bewertungen den Tatbestand der Kreditgefährdung oder Verleumdung erfüllen, z.B. durch Fake-Bewertungen von Konkurrenten. Um Beleidigungen geht es im Unternehmensbereich eher selten. Zunehmend steht – wie der Fall „Yelp“ zeigt – auch die Haftung der Plattformbetreiber selbst im Fokus.

Grundsatz: Unternehmen dürfen bewertet werden

Unternehmen müssen es in den allermeisten Fällen dulden, dass sie online auf Yelp & Co. bewertet werden. Das OLG Hamburg hat im Jahr 2012 über die Klage eines Berliner Hotels entscheiden, das erreichen wollte, vollständig aus einer Reisebewertungsplattform entfernt zu werden. Der Grund: Umsatzeinbußen wegen – aus Sicht des Hotels – unsachlicher anonymer Bewertungen.

Die Richter entschieden zugunsten der Bewertungsplattform. Deren Geschäftsmodell stehe nämlich unter dem Schutz der Meinungsfreiheit. Der Umstand, dass die Bewertungen anonym abgegeben werden können, spiele keine Rolle – die Meinungsfreiheit gilt auch für Unbekannte. Das Hotel könne von der Bewertungsplattform allenfalls verlangen, dass einzelne beleidigende oder nachweislich falsche Bewertungen, etwa von Konkurrenten (Fake-Bewertungen), gelöscht werden, da diese nicht unter dem Schutz der Meinungsfreiheit stehen. Unternehmen hätten jedoch kein Recht darauf, auf Bewertungsplattformen überhaupt nicht bewertet zu werden, da das Informationsinteresse der Öffentlichkeit überwiege – selbst wenn die Bewertungen überzogen und pointiert formuliert sind.

evenwachten
(Bildquelle: Waag Society auf Flickr | Lizenz: Creative Commons BY-SA)

Vorgehen gegen die Verfasser einer rechtswidrigen Bewertung theoretisch möglich

Oft sind die Verfasser einer rechtswidrigen Bewertung unbekannt. Auskunftsansprüche gegen den Plattformbetreiber bestehen in den meisten Fällen aus datenschutzrechtlichen Gründen aber nicht. Doch selbst wenn ein Recht auf Auskunft besteht, geht dieses oft ins Leere, da kaum ein Bewertungsportal die Identität ihrer Nutzer überprüft.

Nachrangig, aber eher erfolgreich: Haftung der Plattformbetreiber

Wenn dem betroffenen Unternehmen somit – wie in den meisten Fällen – die Identität des Verfassers einer rechtswidrigen Bewertung verborgen bleibt, bleibt ihm nur die Möglichkeit, gegen den Betreiber der Bewertungsplattform als sogenannter „Störer“ vorzugehen. Denn in Deutschland ist es – anders als z.B. in den USA – nicht möglich, Verfahren gegen Unbekannte zu führen.

In der Regel sind Bewertungsplattformen nicht verpflichtet, jede Bewertung zu überprüfen. Dies würde deren legitimes Geschäftsmodell unangemessen erschweren, wenn nicht unmöglich machen, da eine automatisierte inhaltliche Überprüfung aller Bewertungen technisch (noch) nicht machbar ist. Eine Pflicht zur Überprüfung entsteht für die Plattformbetreiber daher erst dann, wenn sie auf eine mögliche Rechtsverletzung hingewiesen werden. Die fraglichen Bewertungen müssen von den Plattformbetreibern daraufhin sofort überprüft – typischerweise durch Nachfragen beim Verfasser – und dann gegebenenfalls gelöscht werden.

Viele Plattformbetreiber stellen hierfür spezielle Formulare oder Ansprechpartner bereit. Die Praxis zeigt aber, dass derartige Beschwerden häufig nicht zum gewünschten Erfolg führen.

Am zweckmäßigsten ist dann meist die förmliche Abmahnung des Plattformbetreibers, also die genaue Beschreibung der beanstandeten Bewertung und die Androhung gerichtlicher Schritte. Die Erfahrung zeigt, dass die Plattformbetreiber häufig einlenken, wenn die Abmahnung die Rechtswidrigkeit der streitigen Bewertung überzeugend darlegt.

brussels-231056_640

Was tun, wenn man nicht aus den Bewertungen raus will? Der Fall „Yelp“

In letzter Zeit macht in Deutschland vor allem die Bewertungsplattform „Yelp“ Schlagzeilen. Das US-Unternehmen hatte im Jahr 2012 die deutsche Bewertungsplattform Qype gekauft und zum 30. November 2013 geschlossen. Im Zuge der Integration der deutschen Qype-Bewertungen in seine Datenbanken hat Yelp jedoch zahlreiche Bewertungen deutscher Unternehmen herausgefiltert. Dies führte dazu, dass die betroffenen Unternehmen nun eine deutlich schlechtere Gesamtbewertung erhalten, weil positive Bewertungen zwar noch angezeigt, aber nicht mehr für die Gesamtbewertung berücksichtigt werden. Viele Unternehmen zogen daraufhin vor Gericht – mit Erfolg. Die Richter entschieden, dass es unzulässig sei, eine Gesamtbewertung anzuzeigen, wenn nicht klar ist, auf Grundlage welcher Bewertungen sie ermittelt worden ist.

Fazit

Bewertungsplattformen sind sinnvoll und werden auch in Zukunft eher nicht an Bedeutung verlieren. Die rechtlichen Fragen im Bereich des Empfehlungsmarketings durch Bewertungsplattformen sind jedoch kompliziert. Es handelt sich häufig um juristisches „Neuland“, so dass bis zur Klärung der Rechtslage durch die Gerichte noch einige Zeit vergehen dürfte. Bis dahin sind Unternehmen jedoch nicht schutzlos gestellt.

Mit der richtigen Strategie stehen die Chancen gut, erfolgreich gegen rechtswidrige oder unfaire Bewertungen vorzugehen. Daher wird es auch für die Anbieter von Bewertungsplattformen immer wichtiger, sich Klarheit über die rechtlichen Risiken ihres Geschäftsmodells zu verschaffen. 

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(dpe)

Kategorien
E-Business Rechtliches

Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?

Das sogenannte „Tracking“ von Userverhalten ist schon seit langem ein lukratives Geschäft für viele Unternehmen, besonders im Bereich des E-Business. Denn anhand der gewonnenen Informationen könnten passgenaue Profile der Internetnutzer ausgearbeitet und interessengerechte Werbung ausgesteuert werden. Bisher basierte das Tracking in erster Linie auf Cookies, die auf dem Endgerät des Users gespeichert werden. Doch immer
beliebter werden die sogenannten „Webbrowser Fingerprints“, die auch zum Internettracking verwendet werden können.

dirt-88534_640

Was sind Browser Fingerprints?

Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.

Grundlagen des Trackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden. Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So können mehrere rechtliche Fragen gestellt werden: Ist Datenschutzrecht überhaupt anwendbar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Weiter gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

detektiv

Anwendbarkeit des Datenschutzrechts

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterfallen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die „hinter“ dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte. Eine Zuordnung ist – wenn überhaupt – nur dann möglich, wenn Zusatzinformationen vorhanden sind, oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- sollte keine vorherige Einwilligung vorliegen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

§ 15 TMG Nutzungsdaten 

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 

(2) (…) 

Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist.

Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist,verantwortliche Stelle sein.

Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen. Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle. Einige vertreten noch die Ansicht, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden.

Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

crowd-sourcing-154759_640

Fazit: Zulässiges Tracking, soweit hinreichend anonymisiert

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.

Dies ist sehr zu begrüßen, denn das anonymisierte Internettracking stellt insbesondere für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Für die ISiCO Datenschutz GmbH verantwortet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Kategorien
E-Business Rechtliches

Das Leistungsschutzrecht und seine Auswirkungen für die Praxis

Am 01.08.2013 ist das „Achte Gesetz zur Änderung des Urheberrechtsgesetzes“, besser bekannt als Leistungsschutzrecht für Presseverleger, in Kraft getreten. Danach dürfen gewerbliche Suchmaschinenanbieter (wie etwa Google und Yahoo) und Nachrichten-Aggregatoren (wie etwa Rivva, 10000flies u.a.) künftig nur noch "einzelne Wörter oder kleinste Textausschnitte" aus aktuellen Presseinhalten in Snippets oder Vorschauen anzeigen.

paper-71543_640
Nur noch Schnipsel erlaubt?

Zum neuen Gesetz und den Ausnahmebestimmungen

Der neu in das Gesetz eingefügte § 87f Urhebergesetz (UrhG) lautet im ersten Absatz wie folgt:

„Der Hersteller eines Presseerzeugnisses (Presseverleger) hat das ausschließliche Recht, das Presseerzeugnis oder Teile hiervon zu gewerblichen Zwecken öffentlich zugänglich zu machen, es sei denn, es handelt sich um einzelne Wörter oder kleinste Textausschnitte. Ist das Presseerzeugnis in einem Unternehmen hergestellt worden, so gilt der Inhaber des Unternehmens als Hersteller.“

Das Leistungsschutzrecht für Presseverleger ist insbesondere auf Drängen der Zeitschriftenverlage 2009 in den Koalitionsvertrag der schwarz-gelben Bundesregierung aufgenommen worden. Es dauerte aufgrund der anhaltenden Debatten um die Notwendigkeit eines solchen Rechts jedoch bis 2012, ehe die Bundesregierung einen ersten Gesetzentwurf vorlegte. Dieser ist insbesondere im Hinblick auf die vorgesehenen Ausnahmebestimmungen (§ 87g Abs. 4 UrhG) heftig kritisiert worden, da unter anderem Blogger befürchteten, auch vom Leistungsschutzrecht betroffen zu sein. Die Bundesregierung besserte daraufhin den Entwurf mehrfach nach.

In der jetzt verabschiedeten Fassung des § 87g Abs. 4 UrhG heißt es:

„Zulässig ist die öffentliche Zugänglichmachung von Presseerzeugnissen oder Teilen hiervon, soweit sie nicht durch gewerbliche Anbieter von Suchmaschinen oder gewerbliche Anbieter von Diensten erfolgt, die Inhalte entsprechend aufbereiten. […]“

Damit scheint klar, dass das Gesetz in erster Linie Suchmaschinen wie Google und Nachrichten-Aggregatoren wie Rivva treffen soll. Aber was genau heißt das nun für die Praxis?

auto-11439_640
Geschützt sind Presseerzeugnisse, nicht Presserzeugnisse…

Ausschnitte aus Presseerzeugnissen sind geschützt

Klar ist nach dem neuen Gesetz, dass in Zukunft auch Ausschnitte aus Presseerzeugnissen geschützt sind, und zwar unabhängig vom sonstigen urheberrechtlichen Schutz als sogenanntes Sprachwerk. Dieser besondere Leistungsschutz soll für den Zeitraum von einem Jahr nach Veröffentlichung des Presseerzeugnisses gelten. Danach erlischt das Leistungsschutzrecht (§ 87g Abs. 2 UrhG). Dies heißt, Presseverleger können für die Nutzung der Textausschnitte prinzipiell Lizenzgebühren fordern oder verlangen, dass die Nutzung unterlassen wird.

Schlagzeile „Bayern schlägt Schalke“ weiterhin erlaubt

Ausgenommen sind nach der jetzigen Fassung jedoch „einzelne Wörter oder kleinste Textausschnitte“. Diese Ausnahme ist „in letzter Minute“ auf Empfehlung des Rechtsausschusses eingefügt worden. Die Begründung hierfür scheint skurril: Sollte das Gesetz zunächst gerade und insbesondere Suchmaschinenbetreiber treffen, wurde die Ausnahme für „einzelne Wörter oder kleinste Textausschnitte“ eingefügt, damit „Suchmaschinen und Aggregatoren ihre Suchergebnisse kurz bezeichnen können, ohne gegen Rechte der Rechteinhaber zu verstoßen […]". Nach der Begründung des Gesetzgebers sollen vor allem einzelne Schlagzeilen, wie zum Beispiel „Bayern schlägt Schalke“, nicht unter das Schutzgut des Leistungsschutzrechtes fallen.

Wo aber verläuft die Grenze zwischen der zulässigen Benutzung „kleinster Textausschnitte“ und der lizenzpflichtigen Verwertung von Ausschnitten aus Presseerzeugnissen?

Aus der Gesetzesbegründung selbst lassen sich hierzu keine verlässlichen Angaben herleiten. Allein der Hinweis, dass Überschriften wie „Bayern schlägt Schalke“ nicht erfasst sein sollen, lässt jedenfalls nicht den Schluss zu, dass nun etwa Überschriften oder Ausschnitte von drei Wörtern frei sein sollen. Eine solch konkrete Festlegung hat der Gesetzgeber gerade nicht getroffen. Es werden daher zukünftig die Gerichte zu entscheiden haben, wo genau die Grenze zwischen zu- und unzulässiger Benutzung verläuft.

Urheberrechtlicher Schutz weiterhin maßgeblich

Bereits in der Vergangenheit mussten sich die Gerichte mit der Frage auseinandersetzen, ob und wann Texte als Sprachwerk urheberrechtlichen Schutz genießen. So hat zum Beispiel der Europäische Gerichthof (EuGH) bereits 2009 entschieden, dass auch die Entnahme von elf zusammenhängenden Wörtern aus einem Text eine unzulässige Vervielfältigungshandlung darstellen kann. Das Gericht stellte hierbei jedoch auch klar, dass dies nur dann der Fall ist, wenn der Text die notwendige urheberrechtliche Schöpfungshöhe mit sich bringt. Das heißt, Alltagsformulierungen sind davon in der Regel nicht umfasst. Die Mehrzahl von Presseartikeln ist allerdings urheberrechtlich geschützt, zumindest wenn sie sich nicht in der bloßen Aufzählung von Fakten erschöpfen.

wrestling-90897_640
Hier wie im Leistungsschutzrecht, der Richter muss es richten…

Fazit

Insgesamt ist mit Blick auf das neu eingefügte Leistungsschutzrecht für Presseverleger eines klar: Für die meisten User ändert sich nur wenig! Denn das neu geschaffene Recht betrifft nur Suchmaschinenanbieter und gewerbliche News-Aggregatoren, und der Anwendungsbereich des Gesetzes ist sehr eng gefasst.

Kleinste Textausschnitte sind vom Leistungsschutzrecht ausgenommen. Darüber hinausgehende Textausschnitte sind oft ohnehin bereits als Sprachwerk urheberrechtlich geschützt. In diesem Fall ist eine ausschnittsweise Verwertung nur mit Zustimmung oder in den gesetzlich geregelten Fällen (Privatkopie, Pressespiegel, etc.) möglich.

Der Autor

Jan O. Baier ist Partner im Berliner Büro der Kanzlei SCHÜRMANN WOLSCHENDORF DREYER. Als Fachanwalt für Urheber- und Medienrecht berät er nationale und internationale Unternehmen aus klassischen und aus relativen jungen Branchen wie den Bereichen E-Commerce, IT, Games und IPTV umfassend im Urheber- und Medienrecht sowie im Wettbewerbs-, Marken-, IT- und Datenschutzrecht.

Vor seiner Tätigkeit als Rechtsanwalt war Jan O. Baier bereits als Justitiar im Telekommunikationssektor sowie mehrere Jahre im TV-Lizenzgeschäft tätig.

(dpe)

Kategorien
E-Business Rechtliches

Rechtliche Herausforderungen für Start-ups: Die Wahl der „richtigen“ Gesellschaftsform

Im heutigen Teil unserer Serie zu Start-ups geht es um eine zentrale Weichenstellung: Die Wahl der „richtigen“ Gesellschaftsform. „Richtig“ steht hier in Anführungszeichen, weil sich die Rechtsformfrage nicht eindeutig oder endgültig beantworten lässt. Jede Rechtsform hat Vor- und Nachteile. Die gegeneinander abzuwägenden Faktoren sind ebenso vielfältig wie die Start-up-Szene. Sie hängen nicht nur vom jeweiligen Businessplan ab, sondern auch von „weichen“ Faktoren wie Geschäftserfahrung, Risikobereitschaft und gegenseitigem Vertrauen der Gründer. Auch sollte bedacht werden, dass die einmal gewählte Rechtsform des Start-ups nicht in Stein gemeißelt ist. Ein späterer (und aufgrund der Unternehmensentwicklung oft auch notwendiger) Rechtsformwechsel kann aber schnell kompliziert und teuer werden, wenn er nicht bereits bei der „Grundsteinlegung“ des Start-ups in den Blick genommen worden ist.

hierarchy-96186_640

Die Konsequenzen der Rechtsformwahl sind weitreichend. Von der Rechtsform hängt es zum Beispiel ab, in welchem Verhältnis die Gründer zueinander stehen, wer die Geschäftsführung übernimmt, wer in welchem Umfang haftet, wie Kapital beschafft werden kann und welche Exit-Möglichkeiten bestehen. Daher ist es anzuraten, möglichst frühzeitig – spätestens aber, wenn das operative Geschäft aufgenommen wird – auf Grundlage einer einzelfallbezogenen Analyse zu ermitteln, welche Rechtsform die „richtige“ ist. Erfahrungsgemäß interessieren sich Start-ups im Rahmen einer solchen Analyse besonders für zwei Aspekte: Zum einen den „Convenience-Faktor“, also die Frage des Handlings etwa in Bezug auf Kosten, administrativen Aufwand und Beteiligungs- und Exit-Möglichkeiten. Zum anderen ist natürlich die Frage nach den persönlichen Haftungsrisiken von großer Bedeutung, da bekanntlich eine Vielzahl von Start-ups nicht zuletzt aus finanziellen Gründen scheitert.

Welche Gesellschaftsarten kommen in Frage?

Es gibt Personengesellschaften und Kapitalgesellschaften. Typische Personengesellschaften sind die Gesellschaft bürgerlichen Rechts (GbR), die offene Handelsgesellschaft (oHG) und die Kommanditgesellschaft (KG). Kapitalgesellschaften sind zum Beispiel die GmbH, die „Unternehmergesellschaft (haftungsbeschränkt)“ und die Aktiengesellschaft (AG). Daneben gibt es Mischformen wie die GmbH & Co. KG.

Personengesellschaften haben keine eigenständige Rechtspersönlichkeit. Sie sind „nur“ eine Gemeinschaft von Einzelpersonen. Eine Personengesellschaft kann daher kein eigenes Vermögen besitzen. Gläubiger einer Personengesellschaft können ihre Forderungen deswegen nicht nur bei der Gesellschaft selbst, sondern nach Belieben auch bei jedem einzelnen Gesellschafter geltend machen. Jeder einzelne Gesellschafter haftet nach außen also direkt und vor allem unbeschränkt mit seinem gesamten Privatvermögen für Forderungen gegen die Gesellschaft.

Dieses Risiko besteht bei Kapitalgesellschaften grundsätzlich nicht. Diese sind nämlich im rechtlichen Sinne eigene Persönlichkeiten, werden also wie Einzelpersonen behandelt. Folglich kann die Kapitalgesellschaft – genauso wie eine Einzelperson – eigenes Vermögen besitzen. Daher haftet die Kapitalgesellschaft auch mit ihrem gesamten (Gesellschafts-)Vermögen für ihre Verbindlichkeiten. Aus diesem Grund muss zur Gründung Stammkapital aufgebracht werden. Im Gegenzug ist eine zusätzliche persönliche Inanspruchnahme der Gesellschafter der Kapitalgesellschaft in der Regel ausgeschlossen, die Haftung ist also „beschränkt“.

Die GbR als Standardlösung

Die meisten Start-ups beginnen als GbR. Die Gründung einer GbR erfolgt häufig unbemerkt: Es braucht nur mindestens zwei Personen, die eine gemeinsame Geschäftsidee haben und mit deren Umsetzung beginnen. Dies ist beispielsweise bereits dann der Fall, wenn ein Businessplan entwickelt wird oder eine Domain registriert wird. Ein ausdrücklicher oder schriftlicher Gründungsakt ist nicht erforderlich – die GbR entsteht also automatisch, sobald die vorgenannten Voraussetzungen erfüllt sind. Eine solche formlose Gründung ist jedoch nicht zu empfehlen, da die GbR erfahrungsgemäß die meisten Streitigkeiten mit sich bringt. Darum sollte möglichst ein „maßgeschneiderter“ schriftlicher Gesellschaftsvertrag geschlossen werden, der Regelungen zu den kritischen Fragen etwa der Geschäftsführung, Finanzierung und Insolvenz enthält.

In vielen Fällen ist die GbR – nicht nur wegen ihrer einfachen Gründung – eine empfehlenswerte Gesellschaftsform. Für die meisten Start-ups überwiegen jedoch die Risiken und Nachteile. Vor allem die Gefahr der persönlichen Haftung sollte nicht unterschätzt werden, auch dann nicht, wenn kaum oder in nur geringem Umfang Verträge mit Dritten geschlossen werden.

Stets besteht nämlich die Gefahr von Schadensersatzansprüchen und Bußgeldern gegen die GbR – etwa bei Abmahnungen wegen wettbewerbswidriger Werbung, nicht rechtskonformen Websites, bei Datenschutzverletzungen oder wenn das Start-up in Schwierigkeiten steckt und seine Zusagen gegenüber Dritten nicht erfüllen kann.

Weiterhin gestaltet sich das IP-Management bei der GbR schwierig. Zwar kann die GbR Rechte erwerben (z. B. an einer Marke, Domain oder urheberrechtlichen Nutzungsrechten). Faktisch stehen diese Rechte aber nicht im Eigentum der GbR, sondern im gemeinsamen Eigentum der Gesellschafter. Dies kann – besonders nach einem Streit – zu komplizierten Verhandlungen im Falle des Ausscheidens eines Gesellschafters führen und macht das Unternehmen für Investoren und VC-Geber unattraktiv.

Auch stellen die fehlenden Form- und Buchführungsvorschriften der GbR ein Risiko für Kapitalgeber dar, da diese sich im Zweifel auf die subjektiven Aussagen der (oft wenig geschäftserfahrenen) Gesellschafter verlassen müssen. Eine Beteiligung von Investoren oder VC-Gebern an der GbR ist in der Regel nicht gewünscht, da diese als Mit-Gesellschafter den gleichen Haftungsrisiken wie die übrigen Gesellschafter unterliegen würden.

man-76196_640

Kapitalgesellschaften sind für Start-ups in der Regel die bessere Wahl!

Für die meisten Start-ups ist es daher empfehlenswert, entweder direkt eine Kapitalgesellschaft zu gründen oder so schnell wie möglich in eine solche zu wechseln. Je länger mit einem Wechsel von einer Personengesellschaft zu einer Kapitalgesellschaft gewartet wird, desto komplizierter und teurer wird er. Sobald der Geschäftsbetrieb einen gewissen Umfang erreicht und eine kaufmännische Einrichtung erfordert, ist der Wechsel aus der GbR aus gesetzlichen Gründen ohnehin zwingend, so dass gilt: Besser früh als zu spät.

GmbH

Die GmbH ist wahrscheinlich die bekannteste deutsche Kapitalgesellschaft. Ihr Gründungsaufwand ist gering. Für Start-ups ist die GmbH in der Regel die beste (und selten die falsche) Wahl. Oft schreckt unerfahrene Gründer das aufzubringende Mindeststammkapital  von 25.000 € ab. Bei genauerem Hinsehen handelt es sich dabei aber nur scheinbar um ein Hindernis. So ist bei der Gründung zunächst nur die Hälfte, also 12.500 €, aufzubringen. Das Geld ist auch nicht, wie etwa eine Mietkaution, „verloren“. Das Stammkapital ist dazu da, um mit ihm zu arbeiten, es auszugeben. Da eine ernsthafte Unternehmensgründung oft ohnehin gewisse Ausgaben erfordert (Gehälter, Büroausstattung, Mietzahlungen, Werbemaßnahmen etc.), sollte die Aufbringung des Stammkapitals in vielen Fällen keine allzu große Hürde sein.

Zur Gründung der GmbH muss ein schriftlicher Gesellschaftsvertrag geschlossen und vom Notar beurkundet werden. Für die Beurkundung fallen Kosten von etwa 500 € an. Zusätzlich kommen noch die Kosten für die Erstellung eines maßgeschneiderten Gesellschaftsvertrages hinzu, der mit Hilfe eines erfahrenen Anwalts erstellt werden sollte. Zwar lässt sich Geld sparen, indem auf Standard- oder Musterverträge zurückgegriffen wird. Erfahrungsgemäß werden diese aber den besonderen Bedürfnissen von Start-ups, etwa im Hinblick auf die Kapitalbeschaffung, nicht gerecht. Da ein guter Gesellschaftsvertrag eine zentrale Voraussetzung für die günstige Unternehmensentwicklung ist, sollte hier also nicht an der falschen Stelle gespart werden.

Die Vorteile der GmbH gegenüber der GbR liegen auf der Hand. Die GmbH kann, da sie eine eigenständige Rechtsperson ist, selbst und unabhängig von den Gesellschaftern geistiges und sonstiges Eigentum erwerben. Dies macht sie von personellen Änderungen unabhängig und erleichtert die Verhandlungen mit Investoren. Die Buchführungspflichten und die gesetzlich vorgeschriebene funktionale Organisation der GmbH (Stichwort: Geschäftsführerbestellung) mögen zwar auf den ersten Blick einer „Start-up-Atmosphäre“ abträglich sein. Letztlich hängt diese aber vor allem von der individuellen Unternehmenskultur ab. Auch erleichtert die GmbH die Gestaltung von Beteiligungs- und Exit-Möglichkeiten erheblich. Nicht zuletzt spricht für die Gründung einer GmbH die Beschränkung der Haftung auf das Gesellschaftsvermögen – ein Rückgriff auf das Privatvermögen der Gesellschafter erfolgt daher nicht.

Unternehmergesellschaft (haftungsbeschränkt)

Eine Sonderform der GmbH ist die „Unternehmergesellschaft (haftungsbeschränkt)“. Sie soll den Schritt zur GmbH erleichtern und ist als eine Art „Zwischenschritt“ gedacht. Sie ist das deutsche Pendant zur britischen Limited, die damit in den meisten Fällen für deutsche Start-ups überflüssig geworden ist. Die Gründung der UG verläuft ähnlich wie bei einer GmbH, insbesondere bedarf es auch hier eines schriftlichen und notariell beurkundeten Gesellschaftsvertrages.

Wie bei der GmbH ist auch die UG eine eigene Rechtsperson, sie kann also eigenes Eigentum erwerben und die persönliche Haftung der Gesellschafter ist ausgeschlossen. Der wesentliche Unterschied zur GmbH liegt darin, dass die Gründung bereits mit einem Kapital von lediglich 1 € erfolgen kann. Dieser Vorteil ist jedoch nur theoretischer Natur, da ein Unternehmen mit einem Vermögen von nur 1 € handlungsunfähig ist. Wenn jedoch nur ein Kapital von deutlich unter 25.000 € aufgebracht werden kann bzw. benötigt wird (z. B. 3.000 € für eine 1-Mann-UG), ist die UG eine interessante Alternative zur GmbH.

Von Gesetzes wegen ist die UG jedoch kein Dauerzustand, denn es besteht die Verpflichtung, nicht den kompletten Jahresgewinn an die Gesellschafter auszuschütten. Statt dessen ist eine Rücklage zu bilden, die ¼ des Jahresüberschusses betragen muss. Sobald auf diese Weise 25.000 € zusammengekommen sind, kann dann aus dieser Rücklage das Stammkapital für die GmbH gebildet werden. Die UG kann also den Einstieg ins Geschäftsleben und die spätere Umwandlung in eine „echte“ GmbH erheblich erleichtern.

Zu bedenken ist allerdings, dass die im sperrigen Firmenzusatz offen zur Schau getragene Unterkapitalisierung der UG unter Umständen unseriös wirken kann.

GmbH & Co. KG

In einigen Fällen ist die GmbH & Co. KG eine interessante Alternative für Start-ups. Diese Gesellschaftsform vereint die Vorteile einer Personengesellschaft (Kommanditgesellschaft) mit denen einer Kapitalgesellschaft (GmbH). Nach außen handelt es sich um eine Kommanditgesellschaft (KG).

Eine KG ist eine besondere Form der Personengesellschaft, da es dort zwei verschiedene Arten von Gesellschaftern gibt: Komplementäre und Kommanditisten. Nur der Komplementär, der auch die Geschäfte führt, haftet unbeschränkt mit seinem Vermögen für Verbindlichkeiten der Gesellschaft. Kommanditisten hingegen können sich vergleichsweise unkompliziert mit einer „Einlage“, also zum Beispiel ein VC-Geber mit einem bestimmten Geldbetrag, an der Gesellschaft beteiligen. Die Haftung des Kommanditisten ist auf die Höhe seiner Einlage beschränkt.

Indem eine GmbH als Komplementär eingesetzt wird, wird dessen an sich unbeschränkte Haftung auf das Vermögen der GmbH beschränkt. Auf diese Weise können sich die Gründer als Geschäftsführer der Komplementärs-GmbH, die zugleich die Geschäfte der KG führt, eine große Kontrolle über das Unternehmen bewahren und gleichzeitig durch Aufnahme von Kommanditisten unkompliziert Kapital beschaffen.

Diese Vorteile werden allerdings durch einen doppelten administrativen und Gründungsaufwand erkauft. Die GmbH & Co. KG ist daher in der Regel nur etwas für „Fortgeschrittene“, die auf häufig wechselnde Geldgeber angewiesen sind.

Societas Europaea (Europäische Aktiengesellschaft)

Auch wenn die Societas Europaea (SE) nur etwas für Fortgeschrittene ist, interessieren sich in letzter Zeit viele Start-ups für diese Gesellschaftsform. Tatsächlich ist die SE in bestimmten Fällen eine interessante Möglichkeit für Start-ups. In der EU gibt es derzeit etwa 1900 SEs (ca. 290 mit Sitz in Deutschland), wobei etwa die Hälfte weniger als 5 Angestellte hat. SEs sind also nicht nur etwas für große Unternehmen. Interessant ist, dass von den ca. 290 deutschen SEs in Deutschland etwa 180 ihren Sitz in Berlin haben. Unter ihnen finden sich überdurchschnittlich viele Start-ups.

Die SE bietet alle Vorteile der klassischen nationalen AG. Anteile sind also leicht und billig übertragbar, was die Kapitalbeschaffung erleichtert. Darüber hinaus kann eine SE – anders als eine nationale Aktiengesellschaft – ihren Sitz innerhalb der EU frei verlegen und in allen EU-Ländern Büros eröffnen. Es müssen also keine Tochtergesellschaften in den einzelnen Ländern errichtet werden.

Das Gesetz sieht vier verschiedene Varianten zur Gründung der SE vor: So kann durch Gründung einer neuen Holding-SE ein europäisches „Dach“ für bestehende nationale Kapitalgesellschaften geschaffen werden. Es können aber auch zwei nationale Gesellschaften zu einer einzigen SE „verschmolzen“ oder eine nationale AG in eine SE umgewandelt werden. Und schließlich können zwei nationale Kapitalgesellschaften eine gemeinsame Tochter-SE gründen.

Welche Varianten sinnvollerweise in Frage kommen, hängt vom Einzelfall und insbesondere auch von den Ausgangsgesellschaftsformen (etwa GmbH oder AG) ab. Immer ist aber eine (bereits bestehende) grenzüberschreitende Tätigkeit erforderlich. Darüber hinaus muss ein Mindestkapital von 120.000 € aufgebracht werden und der Gründungs- und administrative Aufwand ist – wie bei allen Aktiengesellschaften – groß.

euro-76016_640

Fazit

Die Wahl der passenden Gesellschaftsform sollte vor Aufnahme des operativen Geschäfts und mit Bedacht erfolgen, da die Konsequenzen der Entscheidung weitreichend sind. Jede Gesellschaftsform hat Vor- und Nachteile, die auf Grundlage einer einzelfallbezogenen Analyse gegeneinander abzuwägen sind. Neben dem Businessplan spielen dabei auch Faktoren wie die Geschäftserfahrung und das persönliche Verhältnis der Gründer zueinander eine wichtige Rolle.

Auch wenn für die meisten jungen Start-ups nach unserer Erfahrung die GmbH oder –­ als Zwischenschritt ­– die UG (haftungsbeschränkt) die „richtige“ Rechtsform ist, sollten Sie sich vor und während der Gründung beraten lassen. Dies gilt nicht nur für die Rechtsformwahl und die Gestaltung von Gesellschaftsverträgen, sondern auch für den – für unerfahrene Gründer oft schwierigen – Umgang mit Behörden und Kapitalgebern.

Über die Autorin

Simone Rosenthal ist seit 2007 als Rechtsanwältin in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät mittelständische Unternehmen in Fragen des Handels- und Gesellschaftsrechts. Ihr Schwerpunkt liegt insbesondere in der Gestaltung nationaler und internationaler Verträge im Bereich des Handels- und Vertriebsrechts und des Geistigen Eigentums (Lizenzverträge).

Frau Rosenthal verfügt zudem eine besondere Expertise in der Beratung von Unternehmen aus dem Bereich der Neuen Medien und des Internets in Fragen des IT- und Datenschutzrechts.


(dpe)

Kategorien
E-Business Rechtliches

Was tun in Sachen Cloud-Computing? Konsequenzen aus PRISM & Co.

In den letzten Wochen haben die Enthüllungen über das US-amerikanische Überwachungsprogramm PRISM und das britische Tempora für große Aufregung gesorgt. Bürger, Behörden und Unternehmen fragen sich hierzulande nun, welche Konsequenzen sie aus den Enthüllungen ziehen sollen. Besonders drängend ist die Frage für diejenigen Unternehmen, die ihre Daten bereits auf Server US-amerikanischer Cloud-Anbieter ausgelagert haben oder dies in Zukunft vorhaben.

california-106943_640

Konsequenzen für deutsche Unternehmen

Die datenschutzrechtliche Relevanz von PRISM & Co. für deutsche Unternehmen verdeutlichte zuletzt die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013. Darin verkünden Deutschlands oberste Datenschützer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sog. Drittstaaten (das sind alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) zu erteilen. Ausdrücklich betreffe dies auch Genehmigungen zur Nutzung „bestimmter Cloud-Dienste“. Es sei nicht gewährleistet, dass personenbezogene Daten, die deutsche Unternehmen in die USA und andere Drittstaaten übermitteln, dort einem angemessenem Datenschutzniveau unterliegen.

Außerdem wollen die Datenschutzbeauftragten nun prüfen, ob alle Datenübermittlungen auf Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind, solange die Bundesregierung nicht dargelegt hat, „dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland im Sinne der genannten Grundsätze begrenzt wird.“

flag-129531_640

Die Entscheidung erscheint zunächst wie ein Paukenschlag. In der Presseberichterstattung wird zuweilen der Eindruck erweckt, als ob der Datenstrom in die USA nun versiege. So heißt es etwa: „Datenschützer stoppen neue Datentransfers von Firmen in die USA“ (heise Security) oder „Deutsche Datenschützer untersagen Datentransfers in die USA“ (Golem.de). Bei näherer Betrachtung relativiert sich dieser Eindruck jedoch.

Genehmigung nicht immer erforderlich

Die Ankündigung der Datenschützer verliert an Schärfe, betrachtet man sie vor dem datenschutzrechtlichen Hintergrund. Denn häufig ist für die Übermittlung von personenbezogenen Daten in das Ausland überhaupt keine Genehmigung der Datenschutzbehörden erforderlich. So ist nach den Vorschriften des Bundesdatenschutzgesetzes eine Genehmigung nicht erforderlich, wenn die Daten an einen Datenimporteur innerhalb des europäischen Wirtschaftsraumes oder in einem sogenannten „sicheren Drittstaat“ übermittelt werden sollen.

Welche Staaten als sichere Drittstaaten anzusehen sind, wird für die EU-Mitgliedsstaaten – und damit auch für die deutschen Datenschutzbehörden – verbindlich von der EU-Kommission festgelegt. Dazu gehören zum Beispiel Australien, Kanada, die Schweiz und Israel. Eine Sonderlage besteht für die USA: Die USA gelten an sich zwar nicht als sicherer Drittstaat.

camera-19223_640

Aufgrund des Safe-Harbor-Abkommens zwischen der EU-Kommission und dem US-Handelsministerium kann sich der Datenimporteur in den USA jedoch gegenüber der zuständigen US-Behörde zur Einhaltung der im Safe-Harbor-Abkommen enthaltenen Regelungen verpflichten. In diesem Fall gilt ausnahmsweise auch der Datentransfer in die USA als „sicher“, so dass die Genehmigung der deutschen Datenschutzbehörden nicht erforderlich ist. Eine aktuelle Übersichtüber die „sicheren Drittstaaten“ stellt die EU-Kommission auf ihrer Website bereit.

Eine Genehmigung ist ferner nicht erforderlich, wenn die Datenübermittlungen auf Grundlage der (unveränderten) EU-Standardvertragsklauseln erfolgen. Denn auch in diesem Fall hat die EU-Kommission für die Mitgliedsstaaten verbindlich festgestellt, dass in diesem Fall ein ausreichendes Datenschutzniveau gewährleistet ist.

Zusammenfassend kann daher festgestellt werden, dass Datenübermittlungen in die meisten für deutsche Unternehmen bedeutsamen Zielländer von Datenübermittlungen ohnehin keiner Genehmigung bedürfen. Insoweit geht die Ankündigung der Datenschützer, vorerst keine neuen Genehmigungen mehr zu erteilen, ins Leere.

Allerdings hat die Europäische Kommission am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen aus Anlass der jüngsten Enthüllungen einer Prüfung unterziehen wird. Die Prüfung soll bis Ende 2013 abgeschlossen sein. 

Untersagung von Datenübermittlungen

Soweit deutsche Unternehmen personenbezogene Daten aufgrund einer Genehmigung der Datenschutzbehörden in „unsichere Drittstaaten“ übermitteln, kann die zuständige Aufsichtsbehörde die von ihr erteilten Genehmigungen grundsätzlich zurücknehmen oder widerrufen. Die Datenschutzbehörden sind grundsätzlich auch befugt, bei Verstößen gegen das Bundesdatenschutzgesetz einzugreifen und Datenübermittlungen in das Ausland zu untersagen.

shredder-71775_640

In der Praxis dürfte sich ein solches Vorgehen jedoch schwierig gestalten, da die Behörden an die bindenden Feststellungen der EU-Kommission gebunden sind und darlegen müssten, inwiefern deutsches Datenschutzrecht durch die Datenübermittlungen verletzt wird bzw. die Gefahr eines Schadens besteht.

Die deutschen Behörden können das Safe-Harbor-Abkommen auch nicht außer Kraft setzen. Es können lediglich Datenübermittlungen an bestimmte US-Unternehmen auf Grundlage des Safe-Harbor-Abkommens untersagt werden. Auch hierzu müsste dargelegt werden, dass aufgrund der Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweres Schadens“ besteht.

Dies dürfte in der Praxis schwierig sein. Ferner müsste das betroffene US-Unternehmen vor einer Verbotsmaßnahme angehört werden.

Ausblick

Es ist kaum vorstellbar, dass die deutschen Datenschutzbehörden ihre Androhung in die Tat umsetzen werden und gegen Datenübermittlungen in die USA und andere Drittstaaten vorgehen werden. Zum einen würde dies empfindliche und unvorhersehbare Folgen für die deutsche Wirtschaft zur Folge haben. Zum anderen ist bereits zweifelhaft, ob die gesetzlichen Voraussetzungen für solch einen massiven Eingriff vorliegen.

telescope-122960_640

Die Ankündigung der Datenschützer ist daher wohl vor allem als politisches Signal zu verstehen – insbesondere in Richtung der Bundesregierung und der EU-Kommission. Es wäre jedenfalls nicht das erste Mal, dass die Datenschützer zu solchen Mitteln greifen. Auf jeden Fall sollten deutsche Unternehmen die weiteren Entwicklungen im Blick behalten.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Der obige Beitrag wurde unter tätiger Mithilfe eines wissenschaftlichen Mitarbeiters realisiert.

Kategorien
E-Business Rechtliches

Bring Your Own Device – Sind private Geräte im Unternehmenseinsatz eine gute Idee?

Jeder arbeitet mit dem Gerät, das er kennt und mit dem er am besten umgehen kann – der Arbeitgeber erspart sich die Anschaffung von Smartphones, Tablets oder Laptops. Dieser Gedanke steht hinter einer inzwischen nicht mehr ganz so neuen Entwicklung, die es Arbeitnehmern explizit erlaubt, private Geräte an ihrem Arbeitsplatz zu nutzen. Laut dem Branchenverband Bitkom ermöglichen bereits 43% der Unternehmen aus den Informations- und Telekommunikationstechnologien private Gräte am Arbeitsplatz und von diesen haben 60% den Umgang in eigenen Richtlinien geregelt. Als Vorteil wird oft angeführt, dass private Geräte leistungsfähiger und nutzerfreundlicher sind, sowie dass Mitarbeiter berufliche und private Aufgaben kombinieren können. Doch genau die Verquickung von privaten und beruflichen Kontakten, Unternehmensdaten und Programmen birgt erhebliche datenschutzrechtliche Risiken.

shadows-of-byod

Offizielle Richtlinien oder „Schatten-IT“

Die Mehrheit der elektronischen Geräte ist für Verbraucher ausgelegt und erfüllt nicht die hohen Anforderungen, die Unternehmen an ihre eigene IT stellen. Allerdings bieten moderne Geräte Apps zur Kalenderverwaltung, Zusammenarbeit oder Datenspeicherung, die auch den Alltag in Unternehmen einfacher und effizienter gestalten können. Selbst wenn Unternehmen den Gebrauch von privaten Geräten nicht offiziell erlauben, werden die Geräte oftmals selbstständig von Mitarbeitern in den Berufsalltag eingebaut – so entsteht eine „Schatten-IT“ ohne das Wissen der Führungspersonen und IT-Verantwortlichen.

Dabei droht einerseits ein unkontrollierter Abfluss von Daten, wenn Kontakt zu einem Firmennetzwerk hergestellt wird, und andererseits können Sanktionen der Datenschutzbehörden bei Verlust von personenbezogenen Daten folgen. Denn auch wenn Daten auf einem privaten Gerät liegen, bleibt das Unternehmen die sogenannte „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes. Daher empfiehlt es sich, klare, schriftliche Regelungen zu treffen, um Sicherheitsaspekte zu regeln und Rechtssicherheit zu schaffen.

light-101785_640

Ausgestaltung einer Richtlinie (BYOD-Policy) 

Eine unternehmensinterne Richtlinie sollte den freiwilligen Charakter der Nutzung eigener Geräte ausdrücklich betonen, um den Unterschied zur Nutzung von Betriebsmitteln hervorzuheben. Sie sollte sowohl ein technisches Anforderungsprofil aufzeigen, als auch rechtliche Rahmenbedingungen definieren. So kann eine Richtlinie die erlaubten Geräte auf bestimmte Hersteller reduzieren oder zugelassene Betriebssysteme bestimmen. Bei letzterem empfiehlt sich, allein aus Sicherheitsgründen, auch die Setzung von Mindestversionsnummern (z.B. nur Geräte ab Android 4.x).

Neben der Verpflichtung zum Einsatz bestimmter Unternehmenssoftware kann auch der Einsatz von Antivirenprogrammen und anderer sicherheitsrelevanter Software vorgeschrieben werden. Bestimmte Apps, wie zum Beispiel Cloud-Speichermöglichkeiten, können zumindest für den geschäftlichen Bereich untersagt werden. Ein Verbot von Apps für den privaten Gebrauch stellt, genau wie ein Verbot von jailbreaks und root-Modifikationen, einen erheblichen Eingriff in die Privatsphäre des Arbeitnehmers dar, wird aber trotzdem vom Bundesamt für Sicherheit in der Informationstechnik empfohlen.

iphone-106351_640

Vorsicht geboten ist auch bei Apps, deren Lizenzen die kostenfreie Nutzung auf den privaten Bereich beschränken. Vor dem Einsatz derartiger Apps ist zunächst das Unternehmen zu informieren, um dann gegebenenfalls Lizenzen für den gewerblichen Bereich erwerben zu können. Wenn der Arbeitgeber die Nutzung ohne Lizenz duldet, kann er unter urheberrechtlichen Gesichtspunkten haften.

Trennung beruflicher und privater Daten durch Container

Das größte Problem bei BYOD ist, dass geschäftliche E-Mails, Kontakte, Kalender und Datenbanken mit persönlichen E-Mails, Apps, Urlaubsfotos und andere Dokumenten zusammentreffen. Hierbei darf der Einfluss des Arbeitgebers nicht zu weit in den privaten Bereich reichen, denn zum Beispiel die Überwachung oder gar die Löschung von privaten Daten stellt rechtlich eine Datenerhebung oder –verarbeitung dar, die nur nach einer schriftlichen Einwilligung des Arbeitnehmers erlaubt ist. Erfolgen derartige Eingriffe ohne Einwilligung drohen eine zivilrechtliche Schadensersatzpflicht und eine Strafbarkeit der handelnden Personen wegen Verletzung des Fernmeldegeheimnisses (§ 206 Strafgesetzbuch). Daher empfiehlt es sich, private und berufliche Daten möglichst weitgehend zu trennen und entsprechende Unternehmensrichtlinien auf die Regelung der beruflichen Daten zu begrenzen.

childhood-71651_640

Diese Trennung kann auf technischem Weg über sogenannte Container- oder Sandbox-Programme erreicht werden. Dabei wird auf dem privaten Gerät ein verschlüsselter Bereich angelegt, den der Arbeitgeber aus der Ferne warten und mit Programmen und Daten bestücken kann. Dieser Bereich ist nur per Passwort zugänglich und nur von dort ist Zugriff auf das Firmennetzwerk gestattet. Bei neuesten Programmen dient das Gerät lediglich zum Anzeigen von Texten und Grafiken ohne dass Daten auf dem eigenen Datenträger verbleiben (ähnlich einem Stream, dadurch ist lediglich der Arbeitsspeicher des Geräts betroffen). Die Verbindung zu einem Firmenserver kann über sog. Terminal Sessions oder VPN-Clients erfolgen.

Um Bring-Your-Own-Device mit Smartphones oder Tablets technisch zu ermöglichen, gibt es ganze Mobile-Device-Management-Suiten, die diese Funktionen mit einer Übersicht der im Einsatz befindlichen Geräte oder mit Programmen zum Viren- und Malware-Schutz kombinieren. Entscheidet sich der Arbeitgeber, private Geräte zuzulassen, ist er sogar gesetzlich verpflichtet, personenbezogene Daten durch technische und organisatorische Maßnahmen zu schützen, z.B. mittels Zugangs- und Zugriffskontrollen (vgl. § 9 Bundesdatenschutzgesetz).

Rechtliche Herausforderungen

Oft unberücksichtigt bleibt die Tatsache, dass geschäftliche Daten auf privaten Geräten auch den gesetzlichen Aufbewahrungspflichten unterliegen. Hier helfen nur eine regelmäßige Synchronisation mit den Servern des Unternehmens oder eine manuellen Datensicherung, um etwa steuerlich relevante Mails und Belege gesetzeskonform aufzubewahren. Weitere Probleme können beim Verlust der Geräte auftauchen – hier gilt es gegebenenfalls die Aufsichtsbehörden zu informieren und die Daten etwa durch Fernlöschung vor Zugriff zu sichern. Schließlich sind Aspekte der Kostenverteilung, der Datenlöschung bei fehlender Erforderlichkeit oder Datenherausgabe nach Beendigung des Arbeitsverhältnisses zu beachten. Hauptaufgabe einer BYOD-Policy muss es sein, diese Punkte vorherzusehen und klare Regel zu bestimmen, um mögliche Probleme zu vermeiden.

Fazit: Auf private Geräte muss im Büro oder auf Geschäftsreise nicht verzichten werden, allerdings sollte eine Richtlinie den Rahmen für eine erlaubte Nutzung definieren. Ohne derartige Richtlinien kann eine Schatten-IT innerhalb des Unternehmens entstehen und es bestehen Haftungsrisiken. Nicht umsonst wird BYOD häufig mit Bring-Your-Own-Desaster übersetzt. Mit technischen und rechtlichen Rahmenbedingungen können private Geräte jedoch zu einem Teil der modernen Unternehmenskultur werden.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Kategorien
E-Business Rechtliches

Banner, Pop-Up oder Tick-Box? Praxishinweise zur europaweiten Umsetzung der Cookie-Richtlinie

Die Umsetzung der Cookie-Richtlinie (Richtlinie 2009/136/EC, auch bekannt als e-Privacy-Richtlinie) hat bei europaweit agierenden Unternehmen große Rechtsunsicherheit hervorgerufen. Die meisten europäischen Länder haben die Richtlinie mittlerweile umgesetzt, unklar bleibt jedoch, welche Cookies Unternehmen einsetzen dürfen und wie sie über deren Gebrauch informieren müssen. Der folgende Beitrag soll einen Überblick über unterschiedliche Regelungsansätze und passende Reaktionsmöglichkeit liefern.

cookies-1805_640-w640

Cookies als Marketinginstrument

Cookies, kleine Dateien, die auf Datenträgern der Internetnutzer abgelegt werden, haben sich als unverzichtbares Marketinginstrument etabliert. Zunächst dienten sie nur dem Speichern von benutzerdefinierten Einstellungen oder ersparten das erneute Einloggen bei einem späteren Besuch auf einer Internetseite.

Inzwischen nutzt die Werbewirtschaft Cookies für umfangreiche Analysen des Nutzerverhaltens, um potentiellen Kunden zielgenaue Angebote unterbreiten zu können. Dabei ist es möglich, das Nutzerverhalten über mehrere Seiten hinweg zu analysieren, z. B. um Werbung für Waschmaschinen oder Hausratsversicherungen zu platzieren, wenn sich ein Nutzer zuvor in einer Suchmaschine über Waschmaschinen informiert hat oder einen entsprechenden Artikel in einem Nachrichtenportal gelesen hat (sog. Behavioral-Targeting). Diese Informationen können mit einer geografischen Ortung des Nutzers zusammengeführt werden und mit Hilfe von statistischen Daten ergänzt werden, um ein zukünftiges Nutzungsverhalten vorherzusagen.

Beliebt ist auch, verlorengegangene Kunden wieder anzusprechen (sog. Retargeting), d.h. wenn ein Kunde einmal ein Produkt in einem Onlineshop angesehen hat, diesen während seines Besuchs auf anderen Seiten auf dieses Produkt hinzuweisen. Insbesondere diese Marketinginstrumente, die zu Profilen über Nutzer- und Kaufverhalten führen, fallen unter den Anwendungsbereich der sogenannten Cookie-Richtlinie.

Uneinheitliche Umsetzung

Wie bei allen Europäischen Richtlinien haben die nationalen Gesetzgeber einen weitreichenden Spielraum bei der Umsetzung in die jeweiligen Rechtsordnungen. Zwar haben die allermeisten Länder die Cookie-Richtlinie mittlerweile umgesetzt, die Herangehensweisen unterscheiden sich jedoch stark. Die Mehrheit der Länder (u.a. Dänemark, Großbritannien, Niederlande, Österreich und Spanien) hat sich bei der Umsetzung für eine opt-in-Lösung entschieden, das heißt für das Setzen von Cookies ist eine ausdrückliche Einwilligung der Nutzer erforderlich. Wie diese Einwilligung von den Webseiten eingeholt werden kann, ist jedoch meist im Detail nicht geregelt.

donotenter-w640

In der Praxis findet sich die schärfste Form der Einwilligung in einer der Homepage vorangeschalteten Seite, die beim ersten Besuch vor dem Einsatz von Cookies warnt und das Surfen erst ermöglicht, wenn ein Bestätigungsbutton angeklickt wurde. Derartige Hinweise wurden insbesondere in Großbritannien lange gefordert, doch nachdem selbst die britischen Datenschutzbehörden inzwischen auf ihren eigenen Seiten auf derartige Hinweise verzichten, sind diese auch in der Privatwirtschaft nur noch vereinzelt zu finden.

Als ähnlich ineffektiv haben sich Pop-Up-Fenster erwiesen, schon allein weil sie von den meisten aktuellen Browsern geblockt werden und daher nicht ihre Hinweis-Aufgabe erfüllen können. Die gängigste Form der opt-in-Zustimmung sind Banner und Tick-Boxen, meist oben oder unten auf einer Webseite angebrachte Schaltflächen, die auf Cookies hinweisen und oftmals auf weitergehende Hinweise, eine Datenschutzerklärung oder Allgemeine Geschäftsbedingungen verlinken. Derartige Banner und Tick-Boxen sind stark verbreitet und selbst Google hat sich inzwischen zu einer europaweiten Einführung entschlossen.

In anderen Ländern wie Bulgarien, Tschechien oder Finnland haben sich die Gesetzgeber für eine opt-out-Lösung entschieden. Dies bedeutet, dass der Nutzer nicht ausdrücklich zustimmen muss, sondern seine Haltung etwa durch entsprechende Browsereinstellungen oder Plug-Ins signalisieren kann. In diesen Ländern dürfen Cookies oftmals eingesetzt werden, wenn sie standardmäßig von einem Browser akzeptiert werden und wenn ausreichend über deren Einsatz informiert wurde.

Gute und böse Cookies

Ein aktueller Trend der europäischen Gesetzgebung ist die Einteilung in „gute“ und „böse“ Cookies.

„Gute“ Cookies, also solche, die für den Betrieb von Webseiten erforderlich sind und von Kunden ausdrücklich gewünschte Funktionen bieten (z.B. Einloggen in Kundenkonten, Online-Bezahlfunktionen oder Warenkörbe von Online-Shops), werden entweder direkt vom Regelungsbereich der Gesetze ausgenommen oder für sie ist eine weniger weitreichende Form der Einwilligung erforderlich. Selbst Cookies, die der Analyse von Webseiten dienen, fallen oftmals unter diese Kategorie, zumindest dann, wenn sie von der Webseite selbst gesetzt werden (sog. First-Party-Cookies).

recht-paragrafen

Unter die Kategorie der „bösen“ Cookies fallen die meisten Angebote von Werbe- und Social-Media-Plattformen, die ein Tracking der Internetnutzer betreiben. Für diese gelten die höchsten Anforderungen an das Maß der Einwilligung und den Umfang der Informationspflichten. Insbesondere Dänemark, Frankreich, Österreich und Großbritannien nehmen eine derartige Kategorisierung vor. In diesen Ländern unterscheiden sich folglich auch die Webseiten: Während bei Unternehmen, die nur Basis-Funktionen einsetzen und keine Marketing-Cookies einsetzen, keine Einwilligung eingeholt werden muss, müssen andere Unternehmen ihre Webseiten mit hohem technischem und organisatorischem Aufwand an die Cookie-Gesetzgebung anpassen.

Generelle Hinweise oder Cookie-Liste

Einigkeit herrscht bezüglich der Frage, ob Internetnutzer über die Verwendung von Cookies aufgeklärt werden müssen. Alle Länder, die die Cookie-Richtlinie umgesetzt haben, schreiben dies verbindlich vor. Die nationalen Gesetze und darauf aufbauende Handlungsempfehlungen der Datenschutzbehörden legen oft fest, ob dies in Allgemeinen Geschäftsbedingungen, Datenschutzrichtlinien oder speziellen Cookie-Hinweisen zu erfolgen hat.

cookies-w640

Hierbei ist ein Trend zu beobachten, eine möglichst eigenständige und leicht verständliche Information zu fordern, wohingegen eine Erwähnung in Allgemeinen Geschäftsbedingungen oder gar im Impressum als nicht ausreichend angesehen wird.

Der Inhalt solcher Cookie-Hinweise weicht von Land zu Land ab – Schweden fordert beispielsweise, dass über den Zweck, den Namen, die Domain und die Speicherdauer von Cookies informiert wird, in anderen Ländern reicht hingegen eine allgemeine Information über die Art der verwendeten Cookies und die für die Speicherung der Daten verantwortlichen Stelle.

Nicht nur wegen dieser unterschiedlichen Anforderungen empfiehlt es sich für europaweit agierende Unternehmen, ein Cookie-Management vorzuhalten oder einzurichten, das einen Überblick über die selbst verwendeten Cookies schafft.

Digitale Detektive und behördliche Anschreiben

Die Durchsetzung der Cookie-Richtlinie wird derzeit insbesondere in Großbritannien und den Niederlanden forciert. Nach einer einjährigen Einführungszeit hat Großbritannien im letzten Jahr über 150 Webseitenbetreiber angeschrieben und sie auf mögliche Verstöße aufmerksam gemacht. In den Niederlanden wurde eine juristische Beweislastumkehr eingeführt, nach der Unternehmen beweisen müssen, dass sie die Zustimmung des Nutzers zum Einsatz von Tracking Cookies erhalten haben (in den meisten anderen Ländern muss die jeweilige Aufsichtsbehörde Verstöße beweisen). Die Überwachung wird von „Digitalen Detektiven“ der niederländischen Datenschutzbehörden gewährleistet, die aktiv das Internet nach Verstößen untersuchen.

chicago-80664_640-w640

Dies entspricht jedoch noch nicht der europäischen gängigen Praxis, da Datenschutzbehörden oftmals nur auf individuelle Beschwerden hin aktiv werden. Fragt man bei nationalen Datenschutzbehörden an, ergibt sich ein sehr uneinheitliches Bild – während vereinzelt darauf hingewiesen wird, dass schlicht die Ressourcen für eine effektive Überwachung fehlen, wird anderorts die unklare Rechtslage betont, die eine Durchsetzung in der Vergangenheit unterbunden hat.

Mögliche Strafen sind jedoch bereits in den einzelnen Gesetzgebungen verankert, wie etwa bis zu 450.000 EUR im Fall der Niederlande. Die Haftung deutscher Unternehmen nach ausländischen Rechtsordnungen wird unterschiedlich beurteilt und ist eine Frage des Einzelfalls. Hier kommt es darauf an, ob das Unternehmen eine Niederlassung in dem jeweiligen Land hat oder mit einer eigenen Webseite gezielt ausländische Kunden „anspricht“.

Deutscher Standpunkt

Deutschland ist eines der wenigen Länder, das die Cookie-Richtlinie noch nicht umgesetzt hat, obwohl die Umsetzungsfrist seit Mai 2011 abgelaufen ist.

germany-96590_640-w640

Im Januar 2012 hatte die SPD-Fraktion einen Gesetzesentwurf in den Bundestag eingebracht, der den Wortlaut der Richtlinie nahezu unverändert in das deutsche Telemediengesetz übernommen hätte und die Richtlinie damit in deutsches Recht umgesetzt hätte. Dieser Entwurf wurde von der Bundesregierung im Ausschuss für Wirtschaft und Technologie abgelehnt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat mittlerweile die Auffassung geäußert, die Richtlinie sei in Deutschland auch ohne Umsetzung in nationales Recht unmittelbar anwendbar. Demnach müssten sich deutsche Unternehmen bereits an die Richtlinie halten und ihre Webseiten entsprechen anpassen.

Diese Auffassung ist jedoch aus juristischer Sicht sehr umstritten, da eine Richtlinie für eine direkte Anwendung klar und detailliert genug sein muss. Dies ist vor allem bei dem interpretationsfähigen Begriff der Einwilligung nicht gesichert.

Außerdem scheidet eine unmittelbare Anwendung zwischen Privaten regelmäßig aus, da sich nach der Rechtsprechung des Europäischen Gerichtshofes nur Einzelne gegenüber dem Staat auf Richtlinien berufen können (es besteht keine sog. horizontale Direktwirkung).

Do-Not-Track als Ausweg

Am Ende eines europäischen Harmonisierungsprozesses könnte eine technische Lösung stehen: In den meisten Ländern ist die Möglichkeit zur Erklärung der Einwilligung über Browser-Einstellungen bereits vorgesehen. Zwar wird dies derzeit von den meisten Ländern als nicht ausreichend betrachtet, wird aber oft damit erklärt, dass derzeitige Browser-Generationen schlicht nicht in der Lage sind, die gesetzgeberischen Anforderungen zu erfüllen.

Die “Do-Not-Track”-Initiative des World Wide Web Consortium (W3C) versucht jedoch genau dies technisch machbar zu machen. Mit dieser Technologie ist es möglich, dass Nutzer beispielsweise den Einsatz von seitenübergreifenden Tracking Cookies unterbinden. In Europa zeigen sich derzeit vor allem Italien und Finnland offen gegenüber derartigen Entwicklungen. In Deutschland werden solche selbstregulatorischen Maßnahmen vor allem wegen der mangelnden internationalen Unterstützung skeptisch beurteilt (siehe z.B. Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein v. 9.10.2012 „Selbstregulierung bei Do-Not-Track gescheitert“).

europe-63026_640-w640

Fazit

Aufgrund des unspezifischen Wortlauts der Cookie-Richtlinie unterscheiden sich nationale Gesetze und Empfehlungen der einzelnen Datenschutzbehörden deutlich. Europaweit agierende Unternehmen können durch ein Cookie-Banner und eine Cookie-Erklärung Konformität mit vielen Landesgesetzen herstellen, oftmals sind jedoch Besonderheiten der einzelnen Länder zu beachten, die eine Anpassung erforderlich machen. Um die Anforderungen der nationalen Datenschutzbehörden zu erfüllen, muss zunächst ein unternehmensinterner Überblick über die auf der eigenen Homepage verwendeten Cookies geschaffen werden.

Einigkeit herrscht bezüglich der Tatsache, dass Internetnutzer in einfachen, klar verständlichen Worten über den Einsatz von Cookies aufgeklärt werden müssen. Hierbei ist es oftmals erforderlich, bestehende Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls anzupassen. So können Cookies als effektive Marketingtools genutzt werden, ohne den Datenschutz außer Acht zu lassen.

Der Autor

AndreasDoelker-w150Andreas Dölker ist Associate in der Kanzlei Schürmann Wolschendorf Dreyer Rechtsanwälte in Berlin-Mitte. Seine Tätigkeitsschwerpunkte umfassen das IT- und Datenschutzrecht sowie den Bereich des Gewerblichen Rechtsschutzes. Wegen seiner Erfahrung als Serverbetreuer und Systemadministrator in Freiburg im Breisgau, berät er hauptsächlich Unternehmen an der Schnittstelle zwischen Recht und Technik.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website [Medien und Marken](http://www.medienundmarken.de/home.html) erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

(dpe)

Kategorien
E-Business Rechtliches Social Media

Desaster-Report: Die größten Datenschutz-Flops des Jahres 2012

Das Wort Datenschutz nehmen neben den Technikern derzeit immer mehr Politiker und Journalisten in den Mund. Aber was ist das eigentlich ganz genau? Datenschutz kann vieles bedeuten, doch im Prinzip geht es stets darum, dass jeder Mensch das Recht darauf haben sollte, so viel oder wenig von sich preiszugeben, wie er will. Wer freiwillig seine Fotos, Hobbys oder Vorlieben bei Facebook oder anderswo verbreitet, unverschlüsselt via WhatsApp chattet, oder Diensten wie Forsquare und Twitter seinen Aufenthaltsort anvertraut, der darf das gerne tun.

Datenschutz bedeutet aber auch, dass man ebenso das Recht dazu hat, möglichst wenig von sich preiszugeben. Das betrifft sowohl die privaten Daten in den Serverschränken der Behörden und Unternehmen, als auch alle Informationen, die auf Papier verewigt wurden. Nicht nur die als datensparsam bekannten Mitglieder des Chaos Computer Club bezeichnen diese Grundregel als informationelle Selbstbestimmung.

Offenbar gibt es demnach Gegenpole in dieser Frage. Erstaunlich, denn was spricht eigentlich gegen Datenschutz? Überraschenderweise eine ganze Menge. Denn die Absicherung der Informationen kostet Geld, viel Geld. Ob die Daten in der neumodisch klingenden Cloud oder im Hinterzimmer eines Gewerbebetriebes gespeichert werden, spielt dabei keine Rolle. Die Sicherheit der Daten ist nämlich immer nur relativ. Wer trotz der damit einhergehenden Kosten ein Maximum an Sicherheit erreichen will, muss viel Zeit und somit finanzielle Mittel investieren. Und selbst die beste technische Infrastruktur sichert einen niemals komplett gegen alle Risiken ab.

Wenn der Geschäftsführer den Vornamen seiner Tochter oder sein Geburtsdatum als Passwort verwendet, kann ihm der beste IT-Sicherheitsspezialist nicht mehr helfen. Daneben führten in den letzten Jahren diverse andere fahrlässige Verhaltensweisen von Mitarbeitern dazu, dass Hacker mit vergleichsweise wenig Aufwand Zugriff auf fremde Serverschränke erhalten konnten. Für jeden Zugang ein eigenes Passwort zu benutzen, ist zwar alles andere als bequem. Dafür macht man es damit den Cyberkriminellen nicht so einfach. Die brauchen vielfach nur auf die Faulheit der Anwender zu vertrauen, um an ihr Ziel zu kommen.

Gegen Datenschutz spricht auch, dass es die Anbieter von digitalen Diensten viel einfacher haben, Daten auszuwerten, sofern diese unverschlüsselt übertragen werden. Natürlich könnte WhatsApp seinen Instant Messenger problemlos auf eine erzwungene verschlüsselte Kommunikation umstellen. Dann könnte der Anbieter aber beispielsweise nicht mehr so einfach im Auftrag der Filmwirtschaft überprüfen, ob sich die Mehrheit seiner 16-jährigen Benutzer über den Hobbit, den neuen James Bond oder Twilight 4.2 austauscht. Auch könnte man dann keinem Textilhandelsunternehmen mehr ohne größeren Aufwand mitteilen, ob bei Personen mit Bildung X und Alter Y gerade Jeans der Marke Levis, Mustang oder Wrangler angesagt sind.

Die Crux mit den kostenlosen Angeboten

Die Sache ist eigentlich ganz einfach. Viele Anwender wollen alles am liebsten umsonst benutzen. Die Marketing-Agenturen, Werbevermarkter und die Industrie hingegen möchten am liebsten so viele Vorlieben, Adressdaten und Trends wie möglich einsammeln, um sie zu analysieren oder direkt zu verkaufen. 2012 war neben einigen Daten-Skandalen auch das Jahr der Online-Werbung. Der Geschäftsbereich Internetwerbung knackte im Vorjahr erstmals die Grenze von weltweit 100 US-Milliarden Dollar, Tendenz weiter steigend.

Es ist schwer, dabei die Grenze zwischen Schwarz und Weiß zu ziehen. Denn, wenn man im Internet für einen Service nichts bezahlt, dann ist man vielfach nicht der kaufende Kunde, sondern das zu verkaufende Produkt. Bevor man die Online-Werbewirtschaft vorschnell verurteilt, sollte man bedenken, dass Werbung nicht selten dafür sorgt, dass man dank der nervigen Layer auf zahlreiche Inhalte im Netz kostenlos zugreifen kann. Wäre das nicht mehr möglich, müsste man für vieles bezahlen, was heute noch im Web frei verfügbar ist.

Grafik ist gemeinfrei

Last, but not least würde eine totale Datensparsamkeit und perfekte Absicherung aller Daten auch dazu führen, dass uns keine Geheimdienste mehr überwachen könnten. Von daher wurden auch im Vorjahr in den USA und der EU häufig die juristischen Grundlagen verändert, um unsere informationelle Selbstbestimmung weiter einzugrenzen. Würden wir uns alle mit gänzlich unknackbaren Betriebssystemen ins Internet einwählen, und ausschließlich in komplett verschlüsselten Bereichen des Internets bewegen, wüssten die Verfassungsschützer nicht mehr, wie sie uns kontrollieren sollen. Mal davon abgesehen, dass es im technischen Bereich nichts gibt, was man nicht früher oder später knacken kann, sofern man dafür genügend Zeit und Geld aufwendet. Es lässt sich also behaupten, dass auch der Staat kein Interesse an einem vollkommenen Datenschutz hat.

Blättern Sie weiter zur Zusammenstellung der größten Datenschutz-Flops 2012 >>