Beiträge

Gastblog: Die fünf größten Rechtsfallen in der Social-Media-Kommunikation

(Gastblog von Sabine Heukrodt-Bauer, LL.M. für OXID eSales)

Die Nutzung von Social-Media-Plattformen ist mittlerweile Pflicht für jedes Unternehmen auf dem Markt. Doch treten bei der Nutzung dieser Dienste immer wieder rechtliche Hürden auf, die auch bei kleinen Fehlern zu teuren Abmahnungen führen können. Im OXID Academy Webinar am 9. Mai um 11 Uhr gehen wir auf die besonderen Herausforderungen im Social-Media-Recht ein und greifen hier die fünf größten Fallstricke heraus, die uns immer wieder in der täglichen Anwaltspraxis begegnen:

1. Kein oder ein falsches Impressum

Die Impressumspflicht folgt aus § 5 Telemediengesetz (TMG) und gilt für alle „Telemedien“, also für alle elektronischen Informations- und Kommunikationsdienste: Webauftritte von Unternehmen, Onlineshops, Facebook-Accounts usw. In jedem Social-Media-Kanal, den ein Unternehmen führt, ist daher ein ordnungsgemäßes Impressum einzufügen. Es sind dieselben Angaben zu machen, wie das auch in „normalen“ Webseiten und/oder Onlineshops der Fall ist. Da Social-Media-Posts unter die „journalistisch-redaktionellen Inhalte“ im Sinne des § 55 Rundfunkstaatsvertrag (RStV) fallen können, sollte zusätzlich ein „Verantwortlicher“ für die Inhalte mit Vornamen und Nachnamen angegeben werden, der die folgenden Kriterien erfüllen muss:

  • ständiger Aufenthalt im Inland,
  • die Fähigkeit zur Bekleidung öffentlicher Ämter nicht infolge Richterspruchs verloren,
  • voll geschäftsfähig,
  • unbeschränkt strafrechtlich verfolgbar.

Aus diesen Vorgaben ergibt sich das folgende Muster für ein korrektes Impressum für das Beispiel einer Gesellschaft mit bedingter Haftung (GmbH):

Impressum

Beispielfirma GmbH
Beispielstraße 1
12345 Beispielstadt
Telefon: +49 (0)123 456789
Telefax: +49 (0)123 456780
E-Mail: info @ beispielsdomain.de
Geschäftsführer: Max Mustermann
Handelsregister: Amtsgericht Beispielstadt, HRB 12345
USt.-ID.: DE123456789


Verantwortlicher nach § 55 RStV: Max Mustermann, Adresse wie oben.

Weitere Impressumsmuster zu anderen Gesellschaftsformen unter: http://www.res-media.net/muster

Das Gesetz verlangt in § 5 TMG, dass das Impressum „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ ist. In Webseiten und Onlineshops wäre dazu eine Seite „Impressum“ in die Navigation einzufügen. Für das Einfügen in Social-Media-Accounts sind insoweit zwei Punkte zu beachten:

  • Der Bundesgerichtshof hat zur „unmittelbaren Erreichbarkeit“ die sogenannte „Zwei-Klick-Regel“ entwickelt, welche besagt, dass die Erreichbarkeit noch gewährleistet ist, wenn zwei Links zwischen Startseite und Darstellungsseite des Impressums liegen (im Urteil vom 20.07.2006, Az. I ZR 228/03, ein Klick auf „Kontakt“ und ein weiterer Klick auf „Impressum“).
  • Für den Bereich „Social Media“ gibt es Urteile, wonach die Bezeichnung des Links oder der Registerkarte „Info“ in den Accounts nicht deutlich genug auf das Impressum hinweist (LG Aschaffenburg, Urteil vom 19.08.2011, 2 HK O 54/11; LG Frankfurt, Beschluss vom 19.10.2011, 3-08 O 136/11).

Soweit keine entsprechenden Seiten in den Kanälen eingerichtet werden können (z. B. Instagram, Twitter), sollte im Profil, in der Bio usw. ein Link http://www.beispielsdomain.de/Impressum_Datenschutz auf eine externe Landingpage eingefügt werden. Hier können dann die Pflichtinhalte zum Impressum (sowie zum Datenschutz, siehe unten Ziffer 5) platziert werden. Bei Facebook kann auf Fanpages die „Story“ für das Impressum und den Datenschutz genutzt werden.

2. Keine ausreichenden Nutzungsrechte an Bildern

Das Problem ist eigentlich ein altbekanntes: Veröffentlichungen von fremden Bildern können gegen die Rechte Dritter, insbesondere gegen das Urheberrecht verstoßen. Doch immer wieder werden Bildrechte missachtet und es kommt zu kostspieligen Abmahnungen.

Es ist immer die Entscheidung des Urhebers als Ersteller eines Bildes, ob, wie, wo und von wem sein Bild verwendet oder veröffentlicht wird. Solange der Urheber keine Zustimmung zur Veröffentlichung gegeben hat, dürfen die Bilder also auch nicht in Social Media-Profilen genutzt, hochgeladen oder geteilt werden. Hier hilft es übrigens auch nicht, dass zumindest die Quelle mit einem Copyright o. ä. des Bildes angegeben wird. Wird ein Bild ohne Einverständnis hochgeladen, macht auch die Angabe eines Bildnachweises das Ganze nicht „ein bisschen rechtmäßiger“.

Alle urheberrechtlich relevanten Materialien wie Bilder, Grafiken, Fotos usw. müssen vor ihrer Verwendung auf Social-Media-Plattformen grundsätzlich auf die Rechte anderer hin überprüft werden. Werden fremde Urheberrechte verletzt, können Unternehmen auch für die Fehler ihrer Mitarbeiter in Anspruch genommen werden.

Es ist insgesamt zu empfehlen, einen Datenpool mit rechtmäßig erworbenem und lizensiertem Content aufzubauen, der in den Social-Media-Kanälen genutzt werden darf.

3. Social Media Plugins und Urheberrechte

Ein besonderes urheberrechtliches Risiko ergibt sich nicht nur aus dem Teilen fremder Inhalte, sondern auch bereits durch das Einbinden von Social Media -Plugins auf den eigenen Webseiten.

Hierbei handelt es sich um die Buttons bzw. Funktionen wie der Facebook-Like-Button oder der Button für das Retweeten bei Twitter. Das „Liken“ oder „Sharen“ von eigenen Webseite-Inhalten durch Dritte kann direkt zu Urheberrechtsverletzungen führen, denn hier werden automatisch die in der eigenen Webseite eingefügten Bilder und Fotos gleich mit veröffentlicht.

Als Webseitenbetreiber verfügt man aber nicht immer über die erforderlich Social-Media-Lizenzen an den Webseitenbildern, wenn diese nicht extra eingekauft wurden. Die Lizenz „Internetnutzung“ beinhaltet nicht automatisch auch die Lizenz „Social Media Nutzung“ (vgl. dazu Urteil des LG Frankfurt a.M. vom 17.07.2014, Az. 2 – 03 S 2/14). Es muss daher mit dem Fotografen oder der jeweiligen Agentur geklärt werden, welche Nutzungsarten mit der Lizenz verknüpft sind.

Bei vielen Stockbild-Anbietern ist in der Lizenz „alles drin“, andere erteilen die Erlaubnis zur Social-Media-Nutzung auf Nachfrage.

4. Recht am eigenen Bild

Auch kommt es immer wieder wegen des Rechts am eigenen Bild zu rechtlichen Problemen. Veranstalten Unternehmen Events oder nehmen an Messen teil, werden Fotos davon direkt in den Social-Media-Kanälen veröffentlicht. Werden die abgebildeten Geschäftspartner und Gäste nicht zuvor um deren Erlaubnis gefragt, kann das Recht am eigenen Bild nach §§ 22, 23 Kunsturhebergesetz (KUG) verletzt sein.

Seit Geltung des neuen Datenschutzrechts ist ein weiteres Problem hinzugekommen, denn bereits das Anfertigen und Speichern von Fotos mit erkennbaren Personen darauf kann eine Verarbeitung von personenbezogenen Daten darstellen. Das ist nach der Datenschutzgrundverordnung (DSGVO) zu Werbezwecken entweder nur mit Einwilligung der jeweils abgebildeten Personen oder auf der Grundlage eines überwiegenden, berechtigten Interesses des Unternehmens zulässig.

5. Datenschutzinformation

Im letzten Jahr entschied der Europäische Gerichtshof (EuGH), dass Betreiber von Facebook-Fanseiten für die Datenverarbeitung des sozialen Netzwerks verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16).

Das Urteil erging zwar zu Facebook auf der Grundlage der „alten“ Rechtslage nach der bisherigen EU-Datenschutzrichtlinie (RiLi 95/46/EG) bzw. dem nationalen Bundesdatenschutzgesetz (BDSG) alter Fassung. Es ist aber auf praktisch alle sozialen Netzwerke und die seit dem 25.05.2018 gültige Rechtslage nach der neuen DSGVO anwendbar.

Entsprechend hat bereits die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, regiert. In einer Stellungnahme zum EuGH-Urteil vom 06.06.2018 https://www.datenschutz-bayern.de/dsbk-ent/DSK_95p-Fanpages.pdf heißt es, dass dringender Handlungsbedarf für die Betreiber von Fanpages bestehe. Wer eine Fanpage betreibe, müsse seine Besucher u.a. transparent und in verständlicher Form darüber informieren, welche Daten zu welchen Zwecken durch Facebook und ihn als Fanpage – Betreiber verarbeitet werden. Dies gelte sowohl für Personen, die bei Facebook registriert seien, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.

(Lesen Sie dazu auch den Beitrag: >>“Gastblog: Facebook Fanpages und Custom Audiences – was ist noch erlaubt?“)

Damit steht fest, dass jeder Social-Media-Kanal neben einem Impressum vor allem auch eine Datenschutzinformation nach Art. 13 DSGVO benötigt, in der umfassend über die Verarbeitung der personenbezogenen Daten informiert wird. Der Text dazu kann zusammen mit dem Impressum (vgl. oben Ziffer 1) zum Beispiel auf einer externen Landingpage eingefügt werden, auf die aus den Social-Media-Kanälen heraus verlinkt wird.

Diese und weitere Fragen beantworten wir im OXID Academy Webinar Legal Update: „Social Media Recht“ am 9. Mai um 11 Uhr. Melden Sie sich gleich hier an!

Autorin

>>Sabine Heukrodt-Bauer. LL.M. ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: Neue Schulung E-Commerce Recht und 8 Tipps für einen rechtssicheren Onlineshop

(Gastblog von Sabine Heukrodt-Bauer, LL.M. für OXID eSales)

Onlinehändler müssen zahlreiche gesetzliche Vorschriften beachten, die fast nicht mehr zu überblicken sind. Dabei kann fast jeder Fehler in diesem Bereich wettbewerbsrechtlich u. a. von Mitbewerbern, Verbraucherschutzverbänden oder der Wettbewerbszentrale abgemahnt werden. Abmahnungen gehören daher mittlerweile zum Alltag von Onlinehändlern und richten teilweise hohe finanzielle Schäden an.

Im neuen >>Schulungsformat „E-Commerce Recht“ der OXID Academy erhalten Shopbetreiber und Projektleiter tiefgehende Kenntnisse über gängige Rechtsfragen im E-Commerce. Die folgenden 8 Tipps geben in Kürze einen Überblick über die wichtigsten Stolperfallen, und wie man sie vermeidet.

Tipp 1: Belehrung zum Widerrufsrecht und Muster der Widerrufserklärung

Verbrauchern steht im Internethandel ein 14-tägiges Widerrufsrecht zu. Das gesetzliche Muster für die Wider­rufsbelehrung ist hier geregelt: >>Widerrufsbelehrung. Dazu müssen Händler Verbrauchern auch das Muster für die Widerrufserklärung zur Verfügung stellen: >>Widerrufserklärung.

Für beide Muster gilt, dass diese wegen des bestehenden Abmahnrisikos nur im Rahmen der gesetzlichen Gestaltungshinweise abgeändert werden und jegliche „freie“ Abänderungen unterbleiben sollten.

Tipp 2: Bestellbutton

Bereits seit dem 01.08.2012 ist die sog. Button-Lösung in Kraft. Danach ist der Bestell-Button am Ende des Check-Outs mit Formulierungen wie „zahlungspflichtig bestellen“, „kostenpflichtig bestellen“, „kaufen“ oder „Jetzt kaufen“ zu beschriften.

Tipp 3: Bestätigungen

Jedem Kunden ist der Zugang der Bestellung beim Händler unverzüglich elektronisch zu bestätigen. Zusätzlich ist dem Kunden eine Vertragsbestätigung zu übermitteln, die den gesamten Inhalt der Bestellung einschließlich etwaiger AGB wiedergibt.

Ist der Vertragsschluss im Onlineshop so geregelt, dass das Onlineangebot verbindlich ist und der Vertrag bereits mit der Bestellung des Kunden verbindlich zustande kommt, können die Bestelleingangsbestätigung und die Vertragsbestätigung in einer einheitlichen E-Mail versendet werden.

Tipp 4: Artikelbeschreibung

Online ist der Kunde auf Produktbilder und eine ausführliche Artikelbeschreibung angewiesen. Die Informationspflichten im Fernabsatz erfordern deshalb die Darstellung aller „wesentlichen Eigenschaften“.

Welche das sind (etwa Größe, Gewicht, Farbe, Funktion etc.), hängt von den jeweiligen Artikeln ab. Auch an mögliche Sondervorschriften für z. B. Elektrogeräte, Textilien, Lebensmittel, Spielzeug und viele andere Artikelgruppen ist beim Abfassen der Artikelbeschreibungen zu denken.

Tipp 5: Preise

Alle Artikel sind nach der Preisangabenverordnung (PAngV) mit den Gesamtpreisen, also den Preisen einschließlich Umsatzsteuer und sonstiger Preisbestandteile, auszeichnen. Außerdem ist der Hinweis „inklusive Mehrwertsteuer“ oder „inkl. MwSt.“ erforderlich.

Zusätzlich ist anzugeben, ob ggf. zusätzliche Versandkosten anfallen und wenn ja, in welcher Höhe. Bei Waren, die nach Gewicht, Volumen, Länge oder Fläche angeboten werden, ist auch der Preis je Mengeneinheit (Grundpreis) anzugeben.

Tipp 6: Allgemeine Geschäftsbedingungen

Wie dargestellt, muss der Händler dem Verbraucher eine „Vertragsbestätigung“, in der der Vertragsinhalt wiedergegeben ist, zusenden. Auch im Hinblick auf die gesetzlichen Pflichtinformationen im Fernabsatz und im elektronischen Geschäftsverkehr bietet es sich daher insbe­sondere im B2C-Bereich an, alle Informationen auch in den Allgemeinen Geschäftsbedingungen (AGB) zusammenzustellen und dem Verbrau­cher per E-Mail mit der Vertragsbestätigung zur Verfügung zu stellen.

Dabei dürfen die AGB keine unzulässigen Klauseln enthalten. Viele Klauseln, die im B2B-Geschäft üblich sind, sind beim Verkauf an Verbraucher unzulässig und können abgemahnt werden.

Tipp 7: Datenschutz

Es ist eine eigene Seite „Datenschutz“ oder „Datenschutzinformation“ ein­zurichten, die Besucher und Kunden über alle datenschutzrechtlichen Aspekte des Shops nach Maßgabe der neuen Datenschutzgrundverordnung (DSGVO) informiert.

Es muss über sämtliche Verarbeitungen von personenbezogenen Daten informiert werden. Dabei sind auch Informationen zu Social Media Plug-ins, Tracking Tools, Widerspruchsmöglichkeiten etc. nicht zu vergessen.

Tipp 8: Produktbilder und Urheberrecht

Wer fremde Produktfotos unberechtigt für den eigenen Online-Shop verwendet, ist dem Urheber oder Nutzungsberechtigten gegenüber zu Unterlassung, Auskunft und Schadenersatz verpflichtet.

Händler sollten daher Nutzungsrechte an Produktfotos immer schriftlich regeln und sich diese bestätigen lassen. Außerdem ist grundsätzlich die korrekte Nennung des Urhebers im Online-Shop erforderlich, wenn dieser nicht ausnahmsweise darauf verzichtet hat.

Das notwendige Wissen und die Werkzeuge zu diesen Punkten und weiteren Themen erhalten Sie in der Tagesschulung „E-Commerce Recht“ am 5. Juli in Freiburg. Die Plätze sind begrenzt, melden Sie sich frühzeitig an.

Autorin

>>Sabine Heukrodt-Bauer. LL.M. ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: 3 Punkte, die im E-Mail-Marketing alles zulässig oder unzulässig machen

Seit Geltung der Datenschutzgrundverordnung (DSGVO) sind das E-Mail-Marketing und die Leadgenerierung für Marketiers nicht gerade einfacher geworden.
Es stellen sich jetzt Fragen wie „Über welchen Kanal darf ich den Lead kontaktieren?“, „Darf ich das Klickverhalten speichern?“ oder „Welche Daten kann ich für unser E-Mail-Marketing nutzen?

Kompliziert ist es auch, weil nicht nur das Datenschutzrecht zu beachten ist, denn parallel dazu gelten für deutsche Unternehmen außerdem das Gesetz gegen den unlauteren Wettbewerb (UWG) sowie das Bürgerliche Gesetzbuch (BGB) weiter.

Die Konsequenzen bei Verstößen sind dabei ganz unterschiedlich: Wer unbefugt Daten verarbeitet, unzulässige E-Mails verschickt oder unerlaubt Werbeanrufe tätigt, dem drohen nicht nur Bußgelder der Datenschutzbehörden nach der DSGVO wegen unzulässiger Datenverarbeitung. Er könnte auch unter anderem von Mitbewerbern, Abmahnvereinen oder Verbraucherschutzverbänden wettbewerbsrechtlich abgemahnt werden. Hinzu kommt, dass die Empfänger der E-Mails oder die Angerufenen ebenfalls zivilrechtlich Unterlassung verlangen und kostenpflichtig abmahnen können.

1. Auch Firmendaten können personenbezogene Daten sein

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden. Dazu gehören zwar nach Art. 1 DSGVO und Erwägungsgrund 14 DSGVO nicht die Daten einer juristischen Person an sich (Beispiel: Name und Adresse der Beispielsfirma XY GmbH). Allerdings unterscheidet die Verordnung nicht zwischen personenbezogenen Daten aus dem Bereich B2C (Business-to-Consumer) oder B2B (Business-to-Business). Damit können grundsätzlich auch Daten von geschäftlichen Kontakten personenbezogen sein. Es muss aber ein sog. Personenbezug gegeben sein, d. h. eine natürliche Person hinter den Daten stehen. Das ist zum Beispiel dann der Fall, wenn der Name einer Person in der E-Mailadresse verwendet wird.

2. Die Nutzung von Daten zu Werbezwecken benötigt eine eigene Rechtsgrundlage

Die Verarbeitung von Daten zum Zwecke der Kontaktaufnahme zu einem Interessenten, Kunden oder sonstigen Geschäftspartner erfordert entweder eine gesetzliche Grundlage oder die vorherige Einwilligung des Betroffenen:

Zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage des Betroffenen hin oder zur Erfüllung eines Vertrags dürfen personenbezogene Daten bereits nach dem Gesetz verarbeitet werden, ohne dass es einer vorherigen Einwilligung des Betroffenen bedarf.

(Art. 6 Abs. 1 lit. b DSGVO)

Beispiele:

  • jemand fragt per E-Mail nach einem Angebot;
  • über das Kontaktformular der Webseite wird ein Katalog bestellt;
  • eine Bestellung aus dem Onlineshop wird abgewickelt und der Käufer erhält die Bestell-Eingangsbestätigung, Auftragsbestätigung oder Rechnung per E-Mail.

Hier muss der Betroffene nicht jeweils erst gefragt werden, ob er mit der Speicherung seiner Daten einverstanden ist, damit seine Anfrage beantwortet oder seine Bestellung bearbeitet werden kann.
Allerdings dürfen die Kontaktdaten des Betroffenen nicht automatisch auch zu Werbezwecken gespeichert und später für die Leadgenerierung genutzt werden.

Sollen Daten von Interessenten und Kunden auch zu Werbezwecken genutzt werden, ist das nur mit einer speziellen Werbe-Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO) oder es besteht ein überwiegendes berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO):

Profiling und personalisierte Kundemails: wann eine spezielle Werbe-Einwilligung nötig ist.

Es gibt Fälle, in denen E-Mails ohne Einwilligung versendet werden dürfen. § 7 Abs. 3 UWG lässt das zum Beispiel unter bestimmten Voraussetzungen an Bestandskunden zu. Dann dürfen die Daten dafür auch nach DSGVO ohne besondere Einwilligung verarbeitet und auf Grundlage eines berechtigten Interesses verarbeitet werden.
Gleiches gilt beim Versand von Werbung auf dem Postweg, der ebenfalls nach § 7 UWG ohne Einwilligung des Empfängers zulässig ist.

Wie die Datenschutzbehörden das sehen, hat die Datenschutzkonferenz (DSK) im November 2018 in einer Orientierungshilfe (https://www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf) veröffentlicht. Danach soll es zulässig sein, die aus eigenen Gewinnspielen oder Prospekt- und Kataloganfragen generierten Postadressen für die Direktwerbung ohne Einwilligung der Betroffenen zu nutzen (vgl. Ziffer 4.2).

Wer jedenfalls E-Mails an Interessenten verschicken will, nicht die Voraussetzungen für das Versenden an Mails an Bestandskunden nach § 7 Abs. 3 UWG erfüllt oder auch telefonisch mit Interessenten in Kontakt treten will, sollte dazu jeweils eine Einwilligung einholen. Dafür bieten sich die Kontaktformulare oder Bestell- und Registrierungsformulare an, in denen jeweils eine eigene Checkbox mit einem entsprechenden Einwilligungstext eingefügt wird.

3. Wer ganz rechtssicher sein will, holt für das Tracking eine Einwilligung ein

Wird das Öffnungs- und Klickverhalten des Empfängers getrackt, in einem Profil gespeichert und werden auf dieser Basis personalisierte E-Mail versendet, stellt sich die Frage, ob dafür eine Extra-Einwilligung eingeholt werden muss oder ob ein überwiegendes berechtigtes Interesse ausreichend sein kann.

Eingriffsintensivere Maßnahmen wie automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen, sprechen hingegen dafür, dass ein Interesse der betroffenen Person am Ausschluss der Datenverarbeitung überwiegt. In diesen Fällen handelt es sich um Profiling, das nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann und damit die Einholung einer Einwilligung vor der Datenverarbeitung erforderlich macht. Das Widerspruchsrecht des Art. 21 DSGVO reicht dann nicht aus.“

(vgl. Ziffer 1.3 der Orientierungshilfe)
  • Nach einer Gegenmeinung und auch nach der von uns vertretenen Auffassung spricht jedoch viel dafür, die bloße Analyse des Öffnungs- und Klickverhaltens auch ohne Einwilligung zuzulassen. Die DSGVO erkennt in Art. 21 Abs. 1 und 2 DSGVO ausdrücklich an, dass „Profiling“ zum Betreiben von Direktwerbung auch im Rahmen eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann. Dort ist das Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen auf der Grundlage eines berechtigten Interesses geregelt und das „Profiling“ wird dort explizit genannt.

„Die wirtschaftlichen Interessen eines Unternehmens und die damit zusammenhängenden Marketinginteressen sind als ein berechtigtes Interesse einzuordnen (vgl. Erwägungsgrund 47 DSGVO zum „Direktmarketing“). Gleiches muss daher für das Ziel gelten, möglichst passgenaue und auf die Interessen des Empfängers ausgerichtete Werbebotschaften versenden zu können. Eine Abwägung mit den Interessen des Betroffenen ergibt dann, dass diesem eher nur solche Informationen zugeleitet werden, die seinen Interessen entsprechen, womit der Belästigungsfaktor niedrig gehalten wird. Außerdem ist das Speichern des Öffnungs- und Klickverhaltens für den Betroffenen in einem Dateiprofil nicht überraschend, insbesondere dann nicht, wenn über das Tracking in der Datenschutzinformation umfassend informiert wird.“

(Art. 21 Abs. 1 und 2 DSGVO)

Es stehen sich damit zwei Meinungen gegenüber und ob eine Einwilligung für Tracking erforderlich ist oder nicht, wird irgendwann durch die Rechtsprechung geklärt werden müssen.

Wer möglichst risikolos vorgehen will, sollte der Auffassung der DSK folgen und auch für das Tracking eine spezielle Einwilligung des Betroffenen einholen. Der Einwilligungstext im Onlineformular bezieht sich dann mit einer ersten Checkbox auf die Einwilligung für den Empfang von Werbe-E-Mails nach § 7 Abs. 2 Nr. 3 UWG und mit einer zweiten Checkbox auf die Einwilligung zum Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens.

Wer der Gegenmeinung folgen möchte, muss eine detaillierte Interessenabwägung vornehmen, diese im Verarbeitungsverzeichnis des Unternehmens sorgfältig begründen und in der Datenschutzerklärung genauestens darüber informieren. Außerdem ist eine Opt-Möglichkeit zu implementieren. Es wird dann nur eine datenschutzrechtliche bzw. wettbewerbsrechtliche Einwilligung für die Verarbeitung der Namens- und Adressdaten zum Zwecke der Versendung von Werbe-E-Mails eingeholt, das Anlegen eines Profils mit dem Speichern des Öffnungs- und Klickverhaltens des Empfängers erfolgt dann aber auf der Grundlage eines berechtigten Interesses.

Diese Punkte und individuelle Fragen beantworten wir am 28.2. 2019 ab 11 Uhr persönlich und live im Webinar der OXID Academy
„Legal-Update: Rechtssicher mit Lead-Generierung und E-Mail-Marketing“.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: Facebook Fanpages und Custom Audiences – Was ist noch erlaubt?

In letzter Zeit hat die Rechtsprechung durch zwei Urteile von sich Reden gemacht, die Shopbetreiber mit einer Facebook Fanpage und solche, die Custom Audiences nutzen, in rechtliche Schwierigkeiten gebracht haben.

Zum einen entschied das Verwaltungsgerichtes Bayreuth, dass Facebook Custom Audiences from your List ohne Einwilligung der Kunden gegen Datenschutzrecht verstößt (>>Beschluss vom 08.05.2018, Az.: B 1 S 18.105)

Zum anderen stufte der Europäische Gerichtshof (EuGH) die Betreiber von Facebook-Fanpages als Verantwortliche für den Datenschutz ein (>>Urteil vom 05.06.2018, Az. C-210/16), obwohl sie keinen Einfluss auf das haben, was Facebook datenschutzrechtlich tut oder nicht.
Es stellt sich daher die Frage, wie sich Shopbetreiber aktuell zu den beiden Themen verhalten sollen.

1. Facebook Custom Audiences

Was ist was?

Bei Facebook Custom Audiences (Fb.CA) ist zwischen zwei Varianten zu unterscheiden:

Über die Variante „Kundenliste“ ist es möglich selbst erstellte Kundenlisten mit Facebook Nutzern abzugleichen, um auf Facebook gezielte Werbekampagnen für Kunden durchzuführen.
Hierbei werden zum Beispiel E-Mailadressen oder Telefonnummern in den Facebook Adverts Manager im eigenen Unternehmensaccount hochgeladen und so durch den Shopbetreiber an Facebook übermittelt.

Bei der Nutzung der Variante „über Pixel“ wird ein sogenanntes Tracking-Pixel von Facebook auf Ihrer Webseite eingebaut. Durch das Pixel werden Cookies gesetzt. Mithilfe der Informationen aus den Cookies erfährt Facebook, welche seiner Nutzer die Webseite mit dem Pixel besucht haben und zeigt diesen bei Nutzung von Facebook Werbung der Webseite an.
Ist zusätzlich die Funktion „erweiterter Datenabgleich“ aktiviert, werden die erzeugten Informationen außerdem mit über die Webseite erhobenen Daten angereichert und an Facebook übertragen. Dies können z.B. E-Mail-Adressen, Telefonnummern, Nutzerkontodaten oder Ähnliches sein.

Rechtliche Lage

Der Dienst Fb.CA „Kundenliste“ sollte zukünftig nur noch mit Einwilligung des Nutzers verwendet werden.
Mit Beschluss vom 08.05.2018 bestätigt das Verwaltungsgericht Bayreuth eine entsprechende Anordnung des Bayrischen Landesbeauftragten für Datenschutz (BayLDA), nach der ein Einsatz dieses Marketing Werkzeuges ohne Einwilligung des Nutzers unzulässig ist. Die Anordnung erging vor Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO), berücksichtigt aber bereits vorsorglich die neue Rechtslage. Da die DSGVO den Schutz der Betroffenen grundsätzlich erweitert, ist davon auszugehen, dass die Anordnung auch einer gerichtlichen Überprüfung auf der Grundlage des neuen Datenschutzrechts standhalten würde. Eine Nutzung des Dienstes trotz fehlender Einwilligung der Betroffenen kann daher zu Abmahnungen und Bußgeldern führen.

Für die Nutzung von Fb. CA „über Pixel“ mit aktiviertem erweiterten Datenabgleich, ist aufgrund der Übertragung der angereicherten Daten an Facebook ebenfalls eine Einwilligung einzuholen.
Auch die Nutzung von Fb. CA „über Pixel“ ohne Zusatzfunktion ist zumindest nach einer >>Stellungnahme der Datenschutzkonferenz vom 26.04.2018 ohne vorherige Einwilligung der Betroffenen unzulässig, denn nach Meinung der Datenschützer erfordert der Einsatz von Tracking-Diensten jeglicher Art immer eine vorherige Einwilligung. Wer als Shopbetreiber also jegliches Risiko ausschließen möchte, sollte beim Einsatz von Fb.CA in allen Varianten immer eine Einwilligung einholen.

Allerdings gibt es noch keine gerichtlichen Entscheidungen zu dieser Thematik.
Nach unserer Einschätzung sollte die Nutzung von Fb.CA zumindest in der einfachen Pixel-Variante (also ohne jeglichen Datenabgleich) auch ohne vorherige Einwilligung auf der Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 f DSGVO möglich sein.
Voraussetzung wäre jedoch, dass die Webseitenbesucher in der Datenschutzerklärung umfassend informiert werden und ihnen eine Opt-Out-Möglichkeit angeboten wird. Wir meinen, dass durchaus auch grundlegende, statistische Analysefunktionen künftig unter ein berechtigtes Interesse fallen und somit keiner Einwilligung der Betroffenen bedürfen.

In allen Fällen ist in der Datenschutzerklärung umfassend über die Verwendung der Dienste zu informieren.

Was müssen Sie tun?

Holen Sie für die Nutzung von Facebook Custom Audiences „Kundenliste“ die Einwilligung der Nutzer für die Datenverarbeitung ein. Sofern Sie den Dienst Facebook Custom Audiences „Pixel“ mit erweitertem Datenabgleich nutzen wollen, holen Sie bitte auch hier eine Einwilligung der Webseitenbesucher ein. Die Einwilligungen können in beiden Fällen über ein sogenanntes Cookie-Banner abgefragt werden. Bitte stellen Sie sicher, dass bereits vor dem Setzen des ersten Cookies eine Zustimmung vorliegt.

Zusätzlich muss den Nutzern in allen Varianten die Möglichkeit geboten werden Ihre Einwilligung zu widerrufen. Bei der Gestaltung der Widerrufsmöglichkeit sollten die entsprechenden >>„Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience“ des BayLDA beachtet werden.
Ein Widerruf soll demnach durch Setzen eines Opt-Out-Cookies erfolgen. Dieses verhindert das Setzen von Tracking-Cookies und sollte unbegrenzte Gültigkeit besitzen. Nach Setzen des Opt-Out-Cookies darf keinerlei weiterer Datenverkehr mit Facebook stattfinden.
Der Webseitenbetreiber muss selbst eine geeignete Opt-Out-Lösung implementieren und darf nicht einfach auf Facebook verweisen. 

2. Facebook Fanpages

Das rechtliche Problem

Nachdem der EuGH sowohl Facebook als auch die Betreiber von Fanpages als „Verantwortliche“ im Sinne des Datenschutzrechts eingeordnet hatte, musste Facebook reagieren.
Die DSGVO sieht in Art. 26 ausdrücklich vor, dass bei mehreren Verantwortlichen vertraglich festgelegt werden muss, „wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht und wer welchen Informationspflichten […] nachkommt.

Wie hat Facebook reagiert?

Am 11.09.2018 hat die Facebook die Allgemeinen Geschäftsbedingungen geändert und um die entsprechenden Regelungen ergänzt. Im >>„Page Controller Addendum“ wird jetzt geregelt, dass Facebook mit dem Fanpage-Betreiber gemeinsam verantwortlich ist und die Verantwortung für die Bereiche Informationspflichten (Art. 12 – 13 DSGVO), Betroffenenrechte (Art. 15 – 22 DSGVO) und Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO) übernimmt. 

Was müssen Sie tun?

Der Fanpage-Betreiber selbst muss nur noch eine umfassende Datenschutzinformation in die eigene Fanpage integrieren mit Infos dazu, zu welchem Zweck bzw. auf welcher Rechtsgrundlage welche personenbezogenen Daten verarbeitet werden.

Außerdem ist anzugeben, dass Facebook ein gemeinsam Verantwortlicher ist und es sollte auf die Datenschutzinformation von Facebook hingewiesen und verlinkt werden.

Schließlich muss darüber informiert werden, welche Rechte ein Betroffener gegenüber Facebook geltend machen kann und wie er dazu vorzugehen hat. Auch hier kann auf die entsprechenden Infos bei Facebook hingewiesen und verlinkt werden.

Autor

>>Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Gastblog: E-Commerce international – 8 Fragen zur Geoblocking-VO

Die neue Geoblocking-Verordnung im Onlinehandel ab Dezember 2018

Als hätte der Onlinehandel nicht schon genug mit dem Weihnachtsgeschäft zu tun… Nach dem Beschluss des EU-Parlaments Anfang des Jahres (wir berichteten) wird es jetzt konkret, denn ab dem 3. Dezember 2018 gilt die neue Verordnung (EU) 2018/302 gegen ungerechtfertigtes Geoblocking im Binnenmarkt (GB-VO).

Ziel ist es, innerhalb der Europäischen Union einen freien und reibungslosen Binnenmarkt zu gewährleisten.

Die Verordnung regelt das im Wesentlichen über zwei Verbote: Zum einen ist die Sperrung von Webseiten, zum anderen das Zugrundelegen von unterschiedlichen Vertragskonditionen einschließlich Nettopreisen und Zahlungsoptionen auf der Grundlage von Staatsangehörigkeit, Wohnsitz oder Niederlassung verboten. Jegliche Differenzierungen und Beschränkungen aus Gründen des Aufenthaltsortes des Kunden sollen künftig unterbunden werden.

Das hat für den Onlinehandel weitreichende Auswirkungen, denn das bisher übliche Geoblocking wird unzulässig und Anbieter von Waren und Dienstleistungen werden faktisch gezwungen, auch Kunden aus anderen EU-Mitgliedsstaaten zu akzeptieren.

1.     Was ist Geoblocking?

Beim Geo-Blocking werden bestimmte Internetinhalte nur einem regional definierten Nutzerkreis zugänglich gemacht. Beispiele:

  • Einem Internetnutzer aus Frankreich wird ein deutschsprachiger Onlineshop nicht angezeigt, sondern er wird automatisch auf den französischen Onlineshop des Händlers umgeleitet. Technisch läuft das über die IP-Adresse des Nutzers, über die das System erkennt, aus welchem Land der Nutzer stammt.
  • Ein Kunde aus Spanien kann in einem deutschen Onlineshop nicht bestellen, weil das System über das Bestellformular seine spanische Adresse ausschließt.

2.     Für wen gilt die Verordnung – und für wen nicht?

Die Verordnung verpflichtet alle Unternehmen im geschäftlichen Verkehr mit „Kunden“. Das können nach Art. 2 Nr. 13 GB-VO Verbraucher sein, die die Staatsangehörigkeit eines Mitgliedstaats besitzen oder ihren Wohnsitz in einem Mitgliedstaat haben (B2C), aber auch andere Unternehmen, die ihre Niederlassung in einem Mitgliedstaat haben und das Geschäft als Endkunde tätigen. Damit gilt die GB-VO auch im Bereich B2B, solange der Kunde in dem Fall kein Wiederverkäufer ist.

3.     Für welche Waren oder Dienstleistungen gilt die GB-VO nicht?

Die GB-VO gilt u. a. nicht für Händler, die urheberrechtlich geschützte Inhalte verkaufen. Beispiele: E-Books, Zugriff auf Mediatheken oder Musik- oder Film-Streaming. In diesem Bereich gilt jedoch seit dem 1. April 2018 die Portabilitätsverordnung (EU) 2017/1128. Danach muss der Abruf der Inhalte für EU-Bürger auch dann möglich sein, wenn sich diese nur vorübergehend in einem anderen Mitgliedsstaat aufhalten.

Die Geo-VO gilt auch nicht für Dienstleistungen nach Art. 2 Abs. 2 der Richtlinie 2006/123/EG über Dienstleistungen im Binnenmarkt. Dazu gehören u. a. Dienstleistungen im Bereich Finanzen, elektronische Kommunikation, Verkehr, Gesundheit oder Soziales. Auch ausgenommen sind sog. audiovisuelle Dienste, auch im Kino- und Filmbereich, und Rundfunk.

4.     Ist das Umleiten auf Länder-Shops jetzt verboten?

Die neue Verordnung verbietet das „Routing“, also das automatische Umleiten von Nutzern einer bestimmten IP-Adresse auf eine bestimmte Webseite (Art. 3 Abs. 2 GB-VO). Beispiel: Ein schwedischer Webseitenbesucher wird automatisch auf die schwedische Version eines Shops umgeleitet und hat keine Möglichkeit, auf die deutsche Version des Anbieters zuzugreifen. Das ist künftig unzulässig.

Es gibt jedoch eine Ausnahme: Die Umleitung ist doch im Einzelfall zulässig, wenn der Webseitenbesucher vorab ausdrücklich zustimmt. Aber auch dann müssen die anderen Versionen der Webseite weiterhin für ihn frei zugänglich bleiben. Auch muss der Webseitenbesucher seine Einwilligung jederzeit widerrufen können. Beispiel: Der schwedische Webseitenbesucher erhält im deutschen Onlineshop die Wahlmöglichkeit, d.h. er kann zustimmen, auf den schwedischen Onlineshop umgeleitet zu werden. Die Zustimmung kann auch dauerhaft oder innerhalb eines Kundenkontos eingeholt werden und muss dann nicht bei jedem Besuch des Shops erneut abgefragt werden (Erwägungsgrund 20).

5.     Dürfen in unterschiedlichen Länder-Shops unterschiedliche Preise verlangt werden?

Grundsätzlich bleibt es beim Grundsatz der Privatautonomie, d.h. einem Shopbetreiber steht es weiterhin frei, seine Preise selbst zu bestimmen und unterschiedliche Nettoverkaufspreise innerhalb seiner unterschiedlichen Länder-Shops zu verlangen. Allerdings ist es künftig verboten, einen Kunden wegen der seiner Staatsangehörigkeit, seinem Wohnsitz oder seiner Niederlassung durch Zugrundelegung unterschiedlicher Vertragsbedingungen oder Preise zu diskriminieren, wenn eine dieser drei Fallkonstellationen vorliegt (Art. 4 GB-VO):

  • Ein Kunde kauft Ware in einem Onlineshop, der die Lieferung in einen Mitgliedsstaat oder die dortige Abholmöglichkeit anbietet. Hier müssen für den Kunden aus dem anderen Mitgliedsstaat ebenfalls dieselben Preise und Lieferbedingungen gelten. Beispiel: Ein deutscher Onlineshop bietet die Lieferung innerhalb Deutschlands an. Dann darf ein französischer Kunde zu denselben Konditionen bestellen, wenn er die Ware in Deutschland abholt oder sonst selbst den Transport organisiert.
  • Ein Kunde bezieht elektronisch erbrachte Dienstleistungen, die nicht urheberrechtlich geschützte Inhalte sind (z. B. die Nutzung von Cloud-Diensten, Hosting). Auch wenn der Anbieter seinen Sitz in einem anderen Mitgliedsstaat hat, muss er seine Dienste grenzübergreifend zu denselben Bedingungen innerhalb der EU anbieten.
  • Ein Kunde nimmt andere als elektronisch erbrachte Dienstleistungen von einem Anbieter mit Sitz in einem anderen Mitgliedstaat in Anspruch (z. B. Buchung von Hotelzimmern, Nutzung eines Mietwagens, Buchung eines Konzerttickets). Auch hier darf der Anbieter für Kunden aus anderen Mitgliedstaaten keine anderen Konditionen zugrunde legen.

6.     Dürfen noch unterschiedliche Ländershops eingerichtet werden?

Es bleibt weiterhin zulässig, für unterschiedliche EU-Länder unterschiedliche Shop-Versionen anzubieten, nur das automatische Sperren bzw. Umleiten ist nicht mehr erlaubt. So regelt Art. 4 Abs. 2 GB-VO ausdrücklich, dass Anbieter nicht daran gehindert sind, „allgemeine Geschäftsbedingungen für den Zugang, einschließlich Nettoverkaufspreisen, anzubieten, die sich von einem Mitgliedstaat zum anderen oder innerhalb eines Mitgliedstaats unterscheiden und die Kunden in einem bestimmten Gebiet oder bestimmten Kundengruppen in nichtdiskriminierender Weise angeboten werden.“

Erforderlich ist jedoch, dass sämtliche Shop-Versionen allen Kunden mit allen Bestellmöglichkeiten und Nettoverkaufspreisen gleich zugänglich sind. In Erwägungsgrund 20 heißt es dazu: „Manche Anbieter betreiben verschiedene Versionen ihrer Online-Benutzeroberflächen für Kunden aus verschiedenen Mitgliedstaaten. Das sollte zwar weiterhin möglich sein, hingegen sollte es untersagt werden, Kunden ohne deren ausdrückliche Zustimmung von einer Version der Online-Benutzeroberfläche zu einer anderen Version weiterzuleiten.“

7.     Werden Onlinehändler jetzt gezwungen, ins gesamte EU-Ausland zu liefern?

Nein, kein Händler wird zur Versendung der Ware ins EU-Ausland gezwungen. Allerdings ergibt sich aus Art. 4 Abs. 1 a und Erwägungsgrund 23 GB-VO, dass Kunden aus anderen Mitgliedsstaaten zu denselben Konditionen bestellen können müssen, wie inländische Kunden. Insgesamt müssen die Kunden in der Lage sein, Waren zu genau den gleichen Bedingungen, einschließlich Preisen und Lieferbedingungen zu bestellen wie sie für vergleichbare Kunden mit Wohnsitz oder Niederlassung in dem Mitgliedstaat, in den die Waren geliefert oder in dem sie abgeholt werden können, gelten. In Erwägungsgrund 23 GB-VO heißt es dazu: „Das kann bedeuten, dass ausländische Kunden die Ware in dem betreffenden Mitgliedstaat oder in einem anderen Mitgliedstaat, in den der Anbieter liefert, abholen oder die grenzüberschreitende Lieferung der Waren auf eigene Kosten selbst organisieren müssen.“

Onlinehändler werden daher zwar nicht gezwungen, in jeden Mitgliedsstaat zu versenden, sie müssen aber die Abholung durch den Kunden innerhalb ihres Liefergebietes ermöglichen. Beispiel: Wenn ein Spanier Ware in einem deutschen Onlineshop bestellt, darf seine Bestellung wegen seines Wohnsitzes in Spanien nicht abgelehnt werden. Hat der Händler das Liefergebiet in seinen Allgemeinen Geschäftsbedingungen auf Deutschland begrenzt, kann er nicht gezwungen werden, die Ware auch nach Spanien zu liefern. Er muss dem Kunden aber die die Möglichkeit bieten, die Ware entweder selbst in Deutschland abzuholen oder den Transport sonst selbst zu organisieren.

8.     Bleibt es erlaubt, weiterhin einen nur auf ein bestimmtes Liefergebiet beschränkten Onlineshop zu betreiben?

Ja, denn Unternehmen werden durch die Geo-VO nicht verpflichtet, künftig ihr Liefergebiet auf die gesamte EU auszuweiten. Beispiel: Es bleibt zulässig, etwa über die deutsche Sprache nur deutsche Kunden oder solche aus der DACH-Region anzusprechen und das Liefergebiet in den Allgemeinen Geschäftsbedingungen entsprechend nur auf Deutschland oder Deutschland, Österreich, Schweiz zu definieren.

Was ist das To Do bis 03.12.2018r Shopbetreiber?

  1. Löschen aller automatischen Umleitungen auf Länder-Shops
  2. Installation einer technischen Möglichkeit, die Zustimmung zu Weiterleitungen einzuholen
  3. Anpassung der Bestellformulare, Kundenregistrierungen usw. zur Ermöglichung der Eingabe von ausländischen Adressen
  4. Anpassung der Allgemeinen Geschäftsbedingungen in Bezug auf das Liefergebiet
  5. Anpassung der Zahlungsoptionen
  6. Einrichtung der Prozesse zur Ermöglichung von Warenabholungen

Autor

Sabine Heukrodt-Bauer
Sabine Heukrodt-Bauer, LL.M.

Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

Neue Informationspflichten für Onlinehändler

Gastblog: Neue DSGVO – Was Shopbetreiber jetzt tun müssen!

Neues EU-Datenschutzrecht ab Mai 2018 – Das sind die To Dos für Onlinehändler

Die Datenschutzgrundverordnung (DSGVO) tritt zum 25.05.2018 in allen Mitgliedsländern der Europäischen Union in Kraft. Soweit danach noch nationale Regelungen möglich, hat Deutschland bereits ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, das ebenfalls zum 25.05.2018 in Kraft tritt. Es gibt weitreichende Änderungen, um die sich Onlinehändler, die sich bislang noch gar nicht mit dem Thema beschäftigt haben, jetzt dringend kümmern müssen. Denn: Während Datenschutz bislang eher unter dem Motto „nice to have“ gehandhabt wurde, drohen jetzt mit der DSGVO extrem hohe Bußgelder für denjenigen, der sich nicht an die Vorschriften hält. Je nach Verstoß können hier zukünftig bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes verhängt werden.

 

1. To do: Führen eines Verfahrensverzeichnisses

Bis 25.05.2018 muss ein „Verzeichnis von Verarbeitungstätigkeiten“ vorhanden sein, dass auf Anfrage, etwa im Rahmen eines Audits der Datenschutzbehörde, vorgelegt werden kann. Es gibt zwar eine Einschränkung der Dokumentationspflichten für kleine Unternehmen mit weniger als 250 Mitarbeitern, u. a. wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Davon kann jedoch auch selbst bei kleinen Shopbetreibern nicht die Rede sein, denn sie verarbeiten täglich die Bestelldaten ihrer Kunden. Auch sie müssen daher künftig alle Systeme und Verfahren auflisten, mit denen personenbezogene Daten verarbeitet werden. Beispiele: E-Mail-Software, CRM, Newsletter-Systeme, Analyse-Systeme (IP-Adresse!), Personal-Management-Systeme. Es muss u. a. aufgeführt werden, was der Zweck der jeweiligen Datenverarbeitung ist, welche Kategorien von betroffenen Personen und personenbezogenen Daten es gibt, welche Fristen für die Löschung der Daten vorgesehen sind, ob Daten in Drittstaaten übermittelt werden und welche technischen und organisatorischen Maßnahmen die Datensicherheit gewährleisten.

 

2. To do: Anpassen der Auftragsdatenverarbeitungsverträge

Beispiele für Auftragsverarbeitungen sind etwa die Nutzung von Cloud-Anwendungen wie Lohnbuchhaltung, CRM, Mailing-Systeme, eines externen Call-Centers für den Kundenservice, Durchführung von Gewinnspielen über eine externe Agentur oder das Managed Hosting von Webseiten/Onlineshops oder oder auch von Google Analytics. Immer dann, wenn die eigenen Kundendaten an Dritte zur Verarbeitung weitergegeben werden, ist auch nach jetzigem Recht bereits ein Auftragsdatenverarbeitungsvertrag nach § 11 BDSG abzuschließen. Die bisherige „Auftragsdatenverarbeitung“ wird jetzt zur „Auftragsverarbeitung“ und bringt neue Pflichten auch für den Auftragsverarbeiter mit sich. Während früher einfach nur Weisungsverhältnis zwischen dem Auftragsgeber und dem Auftragsnehmer bestand und der Auftragsgeber der verantwortliche „Herr der Daten” war, ist mit der DSGVO jetzt nur noch ein Auftragsverhältnis über die Datenverarbeitung erforderlich. Der Auftragsnehmer ist zwar immer noch weisungsgebunden, hat jetzt jedoch eigene Pflichten – auch gegenüber der Datenschutzbehörde – und haftet selbst neben dem Auftragsgeber.

Sämtliche bisherigen Auftragsdatenverarbeitungsverträge sind auf die neuen Pflichten und technischen und organisatorischen Maßnahmen hin zu aktualisieren. Die DSGVO sieht dazu auch Standardvertragsklauseln vor, die jedoch noch nicht vorliegen. Shopbetreiber können aber bereits jetzt schon einmal listen, welche Verträge es bei ihnen gibt und auch schon die vorhandenen Zertifizierungen überprüfen.

 

Die neue DSGVO 2018

 

3. To do: Überprüfung aller Erlaubnistatbestände und Einwilligungsprozesse

Wie bisher darf eine Datenverarbeitung nur erfolgen, wenn ein sog. Erlaubnistatbestand greift. Das können sein:
• die Einwilligung des Betroffenen,
• das berechtigtes Interesse des Unternehmers
• die Erfüllung vertraglicher Pflichten,
• die Beantwortung vorvertraglicher Anfragen,
• die Erfüllung gesetzlicher Verpflichtungen.

Wie bisher dürfen Daten zur Erfüllung vertraglicher Pflichten wie die Abwicklung einer Bestellung ohne besondere Einwilligung des Kunden verarbeitet werden. Gleiches gilt für die Beantwortung vorvertraglicher Anfragen, wenn etwa ein Interessent sich über das Kontaktformular der Webseite meldet. Die Erfüllung gesetzlicher Pflichten betrifft etwa die steuerrechtlichen Aufbewahrungspflichten. Zu Marketingzwecken dürfen Daten bei Vorliegen einer Einwilligung oder einem berechtigten Interesse verarbeitet und genutzt werden. Das berechtigte Interesse wird aber einen weiteren Anwendungsbereich haben als das bisher nach deutschem Recht der Fall ist. So erkennt die DSGVO beispielsweise die Werbeinteressen der Onlinebranche als ein berechtigtes Interesse an. In einem Erwägungsgrund wird ausdrücklich klargestellt, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. Neben dem Einwilligungserfordernis wird also das „berechtigte Interesse“ an der Datenverarbeitung praktisch eine größere Rolle im Marketing spielen. Aber: Das Wettbewerbsrecht gilt weiterhin. E-Mail-Marketing wird daher zukünftig trotzdem immer nur mit vorherigem, ausdrücklichem Einverständnis des betroffenen zulässig sein und kann nicht einfach auf das berechtigte Interesse gestützt werden.

 

4. To Do: Anpassung der Einwilligungen

Einwilligungen können zukünftig formlos mündlich, elektronisch oder schriftlich eingeholt werden. Allerdings müssen Unternehmen das Vorliegen einer Einwilligung künftig nachweisen können. Sie müssen also schriftlich oder digital protokolliert werden. Digitale Einwilligungen sollten mit einer nicht vorab angeklickten Checkbox mit Double-Opt-In eingeholt werden. Außerdem muss der Betroffene bei der Einwilligung auf sein Widerrufsrecht hingewiesen werden.

 

5. To do: Stellen Sie sich auf die Betroffenenrechte ein

Nutzer und Kunden sind über eine Datenschutzinformation im Shop über ihre Betroffenenrechte zu informieren. Sie haben im Rahmen der DSGVO ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde. Diese Rechte sind nicht alle neu. Neu sind allerdings die Konsequenzen, wenn der Shopbetreiber nicht innerhalb einer Frist von einem Monat auf entsprechende Anfragen von Betroffenen reagiert, denn dann können Bußgelder verhängt werden. Es ist daher erforderlich, alle Mitarbeiter für das Thema zu sensibilisieren, denn es muss jedem klar sein, dass jede Anfrage die einmonatige Frist in Gang setzt. Es sollten in größeren Unternehmen daher Organisationsanweisungen formuliert werden. Eine weitere Möglichkeit ist auch, ein Onlineformular für die Anfragen auf die Webseite zu stellen, zum Beispiel direkt in die Datenschutzinformation, um eingehende Anfrage möglichst zu kanalisieren. Betroffene sind allerdings nicht verpflichtet, das Formular zu nutzen. Auch auf E-Mail-Anfragen oder Anfragen per Telefon oder Fax muss daher fristgerecht reagiert werden.

 

6. To Do: Anpassung der Rechtstexte

Es bestehen teilweise neue Informationspflichten für Shopbetreiber als „Verantwortliche“, die eine Anpassung der Werbe-Einwilligungstexte, der Datenschutzinformation, der Allgemeinen Geschäftsbedingungen und der sonstigen Informationstexte im Shop erforderlichen machen können. Der Kunde ist zu informieren über die Zwecke und die jeweilige Rechtsgrundlage für die Datenverarbeitung, ob ein Datentransfer in Drittstaaten erfolgt einschließlich der Angabe der jeweiligen Rechtsgrundlage, die Dauer der Datenspeicherung, das Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde.

 

Autor

Sabine Heukrodt-Bauer

Sabine Heukrodt-Bauer ist Sprecherin auf diversen Events und Kongressen der IT-Branche und Dozentin für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und betreut seit über 10 Jahren für die INTERNET WORLD Business die Kolumne „E-Shop-Tipp“. Sie sitzt im Ausschuss „IT-Recht“ der Bundesrechtsanwaltskammer.

 

Neue Verbraucherrechterichtlinie ab 13.06.2014

VRRL 2014Zum Freitag, den 13. Juni 2014, tritt die neue Verbraucherrechterichtlinie in Kraft, aus der sich zahlreiche Neuerungen für den Online-Handel ergeben. Das Ergebnis – einheitliche Vorgaben für den E-Commerce im Raum der EU – reformiert vor allem das Widerrufsrecht bei Fernabsatzverträgen sowie die Informationspflicht und verlangt somit diverse Anpassungen seitens Online-Anbietern zum Stichtag.
Damit der 13. Juni trotz mangelnder Übergangsfrist für Sie nicht zum sprichwörtlichen „Freitag den 13.“ wird, möchten wir Sie hier über die grundlegendsten Änderungen informieren.

 

 

 

 

 

Neuerungen beim Widerrufsrecht

  • Neue Widerrufsbelehrungen
    Durch die Änderungen im Widerrufsrecht müssen Online-Händler zwingend ihre Belehrungen, Hinweise u.ä. anpassen. Der Gesetzgeber stellt verschiedene Musterbelehrungen zur Verfügung, die an die individuellen Erfordernisse im Shop anzupassen sind.
  • Wegfall des Rückgaberechts
    Das Widerrufsrecht wird nunmehr obligatorisch und kann künftig nicht mehr durch ein Rückgaberecht ersetzt werden, welches somit vollständig wegfällt.
  • Eindeutige Erklärung eines Widerrufs
    Des Weiteren muss der Widerruf künftig ausdrücklich erklärt werden – entweder durch ein Formular, welches von Händlern bereitgestellt werden muss, oder auch formlos, beispielsweise auch telefonisch. Die kommentarlose Rücksendung der Ware reicht dann nicht mehr aus.
  • Widerrufsfrist
    Die Widerrufsfrist wird europaweit 14 Tage betragen und wird spätestens nach einem Jahr und 14 Tagen entfallen. Das nach deutschem Recht aktuell quasi unendliche Widerrufsrecht entfällt damit.
  • Rückerstattung
    Die Rückerstattung des Warenwerts muss binnen 14 Tagen und, falls nicht anders vereinbart, mit dem gleichen Zahlungsmittel wie beim Kauf erfolgen.
    Für den Händler besteht ein Zurückbehaltungsrecht, bis er die Ware zurückbekommen hat bzw. einen Nachweis über den Rückversand erhalten hat.
    Der Käufer ist dagegen verpflichtet, die Ware innerhalb von 14 Tagen ab Erklärung des Widerrufs zurückzusenden bzw. zurückzugeben, auch denn, wenn es sich dabei um nicht paketversandfähige Ware handelt, die per Spedition verschickt werden muss.
  • Versandkosten
    Die Hinsendekosten müssen im Falle eines Widerrufs durch den Händler getragen werden, jedoch nur in Höhe der günstigsten im Shop angebotenen Standardlieferungskosten. D.h. eventuelle Express- oder Nachnahmezuschläge sind nicht mehr zu erstatten.
    Die Rücksendekosten sind unabhängig vom Warenwert, vom Kunden zu tragen, sofern er hierauf hingewiesen wurde. Dem Unternehmer steht es jedoch frei, die Rücksendekosten freiwillig zu tragen. Die sogenannte 40-Euro-Klausel entfällt. Bei nicht paketversandfähiger (Speditions-) Ware ist die Höhe der Rücksendekosten in der Widerrufsbelehrung konkret zu nennen.

 

Ausnahmen
Ausgenommen vom Widerrufsrecht sind

  • Waren, die nicht vorgefertigt und durch eine individuelle Auswahl auf die Bedürfnisse des Verbrauchers zugeschnitten sind,
  • Waren, die schnell verderben können und deren Verfallsdatum schnell überschritten wurde,
  • Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene versiegelt sind und deren Versiegelung nach der Lieferung entfernt wurde,
  • Waren, die aufgrund ihrer Beschaffenheit nach der Lieferung untrennbar mit anderen Gütern vermischt wurden,
  • Ton- und Videoaufnahmen sowie Computersoftware, deren versiegelte Verpackung nach der Lieferung geöffnet wurde,
  • Zeitungen, Zeitschriften und Illustrierte mit Ausnahme von Abonnement-Verträgen,
  • Alkoholische Getränke, deren Preis bei Vertragsschluss vereinbart wurde, die aber erst frühestens nach 30 Tagen geliefert werden können und deren aktueller Wert von Schwankungen auf dem Markt abhängt, auf die der Unternehmer keinen Einfluss hat.

 

Neuerungen bei der Informationspflicht
Neben den Änderungen beim Widerrufsrecht ergeben sich einige Änderungen in der Informationspflicht, die unbedingt beachtet werden müssen:

  • Lieferbeschränkungen
    Der Unternehmer muss den Verbraucher spätestens bei Beginn des Bestellvorgangs über eventuelle Lieferbeschränkungen, beispielsweise eine Lieferung nur in bestimmte EU-Länder, in Kenntnis setzen.
  • Zahlungsarten
    Ebenfalls muss der Kunde spätestens bei Beginn des Bestellvorgangs darüber informiert werden, welche Zahlungsarten vom Unternehmer akzeptiert werden.
  • Telefonnummer
    Da ab 13.06. auch ein telefonischer Widerruf erfolgen kann, muss der Unternehmer obligatorisch eine Telefonnummer angeben. Dabei müssen sich die Telefongebühren nach dem Grundtarif richten, teure 0900- oder 0180-Nummern dürfen nicht mehr angegeben werden.
  • Gewährleistung
    Auf einer allgemeinen Informationsseite muss angegeben werden, ob die verkauften Waren dem gesetzlichen Gewährleistungsrecht unterliegen und welche Bedingungen für eventuell angebotene Kundendienste, -dienstleistungen und Garantien bestehen.

 

Was bedeutet das für Sie?
Um mit Ihrem Online-Shop ab dem 13. Juni den neuen gesetzlichen Forderungen zu entsprechen, empfehlen wir Ihnen, sich an folgender Checkliste zu orientieren:

  • Anpassung der Widerrufsbelehrung, z.B. durch das Verwenden des neuen Musters
  • Prüfung Ihres Online-Angebots, z.B. hinsichtlich neuer Ausnahmen vom Widerrufsrecht oder der Anpassung der Pflichtinformationen
  • Ggf. Austausch des Rückgaberechts gegen das Widerrufsrecht
  • Anpassung der Vertragsbestätigung hinsichtlich der Pflichtinformationen
  • Überprüfung und ggf. Anpassung der AGB
  • Implementierung eines Widerrufs-Formulars
  • Implementierung eines Prozesses für den telefonischen Widerruf
  • Festlegung eines Zahlmittels für die Rückerstattung, falls ein anderes Zahlmittel als beim Kauf verwendet werden soll.

 

Alle nötigen Änderungen in der Shop-Software werden rechtzeitig von uns bekanntgegeben.

Wir empfehlen Ihnen, bezüglich der Widerrufsbelehrung keinen eigenen Text zu verfassen, sondern auf ein vorgefertigtes Muster zurückzugreifen.
Weitere Informationen zur neuen Verbraucherrechterichtlinie sowie Muster der neuen Widerrufsbelehrung finden Sie im Whitepaper unseres Partners Trusted Shops.