Aufrufe
vor 1 Jahr

Leitfaden: Rechtssichere Internetseiten & Onlineshops – DSGVO-konform

  • Text
  • Internetpräsenz
  • Rechtssicher
  • Wwwpopsceneclub
  • Dury
  • Unternehmen
  • Vorgaben
  • Internetseite
  • Instagram
  • Facebook
  • Impressum
  • Verbraucher
  • Rechtliche
  • Dsgvo
Dieser Leitfaden in seiner 8. Auflage (Stand Oktober 2021) unterstützt Unternehmen, sowie erstmalig auch Körperschaften und Anstalten des öffentlichen Rechts (KdöR, wie Behörden, Kommunale Eigenbetriebe & AdöR) darin, rechtliche Probleme bzgl. der eigenen Internetpräsenz in der Praxis zu erkennen und zu beheben. Seit der letzten Neuauflage dieses Leitfadens im Jahr 2019 gab es erhebliche Änderungen der Rechtsprechung und der Gesetzgebung. Die Neuauflage gibt Ihnen eine erste Orientierung für die Erstellung einer Anbieterkennzeichnung (Impressum), die Inhalte einer Datenschutzerklärung und die Einhaltung datenschutzrechtlicher Vorgaben, den Fernabsatz (Online-Shops und Marktplätze wie Ebay, Amazon, Instagram Shops), die Stockfoto-Nutzung (Urheberrecht), das Markenrecht, Social-Media und Videokonferenzen sowie einen Einblick über den aktuellen Stand der Rechtsprechung. Aktuelle gesetzliche Anforderungen wurden ebenfalls hinzugefügt. Checklisten und Mustertexte für Anbieterkennzeichnungen helfen konkret bei der Absicherung Ihres Internetauftritts.

Impressum/Anbieterkennzeichnung Wichtige Entscheidungen zu Impressum und Unternehmenspräsentation Problem 1: Virtual Office Angesichts eines Urteils des OLG München ist es nicht ausreichend, wenn im Impressum ein sog. „Virtual Office“ angegeben wird. Unter „Virtual Office“ versteht man eine Dienstleistung, bei der eine Firma in einem Bürogebäude von einem Dritten einen Briefkasten anmietet. Der Dritte nimmt dann die Post in Empfang, scannt diese ein und sendet die eingescannten Dokumente an den Firmeninhaber. Das Gericht vergleicht diese Art der Postannahme mit einem Postfach, an dem der Firmeninhaber bzw. seine Mitarbeiter nicht persönlich angetroffen werden können und setzt solche Angaben mit einer fehlenden Adressangabe im Impressum gleich. Problem 2: E-Mail im Impressum nicht entbehrlich Nach dem TMG ist auch die Angabe einer E-Mail- Adresse im Impressum erforderlich. Die gesetzliche Notwendigkeit der Aufnahme einer E-Mail-Adresse wurde vom Kammergericht in Berlin bestätigt. Dem Verbraucher solle hierdurch auch die tatsächliche Kontaktaufnahme mit dem Webseitenbetreiber ermöglicht werden. Die gesetzliche Notwendigkeit der Aufnahme einer E-Mail-Adresse wurde vom Kammergericht Berlin bestätigt (Urt. vom 07.05.2013, Az.: 5 U 32/12) Problem 3: E-Mail-Adresse mit Autoreply Funktion im Impressum unzulässig Die Angabe einer E-Mail-Adresse im Impressum kann lästig sein, da Kunden so immer eine Möglichkeit haben, jenseits von Kundensupport-Systemen das Unternehmen zu kontaktieren. Dennoch muss die E-Mail-Adresse im Impressum funktionieren und auch tatsächlich abgerufen werden. Google hatte hinter seiner E-Mail- Adresse im Impressum eine Autoreply-Funktion eingerichtet, welche den Kontaktierenden nur darüber informiert hat, dass die E-Mails nicht abgerufen werden. Das Kammergericht Berlin hat in einem (inzwischen rechtskräftigen) Urteil entschieden, dass die von Google vorgenommene Autoreply Funktion der Impressums-E- Mail-Adresse unzulässig ist. Zwar müsse der Betreiber einer Internetseite ähnlich wie bei der Post nicht jede einzelne E-Mail beantworten, jedoch muss er die Mail zumindest zur Kenntnis nehmen. Darüber hinaus muss nach bisheriger Rechtsprechung auf eine Anfrage über ein Kontaktformular oder per E- Mail Innerhalb von max. 60 Minuten geantwortet werden. Ist dies gegeben, ist die Angabe einer Telefonnummer bislang nicht zwingend notwendig (EuGH, Urteil vom 16.10.2009 - Az.: C-298/07) Hierbei sind zwei Besonderheiten zu beachten: Dienstleistungserbringer sollten stets eine Telefonnummer angeben, um ihrer Pflicht aus der Verordnung über Informationspflichten für Dienstleistungserbringer (kurz: DL-lnfoV) zu erfüllen (vgl. § 2 Abs. 1 Nr. 2 DLlnfoV). Mit Inkrafttreten des Gesetzes zur Umsetzung der Verbraucherrechterichtlinie und mit Änderung des Gesetzes zur Regelung der Wohnungsvermittlung besteht ab dem 13.06.2014 eine Pflicht zur Angabe einer Telefonnummer bei Fernabsatzverträgen (vgl. Art. 246a § 1 Abs. 1 Nr. 2 EGBGB). Dieser Pflicht kann leicht durch die Aufnahme einer Telefonnummer in die Anbieterkennzeichnung genügt werden. Problem 4: Kosten einer Servicehotline für Verbraucher Der EuGH hat in einem Urteil entschieden, dass die Verwendung einer Rufnummer unter der Vorwahl 01805 als Verstoß gegen die Vorschrift des § 312a Abs. 5 BGB einzustufen ist. Das Gericht führte an, dass Online-Händler für ihre Kundenhotlines keine Sonderrufnummer verwenden dürfen, unter der ein Verbraucher sich für Fragen oder Erklärungen zu einem bereits geschlossenen Vertrag an den Unternehmer wenden kann. Für solche Zwecke dürfe ausschließlich eine gewöhnliche Rufnummer aus dem Fest- oder Mobilfunknetz oder eine kostenfreie Rufnummer (mit der Vorwahl 0800) angegeben werden. Die Kosten einer Telefonnummer für die Kundenhotline dürfen nämlich nicht teurer sein als der Grundtarif (vgl. § 312a Abs. 5 BGB). Nach dem EuGH ist der Begriff „Grundtarif“ dahingehend auszulegen, dass die Kosten eines auf einen geschlossenen Vertrag bezogenen Anrufs unter einer von einem Unternehmer eingerichteten Service-Rufnummer die Kosten eines Anrufs unter einer gewöhnlichen geografischen Festnetznummer oder einer Mobilfunknummer nicht übersteigen dürfen. Soweit diese Grenze beachtet wird, ist es unerheblich, ob der betreffende Unternehmer mit dieser Service- Rufnummer Gewinne erzielt Vor diesem Hintergrund sollte es jeder Webseiten-Betreiber insbesondere im Impressum unterlassen, für die bereits erläuterten Zwecke eine kostenpflichtige Sonderrufnummer aufzunehmen und besser eher eine gewöhnliche Fest- oder Mobilfunknetz-Rufnummer bzw. eine kostenfreie Rufnummer verwenden. RA Marcus Dury LL.M. Fachanwalt für IT-Recht 13

3. Rechtliche Vorgaben des Datenschutzes Inhalt einer Datenschutzerklärung Rechtliche Vorgaben des Datenschutzes Die Einhaltung datenschutzrechtlicher Vorschriften beim Betrieb einer Internetseite oder eines Onlineshops ist ohne spezialisierte rechtliche Beratung nach wie vor nahezu unmöglich. Erschwerend kommt hinzu, dass sich im Bereich des Datenschutzrechts seit der letzten Auflage dieses Leitfadens im Juni 2019 erhebliche Änderungen ergeben haben. So ist zwischenzeitlich das EU-US-Privacy-Shield durch den EuGH für unwirksam erklärt worden. Die DSGVO ist schon seit zwei Jahren in Kraft getreten, dennoch sind viele Regelungen und rechtliche Vorgaben noch nicht abschließend geklärt und unterliegen einer ständigen Neubewertung. 3.1 EU-US-Privacy-Shield Rechtskonforme Datenübermittlung in die USA erneut vom EuGH gekippt Beim Abkommen „EU-US-Privacy-Shield“ aus dem Jahr 2016 handelte es sich um die einzige formelle Rechtsgrundlage für die Übertragung (Verarbeitung) von personenbezogenen Daten auf Server von Anbietern, die ihren Hauptsitz in den USA haben (Microsoft, Facebook, Google, etc.). Das EU-US- Privacy-Shield war das Nachfolgeabkommen zu dem bereits im Jahr 2015 von dem Europäischen Gerichtshof (EuGH), dem höchsten Europäischen Gericht, für unwirksam erklärten „Safe-Harbor-Abkommen“. Hauptargument des EuGH für beide Entscheidungen war und ist der Umstand, dass das Datenschutzniveau in den USA nicht annährend dem Europäischen Datenschutzniveau entspricht. Am 16.07.2020 entschied der EuGH in der Rechtssache „Schrems II“ (C 311/18) dann bzgl. des EU-US-Privacy-Shields“ wie von vielen Fachkreisen vorhergesagt - dass auch das „EU-US-Privacy-Shield" gegen grundlegende Prinzipien des europäischen Datenschutzrechts verstößt. Der EuGH begründete seine Entscheidung damit, dass amerikanische Behörden und Geheimdienste jederzeit ohne Gerichtsbeschluss Zugriff auf die personenbezogenen Daten nehmen können, die Europäische Unternehmen auf Servern von US-Anbietern speichern. Vertrages mit den amerikanischen Unternehmen werden müssen), BCR (Binding Corporate Rules = verbindliche interne Datenschutzvorschriften) sind laut EuGH nicht ohne weitergehende technische Sicherungsmaßnahmen geeignet, das in Europa herrschende Datenschutzniveau zu erreichen. Die aktuellen Beratungen der EU mit den USA über ein neues Folgeabkommen sind vorerst im Mai 2021 gescheitert. Ergänzende technische Maßnahmen zur Flankierung der Verwendung der Standarddatenschutzklauseln wäre z. B. eine Vollverschlüsselung der zu übertragenden personenbezogenen Daten. Dies mag bei Services wie „Dropbox“ oder beim Einsatz der Apple iCloud noch funktionieren, beim Einsatz von Webdiensten in einem Online-Shop oder einer Internetseite ist dies aber zurzeit noch nicht Stand-der- Technik und widerspricht in vielen Szenarien wahrscheinlich auch grundlegend den Geschäftsmodellen der Internetwerbeindustrie. Dementsprechend drohen allen Unternehmen, die bzgl. ihrer Webseiten oder Online-Shops aus den USA stammenden Webservices wie z. B. Google-Fonts oder US-Cloudservices wie z. B. Google-Cloud-Plattform (GCP), Amazon AWS, Microsoft Azure oder auch „nur“ Content-Delivery-Networks wie z. B. Cloudfront einsetzen, seit dem 16. Juli 2020 (Tag der Schrems II Entscheidung des EuGHs) rechtliche Konsequenzen in Form eines aufsichtsbehördlichen Untersagungs- oder Bußgeldverfahrens auf Basis der DSGVO. Es handelt sich dabei auch nicht um irgendwelche akademischen Probleme aus dem juristischen Elfenbeinturm, sondern um zwischenzeitlich in der Praxis angekommene Rechtswirklichkeit. So hat die Landesdatenschutzbehörde Niedersachsen (LfD Niedersachsen) bereits erste aufsichtsbehördliche Verfahren angestrengt und Internetseitenbetreiber aufgefordert, entsprechende US-Webservices aus ihren Internetpräsenzen zu entfernen. Beide Abkommen hatten gemeinsam, dass der jeweilige US-Betreiber eines Webdienstes lediglich im Rahmen einer Selbstzertifizierung seine Rechtskonformität bestätigen konnte, ohne dass dies durch irgendeinen Dritten vorab geprüft wurde. Für Betreiber von Internetseiten und Online- Shops hat der Wegfall des „EU-US-Privacy-Shields“ deshalb enorme praktische Relevanz, weil viele populäre Webservices, wie z. B. Mailchimp, Cloudfront oder die zahlreichen Google Dienste wie Google Analytics, Google reCaptcha, Google Fonts und Google Maps nun nach Wegfall des EU- US-Privacy-Shield-Abkommens keine Rechtsgrundlage mehr besitzen und nach Ansicht vieler Datenschutzaufsichtsbehörden nicht mehr eingesetzt werden dürfen. Auch wenn in Bezug auf den Einsatz entsprechender US-Webservices noch keine Rechtsprechung bekannt ist, steht fest, dass nach dem Wegfall des EU-US Privacy-Shields eine Übermittlung von personenbezogenen Daten in die USA rechtlich nicht mehr ohne Weiteres zulässig ist, denn auch andere Rechtsgrundlagen wie z. B. Einwilligungserklärungen oder Standarddatenschutzklauseln (=Verbindliche Datenschutzgrundsätze, die Vertragsbestandteil jedes datenschutzrechtlichen 14

ANZEIGE // SUMMACOM

POPSCENE E-Paper Kiosk

POPSCENE - Das total umsonste Popkulturmagazin - Alle Ausgaben seit 2009

POPSCENE E-Paper Kiosk

Entdecke unsere kostenlosen E-Guides und erlebe Deine Region hautnah! Neben POPSCENE bieten wir interessante Broschüren, Leseproben und Magazine aus den Bereichen Tourismus, Kultur und Unterhaltung. Unsere Inhalte sind multimedial gestaltet und enthalten Fotos, fesselnde Videos und unterhaltsame Audioclips. Tauche ein und erhalte einen faszinierenden Überblick über unsere Region.

Erlebe Deine Region - E-Paper Kiosk

CityCards - Die originalen Gratispostkarten