Wer einige Jahre Erfahrung im Produktmanagement hat, der kennt sie: die Themen, bei denen jeder immer nur der Spur nach weiß, wie im Moment die rechtliche Lage ist. Und mit etwas Erfahrung weiß man auch, dass im Zweifel nur ein Anruf beim Steuerberater oder der Gang zum Rechtsanwalt mehr Klarheit bringen kann.
Ohne Erfahrung ahnt man allerdings noch nicht einmal, welche einfachen Entscheidungen einen in Teufels Küche bringen könnten. Und genau hier soll dieser Artikel ansetzen. Wir möchten hier keine Rechtsberatung machen (dürfen wir auch gar nicht) wir möchten lediglich auf die Themen hinweisen, die professionelle Beratung nötig machen.
Die Klassiker – Impressum, AGB und Datenschutzerklärung
Von der Impressumspflicht hat fast jeder, der sein Geld mit “irgendwas mit Medien” verdient, schon gehört. Einen praktischen Leitfaden dazu findet ihr auf den Seiten des Bundesministeriums für Justiz und Verbraucherschutz. Das mit dem Impressum richtig zu machen lohnt sich. Denn im Zweifel gilt: “Wer als Telemedienanbieter seine Anbieterkennzeichnungspflicht nicht den gesetzlichen Anforderungen entsprechend erfüllt, handelt ordnungswidrig und kann mit einer Geldbuße (bis zu 50.000 Euro) belangt werden” (siehe eben dieser Leitfaden, Abschnitt II.).
Ähnlich üblich wie das Impressum sind die “Allgemeinen Geschäftsbedingungen” und die Datenschutzerklärung. AGBs sind Vertragsbedingungen, die für eine Vielzahl von Verträgen gelten und der Einfachheit halber aus dem eigentlichen Vertrag ausgelagert werden. Man kann sie auch als ein Mittel im europäischen Verbraucherschutz begreifen (Definiert in Richtlinie 93/13/EWG).
Da jedes Unternehmen individuelle Bedürfnisse und Geschäftsvorfälle hat, machen Vordrucke hier nur bedingt Sinn. Am besten lässt man sich die AGBs vom Rechtsanwalt seines Vertrauens erstellen.
Wer aber jeden Euro zweimal umdrehen muss, der kann erstmal einen AGB-Generator nutzen und diese dann z.B. von der deutschen Anwalts-Hotline validieren lassen.
Datenschutzerklärungen sind leider kein leichtes Thema und nicht so schnell in zwei Absätzen abgehandelt.
In Deutschland muss ein Webseitenbetreiber gemäß § 13 Abs. 1 TMG den Nutzer über folgende Themen unterrichten:
- “über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten”
- über die Verarbeitung in Ländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums
- “in allgemein verständlicher Form”, und
- “zu Beginn des Nutzungsvorgangs”.
Gegebenenfalls müssen Anbieter in diesem Zusammenhang gemäß § 15 Abs. 3 TMG Nutzer darauf hinweisen, dass diese der Bildung von pseudonymen Nutzungsprofilen (ACHTUNG: Webtracking!!) widersprechen können.
Der Nutzer ist schließlich über die Möglichkeit zu informieren, das Online-Angebot anonym oder unter Pseudonym nutzen zu können (§ 13 Abs. 6 Satz 2 TMG). Zum Glück bieten die meisten Trackinganbieter dafür eine eigene Lösung.
Google bietet zum Beispiel ein Browser-Add-on an, das für den Nutzer nach Installation keine Analytics Daten mehr erfasst.
Datenschutzerklärungen (oder besser Datenschutzhinweise) sind dabei in Deutschland strikt von Datenschutz-Einwilligungen zu unterscheiden: Bei den Datenschutzerklärungen erläutert der Anbieter rein informierend, was er mit den Daten aufgrund gesetzlicher Befugnisse unternimmt. Bei einer Datenschutz-Einwilligung holt sich der Anbieter eine Zustimmung des Nutzers ein, die Daten in einer Art und Weise zu nutzen, die das Gesetz nicht per se erlaubt (z.B. Zusendung von Werbe-E-Mails).
Verstößt ein Dienstanbieter gegen diese Pflicht, drohen neben einem Bußgeld von bis zu 50.000 € (§ 16 Abs. 3 TMG) auch kostenintensive Abmahnungen von Wettbewerbern. Und einige Rechtsanwälte machen solche Abmahnungen quasi zu ihrem Hauptgeschäft.
Lästig könnte man jetzt sagen. Ich bin da aber ganz der Meinung des Gesetzgebers: jeder Nutzer ein Recht hat zu erfahren, was mit seinen Daten geschieht. Hin und wieder treibt die Auslegung des deutschen Datenschutzrechts einen zwar an den Rand der Produktmanagement-Verzweiflung aber im Grunde ist es eine gute Sache.
Meine aktuelle Lieblingsseite in Sachen Datenschutzerklärung findet ihr bei Rechtsanwalt Schwenke und ich lege auch jedem eine Basis Datenschutzschulung ans Herz. Meine habe ich bei Datenschutz-Guru Stephan Hansen-Oest genossen. Und das im eigentlichen Wortsinne. Denn die Schulung war sehr kurzweilig und mit vielen praktischen Beispielen angereichert.
Relativ neu (und manchmal noch Auslegungssache)
Vor mehr als vier Jahren wurde die Cookie-Richtlinie (RICHTLINIE 2009/136/EG) verabschiedet. Und seither wird diskutiert, ob und auf welche Weise die Vorgaben aus der Richtlinie in Deutschland umgesetzt werden sollen. Denn die europäische Richtlinie steht mit dem Telemediengesetz in Widerspruch.
Der Wortlaut der Cookie-Richtlinie ist eindeutig. Der Einsatz von Cookies ist nur möglich:
“wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassen den Informationen, die er gemäß der Richtlinie 95/46/E G u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat”. Das wäre also eine klare Zustimmung durch Opt-In des Nutzers. Bisher gilt in Deutschland aber der § 15 Abs. 3 TMG, der eindeutig eine Opt-Out-Lösung vorgibt. Sicher ist aber: Der Nutzer muss im Rahmen der Datenschutzerklärung über die Verwendung von Cookies aufgeklärt werden.
In der Praxis besteht der sicherste Weg darin, die Nutzer beim Aufrufen der Webseite per Pop-Up-Fenster oder Banner am oberen Rand der Seite über die Verwendung von Cookies auf der Seite zu informieren und sie aufzufordern, durch Klicken auf einen Button in deren Einsatz einzuwilligen.
Da aktuell aber weder Aufsichtsbehörden begonnen haben, eine Überprüfungen von Internetseiten durchzuführen noch Rechtsanwälte bzw. Konkurrenten hier die Chance zur Abmahnung nutzen, ignorieren viele Webseitenbetreiber diese Richtlinie großzügig. Trotzdem gilt es, dieses Thema im Auge zu behalten und idealerweise für eines der nächsten Releases einfach mal auf die Roadmap zu setzen.
Eine ähnlich unklare Rechtslage findet, wer sich über die sog. “Button-Lösung” informiert. Wer im Internet Einkäufe tätigt, dem ist sicher aufgefallen, dass in den letzten Jahren recht viele Bestellen-Buttons plötzlich mit “kostenpflichtig bestellen” beschriftet sind.
Zu verdanken haben wir das einer Novelle im Bürgerlichen Gesetzbuch (§ 312g BGB) von 2012. Diese umfasst im Wesentlichen zwei Punkte:
- Die Pflicht, Bestellvorgänge mit einer „Zahlungspflichtig”-Schaltfläche abzuschließen
- Informationspflichten über Leistungsmerkmale, Mindestlaufzeiten, Gesamtpreise und Zusatzkosten
Die Vorgaben gelten für alle Verträge im elektronischen Geschäftsverkehr, die mit Verbrauchern geschlossen werden. Diese sollen mit der Button-Lösung deutlich auf den Abschluss von kostenpflichtigen Verträgen hingewiesen werden.
Wie genau das dann im Einzelfall aussehen kann, re
gelt das Gesetzt nicht. Allerdings gibt es einige Musterbeispiel vor (siehe Abbildung).
Den informativsten Artikel zum Thema “Button-Lösung” findet ihr meiner Meinung nach übrigens auf t3n.
Im Vergleich zur nächsten Neuheit im Online-Handel sind die anderen beiden Punkte schon echt alte Hasen. Seit dem 01.01.2015 gilt es nämlich der EU Richtlinie für digitale Güter im Bezug auf die Ausweisung der Mehrwertsteuer zu folgen.
Ganz kurz Zusammengefasst lässt sich diese Neuregelung so auf den Punkt bringen: Wer digitale Güter an Kunden im Ausland verkauft, muss mit der dort gültigen Mehrwertsteuer abrechnen und diese auch ins Ausland abführen. Das betrifft z.B. Anbieter von Download-Software, E-Books, Communities, Webhoster oder SEOs.
Ausführliche Informationen zu diesem Thema findet ihr im Artikel “Achtung Onlineanbieter & E-Commerce: FAQ zu Umsatzsteuer-Regelungen für elektronische Leistungen ab 2015“.
Auf der selben Webseite können übrigens auch nochmal die aktuell gültigen Regelungen zum neuen Widerrufsrecht nachgelesen werden, die Mitte 2014 in Kraft getreten sind.
An dieser Stelle noch ein Hinweis zur richtigen Preisausweisung. Wer sich mit seinem Angebot ausschließlich an Geschäftskunden richtet, kann Preise ohne Mehrwertsteuer ausweisen. Selbstverständlich aber mit dem Hinweis darauf, dass selbige aufgeschlagen wird. Dieser Hinweis kann aber in eine Fußnote verbannt werden. Dies ist häufig z.B. auf Jobplattformen zu sehen, da beim Verkauf von Stellenangeboten davon auszugehen ist, dass ein Unternehmen die Dienstleistung in Anspruch nimmt.
Wer allerdings an Endverbraucher verkauft, muss seine Preise inklusive Mehrwertsteuer ausweisen.
Außerdem wissenswert
Neben den genannten Aktuellen und offensichtlichen Stolperfallen gibt es noch einige weniger populäre, aber doch wichtige Themen.
Eines davon ist die sog. Auftragsdatenverarbeitung. Eine Regelung, die dann getroffen werden muss, wenn ein Unternehmen seine Daten an andere Unternehmen weitergibt. Und das passiert häufiger als man denkt. Sei es durch die Nutzung eines externen Rechenzentrums oder die Wartung von IT-Systemen durch technische Dienstleister. Wann immer das der Fall ist, müssen die Voraussetzungen des § 11 BDSG eingehalten werden.
Ein schönes Video sowie einen guten Artikel zu dem Thema Auftragsdatenverarbeitung habe ich bei Stephan Hansen-Oest gefunden. Generell ist die Botschaft: Es ist halb so wild wie es klingt. Und in diesem Fall ist es auch wirklich einfach, sich gesetzeskonform zu verhalten: einfach den Mustervertrag an eure Gegebenheiten anpassen, vom Dienstleister unterzeichnen lassen und das war´s.
An dieser Stelle sei außerdem erwähnt, dass auch Daten, die ihr auf Testsystemen verwendet dem deutschen Datenschutz unterliegen. Ein beliebiges Set an personenbezogenen Kundendaten zum Testen zu verwenden ist folglich NICHT in Ordnung. Hier müsstet ihr also darauf bestehen, dass zum Testen entweder selbst erstellte Testdatensätze verwendet werden oder Kundendaten durch sog. Scrambeln so durchmischt werden, dass sich kein Personenbezug mehr herstellen lässt.
Ebenfalls ein weites Feld ist das Versenden von Mails. Hier ist vor allem bei Werbemails Vorsicht geboten. Im Großen und Ganzen folgen alle Unternehmen hier der sog. Double-opt-In Regelung. Die Rechtslage ist aber seit einem Urteil des OLG Münchens aus 2012 offen.
Ich folge in diesem Fall einfach immer einem Spickzettel von Karl Kratz und hoffe, der hilft euch ebenso.
Mein persönliches Fazit
Ich persönlich finde, dass ein guter Produktmanager sich auch mit den rechtlichen Stolperfallen seiner Arbeit beschäftigen sollte. Allerdings ist es wahnsinnig schwierig, diesbezüglich immer auf dem Laufenden zu sein. Hier hilft es, einige Blog zu abonnieren, die sich mit Rechtsfragen im Online-Handel und dem Online-Marketing beschäftigen. Ich folge z.B. Rechtsanwalt Schwenke und dem Datenschutz Guru, da beide ihre Rechtshinweise auch mal multimedial verpacken. Wie z.B. in diesem Podcast.
Wer brandneu im Geschäft ist oder diesbezüglich grün hinter den Ohren, sollte sich ein Training zum Thema Datenschutz gönnen. Diese kann man z.B. beim TÜV buchen. Netter ist aber, wenn man aus seinem Netzwerk eine gute Empfehlung für solch ein Training bekommt.
Außerdem sollte man in Erfahrung bringen, wer sich im eigenen Unternehmen um den Datenschutz kümmert (Stichwort: Datenschutzbeauftragter) und neue Konzepte mit dieser Person abstimmen.
In den meisten rechtlichen Fragen lohnt sich meines Erachtens eine professionelle Rechtsberatung. Etablierte Unternehmen haben meist Rechtsanwälte im Haus oder eine Kanzlei ihres Vertrauens. Auf jeden Fall sollte ein Produktmanager auch hier seine Kontaktpersonen kennen und als echte Partner in der Konzeptionsphase begreifen.
Aus aktuellem Anlass: http://business.chip.de/news/Werbung-per-E-Mail-Gericht-untersagt-Double-Opt-In-Verfahren_76252267.html
Autsch!
Ich versuche gerade ein neues Produkt herauszubringen und bin mir bezüglich der Themen Datenschutz und so weiter nicht sehr sicher. Vermutlich ist es besser, sich an dieser Stelle Rechtsberatung einzuholen. Danke für den Tipp, zusätzlich ein Training zum Thema Datenschutz zu machen.