VWI Hochschulgruppe Köln Vortrag Rechtsfragen der Existenzgründung, 04.12.2014 im Unternehmen und Rechtsfragen zum Rechtsanwalt Julius Oberste-Dommes Fachanwalt für IT-Recht WERNER Rechtsanwälte Informatiker, Oppenheimstr. 16, 50668 Köln, www.werner-ri.de Tel: + 49 (0) 22 1 / 97 31 430, E-Mail: info@werner-ri.de im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Inhalte Einleitung und Vorstellung des Referenten Zusammenfassung -2-
Personenbezogenen Daten - 3 Abs. 1 BDSG: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) - Es sind nur natürliche Person betroffen. - Bestimmt oder Bestimmbarkeit: - Bestimmt: Die Person ist bestimmt, wenn feststeht, dass sich die Angaben auf diese Person und nicht auf eine andere beziehen. - Bestimmbarkeit: Für die Bestimmbarkeit kommt es auf die Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an. Beispiele: Kfz-Kennzeichen, E-Mail-Adresse, IP-Adresse (str.) im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Grundsätze des es - 4 Abs. 1 BDSG: Verbot mit Erlaubnisvorbehalt Verarbeitung von personenbezogenen Daten ist verboten, es sei denn - der Betroffene willigt ein oder - das BDSG oder eine andere Rechtsvorschrift erlaubt die Datenverarbeitung - 3a BDSG: Prinzipien der Datenvermeidung und Datensparsamkeit - 4 Abs. 2 BDSG: Prinzip der Direkterhebung -3- -4-
Online- - vorschriften beim Online-Auftritt gemäß 11-15a TMG gehen den Vorschriften des BDSG vor - Die Vorschriften der 11-15a TMG sind teilweise noch strenger als die Vorschriften des BDSG - Informationspflichten gemäß 13 TMG - Vorschriften zu Bestandsdaten gemäß 14 TMG - Vorschriften zu Nutzungsdaten gemäß 15 TMG In diesen drei Fällen ist eine Einwilligung nicht erforderlich; ein hinweis recht aus - Im Übrigen ist die Einwilligung des Betroffenen notwendig. Für elektronische Einwilligungen bestehen hohe Hürden! im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Auftragsdatenverarbeitung (ADV) - Praktische Relevanz: Cloud-Dienste, Call-Center, Lohnabrechnungen - Übermittlung der personenbezogenen Daten an Diensteanbieter ist in den meisten Fällen unzulässig - Lösung: Vertrag über die Auftragsdatenverarbeitung gemäß 11 BDSG; ist dieser Vertrag wirksam, ist die Datenverarbeitung durch den Diensteanbieter zulässig. - Voraussetzungen der Wirksamkeit: - Diensteanbieter muss vor Vertragsschluss überprüft werden - Vertrag muss schriftlich abgeschlossen werden - Vertragsinhalt ist weitgehend gesetzlich vorgegeben ( 9, 11 Abs. 2 BDSG) - Diensteanbieter darf die Daten nur nach Weisung verwenden -5- -6-
Sanktionen nach dem BDSG - Befugnisse der Landes- oder Bundesbehörden für und Informationsfreiheit (behörden) gemäß 38 BDSG: - Auskunftsrecht gemäß 38 Abs. 3 BDSG - Recht zum Betreten der Geschäftsräume gemäß 38 Abs. 4 S. 1 BDSG - Recht zur Einsicht in Geschäftsunterlagen gemäß 38 Abs. 4 S. 2 BDSG - Recht, Anordnungen zur Beseitigung von Verstößen gegen das BDSG anzuordnen gemäß 38 Abs. 5 S. 1 BDSG - Recht, bei schwerwiegenden Verstößen gegen das BDSG, die diesbezügliche Datenverarbeitung zu untersagen gemäß 38 Abs. 5 S. 2 BDSG im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Sanktionen nach dem BDSG - 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten - 43 Abs. 3 BDSG: - Bußgeld bis zu 50.000,-- (Fälle des 43 Abs. 1 BDSG) - Bußgeld bis zu 300.000,-- (Fälle des 43 Abs. 2 BDSG) - 44 Abs. 1 BDSG: Verstöße gegen 43 Abs. 2 BDSG können mit Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe bestraft werden -7- -8-
Gesetzliche Grundlagen (z.b. TMG, RStV, UWG) - Das Telemediengesetz (TMG), regelt im Wesentlichen notwendige Informationspflichten, Verantwortlichkeiten für Online-Inhalte und den bereichsspezifischen - Im Rundfunkstaatsvertrag (RStV) ist im Wesentlichen 55 RStV relevant. Sofern eine Website auch journalistisch-redaktionell gestaltete Angebote enthält, muss der Betreiber den Nutzern bestimmte Informationen zur Verfügung stellen. - Das Urhebergesetz (UrhG) schützt persönliche geistige Schöpfungen (Werke) - Das Markengesetz (MarkenG) schützt Marken, geschäftliche Bezeichnungen und geographische Herkunftsangaben - Das Gesetz gegen den unlauteren Wettbewerb (UWG) schützt Mitbewerber, Verbraucher und sonstige Marktteilnehmer vor unlauteren geschäftlichen Handlungen im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Haftung für Inhalte - Gemäß 7 TMG ist der Betreiber einer Website für eigene Inhalte verantwortlich. Sollten diese Inhalte gegen Rechte Dritter (z.b. aus UrhG, MarkenG) verstoßen, kann dies Unterlassungs- und Schadensersatzansprüche nach sich ziehen. Unter Umständen sind auch strafrechtliche Sanktionen denkbar. - Bei Foren oder Gästebüchern greift das Providerprivileg gemäß 10 TMG. Der Anbieter ist für rechtsverletzende Beiträge zunächst nicht verantwortlich, weil er sie im Zweifel nicht kennt. Hat der Anbieter jedoch Kenntnis von diesen Beiträgen, dann muss er sie entfernen und Mechanismen installieren, um ähnliche Beiträge zukünftig zu unterbinden. -9- -10-
Haftung für externe Links / Disclaimer - Keine Haftungsfreizeichnung für externe Links allein durch Disclaimer. Für die Haftungsfreizeichnung ist es erforderlich, dass der Anbieter die Quelle als fremde Quelle kenntlich macht, z.b. durch - kein sich-zu-eigen-machen im Text - deutlichen Hinweis auf externen Link - vorgeschaltete Seite, die den externen Link deutlich macht - Öffnen des Links im separaten Fenster oder Tab im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Impressumspflicht und -gestaltung - Impressumspflicht nur bei geschäftsmäßiger Tätigkeit; bei entgeltlicher Tätigkeit ist dies der Fall; in allen anderen Fällen kommt es auf den Einzelfall an (z.b. Impressumspflicht bei facebook-seiten und bei xing) - 5 Abs. 1 TMG (Allgemeine Informationspflichten) - Informationen müssen ohne langes Suchen erreichbar sein; Scrollen erlaubt - Impressum muss immer zugänglich sein - Link auf die Angaben ist erlaubt; Linkbezeichnungen wie Impressum oder Kontakt sind etabliert und erlaubt; two-click-lösungen sind zulässig - Sprache des Impressums kann problematisch sein. Werden Informationen auf der Website in mehreren Sprachen angeboten, muss die Sprache des Impressums auch in die angebotenen Sprachen übersetzt werden - Impressum sollte in einem üblichen Dateiformat und nicht in einem separaten Fenster (Problem bei Popup-Blockern) dargestellt werden -11- -12-
Impressumspflicht und -gestaltung - 5 Abs. 1 Nr. 1-7 TMG (Allgemeine Informationspflichten) - Name, Anschrift, bei juristischen Personen die Rechtsform, den Vertretungsberechtigten und das Stammkapital - E-Mail-Adresse und eine andere Kommunikationsmöglichkeit (z.b. Telefon, Telefax); der Anbieter muss innerhalb von 30-60 Minuten reagieren (vgl. EuGH MMR 2009, 25, 27) - Eventuell zuständige Aufsichtsbehörde angeben (z.b. Architektenkammer, Ärztekammer, Rechtsanwaltskammer, Steuerberaterkammer) - Eventuell Vereins- oder Handelsregister - Falls vorhanden, ist die Umsatzsteueridentifikationsnummer (UStID) gemäß 27a UStG anzugeben. Keinesfalls darf die Steuernummer angegeben werden im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 hinweise - 13 Abs. 1 S. 1 TMG: Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten [...] in allgemein verständlicher Form zu unterrichten. - Information muss idealerweise vor der Erhebung von personenbezogener Daten erfolgen; Problematisch bei IP-Adresse - Gemäß 13 Abs. 1 S. 2 TMG muss der Anbieter den Nutzer vor dem Einsatz von Cookies darüber informieren, dass er solche einsetzt und welche Daten er dabei speichert -13- -14-
hinweise - Google-Analytics - Hier werden personenbezogene Daten erhoben und übertragen (IP-Adresse) - Es muss zwingend ein Vertrag über die Auftragsdatenverarbeitung mit Google geschlossen werden, ansonsten ist die Nutzung von Google-Analytics unzulässig ( Piwik gute Alternative wegen Datenspeicherung auf eigenem Server und nicht in den USA, wie bei Google) - Social-Media (z.b. facebook-like, Twitter) - Hier werden personenbezogene Daten erhoben und übertragen (IP-Adresse) - Erhebung von personenbezogenen Daten ist meist zulässig - Standortbasierte Werbung - Hier werden personenbezogene Daten erhoben und übertragen (Standort) - Erhebung von personenbezogenen Daten ist problematisch -15- im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 hinweise - Gestaltungsvorschläge - hinweise noch vor Eingangsseite und vor Erhebung von personenbezogenen Daten Tür zur Website platzieren - Über Erhebung und Verwendung von allen Daten informieren - Soweit möglich, opt-out -Möglichkeiten anbieten (z.b. bei Cookies, Google- Analytics, Webtrackern) - Bei Social-Media unbedingt die 2-Klick-Lösung wählen - Nach Möglichkeit personenbezogene Daten anonymisieren - Einen Ansprechpartner benennen und konsequent Nutzeranfragen beantworten und dies dokumentieren -16-
Exkurs: Verbraucherschutz bei Webshops - Vorvertragliche Informationspflichten - Nachvertragliche Informationspflichten - Widerrufsbelehrung - Button-Lösung ( 312j Abs. 3 BGB) beachten. Bei einem Verstoß ist der Vertrag unwirksam! - Soweit die Geschäftsidee eine E-Commerce Plattform darstellt (vgl. ebay, Amazon) kann 10 TMG (Speicherung von Informationen) einschlägig sein; Plattform-Betreiber ist für fremde Informationen grundsätzlich nicht verantwortlich. im Unternehmen und Rechtsfragen zum, Rheinische Fachhochschule Köln, 04.12.2014 Zusammenfassung Die Datenverarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn sie ist ausnahmsweise erlaubt Der Onlinedatenschutz reicht weiter als der Schutz des BDSG Bei der Datenverarbeitung durch Dritte an einen Vertrag über die Auftragsdatenverarbeitung denken Dem LDSB / DSB stehen umfassende Sanktionsrechte zu Die Haftung für Inhalte hängt von Umständen des Einzelfalls ab Das Impressum muss unbedingt vollständig und richtig sein Umfassende hinweise auf der Website sind erforderlich Die Einbettung von Social-Media Elementen muss rechtskonform sein -17- -18-
Ihr Referent: Julius Oberste-Dommes LL.M. (Informationsrecht) Rechtsanwalt Fachanwalt für IT-Recht Oppenheimstraße 16, 50668 Köln Telefon 0 221 / 97 31 43-0 Telefax 0 221 / 97 31 43-99 julius.oberste-dommes@werner-ri.de www.werner-ri.de -19-