„Darf ich das?“ – Fragen an die IT-Rechtsexpertin Sabine Heukrodt-Bauer

In unserer täglichen Arbeit als UX Consultants begegnen meinen Kollegen und mir immer wieder Themen, die eigentlich eher in den Bereich IT-Recht fallen und wir fragen uns: Darf man das so machen? Muss das so sein?

Da sich diese Fragen bei uns in der letzten Zeit in verschiedenen Projekten angehäuft haben, wollte ich es genauer wissen und habe mich an Sabine Heukrodt-Bauer gewandt. Sie ist Fachanwältin für Informationstechnologierecht (kurz IT-Recht) bei RESMEDIA und beantwortet in unserem Interview einige Fragen zu gängigen Situationen, die einem bezüglich IT-Recht immer wieder begegnen.

usabilityblog: Frau Heukrodt-Bauer, ein Thema was wir häufig untersuchen sind Checkout-Prozesse. Dort gibt es immer wieder die Frage dürfen die Anbieter Checkboxen (Newsletter, Datenschutzregeln, Verwendung von Daten für Marktforschung) voreingestellt aktivieren? Wann ist es ggf. erlaubt und wann nicht?

Heukrodt-Bauer: Im E-Mail-Marketing (Mailings, Newsletter etc.) ist es grundsätzlich nicht erlaubt, Checkboxen vorab zu aktivieren und angeklickt bereit zu stellen. Jegliches E-Mail-Marketing erfordert die vorherige und ausdrückliche Einwilligung, vgl. § 7 Abs. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG). Ein Opt-Out ist unzulässig und kann direkt zu teuren Abmahnungen führen. Das Gesetz sieht dazu auch keine Ausnahmen vor. Insbesondere hat der Bundesgerichtshof bereits entschieden, dass die Einwilligung für Werbung in diesem Bereich nicht mit anderen Einwilligungen verbunden werden darf und nur im Opt-In, niemals jedoch im Opt-Out eingeholt werden kann*.
Datenschutzrechtlich (z. B. bei Verwendung von Daten zu Zwecken der Marktforschung) kann dagegen ein Opt-Out ausreichen nach bisherigem Bundesdatenschutzgesetz, dem BDSG (aber nur für diesen Bereich, das betrifft dann trotzdem nicht das E-Mail-Marketing). Zum 25.05.2017 ist aber die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Danach wird es nur noch die Einwilligung im Opt-In-Verfahren geben, die auch nachweisbar und protokolliert sein muss. Bei der digitalen Einwilligung ist dann also sogar das Double-Opt-In erforderlich, denn anders ist der Nachweis technisch in der Regel nicht zu führen. Daneben können dann auch Erlaubnistatbestände wie ein „berechtigtes Interesse“ an der Datennutzung zu Werbezwecken greifen. Die Einzelheiten dazu sind aber derzeit noch unklar. Es muss abgewartet werden, wie sich die Behörden und die Rechtsprechung dazu stellen, was „berechtigtes Interesse“ im Einzelfall sein kann.

*Anmerkung: Opt-Out bedeutet es wird z. B. Werbung versandt, wenn der Nutzer nicht ausdrücklich widersprochen hat, Opt-in bedeutet eine ausdrückliche Zustimmung des Nutzers (z. B. durch anhaken einer Checkbox); Double-Opt-In = 2fache Zustimmung des Nutzers z. B. durch anhaken einer Checkbox und Bestätigung durch eine E-Mail in der ein Link angeklickt wird.

usabilityblog: Das Thema Datennutzung und Datenweitergabe spielt eine große Rolle. Kann man sich eine kleine Eselsbrücke bauen: Was darf man und was nicht?

Heukrodt-Bauer: Eine Adressweitergabe ist nur zulässig, wenn der Betroffene dazu vorher seine ausdrückliche Einwilligung erteilt hat. Und die setzt voraus, dass sämtliche Unternehmen, die die Daten bekommen, vorab in der Einwilligungserklärung namentlich genannt werden.

usabilityblog: Es ist ja durchaus bekannt, dass es einige Richtlinien gibt was die Call-to-Action (CTA) Buttons im Checkout-Prozess angeht. Welche Bezeichnungen eines CTA sind zulässig im Checkout und welche nicht? Manchmal sieht man CTA-Buttons, auf denen fast ganze Sätze stehen. Kann man das umgehen, wenn man vielleicht einen erklärenden Hinweis darunter oder nahe bei dem CTA-Button gibt…

Heukrodt-Bauer: Die Bezeichnung des Bestell-Buttons im Onlineshop ist nur im B2C-Shop gesetzlich vorgegeben und gehört zu den Pflichten im elektronischen Geschäftsverkehr. Nach § 312 j Abs. 3 BGB hat der Unternehmer die Bestellsituation im B2C-Shop so zu gestalten, dass der Verbraucher mit seiner Bestellung ausdrücklich bestätigt, dass er sich zu einer Zahlung verpflichtet. Erfolgt die Bestellung über eine Schaltfläche, ist die Pflicht des Unternehmers nur erfüllt, wenn diese Schaltfläche gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet ist. Nicht mehr zulässig ist daher etwa eine Formulierung wie „Bestellung absenden“. Möglich ist aber zum Beispiel noch „kaufen“.

usabilityblog: Bleiben wir beim Thema Online-Shopping. Wir haben uns gefragt ob ein Shop nicht die Pflicht hat bzw. überhaupt das Recht hat, die Zusammengehörigkeit von Name und Adresse in einem Checkout zu überprüfen. Oder nimmt er jede Bestellung an, auch wenn jemand auf den Namen einer fremden Person bestellt oder sich gar Daten ausdenkt?

Heukrodt-Bauer: Daten können über entsprechende Anbieter überprüft werden, allerdings muss der betroffene Shop-Kunde vorab darüber informiert werden, wer zu welchem Zweck genau die Daten erhält. Denn schließlich müssen für eine Überprüfung die Daten an diesen Dritten weitergeleitet werden. Die Datenweitergabe zur Überprüfung des Namens und der Adresse erfordert außerdem die vorherige ausdrückliche Einwilligung des Betroffenen und ist nach aktuellem Datenschutzrecht sicherlich nicht von einem berechtigten Interesse gedeckt.

usabilityblog: Kümmern wir uns noch um ein allgemeineres Thema. Was muss auf meiner Website vorhanden sein?

Heukrodt-Bauer: Eine Webseite im gewerblichen Bereich erfordert zunächst immer ein Impressum nach § 5 Telemediengesetz (TMG) und eine Datenschutzinformation nach § 13 TMG.

Usabilityblog: Und was muss alles in einem Impressum stehen, damit man als Nutzer sicher sein kann, dass die Firma wirklich existiert?

Heukrodt-Bauer: Das Impressum nach § 5 TMG erfordert diese Angaben:

      1. Name, Anschrift, Rechtsform, Vertretungsberechtigter
      2. E-Mailadresse
      3. ggf. zuständige Aufsichtsbehörde
      4. Registereintragungen (Handels-, Vereins-, Partnerschafts-, Genossenschaftsregister)
      5. bei bestimmten Berufen Kammer, Berufsbezeichnung und Staat, in dem die Berufsbezeichnung verliehen wurde, berufsrechtliche Regelungen und Info, wie diese zugänglich sind
      6. Umsatzsteueridentifikationsnummer nach § 27a des Umsatz-steuergesetzes oder eine Wirtschafts-Identifikationsnummer nach § 139c der Abgabenordnung

Bei journalistisch-redaktionellen Inhalten muss nach § 55 Rundfunkstaatsvertrag (RStV) zusätzlich ein Verantwortlicher benannt werden, der

  • seinen ständigen Aufenthalt im Inland hat,
  • nicht infolge Richterspruchs die Fähigkeit zur Bekleidung öffentlicher Ämter verloren hat,
  • voll geschäftsfähig ist und
  • unbeschränkt strafrechtlich verfolgt werden kann.

Das ist zum Beispiel bei Blogs, Newslettern oder Facebook-Accounts der Fall. Dafür stehen bereits verschiedene Muster bereit.

usabilityblog: Und wie sieht es bei der Datenschutzerklärung aus?

Heukrodt-Bauer: Die Datenschutzinformation muss über Folgendes informieren:

      1. Welche Daten werden konkret zu welchem Zweck erhoben?
      2. Wie werden die einzelnen Daten konkret verarbeitet?
      3. Hinweis auf Auskunfts- und Löschungsrechte des Betroffenen
      4. Dauer der Datenspeicherung
      5. Hinweis auf das Widerrufsrecht.

Die Datenschutzinformation muss individuell formuliert werden, denn die einzelnen Datenerhebungen können zu den einzelnen Punkten für jede Webseite ganz anders aussehen. Zusätzlich ist mit aufzunehmen, ob und welche Social Media-Plugins verwendet werden oder welche Analyse-Tools eingebunden wurden.

usabilityblog: Muss man als Onlineshop-Betreiber noch etwas besonders beachten?

Heukrodt-Bauer: In einem Onlineshop kommen noch Informationspflichten im Fernabsatz (B2C) und Pflichten im elektronischen Geschäftsverkehr hinzu, so dass – je nach Gestaltung des Shops – noch bestimmte Informationsseiten anzubieten sind. So ist über das Widerrufsrecht zu belehren. Der Text dazu gehört in die Allgemeinen Geschäftsbedingungen (AGB), aber auch in eine entsprechende Informationsseite, die der Verbraucher unabhängig von einer Bestellung einsehen können muss. Um nichts zu vergessen, ist es hilfreich sich an einer Checkliste zu orientieren.

usabilityblog: Unsere letzte Frage bezieht sich auf das Thema Bilder. Es ist immer wieder unklar, wann man welche Bilder wo online verwenden darf. Reicht es, wenn man die Quelle angibt?

Heukrodt-Bauer: Ob die Quelle bei einem Bild angegeben werden muss, ist die Entscheidung des einzelnen Fotografen. Er bestimmt nach § 13 Urhebergesetz (UrhG), ob das Bild mit einer Urheberbezeichnung zu versehen und welche Bezeichnung zu verwenden ist. Man muss also genau in die jeweiligen Lizenzbestimmungen zu dem einzelnen Bild schauen, um hier keinen Fehler zu machen. Eine pauschale Antwort gibt es also leider nicht.

Gleiches gilt für die Art der Nutzung eines Bildes: Die Nutzung im Internet ist eine eigene Nutzungsart im Sinne von § 31 UrhG. Gleiches gilt für die Nutzung von Bildern in Social-Media-Kanälen, denn auch dies wäre eine eigene Nutzungsart. Wer also z. B eine Webseite oder einen Blog betreibt und gleichzeitig Social Media-Plugins installiert hat, benötigt zu allen Fotos die Internetrechte und zusätzlich die Social Media-Rechte (vgl. LG Frankfurt, Urteil vom 17.07.2014, Az. 2 03 S 2/14).

Frau Heukrodt-Bauer, vielen Dank für das Gespräch!

Portraitfoto: Joanna Oeding

Joanna Oeding

Senior User Experience Consultant

eresult GmbH

Bisher veröffentlichte Beiträge: 11

Ein Kommentar

  • Wirklich praktisch Fragen zu IT Recht hier vom Rechtsanwalt beantwortet zu bekommen. Oft ist es ja recht schwierig alle aktuellen Regeln überhaupt zu kennen. Das beachten aller Aspekte ist dann nochmal eine andere Disziplin.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.