IT-Recht, Internet, E-Commerce,Datenschutz und Rechtliches
IT-Recht, Internet, E-Commerce,Datenschutz und Rechtliches

IT-Recht: Internetauftritt, E-Commerce & Datenschutz – wir klären alle Rechtsfragen rund um Ihre Webseite

corelegal berät Sie umfassend auf dem Gebiet des IT-Rechts, des Datenschutzes sowie der Datensicherheit und bei allen rechtlichen Themen rund um Ihre Webseite. Wir unterstützen Sie bei der Lösung Software- und Web-bezogener Rechtsfragen sowie beim Thema „Digital Compliance“. Hierzu gehören unter anderem die Gestaltung und Prüfung von IT-Verträgen (IT-Projektverträge, Software-Entwicklungsverträge, Outsourcing), Social Media-Auftritten, Werbemodellen (online, wie z.B. E-Mail-Werbung und offline), adtech sowie umfassende Website-Checks, insbesondere von Online-Shops (B2B und B2C).

Das Informationstechnologierecht oder kurz „IT-Recht“ ist, ohne dass es eine gesetzliche Definition gibt, das Recht der elektronischen Datenverarbeitung. Darunter fallen folgende Teilbereiche:

Vertragsrecht der Informationstechnologien

Hierbei handelt es sich im Wesentlichen um Verträge über

  • Software,
  • Hardware sowie
  • Dienstleistungen.

IT-Verträge lassen sich grundsätzlich mit den Regeln des deutschen Rechts ohne wesentliche IT-spezifische Gesetze abbilden. Es finden die jeweiligen Vorschriften aus dem Kauf-, Miet-, Werk- und / oder Dienstvertrag Anwendung. Mangels IT-spezifischer Gesetze ist die Vertragserstellung sinnvoll und empfehlenswert.

Recht des elektronischen Geschäftsverkehrs

Dieses Rechtsgebiet umfasst alle Aspekte des Online-Handels (E-Commerce), von Verbraucherverträgen bis hin zu Transaktionen zwischen Unternehmen.

Im Bereich des E-Commerce sind die allgemeinen rechtlichen Grundlagen, wie das Bürgerliche Gesetzbuch (BGB), das Handelsgesetzbuch (HGB) und das Urheberrechtsgesetz, vollumfänglich anwendbar. Darüber hinaus gibt es spezielle Vorschriften, die für den elektronischen Geschäftsverkehr entwickelt wurden, wie das Telemediengesetz (TMG) und das Fernabsatzrecht.

Ein wichtiger Aspekt im Online-Geschäft ist die Transparenz. Wer im Internet Waren oder Dienstleistungen anbietet, muss grundsätzlich bestimmte Informationen an deutlich sichtbarer Stelle auf seiner Website bereithalten. Dazu gehört die Anbieterkennzeichnung, auch bekannt als Impressumspflicht, die sicherstellt, dass Verbraucher stets wissen, mit wem sie es zu tun haben.

Darüber hinaus sind auch die umfangreichen BGB-Regelungen zum Verbraucherschutz zu beachten. Diese schließen Rechte wie das Widerrufsrecht und spezielle Informationspflichten ein, die Verbrauchern helfen sollen, fundierte Entscheidungen zu treffen.

Grundzüge des Immaterialgüterrechts

Hier geht es um Rechte an immateriellen, also nicht-physischen Gütern. Darunter fällt auch das Recht am geistigen Eigentum, sowohl an Software als auch an den Inhalten im Internet (siehe auch Urheber-Recht). Besonders hervorgehoben wird das Kennzeichenrecht, insbesondere auch das Domainrecht.

Recht der Kommunikationsnetze und -dienste

Das Telekommunikationsgesetz (TKG) regelt in Deutschland die rechtlichen Belange der Kommunikationsnetze und -dienste, während das Telemediengesetz (TMG) den elektronischen Geschäftsverkehr und insbesondere die Haftung für eigene und fremde Inhalte regelt. Die wichtigsten betroffenen Rechtsfragen sind dabei:

  • die Haftung der Diensteanbieter für rechtswidrige Inhalte
  • Vorschriften zur Kennzeichnung von Diensten (Impressumspflicht)
  • Regelungen zur Bekämpfung von Spam
  • Der Bereich des Datenschutzes für Diensteanbieter
  • Fragen zur Herausgabe von personenbezogenen Nutzerdaten

Über sogenannte Social-Media-Plugins, also kleine Schaltflächen wie der Facebook/Instagram-Like-Button, können Inhalte einer Webseite auf Sozialen Netzwerken empfohlen und geteilt werden. Diese Buttons sind oft rechtlich problematisch, weil für den Nutzer nicht erkennbar ist, inwieweit seine Daten von den sozialen Netzwerken verwendet werden. Wer auf seiner Webseite Social-Media-Plugins integrieren möchte, muss künftig die ausdrückliche Einwilligung der Nutzer einholen. Denn über diese Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie mit anderen Analyse- und Tracking-Tools, Daten mit Hinweisen etwa zum Surfverhalten, aus denen sie Nutzerprofile erstellen. Oft werden Daten bereits vor dem „Anklicken“ übertragen. Als Lösung im Sinne des Datenschutzes können die Plugins entweder durch Links ersetzt werden, oder die sogenannte „2-Klick-Methode“ wird implementiert.

Über diese und andere rechtlichen Risiken rund um den Datenschutz klären wir Sie umfassend auf und unterstützen Sie mit rechtssicheren Dokumenten, Datenschutzrichtlinien jeglicher Art sowie den erforderlichen Unterlagen im Bereich des Beschäftigtendatenschutz.

Der Datenschutz stellt sicher, dass personenbezogene Daten einer jeden Person vor unerlaubter Erhebung, Verarbeitung und Weitergabe geschützt sind. Es gibt Gesetze, die diese Daten schützen und den Datenmissbrauch durch Dritte verhindern sollen. Besonders strenge Regelungen gibt es bezüglich der sogenannten „sensiblen“ Daten, zu denen auch z.B. „Gesundheitsdaten“ gehören.

Personenbezogene Daten müssen geschützt werden

In Deutschland und der Europäischen Union legt unter anderem die Datenschutzgrundverordnung (DSGVO) fest, wie Daten zu schützen sind. Daneben gibt es weitere wichtige Regelungen für den deutschen und europäischen Datenschutz. Beispiele sind das Bundesdatenschutzgesetz (BDSG) und die ePrivacy-Verordnung. Zentraler Grundsatz der DSGVO und des gesamten Datenschutzrechts ist das sogenannte Verbotsprinzip. Dies bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten und ausnahmsweise nur dann gestattet ist, wenn eine der Erlaubnisnormen der DSGVO greift (Art. 6 Abs. 1 DSGVO). Unternehmen sind zum Teil verpflichtet, bestimmte Daten zu verarbeiten, für sie sind aber insbesondere die Erlaubnistatbestände der Einwilligung und des überwiegenden berechtigten Interesses von Bedeutung.

Im Rahmen der Verwendung von Cookies auf Webseiten müssen zwei Regelungsarten beachtet werden: Die ePrivacy- Verordnung schützt Endgeräte vor fremden Zugriffen, unabhängig von der Art der dabei gespeicherten oder gelesenen Daten. Der Datenschutz (DSGVO) schützt wiederum nur personenbezogene Daten, aber unabhängig davon, ob sie sich in Endgeräten oder außerhalb von Endgeräten befinden.

Die DSGVO regelt zudem die Rechte der Betroffenen, die diese gegen die verarbeitende Stelle (Behörde oder Unternehmen) geltend machen können. Betroffenenrechte sind beispielsweise die Rechte auf Auskunft sowie Berichtigung oder Löschung von Daten.

Datenschutzmanagement im Sinne der DSGVO

Unternehmen stehen vor der Herausforderung, all diesen umfangreichen Vorgaben gerecht zu werden. Datenschutzmanagement ist die strukturierte Vorgehensweise, um die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu organisieren, zu optimieren und zu kontrollieren. Sind die Daten der eigenen Mitarbeiter betroffen ist der Beschäftigtendatenschutz oder auch Arbeitnehmerdatenschutz relevant, bei dem der Schutz der Privatsphäre der Beschäftigten im Vordergrund steht. Auch die Frage, ob eine Videoüberwachung datenschutzrechtlich zulässig ist, fällt unter den Arbeitnehmerdatenschutz.

Datenschutzrechtlich Verantwortliche müssen grundsätzlich eine Reihe von Pflichten erfüllen: Dazu zählen Dokumentationspflichten, Rechenschaftspflichten und gegebenenfalls auch Anforderungen aus Auftragsverarbeitungsverträgen (AVV). Die Auflagen sind komplex, daher bietet es sich für Unternehmen meist an, ein professionelles Datenschutzmanagementsystem zu implementieren, mit dem sämtliche DSGVO-Vorgaben in der Regel abgedeckt werden.

Datenschutzbeauftragte – Aufgaben und Pflichten

Die Benennung eines Datenschutzbeauftragten in Unternehmen ist nicht nur eine rechtliche Verpflichtung, sondern auch ein zentraler Bestandteil des Datenschutzmanagements. Gemäß Artikel 37 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) ist die Ernennung eines Datenschutzbeauftragten erforderlich, wenn eine Organisation eine Behörde oder öffentliche Stelle ist, ihre Kerntätigkeit eine umfangreiche oder systematische Überwachung von Personen umfasst, oder wenn sie besonders sensible Daten in großem Umfang verarbeitet (Artikel 9, 10 DSGVO). Zusätzlich verlangt § 38 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) die Benennung eines Datenschutzbeauftragten, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen; hierbei zählen auch Praktikanten, Teilzeitkräfte und Freelancer.

Der Datenschutzbeauftragte sollte ein Experte im Bereich Datenschutz sein. Seine Hauptaufgaben bestehen darin, die Einhaltung der Datenschutzvorschriften sicherzustellen, die Durchführung von Datenschutz-Folgenabschätzungen zu überwachen, Mitarbeiter hinsichtlich Datenschutzthemen zu sensibilisieren und zu schulen, sowie die Zusammenarbeit mit der zuständigen Aufsichtsbehörde zu koordinieren. Diese Funktionen sind entscheidend, um die Integrität und Sicherheit personenbezogener Daten zu gewährleisten und das Unternehmen vor möglichen Datenschutzverletzungen und den damit verbundenen Konsequenzen zu schützen.

Datenschutzrichtlinien – wichtiger Leitfaden im Unternehmen

Datenschutzrichtlinien dienen in Unternehmen als wichtiger Leitfaden, um den Datenschutz einfacher und effektiver zu gestalten. Sie ermöglichen es der Geschäftsleitung, grundlegende Datenschutzvorgaben klar zu kommunizieren und den Mitarbeitenden verständlich zu machen. Ziel dieser Richtlinien ist es, die Einhaltung gesetzlicher Datenschutzvorschriften im Unternehmen zu erleichtern und zu unterstützen.

Inhalt einer Datenschutzrichtlinie (oder mehreren) könnten u.a. Regelungen sein bezüglich:

  • Homeoffice
  • IT-Dokumentation
  • IT-Sicherheitskonzept
  • Datenträgerrichtlinie
  • Datensicherungskonzept
  • PC-Richtlinie (Bildschirmsperre)
  • Firewall-Konzept
  • Verschlüsselungs-Konzept
  • Passwortrichtlinie
  • IT- Richtlinie (Handy, Tablet)
  • Schlüssel- und Schließkonzept
  • Videoüberwachungskonzept
  • Schulungskonzept
  • Stellenbeschreibungen
  • Umgang mit Betroffenenanfragen

Datenschutzerklärung

Unternehmen sind laut DSGVO verpflichtet, Datenschutzinformationen zu veröffentlichen, wenn sie personenbezogene Daten verarbeiten. Die Pflicht zur Bereitstellung einer Datenschutzerklärung gilt insbesondere dann, wenn die Datenverarbeitung die Öffentlichkeit betrifft, wie es z.B. bei einer Unternehmenswebseite der Fall ist.

In diesen Datenschutzhinweisen informiert das Unternehmen, wie es personenbezogene Daten erhebt, verarbeitet und schützt. Kunden, Lieferanten, Geschäftspartner, Angestellte oder Besucher der Webseite werden darüber aufgeklärt, welche persönlichen Informationen gesammelt werden, zu welchem Zweck die Daten verwendet werden, wie sie gespeichert und geschützt werden und welche Rechte die betroffenen Personen hinsichtlich ihrer persönlichen Daten haben. Datenschutzerklärungen sind einseitige Erklärungen, die nicht akzeptiert oder bestätigt werden müssen.

Durch die Datenschutzerklärung erhalten die betroffenen Personen die nötigen Informationen, um ihre Rechte, wie zum Beispiel das Recht auf Zugang, Berichtigung oder Löschung ihrer Daten, wirksam ausüben zu können. Diese Transparenz ist entscheidend, um die Privatsphäre und die personenbezogenen Rechte jedes Einzelnen zu schützen.

Newsletter-Versand und E-Mail-Marketing zählen zu den Bereichen mit den häufigsten Verstößen gegen Datenschutzbestimmungen. Solche Datenschutzvorfälle sind nicht zu unterschätzen, da etwa aufgrund fehlender Einwilligung Abmahnungen drohen, deren Abwehr hohe Anwaltskosten nach sich ziehen kann. Sowohl das Gesetz gegen den unlauteren Wettbewerb (UWG), als auch das Telemediengesetz (TMG) und die DSGVO sehen Einschränkungen beim Versand von Newslettern und Werbung an Verbraucher vor. Die Kontaktaufnahme via E-Mail zu Werbezwecken darf nur erfolgen, wenn die Empfänger im Vorfeld per Double-Opt-In ihre Zustimmung erteilt haben. Ohne vorherige Einwilligung, zum Beispiel durch eine aktive Registrierung für den Newsletter, ist rechtssicheres Werben kaum möglich. Ausnahmen gelten bei Bestandskunden, hier darf unter bestimmten Voraussetzungen auch ohne vorherige Einwilligung geworben werden.

Auch beim Online-Marketing gilt der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Es dürfen nur solche Daten erhoben werden, die für den jeweiligen Zweck auch wirklich benötigt werden. Für einen Newsletter etwa wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben stets freiwillig sind, muss in den Formularen auch ersichtlich sein