Zahlen mit Daten und vertragliche Aktualisierungspflichten: Pünktlich zur Umsetzungsfrist hat der deutsche Gesetzgeber den finalen Gesetzesentwurf zur Umsetzung der Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (dID-RL) veröffentlicht. Anfang 2022 sollen zudem mit Änderungen innerhalb des BGB der Verbraucherschutz erweitert werden und Verbraucher beim Kauf und der Nutzung digitaler Inhalte und Produkte mehr Absicherungsmöglichkeiten erhalten.
Gleichzeitig wird damit das Thema Digitalisierung weiterhin rechtlich konkretisiert, woraus sich auch Änderungen und Vorteile für Unternehmen ergeben. Welche Änderungen und Neuheiten die dID-RL mit sich bringt und was digitale Inhalte überhaupt, sind erläutern wir im folgenden Beitrag.
dID-RL – Was sind „digitale Inhalte“?
Die neuen Regelungen der dID-RL gelten, wenn digitale Inhalte oder Dienstleistungen gegen Entgelt für einen Verbraucher erbracht werden. Hierfür hat der Gesetzgeber eine neue Vertragsart geschaffen: die sogenannten „Verträge über digitale Produkte“.
Digitale Inhalte sind alle „Daten, die in digitaler Form erstellt und bereitgestellt werden.“ Wenn ein Unternehmer einem Verbraucher ermöglicht, solche Daten zu nutzen, zu speichern, zu erstellen oder zu verarbeiten (z.B. durch Online-Verkaufs eines Computerspiels) oder eine gemeinsame Nutzung digitaler Inhalte von Verbrauchern und anderen Nutzern ermöglicht (z.B. durch Social Media wie Instagram, Facebook und co.), handelt es sich um das Erbringen einer digitalen Dienstleistung.
Entscheidend ist, dass die Inhalte nicht nur digital erstellt, sondern auch digital bereitgestellt werden. Wenn ein digitaler Inhalt auf einem Datenträger ausschließlich zur Bereitstellung des digitalen Inhalts genutzt wird, finden die Vorschriften dennoch Anwendung.
Digitale Inhalte nach der dID-RL als solche sind daher:
Software bzw. Computerprogramme und Anwendungen
Video-, Audio-, und Musikdateien
Digitale Spiele
elektronische Bücher und andere elektronische Publikationen
Social Media (Instagram, Facebook und co.) und sonstige Dienstleistungen zur Erstellung, Verarbeitung oder Speicherung von Daten
Cloud-Services wie Software-as-a-Service
Gemeinsame Nutzungen von Video- oder Audioinhalten und andere Formen des Datei-Hosting
Textverarbeitung
Vom Begriff „digitale Inhalte oder Dienstleistungen“ ausgenommen sind hingegen:
Elektronische Kommunikationsdienste und Internetzugangsdienste
Verträge für Glücksspiel und Finanzdienstleistungen
Behandlungsverträge
Entgeltfreie Software, Freeware oder Opensource-Software
Erweiterte Gewährleistung und Absicherung für Verbraucher
Ist der Anwendungsbereich eröffnet, bedeutet dies einen erhöhten Verbraucherschutz.
Dazu wurden im Wesentlichen die Anforderungen an die Vertragsmäßigkeit bzw. dem Zustand der digitalen Inhalte erweitert. So legen Artikel 7 und 8 dID-RL subjektive und objektive Anforderungen zur Beurteilung der Vertragsmäßigkeit fest und ergänzen damit die bereits bekannten Regelungen zum Sach- oder Rechtsmangel. Umgesetzt wurde dies vom deutschen Gesetzgeber in den §§ 327d und 327e BGB_neu. Die Gewährleistungsrechte auf Nacherfüllung, Kündigung, Preisminderung und Schadensersatz bleiben bestehen, sind aber speziell in den §§ 327i ff. BGB_neu geregelt [1].
Aktualisierungspflichten für Software, Apps & Co.
Die wohl umfangreichste Erweiterung, auf welche Unternehmer jetzt achten müssen, ist die Aktualisierungspflicht der digitalen Produkte (Artikel 8 Abs. 2 dID-RL bzw. § 327f BGB_neu).
Danach hat der Unternehmer den Kunden auf mögliche Aktualisierungen und Sicherheitsaktualisierungen hinzuweisen und diese bereitzustellen.
Bei andauernden Bereitstellungen erstreckt sich diese Pflicht über den gesamten Bereitstellungszeitraum. Bei digitalen Inhalten und Dienstleistungen, die nicht dauerhaft, sondern beispielsweise einmalig bereitgestellt werden, kann die Pflicht dem Gewährleistungszeitraum entsprechen oder bei Sicherheitsaktualisierungen sogar darüber hinausgehen. Dasselbe gilt, wenn der Verbraucher etwa aufgrund vertraglicher Vereinbarungen von Aktualisierungen ausgehen kann.
Die Installation des Updates liegt jedoch in den Händen des Verbrauchers. Wenn dieser die Installation der Aktualisierung jedoch versäumt oder verweigert, obwohl er die Möglichkeit vom Unternehmer erhalten hat, ist dies seine alleinige Verantwortung. Demnach haftet der Unternehmer nicht für Mängel an dem digitalen Inhalt, die durch fehlende Aktualisierung entstanden sind, worauf der Verbraucher allerdings hinzuweisen ist.
Gewährleistungsrechte aufgrund eines Datenschutzverstoß?
Bei der Erbringung und Bereitstellung der digitalen Inhalte gelten weiterhin die DSGVO und andere Datenschutzvorschriften, wenn personenbezogene Daten im Zusammenhang mit Verträgen verarbeitet werden.
Interessant ist die Verbindung zwischen der dID-RL und der DSGVO. So wird in der dID-RL z.B. dargestellt, dass die Nichteinhaltung der DSGVO dazu führen kann, dass ein digitaler Inhalt oder eine Dienstleistung nicht für den vorgesehenen Zweck geeignet und damit auch die objektiven Anforderungen an die Vertragsmäßigkeit nicht erfüllt sind.
Ein gewisser Standard an Datenschutz kann bei einigen digitalen Inhalten als Eigenschaft angesehen werden, die der Verbraucher bei digitalen Inhalten vernünftigerweise erwarten kann und somit auch als Voraussetzung für eine mangelfreie Leistung.
Damit bestehen für Verbraucher in Zukunft möglicherweise weitere Rechtsansprüche aufgrund eines DSGVO Verstoßes.
Beweislastumkehr zu Lasten des Unternehmers
Für Unternehmer relevant ist auch die Beweislastumkehr. Wenn ein Verbraucher einen objektiven oder subjektiven Mangel an einem digitalen Inhalt oder einer digitalen Dienstleistung geltend macht, ist der Unternehmer nach Art. 12 dID-RL bis zu ein Jahr in der Pflicht zu beweisen, dass der Mangel aufgrund des Verbrauchers und nicht durch sein Verschulden entstanden ist. Wenn es sich um einen anhaltenden Vertrag handelt, etwa wenn Software vermietet wird oder ein Verbraucher ein soziales Netzwerk benutzt, gilt die Beweislastumkehr nach Art. 12 III dID-RL für den gesamten Bereitstellungszeitraum.
Zahlen mit Daten begründet Verbraucherschutz
Zahlen mit Daten. Was bis vor wenigen Jahren noch nach rechtlicher Sci-Fi klang, ist nun Realität. Faktisch bereits seit langer Zeit üblich, digitale Inhalte im Tausch gegen personenbezogene Daten, statt Entgelt zu beziehen, kann nun dieser Austausch einen Vertrag begründen, inkl. der Anwendung der Regelungen der dID-RL. Die Preisgabe der Daten, welche von den Unternehmen wiederum ausgewertet und weiterverwendet werden können, kann also mit einer Zahlung gegen Entgelt gleichgesetzt werden.
Dieses Konzept war bisher nicht unüblich, allerdings rechtlich nie konkret geregelt worden. Oftmals wurden solche Angebote von Unternehmen als „kostenlose Nutzung“ oder „gratis“ angeworben. Dass es sich aber eben um keine Schenkung der digitalen Produkte handelt, sondern der Verbraucher eine Gegenleistung erbringt, wurde nun in § 516a BGB_neu vom Gesetzgeber offiziell klargestellt.
Solche Schlagworte dürften damit in Zukunft wohl nicht mehr fallen dürfen und der Verbraucher muss vor Nutzung der digitalen Inhalte ausreichend über die Nutzung und Weiterverwendung der Daten informiert werden (z.B., wenn mit den Daten personalisierte Werbung geschaltet wird).
Vertragsschluss durch Cookies?
Es verbleibt aber die Frage, wie es zu einem solchen zahlungslosen Vertragsschluss kommen soll, wenn ein Verbraucher sich dazu entscheidet, eine Dienstleistung im Tausch mit seinen personenbezogenen Daten zu erwerben.
In Betracht kommen dabei zwei Optionen:
Er kann die Daten aktiv bereitstellen, indem er aktiv bei Nutzung der Inhalte daraufhin gewiesen wird und um konkrete Angaben gebeten wird. Dies kann etwa direkt nach Herunterladen einer App oder beim Anlegen eines Nutzerprofils erfolgen.
Er stellt die Daten passiv durch das Setzen von Cookies bereit, wie wir sie von zahlreichen Webseiten kennen.
Ob es sich dabei jedoch um einen tatsächlichen Vertragsschluss handelt, kann diskutiert werden. Schließlich setzt ein Vertragsschluss zwei sich deckende Willenserklärungen voraus, welche beide einen Rechtsbindungswillen enthalten müssen.[2] Gerade bei der Bereitstellung durch Cookies könnte dieser Aspekt nicht gegeben sein, da der Verbraucher unter Umständen einen „Klick“ durchführt, ohne dass ihm die rechtlichen Konsequenzen davon bewusst sind.
Kündigungsrecht für Unternehmer
Mit der Zahlung durch Daten erhält der Unternehmer dafür jedoch ebenfalls ein neues Recht: Nach § 327q BGB_neu besteht für ihn die Möglichkeit, Vertragsverhältnisse zu kündigen, wenn ein Kunde seine Einwilligung zur Verarbeitung der Daten widerruft. Immerhin stellt die Überlassung einen Teil der Vertragserfüllung dar, auf dessen Grundlage die digitalen Dienstleistungen erbracht werden. Damit haben Unternehmer das Recht, die Dienstleistung nur so lange zu erbringen, wie sie auch eine Gegenleistung dafür erhalten.
Fazit
Mit der Umsetzung der Richtlinie ergeben sich einige Änderungen im Bereich eCommerce und zum Thema Digitalisierung. Auch wenn von der Richtlinie in erster Linie Verbraucher profitieren können und Unternehmen sich zunächst mit den neuen Regelungen vertraut machen müssen, bedeutet dies für sie gleichzeitig eine gewisse Rechtssicherheit.
Die Bereitstellung digitaler Inhalte wird durch die Umsetzung der dID-RL nun klar geregelt, auch wenn im Detail noch offene Fragen bestehen, insbesondere zur Updatepflicht. Fragen, die Sie gemeinsam mit Experten klären können.
Seit dem 25. Mai 2018 gilt europaweit die EU-Datenschutzgrundverordnung (DSGVO). Im Rahmen der europäischen Strategie für einen digitalen Binnenmarkt (sog. DBM-Strategie) sollte am gleichen Datum auch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-Verordnung) in Kraft treten. Das Gesetzgebungsverfahren verzögert sich jedoch auf Grund einiger, strittiger Punkte.
Der folgende Beitrag stellt den aktuellen Stand und einen Ausblick auf relevante Regelungen und das weitere Gesetzgebungsverfahren dar. (Dieser Beitrag ist um die aktuelle Entwicklung rund um die ePrivacy-Verordnung aktualisiert worden).
Der BGH hat in seiner jüngsten Entscheidung (Cookie-Urteil) die datenschutzrechtlichen Zulässigkeit von Cookies beurteilt. Wir erklären, was dieses Urteil bedeutet.
Das Cookie-Urteil in Kürze
Das Setzen von technisch nicht erforderlichen Cookies erfordert eine aktive, transparente und freiwillige Einwilligung des Nutzers. Dies bedeutet, der Nutzer muss mit einer aktiven Handlung, also dem selbständigen Ankreuzen des Einwilligungskästchens in die Verarbeitung zu Werbe- und Analysezwecken einwilligen (Opt-In). Bei technisch notwendigen Cookies, wie z.B. Session Cookies ist weiterhin davon auszugehen, dass keine Einwilligung notwendig ist, da hier u.a. die Rechtsgrundlage in Art. 6 b) DSGVO als Datenverarbeitung im Rahmen der Vertragsanbahnung in Frage kommt, oder eine Verarbeitung durch Art. 6 f) im Rahmen einer Interessenabwägung zulässig ist.
Hintergrund
Der Bundesverband der Verbraucherzentralen hat das Unternehmen Planet 49 u.a. wegen des Setzens eines Cookies zu Werbezwecken verklagt, in dem wie bei Cookies üblich, lediglich die Bestätigung durch einen Klick auf den Cookie Banner erfolgt.
Nach dem Gang durch die Instanzen wurde der Fall dem BGH vorgelegt, welcher das Verfahren ausgesetzt hat, um den EuGH die Frage vorzulegen, ob die Praxis der Einwilligung über ein vorausgefülltes Ankreuzkästchen mit dem Unionsrecht vereinbar ist. Im Urteil vom 1. Oktober 2019 hat der EuGH diese Frage entscheiden (C‑673/17). Hier argumentiert der EuGH: „…deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.“ Und kommt somit zu dem Schluss, dass die Möglichkeit des Abwählens (Opt-Out) für eine wirksame Einwilligung nicht ausreicht und daher ein Opt-In (aktives Ankreuzen des Kästchens) notwendig ist.
Hierbei ist anzumerken, dass der EuGH mit dem o.g. Urteil keinen neuen Grundsatz aufgestellt hat, sondern im Grunde nur bestätigt hat, was u.a. durch die EU Richtlinie 2002/58 (sog. „Cookie-Richtlinie“) bereits länger festgeschrieben ist, nämlich dass nach herrschender juristischer Meinung ein Opt-In notwendig ist.
Was ist mit dem Cookie-Urteil des BGH neu?
Deutschland hat bisher einen Sonderweg bestritten und die Anforderungen aus der EU-Richtlinie 2002/58 und der DSGVO dahingehend nicht umgesetzt, da der Werbeindustrie in § 15 Abs. 3 S.1 TMG ein Zugeständnis gemacht wurde und das Opt-Out (Widerspruchslösung) zugelassen wurde. „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Aus diesem Grund war in Deutschland bisher das Opt-Out bei Cookies das Mittel der Wahl, da es durch den Gesetzgeber legitimiert war, auch wenn diese Legitimierung schon länger offen im Widerspruch zum EU-Recht stand.
Der BGH hat in seiner Pressemitteilung vom 28.05.2020 zum noch nicht veröffentlichten Cookie-Urteil jetzt im Grunde zwei maßgebliche Sachen verkündet.
Das Gericht hat entschieden bzw. sich der Meinung des EuGHs angeschlossen, dass ein voreingestelltes, ausgefülltes Einwilligungsfeld (Opt-Out) nicht zulässig ist.
Der BGH hat festgestellt, dass die deutsche Umsetzung des EU-Rechts im Rahmen des § 15 Abs. 3 S.1 TMG bis zum 24.05.2018 mit dem Unionsrecht unvereinbar war.
Dann macht der BGH etwas, was, nennen wir es mal innovativ ist, und sagt, dass der Gesetzgeber mit der Einführung der DSGVO das Telemediengesetz an dem Punkt nicht angepasst hat, und daher davon auszugehen ist, dass Gesetzgeber den § 15 Abs. 3 TMG wohl mit dem Unionsrecht für vereinbar hält. Dies nimmt das BGH zum Anlass zu sagen, dass der § 15 Abs 3 TMG dann wohl richtlinienkonform auszulegen ist. Laut BGH ist der genannte Paragraph demnach nicht unzulässig.
Sinn ergibt dies nicht, weil der Gesetzgeber eine Anpassung des § 15 Abs. 3 TMG bisher nicht durchgeführt hat, weil er mit einer Anpassung auf mittlerweile (halb) tote e-Privacy Verordnung warten wollte und andererseits den Konflikt mit dem Unionsrecht zum Schutz der heimischen Werbewirtschaft akzeptiert hat.
Was ist ein Cookie?
Cookies sind im Grunde nicht viel mehr als kleine Textdateien mit technischen oder personenbezogenen Daten, die ein Webseitenanbieter im Browser des Nutzers speichert. Dies wird im Rahmen von Session Cookies zum einen gemacht, um u.a. Warenkörbe bei nicht angemeldeten Nutzern speichern zu können oder zu Marketingzwecken um Nutzerverhalten zu analysieren und personenbezogene Daten für Retargeting und personalisierte Werbung zu sammeln.
In der jetzigen Zeit, in der wir gemeinsam die Corona-Krise (COVID-19) durchstehen, wandert das Arbeiten mit Videokonferenzen zunehmend in das Homeoffice.
Eine Form ist das Abhalten von Videokonferenzen, sowohl im privaten als auch im beruflichen. Was vorher gedacht war, um große Entfernungen zu überbrücken (z.B. das virtuelle Meeting zweier Zweigstellen zwischen Frankfurt und Berlin), wird nun genutzt, um auch mit dem Nachbarn in Verbindung zu bleiben.
Ob Zoom, GoTo-Meeting, Skype, Teams, Jitsy oder die Video-Anwendung in Slack: Es sind viele Tools im Einsatz, um Meetings oder auch bilaterale Telefonate über Video abzuhalten. Sie alle haben Vor- und Nachteile, sei es in ihrer Usability oder den Kosten. Doch alle eint die Frage nach dem Datenschutz. Insbesondere seit der Diskussion rund um Zoom, die auch in den Medien Niederschlag fand, fragen sich immer mehr Menschen, welchem Tool sie vertrauen können oder welches Tool sie nutzen dürfen, um z.B. mit ihren Kund/innen oder Mitarbeiter/innen im Home-Office zu kommunizieren. Die Begriffe Videokonferenzen & Datenschutz gehen eine Symbiose ein.
Der folgende Beitrag gibt einen Einblick in die Nutzbarkeit von Tools für Videokonferenzen und die Verbindung von Videokonferenzen & Datenschutz.
Videokonferenzen & Datenschutz: Datenverarbeitung bei Videokonferenzen
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […]“ (Art. 4 Nr. 1 DSGVO). Hierunter sind auch die Daten zu verstehen, die bei der Nutzung von Tools für Videokonferenzen, verarbeitet werden.
Bei Nutzung dieser Tools sind das in der Regel die von den Teilnehmer/innen gewählten Nutzernamen, die E-Mail-Adressen (bzw. die Kontaktadresse, an die die Einladung versendet wird), die Videoübertragung an sich und auch technische Daten, die vom Dienst verarbeitet werden. Entsprechend werden auch bei allen Anwendungen personenbezogene Daten verarbeitet, welche die Erfüllung der datenschutzrechtlichen Anforderungen erforderlich macht.
Zulässigkeit von Videokonferenzen
Wie bei jeder Datenverarbeitung auch, muss auch die Datenverarbeitung im Rahmen von Videokonferenzen legitimiert sein. Grundsätzlich lässt sich festhalten, dass bei den genannten (und damit den in der Praxis üblicherweise genutzten Tools für Videokonferenzen) eine datenschutzrechtliche Zulässigkeit gegeben ist.
In Frage kommt eine Zulässigkeit u.a. aufgrund der Erfüllung (vor-)vertraglicher Verpflichtungen (Art. 6 Abs. 1 Buchstabe b DSGVO). Dies ist dann der Fall, wenn Sie z.B. Vertragsverhandlungen mit potenziellen Kunden führen und dies aufgrund der aktuellen Situation nur remote über eine Videokonferenz funktioniert. Bittet Sie der Kunde dann das Gespräch mittels Videokonferenz zu führen, wird diese Datenverarbeitung gerechtfertigt sein.
Weiterhin in Betracht kommt die Wahrung Ihres berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO). Dies ist z.B. der Fall, wenn Sie den Kontakt zu Ihren Mitarbeiter/innen halten möchten. Das tägliche Meeting als Videokonferenz, indem Sie z.B. die anstehenden Aufgaben besprechen, dient dem Erhalt des Geschäftsbetriebes und ist datenschutzrechtlich legitimiert. Im Gegenzug ist das Einholen einer Einwilligung nicht zu empfehlen. Die Anforderung an eine wirksame Einwilligung mögen in manchen Konstellationen erfüllbar sein, der Aufwand steht jedoch in negativem Verhältnis zum Nutzen. Außerdem stellen sich bei einer Einwilligung aufgrund ihrer Widerrufbarkeit Fragen zur Nachbehandlung im Falle eines Widerrufs (z.B. wie mit einer Person umgegangen werden soll, die ihre Einwilligung nicht erteilt oder widerrufen hat und der Geschäftsbetrieb jedoch in der Zeit des Home-Offices wesentlich vom gemeinsamen Austausch lebt).
Risiken gibt es überall
Beginnen wir mit der wohl ernüchternden und doch etwas banalen Erkenntnis: Risiken werden Sie nicht vermeiden können. Alle genannten und sonstigen am Markt bestehenden Tools für Videokonferenzen haben Risiken inne, die sich entweder aus ihrer Programmierung selbst oder aufgrund der Hersteller ergeben. Anwendungen wie Zoom oder Slack, aber auch Anwendungen von Microsoft oder Google, behalten sich (als Anwendung von US-amerikanischen Herstellern) z.B. die Übermittlung von Daten in Drittländer (z.B. die USA) vor. Außerdem haben bei den meisten dieser Tools die Gastgeber (Host) eines Meetings weitreichende Möglichkeiten der Datenverarbeitungen. Sie können die Videokonferenzen u.a. Aufzeichnen und Abspeichern, wobei das Speichern auch auf die Cloudspeicher der Dienste geschieht. Viele dieser Tools (u.a. Zoom, GoTo oder auch Jitsy) funktionieren, indem Links an die Teilnehmer/innen versendet werden. Schützt der Host das – im Zweifel vertrauliche – Meeting nicht mittels Zugangsbeschränkungen wie einem Passwort, ist es für unberechtigte Dritte durchaus möglich, sich in diese Videokonferenzen einzuwählen. Besitzen diese Videokonferenzen eine Vielzahl an Teilnehmer/innen kann dies unbemerkt bleiben.
Nicht zu unterschätzen sind die Möglichkeiten, Plugins von Drittanbietern in die Dienste zu implementieren. Zoom stand z.B. lange in der Kritik, weil über das implementierte Facebook-Plugin ohne Aktivierung Daten an Facebook übermittelt wurden.
Diese genannten Risiken klingen nun erst einmal kritisch. Sie sind allerdings in Relation zu den verbliebenen Möglichkeiten zu betrachten. In Zeiten der remote-Arbeit während der Corona-Krise (und als Modell der Zukunft wahrscheinlich noch lange darüber hinaus) ist die Videokonferenz als Werkzeug der Zusammenarbeit nicht mehr wegzudenken. Zwar kann auch das beste Tool die persönliche Begegnung nicht ersetzen, allerdings wird ein einfaches Telefonat, vielleicht sogar mit mehreren Teilnehmer/innen, nicht persönlicher sein. Zudem sind die bestehenden Funktionen bei reinen Telefonkonferenzen im Vergleich zu den in der Praxis eingesetzten Tools für Videokonferenzen begrenzt. Die Organisation einer Videokonferenz ist erheblich einfacher (oftmals reicht das Versenden eines Links). Zusätzlich ist die Bedeutung von Mimik und Gestik während eines Gesprächs hinreichend belegt und sollte ebenfalls nicht außer Acht gelassen werden (wohl wissend, dass nicht jede/r Teilnehmer/innen die Kamerafunktion bei einer Videokonferenz nutzen möchte). Kurzum: In der Praxis werden Sie zum einen kaum um die Nutzung dieser Dienste kommen und zum anderen lässt sich festhalten, dass zwar Risiken bestehen, diese jedoch händelbar sind.
Ganz grundsätzlich bedeutet dies, dass Sie gängige Tools wie Zoom, GoToMeeting, Teams, Meet etc. nutzen können. Sie sollten, um die genannten Risiken zu minimieren, die folgenden Punkte beachten:
Informieren Sie die Teilnehmer/innen vor dem Einsatz des Tools (z.B. in der Einladungsmail), welches Tool Sie nutzen. Möchte ein Teilnehmer dies nicht, geben Sie so die Möglichkeit des Widerspruchs bzw. auf ein anderes Tool auszuweichen.
Beachten Sie den Grundsatz der Datenminimierung und setzen Sie, sofern möglich, auf Freiwilligkeit. Möchte z.B. eine Kundin oder ein Mitarbeiter die Kamera nicht einschalten, werden Sie die Person hierzu kaum zwingen können.
Trotz Verschlüsselung – bedenken Sie die Datenübermittlung in Drittstaaten, die durch die meisten Tools bzw. deren Anbieter durchgeführt wird. Vermeiden Sie es daher, zu sensible Daten über Videokonferenzen zu teilen. Gesellschafterversammlungen sind für Videokonferenzen nicht geeignet. Weichen Sie hier lieber auf eine telefonische Besprechung aus.
Nutzen Sie nur eingeschränkt die Marketingangebote des Anbieters bzw. Herstellers und fokussieren Sie sich auf den Einsatz des Tools für Videokonferenzen. So vermeiden Sie unnötiges Tracking.
Wenn Sie als Gastgeber eine Videokonferenz speichern möchten informieren Sie die Teilnehmer/innen in jedem Fall vorab darüber. Wenn einer oder mehrere Teilnehmer widersprechen, ist eine Aufzeichnung nicht zulässig. Wählen Sie als Speicherort einen Ort, den Sie kontrollieren können (im Zweifel also nicht die Cloud des jeweiligen Anbieters, z.B. die Zoom-Cloud)
Wir stehen am Anfang einer Entwicklung, deren Auswirkungen,
Möglichkeiten aber auch Gefahren wir erst anfangen zu verstehen. Schon immer
war das Recht eng mit dem Papier verbunden, auf dem es gedruckt wurde und der
Einfluss, den der Buchdruck auf den modernen Rechtsstaat hatte, lässt sich gar
nicht überschätzen. In diesem Rahmen muss auch die Digitalisierung des Rechts
betrachtet werden. Das Spannende an der Digitalisierung des Rechts ist nicht,
dass die Gesetze und das gedruckte Wort nun auf Datenträgern gespeichert werden
und im Internet frei verfügbar sind. Die Revolution findet dort statt, wo
bisher passives Wissen mit Algorithmen aktiv ausgeführt werden kann.
Diese Situation ist nicht neu, bei der
Geschwindigkeitsüberwachung bspw. ist der Blitzer bereits seit Jahrzehnten ein
anerkannter Helfer. Weitere Digitalisierungsbemühungen sind, wenn auch nur
zögerlich, bei der Digitalisierung der Verwaltung zu beobachten. Zu den
Vorreitern gehört die Finanzverwaltung, welche die Steuererklärung für
Unternehmen und Privatpersonen bereits vollständig elektronisch ermöglicht.
Für Unternehmen ist diese grundsätzliche Entwicklung überaus
relevant Eine zunehmend digitale Verwaltung, vereinfacht die Zusammenarbeit mit
dieser und andererseits gilt auch für Unternehmen, dass diese ihre eigene
Verwaltung durch digitale Assistenzsysteme stärken können. Governance kann in
den Code, die Infrastruktur geschrieben und fest verankert werden.
Doch nicht nur in der Unternehmensinfrastruktur kann Code Regeln vorgeben. In Produkten gilt die Maxime, dass die Regeln im Code geschrieben sind umso mehr. Die besten Beispiele hierfür sind Facebook und Google. Während ersteres mit Tochtergesellschaften wie Whatsapp und Twitter unser Privatleben durchdringt, ist Google aus dem geschäftlichen Leben nicht mehr wegzudenken Alle diese Produkte bestimmen unseren Umgang mit ihnen durch den zugrunde liegenden Algorithmus. Gleichzeitig bestimmen primär die Produkte, was wir mittels ihrer Nutzung sehen oder nicht sehen können. Sowohl die Suchmaschine von Google als auch Google Analytics haben einen Marktanteil von über 80%.
Bisher wurde die Entscheidung, ob deutsches Recht im Wohnzimmer deutscher Nutzer ankommt, daher zu oft im Silicon Valley entschieden. Ein Trend der sich erst langsam und zögerlich mit der Einführung der DSGVO ändert und der damit verbundenen Durchsetzung europäischen Rechts für Produkte dieses Marktes.
DSGVO als Standard für digitale Gesetze und
Rechtsprozesse
Umso mehr muss man an dieser Stelle den Wert der DSGVO
hervorheben. Durch die zunehmende Digitalisierung und die Eigenschaft digitaler
Produkte und des Internets nicht an Landesgrenzen oder Zollbestimmungen
gebunden zu sein, ist die Digitalisierung dem nationalen Recht längst
entwachsen, wodurch supranationale Gesetzgebung wie die
Datenschutzgrundverordnung (DSGVO) unerlässlich ist.
Mit der Einführung der DSGVO wurden drei fundamentale
Bedingungen geändert.
Mit dem Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ wurde der Grundsatz des privacy-by-Design als Mindeststandard für digitale Produkte und (fast) alle IT-Systeme gesetzt.
Durch das Anheben der Bußgelder auf 2 bzw. 4 Prozent des Jahresumsatzes kann dieser Mindeststandard nicht ignoriert werden.
Das in der DSGVO verankerte Marktortprinzip, sorgt dafür, dass auch außerhalb der EU, jeder der auf dem zweitgrößten Binnenmarkt der Welt Geschäfte machen will, sich an diesen technischen Standard halten muss.
Dass dieser technische Standard auch durchgesetzt wird, wird in den folgenden Fällen demonstriert.
Maßgeblich dafür, wie in
Zukunft in Unternehmen die Rechtabteilung aufgestellt ist, ist der
Schulterschluss zwischen Technik und Recht, um den aktuellen Anforderungen
genügen zu können und die Entwicklung aktiv zu gestalten.
Legal as a Service
Die meisten Unternehmen sind bereits digital, dieser Trend wird sich durch die Corona-Krise und Konzepte wie Business as a Service, welche das in- und outsourcing von Prozessen mittels digitaler Lösungen nach dem Baukastenprinzip erlaubt, weiter beschleunigen.
Im Amazon Marketplace lassen sich nach diesem Prinzip
bereits über 8000 Software-Produkte einkaufen. Vom Betriebssystem bis zum Machine-Learning
Anwendung lässt sich vieles mit wenigen Klicks als Infrastruktur für das
Unternehmen bereitstellen.
„Die Infrastruktur des 21. Jh. – das Internet – ermöglicht wie keine andere, Prozessschritte global outzusourcen, inzusourcen, Komponenten neu zusammenzusetzen.“ – Bendig, Evers et. al. 2013, S.69
Dieser Trend weitet sich auch auf Rechtsdienstleistungen
aus, sodass auch hier immer mehr Leistungen und Services standardisiert und
automatisiert werden können. So gehen im Fall der Wahrung von Fluggastrechten
bereits jetzt viele Mandate an Flightright.de.
Flightright (Plattform für Fluggastrechte) ist eine Online-Plattform über die geschädigte Fluggäste automatisiert, anhand der Eingabe Ihrer Flugdaten, Forderungen gegenüber Fluggesellschaften aus Verspätungen und Flugausfällen geltend machen können. Die Prüfung erfolgt anhand von Fragen, die den Kunden über das Webinterface gestellt werden (Flugnummer, Art des Schadens, Grund etc.). Der Kunden erhält nach Abschluss des Fragebogens eine Information darüber, ob die Geltendmachung von Ansprüchen eine Chance auf Erfolg hat oder nicht. Fällt die Prüfung positiv aus, bietet Flightright an, diese Ansprüche für die Betroffenen durchzusetzen. Siehe Webseite von Flightright (https://www.flightright.de/)
Plattformen und Lösungen wie diese ermöglichen vermehrt die standardisierte
Prüfung und Bewertung von Einzelfällen und somit deren maschinelle Abarbeitung.
Arbeit wird uns zunehmend von Maschinen abgenommen und das ist gut so. Die Wenigsten der hier Lesenden werden sich darüber beschweren können, dass die Arbeit immer weniger wird. Vielmehr verdichtet sich die Arbeit zunehmend, ein Trend der vom Fachkräftemangel, Sparzwängen und dem Eintritt der Babyboomer in die Rente nur verstärkt wird. In der Automatisierung juristischer Prozesse liegt die Chance wieder Zeit für das Wesentliche zu erlangen, in dem das aufwendige Administrative von dem gemacht wird, der dafür ehesten geeignet ist: die Maschine.
Einsatz von Legal Tech und Services
Legal-Tech, soviel muss gesagt werden, ist mehr als ein Buzzword. Es ist ein Sammelbegriff für Technologien, die juristische Prozesse mit Technologie unterstützen bzw. abbilden können und somit die Digitalisierung des Rechts vorantreiben. Legal-Tech ist letztendlich die praktische Umsetzung der Rechtsinformatik, welche selbst für interessante Diskussionen sorgt, aber auch dass ein oder andere Problem hat. Das Hauptproblem von Legal-Tech und der Rechtsinformatik ist, dass die Juristen diese Disziplin ein Stück aus der Hand geben und verstärkt interdisziplinär, insbesondere mit den Informatikern zusammenarbeiten.
Dabei sind die Möglichkeiten der Rechtsinformatik und von
Legal-Tech letztendlich immens. Bei ink unterscheiden wir hier zwischen Legal-Tech
Basic Produkten, dies sind Produkte die bereits als Standardlösungen
existieren und eingesetzt werden können und Legal-Tech Advanced, welches
rechtliche Prozesse durch Automatisierung auf ein neues Level hebt und deren
Skalierung ermöglicht. Dies können z.B. automatisierte Vertragsdatenbanken
sein, die – einmal auf die jeweiligen Unternehmensbedürfnisse eingestellt –
nicht mehr manuell befüllt werden müssen.
Legal Tech Basic beschreibt weitgehend Standardlösungen, die juristische Prozesse unterstützen. Ein einfaches Beispiel hierfür sind Datenbanken wie Beck Online oder juris.de. Während Jura-Studenten für die Erstellung von Hausarbeiten vor zehn Jahren sich noch in der Bibliothek einquartiert haben, ist die Recherche und die Erstellung von Hausarbeiten und Gutachten mittlerweile von der Couch aus möglich. Darüber hinaus gibt es bereits eine Reihe von Standardlösungen welche Unternehmen in Ihren Arbeitsabläufe unterstützen.
Digitalisierung der Ausgangs- und Eingangspost: Der Brief lässt sich schon heute mit wenig Aufwand vollständig oder teilweise digitalisieren, wodurch sich leicht Portokosten und auch Zeit bei Mitarbeitern sparen lässt. Dies geht auch ohne Einbußen bei der Rechtssicherheit. Im Gegenteil gibt es einen Zugewinn an Rechtssicherheit. Die Zeiten, an denen Briefe zugehen oder versandt werden, werden automatisiert dokumentiert und können archiviert werden. Der Versand von Einschreiben ist unproblematisch. Durch den digitalen Footprint, den der digitale Brief hinterlässt, erhält dieser eine höhere Rechtssicherheit als der analoge Bruder.
Dokumentenmanagement: Nichts ist dem Juristen so lieb, wie das gedruckte Wort. Letztendlich können Dokumentenmanagementsysteme (DMS), die von der Stange gekauft werden, allerdings jeden Aktenschrank in die Arbeitslosigkeit schicken. Moderne Dokumentenmanagementsysteme können die gesamten Dokumenteninhalte auslesen und über Such- und Recherchefunktionen auffindbar machen. Auch klassische Aktenstrukturen lassen sich abbilden, sodass die Auffindbarkeit von Informationen erheblich vereinfacht wird und sich Wissen leichter teilen lässt. Moderne DMS werden auch sehr gerne in Finanzabteilungen eingesetzt, wo sich durch Workflows (Beim Kauf von der Stange inklusive) zahlreiche Prozesse wie die Rechnungserfassung und -auswertung sowie Freigabeprozesse einfach abbilden lassen. Ganz zu schweigen davon, dass es nicht erst seit der DSGVO ein No-Go ist, sensible Unterlagen auf offenen Gruppenlaufwerken herumzureichen.
Vertragsmanagement: Jeder braucht Es, kaum jemand macht Es. Aus langjähriger Erfahrung sowohl mit kleinen Unternehmen als auch Groß-Konzernen, ist deutlich geworden, dass das Thema immer noch zu stiefmütterlich behandelt wird und Unternehmen hierdurch viel Geld liegen lassen. Dies liegt unter anderem daran, dass Verträge sobald diese geschlossen sind, in der untersten Schublade verschwinden und selten aktives Vertragsmanagement betrieben wird. Entsprechende Software nimmt hier viele Aufgaben wie die Überwachung von Fristen oder das Lizenzmanagement ab.
Datenschutzmanagement: Gute Datenschützer wissen, dass der Datenschutz eine sehr dokumentationslastige Angelegenheit ist.Damit der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO mit angemessenen Aufwand entsprochen werden kann, bietet sich der Einsatz von Datenschutzmanagementsystemen an, welche die zugehörigen Prozesse automatisieren und strukturieren können.
Die hier genannten Lösungen sind nur einige von vielen
Möglichkeiten, die Rechtsabteilung mit etablierten Lösungen fit für die Zukunft
zu machen.
Legal-Tech Advanced
In der zweiten Stufe von Legal-Tech werden Tätigkeiten zunehmend
automatisiert. Beispielhaft hierfür stehen Plattformen wie flightright.de und
wenigermiete.de.
Spannend innerhalb dieser Stufe der Komplexität ist, dass
sich die Perspektive wie Recht angewandt wird, gleich in mehreren Faktoren
ändert. Von der Einzelfallbetrachtung hin zur Standardisierung und von
abrechenbaren Stunden hin zu Softwarelizenzmodellen.
So ermöglicht https://www.smartlaw.de/
die einfache Erstellung von Vertragsmustern. Parallel findet hier auch eine
Revolution im Finanzbereich und bei den Kollegen der Steuerberatung statt. Mit
Robotic Process Automation werden bereits zahlreiche Prozesse in
Finanzabteilungen automatisiert und gleichzeitig SAP Legacy Probleme gelöst.
Ganz konkrete Lösungen in dem Bereich von Legal-Tech 2.0
sind Lösungen wie RPA, Smart Contracts und vor allem die aufstrebende
e-Discovery. Oft befinden wir uns hier im Unternehmenskontext aber in einem
Bereich, in dem Individuelle Lösungen entwickelt in die Prozesse der jeweiligen
Unternehmen integriert werden.
Legal Process Automation mit RPA: Robotic Process Automation ist eine Brückentechnologie die überwiegend zur Automatisierung repetitiver, administrativer Aufgaben verwendet wird. Dies funktioniert, indem Bots (Roboter) angelernt werden, um bestimmte Aufgaben zu übernehmen wie das Ablegen oder Verschieben von Dokumenten. Die Einführung dieser Lösungen ist in der Regel mit Consulting-Projekten verbunden, da es notwendig ist, die dahinterliegenden Prozesse im Detail zu verstehen. Hauptsächlich wird die Technologie in Finanzbereichen angewandt, eignet sich aber auch hervorragend für die Automatisierung von administrativen Aufgaben, die in Rechtsabteilungen anfallen, z.B. im Zusammenhang mit Dokumentenverwaltung oder Fristüberwachung.
e-Discovery und Forensics: Beschreibt die Fähigkeit eines Unternehmens prozessrelevante Informationen mit Blick auf deren Beweiskraft aufzubewahren, aufzufinden und zu verwerten. In großen Organisationen sind Information und Wissen häufig auf dutzende bis hunderte Systeme verteilt und im Fall von Rechtsstreitigkeiten häufig schwer aufzufinden oder haben vor Gericht nur eine schwache Beweiskraft. Als Teil eines modernen Wissensmanagement können im Rahmen des e-Discovery Prozesse und Systeme etabliert werden, welche die Compliance und rechtliche Resilienz eines Unternehmens stärken.
Smart Contracts: Sind auf Blockchain Technologie basierende Produkte mit denen sowohl der Abschluss als auch die Durchführung eines Vertrages automatisiert werden kann, sodass die Erfüllung von Vertragskonditionen automatisch überwacht werden kann. Beispielhaft hierfür steht, dass ein Auto beim Car-Sharing erst freigeschaltet wird, sobald der Mitgliedbeitrag überwiesen wurde.Die Technologie besitzt einen noch geringen Reifegrad, und hat sich am Markt bisher nicht durchsetzen können.
Decision Automation: Decision Automation beschreibt Systeme mit denen Workflows mittels BPMN abgebildet werden und Entscheidungen durch das Erfüllen von definierten Tatbeständen oder Konditionen automatisiert werden können. Ein Anbieter für diese Art von Lösungen ist https://bryter.io/product/ aber State-of-the-Art Dokumentenmanagementsysteme oder Vertragsmanagementsysteme bringen bereits Tools mit, um Workflows zu automatisieren.
Individuallösungen: Grundsätzlich lassen sich viele Business-Cases und Prozesse auch durch HTML Seiten oder Individualentwicklungen abbilden.
Die Pflichten aus der DSGVO treffen jeden Verantwortlichen, der personenbezogene Daten verarbeitet. Somit sind auch die Informationspflichten zu erfüllen, deren Inhalte sich aus den Artikeln 13 und 14 DSGVO ergeben. Wir erklären, wie diese Informationspflichten in Form einer Datenschutzerklärung erfüllt werden können.
Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.
Unbedingt notwendige Cookies
Unbedingt notwendige Cookies sollten jederzeit aktiviert sein, damit wir deine Einstellungen für die Cookie-Einstellungen speichern können.
Wenn du diesen Cookie deaktivierst, können wir die Einstellungen nicht speichern. Dies bedeutet, dass du jedes Mal, wenn du diese Website besuchst, die Cookies erneut aktivieren oder deaktivieren musst.
