Zahlen mit Daten und vertragliche Aktualisierungspflichten: Pünktlich zur Umsetzungsfrist hat der deutsche Gesetzgeber den finalen Gesetzesentwurf zur Umsetzung der Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (dID-RL oder auch DIRL) veröffentlicht. Ab Januar 2022 sollen damit Änderungen innerhalb des BGB den Verbraucherschutz erweitern und Verbraucher beim Kauf und der Nutzung digitaler Inhalte mehr Absicherungsmöglichkeiten geben.
Gleichzeitig wird damit das Thema Digitalisierung weiterhin rechtlich konkretisiert, woraus sich auch Änderungen und Vorteile für Unternehmen ergeben. Welche Änderungen und Neuheiten die dID-RL mit sich bringt und was digitale Inhalte überhaupt, sind erläutern wir im folgenden Beitrag.
Was sind „digitale Inhalte“?
Die neuen Regelungen der dID-RL gelten, wenn digitale Inhalte oder Dienstleistungen gegen Entgelt für einen Verbraucher erbracht werden. Hierfür hat der Gesetzgeber eine neue Vertragsart geschaffen: die sogenannten „Verträge über digitale Produkte“.
Digitale Inhalte sind alle „Daten, die in digitaler Form erstellt und bereitgestellt werden.“ Wenn ein Unternehmer einem Verbraucher die Nutzung, Speicherung, Erstellung oder Bearbeitung solcher Daten ermöglicht (z.B. durch die digitale Bereitstellung eines Computerspiels) oder die Nutzung eines digitalen Inhaltes gemeinsam mit anderen Nutzern möglich ist (z.B. durch Social Media wie Instagram, Facebook und co.), handelt es sich um das Erbringen einer digitalen Dienstleistung.
Entscheidend ist nicht nur die digitale Erstellung, sondern auch die digitale Bereitstellung. Die Bereitstellung digitaler Inhalte allein führt bereits zur Anwendung der Richtlinie.
Digitale Inhalte nach der dID-RL sind:
Software bzw. Computerprogramme und Anwendungen
Video-, Audio-, und Musikdateien
Digitale Spiele
elektronische Bücher und andere elektronische Publikationen
Social Media (Instagram, Facebook und co.) und sonstige Dienstleistungen zur Erstellung, Verarbeitung oder Speicherung von Daten
Cloud-Services wie Software-as-a-Service
Gemeinsame Nutzungen von Video- oder Audioinhalten und andere Formen des Datei-Hosting
Textverarbeitung
Vom Begriff „digitale Inhalte oder Dienstleistungen“ ausgenommen sind:
Elektronische Kommunikationsdienste und Internetzugangsdienste
Verträge für Glücksspiel und Finanzdienstleistungen
Behandlungsverträge
Entgeltfreie Software, Freeware oder Opensource-Software
Erweiterte Gewährleistung und Absicherung für Verbraucher
Ist der Anwendungsbereich eröffnet, bedeutet dies einen erhöhten Verbraucherschutz.
Ist der Anwendungsbereich der Richtlinie eröffnet, begründet dies einen Verbrauchervertrag und ermöglicht einen stärkeren Verbraucherschutz, indem die bereits bestehenden Gewährleistungsrechte der Nacherfüllung, Kündigung, Preisminderung und Schadensersatz, die nun speziell in den §§ 327i ff. BGB geregelt sind, welche dem Verbraucher unter Umständen schneller zugestanden werden.
Ob ihm jene Gewährleistungsrechte zu stehen, hängt davon ab, ob der digitale Inhalt oder die Dienstleistung mangelhaft ist. Die Anforderungen an die Mangelfreiheit werden in den Artikel 7 und 8 der Richtlinie dargestellt und ergänzen damit die bereits bestehenden Regelungen zum Sach- oder Rechtsmangel. Umgesetzt wurde dies vom deutschen Gesetzgeber in den §§ 327d und 327e BGB.
Demnach müssen die Inhalte und Dienstleistungen sämtliche versprochene Merkmale aufweisen und auch ggf. Zusatzmaterial beinhalten wie Anleitungen, Kundendienste oder Installationen. Wesentlich neu ist aber, dass auch fehlende Aktualisierungen einen Mangel darstellen und Gewährleistungsrechte bedeuten können, was zu einer Aktualisierungspflicht führt.
Aktualisierungspflicht für Software, Apps & Co.
Die wohl umfangreichste Erweiterung, auf welche Unternehmer jetzt achten müssen, ist die Aktualisierungspflicht für digitale Produkte (Artikel 8 Abs. 2 dID-RL bzw. § 327f BGB).
Danach hat der Unternehmer den Kunden auf mögliche (Sicherheits-) Aktualisierungen hinzuweisen und diese bereitzustellen.
Wird Software für einen befristeten Zeitraum bereitgestellt und „vermietet“, erstreckt sich diese Pflicht über den gesamten Bereitstellungszeitraum. Bei digitalen Inhalten und Dienstleistungen, die nicht dauerhaft, sondern beispielsweise einmalig durch Kauf bereitgestellt werden, entspricht die Pflicht dem Gewährleistungszeitraum, wobei Sicherheitsaktualisierungen sogar darüber hinausgehen. Dasselbe gilt, wenn der Verbraucher aufgrund vertraglicher Vereinbarungen von Aktualisierungen ausgehen kann.
Die Installation des Updates liegt jedoch in den Händen des Verbrauchers. Wenn dieser die Installation der Aktualisierung versäumt oder verweigert, obwohl er die Möglichkeit vom Unternehmer erhalten hat, ist dies seine alleinige Verantwortung. Demnach haftet der Unternehmer nicht für Mängel an dem digitalen Inhalt, die durch fehlende Aktualisierung entstanden sind, worauf der Verbraucher allerdings hinzuweisen ist.
Keine Gewährleistungsrechte aufgrund eines Datenschutzverstoßes
Nach der dID-RL kann ein Verstoß gegen die DSGVO dazu führen, dass sich der bereitgestellte digitale Inhalt oder die Dienstleistung nicht für die vorgesehenen Zwecke eignet, da ein gewisser Standard an Datenschutz bei einigen digitalen Inhalten als Eigenschaft angesehen werden kann, die der Verbraucher bei digitalen Inhalten vernünftigerweise erwarten darf. Demnach gilt dies auch als Voraussetzung für eine mangelfreie Leistung, sodass andernfalls die objektiven Anforderungen an die Vertragsmäßigkeit nicht erfüllt wären. Damit würden Verbrauchern in Zukunft möglicherweise weitere Rechtsansprüche aufgrund eines DSGVO Verstoßes zustehen.
Allerdings hat der deutsche Gesetzgeber von jener Regulierung nicht Gebrauch gemacht, bzw. auf eine Umsetzung innerhalb des BGB verzichtet. Welche Auswirkungen dies zeigt, bleibt abzuwarten.
Beweislastumkehr zu Lasten des Unternehmers
FFür Unternehmer relevant ist auch die Beweislastumkehr. Wenn ein Verbraucher einen objektiven oder subjektiven Mangel an einem digitalen Inhalt oder einer digitalen Dienstleistung geltend macht, ist der Unternehmer nach Art. 12 dID-RL bis zu ein Jahr in der Pflicht zu beweisen, dass der Mangel aufgrund des Verbrauchers und nicht durch sein Verschulden entstanden ist. Wenn es sich um einen anhaltenden Vertrag handelt, etwa wenn Software vermietet wird oder ein Verbraucher ein soziales Netzwerk benutzt, gilt die Beweislastumkehr nach Art. 12 Abs. 3 dID-RL für den gesamten Bereitstellungszeitraum.
„Zahlen mit Daten“ begründet Verbraucherschutz
„Zahlen mit Daten“. Was bis vor wenigen Jahren noch nach rechtlicher Sci-Fi klang, ist mittlerweile faktisch nicht mehr wegzudenken und begegnet uns im digitalen Zeitalter nahezu täglich: Ob mit personalisierter Werbung durch die Annahme von Cookies oder die Anmeldung für einen Newsletter, um einen Rabattcode zu erhalten – oft „zahlen“ wir mit unseren Daten, ohne es vollkommen zu realisieren.
Obwohl die dID-RL die DSGVO und andere Datenschutzvorschriften unberührt lässt, und diese damit bei der Verarbeitung personenbezogener Daten im Zusammenhang mit Verträgen weiterhin beachtet werden müssen, schafft sie als vertragsrechtliche bzw. verbraucherschützende Norm mit Aufgreifen des Themas eine Überschneidung zum Datenschutzrecht.
Nach Art. 3 Abs. 1 UAbs. 2 dID-RL greifen die verbraucherschützenden Normen nämlich auch, wenn anstelle einer Zahlung mit Echtgeld personenbezogene Daten bereitgestellt werden und kann einen Verbrauchervertrag begründen. Damit ist die dID-RL bislang die erste Regulierung, welche die Thematik „Zahlung mit Daten“ rechtlich aufgreift, obgleich der Begriff „Zahlung“ nicht verwendet wird.
Denn sowohl der europäische als auch der deutsche Gesetzgeber stehen der Verwendung des Begriffs „Zahlung“ kritisch gegenüber. So wird innerhalb der Richtlinie die Bereitstellung personenbezogener Daten als eine Art Gegenleistung beschrieben, allerdings soll aufgrund des grundrechtlichen Stellenwerts, der dem Schutz personenbezogener Daten zuzuordnen ist, von einer konkreten Einordnung als Gegenleistung abgewichen werden.[1]
Der deutsche Gesetzgeber geht einen Schritt weiter und ordnet den Austausch personenbezogener Daten für Inhalte rechtsdogmatisch nach § 516a BGB teilweise als Schenkung ein, obwohl nach den Beweggründen des Regierungsentwurfs gleichzeitig auf eine konkrete schuldrechtliche Einordnung verzichtet werden sollte.
Eine klarere Positionierung des Gesetzgebers wäre hierzu wünschenswert. Bisher wurden Angebote von Unternehmen, die für ihre Leistungen personenbezogene Daten erheben, oftmals als „kostenlose Nutzung“ oder „gratis“ angeworben. Ob solche Schlagworte damit in Zukunft aber tatsächlich weiterhin fallen dürfen, ist zumindest nach Formulierung der Richtlinie zu verneinen.
Auch aus datenschutzrechtlicher Sicht müsste der Verbraucher vor Nutzung der digitalen Inhalte ausreichend über die Nutzung und Weiterverwendung der Daten informiert werden, etwa wenn mit den Daten personalisierte Werbung geschaltet werden soll.
Vertragsschluss durch Cookies?
Für die Bereitstellung personenbezogener Daten für einen digitalen Inhalt oder eine Dienstleistung kommen zwei Optionen in Betracht:
Der Verbraucher kann die Daten aktiv bereitstellen, indem er aktiv bei Nutzung der Inhalte daraufhin gewiesen wird und um konkrete Angaben gebeten wird. Dies kann etwa direkt nach Herunterladen einer App oder beim Anlegen eines Nutzerprofils erfolgen.
Oder er stellt die Daten passiv durch das Setzen von Cookies bereit, wie wir es von zahlreichen Webseiten kennen.
Ob es sich dabei jedoch um einen tatsächlichen Vertragsschluss handelt, kann diskutiert werden. Schließlich setzt ein Vertragsschluss zwei sich deckende Willenserklärungen voraus, welche beide einen Rechtsbindungswillen enthalten müssen.[2]. Gerade bei der Bereitstellung durch Cookies könnte es eben an dieser Voraussetzung mangeln, da der Verbraucher unter Umständen einen „Klick“ durchführt, ohne sich den rechtlichen Konsequenzen davon bewusst zu sein.
Kündigungsrecht für Unternehmer
Durch die „Zahlung mit Daten“ gewinnen aber nicht nur Verbraucher neue Rechte, auch Unternehmer erhalten mit § 327q BGB die Möglichkeit, dauerhafte Vertragsverhältnisse zu kündigen, wenn ein Kunde seine Einwilligung zur Verarbeitung der Daten widerruft. Immerhin werden die digitalen Inhalte oder Dienstleistungen erbracht auf der Grundlage erbracht, dass dem Unternehmer hierfür personenbezogene Daten bereitgestellt werden. Damit haben Unternehmer das Recht, die Dienstleistung nur so lange zu erbringen, wie sie auch eine Gegenleistung dafür erhalten.
Fazit
Mit der Umsetzung der Richtlinie ergeben sich beachtliche Änderungen im eCommerce. Auch wenn von der Richtlinie in erster Linie Verbraucher profitieren und Unternehmen sich zunächst mit den neuen Regelungen vertraut machen müssen, bedeutet dies für sie gleichzeitig zusätzliche Rechtssicherheit.
Die Folgen einer Bereitstellung digitaler Inhalte werden durch die Umsetzung der dID-RL nun klar geregelt, auch wenn im Detail, insbesondere zur Thematik „Zahlung mit Daten“ und der Updatepflicht, noch offene Fragen bestehen. Fragen, die Sie gemeinsam mit Experten klären können.
[1] Stellungnahme 04/2017 des europäischen Datenschutzausschusses, < https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_de.pdf>.
Oft besteht Unklarheit darüber, wann ein Unternehmen einen Datenschutzbeauftragten benennen muss. Wir erklären, ab wann die gesetzliche Pflicht zur Bestellung eines DSB besteht.
Die folgende Einordnung gilt für nicht öffentliche Stellen (private Unternehmen). Die Bestellung des Datenschutzbeauftragten bei öffentlichen Stellen wie z.B. in der Justiz wird hier nicht behandelt.
Die Bestellung eines Datenschutzbeauftragten wird durch die DSGVO in Verbindung mit dem BDSG_neu geregelt. Die Kriterien zur Bestellung werden in Art. 37 DSGVO und § 38 BDSG_neu beschrieben. Erfüllen Sie mindestens eines der folgenden Kriterien, ist ein DSB zu bestellen.
Seit dem 25. Mai 2018 gilt europaweit die EU-Datenschutzgrundverordnung (DSGVO). Im Rahmen der europäischen Strategie für einen digitalen Binnenmarkt (sog. DBM-Strategie) sollte am gleichen Datum auch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-Verordnung) in Kraft treten. Das Gesetzgebungsverfahren verzögert sich jedoch auf Grund einiger, strittiger Punkte.
Der folgende Beitrag stellt den aktuellen Stand und einen Ausblick auf relevante Regelungen und das weitere Gesetzgebungsverfahren dar. (Dieser Beitrag ist um die aktuelle Entwicklung rund um die ePrivacy-Verordnung aktualisiert worden).
Der BGH hat in seiner jüngsten Entscheidung (Cookie-Urteil) die datenschutzrechtlichen Zulässigkeit von Cookies beurteilt. Wir erklären, was dieses Urteil bedeutet.
Das Cookie-Urteil in Kürze
Das Setzen von technisch nicht erforderlichen Cookies erfordert eine aktive, transparente und freiwillige Einwilligung des Nutzers. Dies bedeutet, der Nutzer muss mit einer aktiven Handlung, also dem selbständigen Ankreuzen des Einwilligungskästchens in die Verarbeitung zu Werbe- und Analysezwecken einwilligen (Opt-In). Bei technisch notwendigen Cookies, wie z.B. Session Cookies ist weiterhin davon auszugehen, dass keine Einwilligung notwendig ist, da hier u.a. die Rechtsgrundlage in Art. 6 b) DSGVO als Datenverarbeitung im Rahmen der Vertragsanbahnung in Frage kommt, oder eine Verarbeitung durch Art. 6 f) im Rahmen einer Interessenabwägung zulässig ist.
Hintergrund
Der Bundesverband der Verbraucherzentralen hat das Unternehmen Planet 49 u.a. wegen des Setzens eines Cookies zu Werbezwecken verklagt, in dem wie bei Cookies üblich, lediglich die Bestätigung durch einen Klick auf den Cookie Banner erfolgt.
Nach dem Gang durch die Instanzen wurde der Fall dem BGH vorgelegt, welcher das Verfahren ausgesetzt hat, um den EuGH die Frage vorzulegen, ob die Praxis der Einwilligung über ein vorausgefülltes Ankreuzkästchen mit dem Unionsrecht vereinbar ist. Im Urteil vom 1. Oktober 2019 hat der EuGH diese Frage entscheiden (C‑673/17). Hier argumentiert der EuGH: „…deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.“ Und kommt somit zu dem Schluss, dass die Möglichkeit des Abwählens (Opt-Out) für eine wirksame Einwilligung nicht ausreicht und daher ein Opt-In (aktives Ankreuzen des Kästchens) notwendig ist.
Hierbei ist anzumerken, dass der EuGH mit dem o.g. Urteil keinen neuen Grundsatz aufgestellt hat, sondern im Grunde nur bestätigt hat, was u.a. durch die EU Richtlinie 2002/58 (sog. „Cookie-Richtlinie“) bereits länger festgeschrieben ist, nämlich dass nach herrschender juristischer Meinung ein Opt-In notwendig ist.
Was ist mit dem Cookie-Urteil des BGH neu?
Deutschland hat bisher einen Sonderweg bestritten und die Anforderungen aus der EU-Richtlinie 2002/58 und der DSGVO dahingehend nicht umgesetzt, da der Werbeindustrie in § 15 Abs. 3 S.1 TMG ein Zugeständnis gemacht wurde und das Opt-Out (Widerspruchslösung) zugelassen wurde. „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Aus diesem Grund war in Deutschland bisher das Opt-Out bei Cookies das Mittel der Wahl, da es durch den Gesetzgeber legitimiert war, auch wenn diese Legitimierung schon länger offen im Widerspruch zum EU-Recht stand.
Der BGH hat in seiner Pressemitteilung vom 28.05.2020 zum noch nicht veröffentlichten Cookie-Urteil jetzt im Grunde zwei maßgebliche Sachen verkündet.
Das Gericht hat entschieden bzw. sich der Meinung des EuGHs angeschlossen, dass ein voreingestelltes, ausgefülltes Einwilligungsfeld (Opt-Out) nicht zulässig ist.
Der BGH hat festgestellt, dass die deutsche Umsetzung des EU-Rechts im Rahmen des § 15 Abs. 3 S.1 TMG bis zum 24.05.2018 mit dem Unionsrecht unvereinbar war.
Dann macht der BGH etwas, was, nennen wir es mal innovativ ist, und sagt, dass der Gesetzgeber mit der Einführung der DSGVO das Telemediengesetz an dem Punkt nicht angepasst hat, und daher davon auszugehen ist, dass Gesetzgeber den § 15 Abs. 3 TMG wohl mit dem Unionsrecht für vereinbar hält. Dies nimmt das BGH zum Anlass zu sagen, dass der § 15 Abs 3 TMG dann wohl richtlinienkonform auszulegen ist. Laut BGH ist der genannte Paragraph demnach nicht unzulässig.
Sinn ergibt dies nicht, weil der Gesetzgeber eine Anpassung des § 15 Abs. 3 TMG bisher nicht durchgeführt hat, weil er mit einer Anpassung auf mittlerweile (halb) tote e-Privacy Verordnung warten wollte und andererseits den Konflikt mit dem Unionsrecht zum Schutz der heimischen Werbewirtschaft akzeptiert hat.
Was ist ein Cookie?
Cookies sind im Grunde nicht viel mehr als kleine Textdateien mit technischen oder personenbezogenen Daten, die ein Webseitenanbieter im Browser des Nutzers speichert. Dies wird im Rahmen von Session Cookies zum einen gemacht, um u.a. Warenkörbe bei nicht angemeldeten Nutzern speichern zu können oder zu Marketingzwecken um Nutzerverhalten zu analysieren und personenbezogene Daten für Retargeting und personalisierte Werbung zu sammeln.
In der jetzigen Zeit, in der wir gemeinsam die Corona-Krise (COVID-19) durchstehen, wandert das Arbeiten mit Videokonferenzen zunehmend in das Homeoffice.
Eine Form ist das Abhalten von Videokonferenzen, sowohl im privaten als auch im beruflichen. Was vorher gedacht war, um große Entfernungen zu überbrücken (z.B. das virtuelle Meeting zweier Zweigstellen zwischen Frankfurt und Berlin), wird nun genutzt, um auch mit dem Nachbarn in Verbindung zu bleiben.
Ob Zoom, GoTo-Meeting, Skype, Teams, Jitsy oder die Video-Anwendung in Slack: Es sind viele Tools im Einsatz, um Meetings oder auch bilaterale Telefonate über Video abzuhalten. Sie alle haben Vor- und Nachteile, sei es in ihrer Usability oder den Kosten. Doch alle eint die Frage nach dem Datenschutz. Insbesondere seit der Diskussion rund um Zoom, die auch in den Medien Niederschlag fand, fragen sich immer mehr Menschen, welchem Tool sie vertrauen können oder welches Tool sie nutzen dürfen, um z.B. mit ihren Kund/innen oder Mitarbeiter/innen im Home-Office zu kommunizieren. Die Begriffe Videokonferenzen & Datenschutz gehen eine Symbiose ein.
Der folgende Beitrag gibt einen Einblick in die Nutzbarkeit von Tools für Videokonferenzen und die Verbindung von Videokonferenzen & Datenschutz.
Videokonferenzen & Datenschutz: Datenverarbeitung bei Videokonferenzen
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […]“ (Art. 4 Nr. 1 DSGVO). Hierunter sind auch die Daten zu verstehen, die bei der Nutzung von Tools für Videokonferenzen, verarbeitet werden.
Bei Nutzung dieser Tools sind das in der Regel die von den Teilnehmer/innen gewählten Nutzernamen, die E-Mail-Adressen (bzw. die Kontaktadresse, an die die Einladung versendet wird), die Videoübertragung an sich und auch technische Daten, die vom Dienst verarbeitet werden. Entsprechend werden auch bei allen Anwendungen personenbezogene Daten verarbeitet, welche die Erfüllung der datenschutzrechtlichen Anforderungen erforderlich macht.
Zulässigkeit von Videokonferenzen
Wie bei jeder Datenverarbeitung auch, muss auch die Datenverarbeitung im Rahmen von Videokonferenzen legitimiert sein. Grundsätzlich lässt sich festhalten, dass bei den genannten (und damit den in der Praxis üblicherweise genutzten Tools für Videokonferenzen) eine datenschutzrechtliche Zulässigkeit gegeben ist.
In Frage kommt eine Zulässigkeit u.a. aufgrund der Erfüllung (vor-)vertraglicher Verpflichtungen (Art. 6 Abs. 1 Buchstabe b DSGVO). Dies ist dann der Fall, wenn Sie z.B. Vertragsverhandlungen mit potenziellen Kunden führen und dies aufgrund der aktuellen Situation nur remote über eine Videokonferenz funktioniert. Bittet Sie der Kunde dann das Gespräch mittels Videokonferenz zu führen, wird diese Datenverarbeitung gerechtfertigt sein.
Weiterhin in Betracht kommt die Wahrung Ihres berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO). Dies ist z.B. der Fall, wenn Sie den Kontakt zu Ihren Mitarbeiter/innen halten möchten. Das tägliche Meeting als Videokonferenz, indem Sie z.B. die anstehenden Aufgaben besprechen, dient dem Erhalt des Geschäftsbetriebes und ist datenschutzrechtlich legitimiert. Im Gegenzug ist das Einholen einer Einwilligung nicht zu empfehlen. Die Anforderung an eine wirksame Einwilligung mögen in manchen Konstellationen erfüllbar sein, der Aufwand steht jedoch in negativem Verhältnis zum Nutzen. Außerdem stellen sich bei einer Einwilligung aufgrund ihrer Widerrufbarkeit Fragen zur Nachbehandlung im Falle eines Widerrufs (z.B. wie mit einer Person umgegangen werden soll, die ihre Einwilligung nicht erteilt oder widerrufen hat und der Geschäftsbetrieb jedoch in der Zeit des Home-Offices wesentlich vom gemeinsamen Austausch lebt).
Risiken gibt es überall
Beginnen wir mit der wohl ernüchternden und doch etwas banalen Erkenntnis: Risiken werden Sie nicht vermeiden können. Alle genannten und sonstigen am Markt bestehenden Tools für Videokonferenzen haben Risiken inne, die sich entweder aus ihrer Programmierung selbst oder aufgrund der Hersteller ergeben. Anwendungen wie Zoom oder Slack, aber auch Anwendungen von Microsoft oder Google, behalten sich (als Anwendung von US-amerikanischen Herstellern) z.B. die Übermittlung von Daten in Drittländer (z.B. die USA) vor. Außerdem haben bei den meisten dieser Tools die Gastgeber (Host) eines Meetings weitreichende Möglichkeiten der Datenverarbeitungen. Sie können die Videokonferenzen u.a. Aufzeichnen und Abspeichern, wobei das Speichern auch auf die Cloudspeicher der Dienste geschieht. Viele dieser Tools (u.a. Zoom, GoTo oder auch Jitsy) funktionieren, indem Links an die Teilnehmer/innen versendet werden. Schützt der Host das – im Zweifel vertrauliche – Meeting nicht mittels Zugangsbeschränkungen wie einem Passwort, ist es für unberechtigte Dritte durchaus möglich, sich in diese Videokonferenzen einzuwählen. Besitzen diese Videokonferenzen eine Vielzahl an Teilnehmer/innen kann dies unbemerkt bleiben.
Nicht zu unterschätzen sind die Möglichkeiten, Plugins von Drittanbietern in die Dienste zu implementieren. Zoom stand z.B. lange in der Kritik, weil über das implementierte Facebook-Plugin ohne Aktivierung Daten an Facebook übermittelt wurden.
Diese genannten Risiken klingen nun erst einmal kritisch. Sie sind allerdings in Relation zu den verbliebenen Möglichkeiten zu betrachten. In Zeiten der remote-Arbeit während der Corona-Krise (und als Modell der Zukunft wahrscheinlich noch lange darüber hinaus) ist die Videokonferenz als Werkzeug der Zusammenarbeit nicht mehr wegzudenken. Zwar kann auch das beste Tool die persönliche Begegnung nicht ersetzen, allerdings wird ein einfaches Telefonat, vielleicht sogar mit mehreren Teilnehmer/innen, nicht persönlicher sein. Zudem sind die bestehenden Funktionen bei reinen Telefonkonferenzen im Vergleich zu den in der Praxis eingesetzten Tools für Videokonferenzen begrenzt. Die Organisation einer Videokonferenz ist erheblich einfacher (oftmals reicht das Versenden eines Links). Zusätzlich ist die Bedeutung von Mimik und Gestik während eines Gesprächs hinreichend belegt und sollte ebenfalls nicht außer Acht gelassen werden (wohl wissend, dass nicht jede/r Teilnehmer/innen die Kamerafunktion bei einer Videokonferenz nutzen möchte). Kurzum: In der Praxis werden Sie zum einen kaum um die Nutzung dieser Dienste kommen und zum anderen lässt sich festhalten, dass zwar Risiken bestehen, diese jedoch händelbar sind.
Ganz grundsätzlich bedeutet dies, dass Sie gängige Tools wie Zoom, GoToMeeting, Teams, Meet etc. nutzen können. Sie sollten, um die genannten Risiken zu minimieren, die folgenden Punkte beachten:
Informieren Sie die Teilnehmer/innen vor dem Einsatz des Tools (z.B. in der Einladungsmail), welches Tool Sie nutzen. Möchte ein Teilnehmer dies nicht, geben Sie so die Möglichkeit des Widerspruchs bzw. auf ein anderes Tool auszuweichen.
Beachten Sie den Grundsatz der Datenminimierung und setzen Sie, sofern möglich, auf Freiwilligkeit. Möchte z.B. eine Kundin oder ein Mitarbeiter die Kamera nicht einschalten, werden Sie die Person hierzu kaum zwingen können.
Trotz Verschlüsselung – bedenken Sie die Datenübermittlung in Drittstaaten, die durch die meisten Tools bzw. deren Anbieter durchgeführt wird. Vermeiden Sie es daher, zu sensible Daten über Videokonferenzen zu teilen. Gesellschafterversammlungen sind für Videokonferenzen nicht geeignet. Weichen Sie hier lieber auf eine telefonische Besprechung aus.
Nutzen Sie nur eingeschränkt die Marketingangebote des Anbieters bzw. Herstellers und fokussieren Sie sich auf den Einsatz des Tools für Videokonferenzen. So vermeiden Sie unnötiges Tracking.
Wenn Sie als Gastgeber eine Videokonferenz speichern möchten informieren Sie die Teilnehmer/innen in jedem Fall vorab darüber. Wenn einer oder mehrere Teilnehmer widersprechen, ist eine Aufzeichnung nicht zulässig. Wählen Sie als Speicherort einen Ort, den Sie kontrollieren können (im Zweifel also nicht die Cloud des jeweiligen Anbieters, z.B. die Zoom-Cloud)
Wir stehen am Anfang einer Entwicklung, deren Auswirkungen,
Möglichkeiten aber auch Gefahren wir erst anfangen zu verstehen. Schon immer
war das Recht eng mit dem Papier verbunden, auf dem es gedruckt wurde und der
Einfluss, den der Buchdruck auf den modernen Rechtsstaat hatte, lässt sich gar
nicht überschätzen. In diesem Rahmen muss auch die Digitalisierung des Rechts
betrachtet werden. Das Spannende an der Digitalisierung des Rechts ist nicht,
dass die Gesetze und das gedruckte Wort nun auf Datenträgern gespeichert werden
und im Internet frei verfügbar sind. Die Revolution findet dort statt, wo
bisher passives Wissen mit Algorithmen aktiv ausgeführt werden kann.
Diese Situation ist nicht neu, bei der
Geschwindigkeitsüberwachung bspw. ist der Blitzer bereits seit Jahrzehnten ein
anerkannter Helfer. Weitere Digitalisierungsbemühungen sind, wenn auch nur
zögerlich, bei der Digitalisierung der Verwaltung zu beobachten. Zu den
Vorreitern gehört die Finanzverwaltung, welche die Steuererklärung für
Unternehmen und Privatpersonen bereits vollständig elektronisch ermöglicht.
Für Unternehmen ist diese grundsätzliche Entwicklung überaus
relevant Eine zunehmend digitale Verwaltung, vereinfacht die Zusammenarbeit mit
dieser und andererseits gilt auch für Unternehmen, dass diese ihre eigene
Verwaltung durch digitale Assistenzsysteme stärken können. Governance kann in
den Code, die Infrastruktur geschrieben und fest verankert werden.
Doch nicht nur in der Unternehmensinfrastruktur kann Code Regeln vorgeben. In Produkten gilt die Maxime, dass die Regeln im Code geschrieben sind umso mehr. Die besten Beispiele hierfür sind Facebook und Google. Während ersteres mit Tochtergesellschaften wie Whatsapp und Twitter unser Privatleben durchdringt, ist Google aus dem geschäftlichen Leben nicht mehr wegzudenken Alle diese Produkte bestimmen unseren Umgang mit ihnen durch den zugrunde liegenden Algorithmus. Gleichzeitig bestimmen primär die Produkte, was wir mittels ihrer Nutzung sehen oder nicht sehen können. Sowohl die Suchmaschine von Google als auch Google Analytics haben einen Marktanteil von über 80%.
Bisher wurde die Entscheidung, ob deutsches Recht im Wohnzimmer deutscher Nutzer ankommt, daher zu oft im Silicon Valley entschieden. Ein Trend der sich erst langsam und zögerlich mit der Einführung der DSGVO ändert und der damit verbundenen Durchsetzung europäischen Rechts für Produkte dieses Marktes.
DSGVO als Standard für digitale Gesetze und
Rechtsprozesse
Umso mehr muss man an dieser Stelle den Wert der DSGVO
hervorheben. Durch die zunehmende Digitalisierung und die Eigenschaft digitaler
Produkte und des Internets nicht an Landesgrenzen oder Zollbestimmungen
gebunden zu sein, ist die Digitalisierung dem nationalen Recht längst
entwachsen, wodurch supranationale Gesetzgebung wie die
Datenschutzgrundverordnung (DSGVO) unerlässlich ist.
Mit der Einführung der DSGVO wurden drei fundamentale
Bedingungen geändert.
Mit dem Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ wurde der Grundsatz des privacy-by-Design als Mindeststandard für digitale Produkte und (fast) alle IT-Systeme gesetzt.
Durch das Anheben der Bußgelder auf 2 bzw. 4 Prozent des Jahresumsatzes kann dieser Mindeststandard nicht ignoriert werden.
Das in der DSGVO verankerte Marktortprinzip, sorgt dafür, dass auch außerhalb der EU, jeder der auf dem zweitgrößten Binnenmarkt der Welt Geschäfte machen will, sich an diesen technischen Standard halten muss.
Dass dieser technische Standard auch durchgesetzt wird, wird in den folgenden Fällen demonstriert.
Maßgeblich dafür, wie in
Zukunft in Unternehmen die Rechtabteilung aufgestellt ist, ist der
Schulterschluss zwischen Technik und Recht, um den aktuellen Anforderungen
genügen zu können und die Entwicklung aktiv zu gestalten.
Legal as a Service
Die meisten Unternehmen sind bereits digital, dieser Trend wird sich durch die Corona-Krise und Konzepte wie Business as a Service, welche das in- und outsourcing von Prozessen mittels digitaler Lösungen nach dem Baukastenprinzip erlaubt, weiter beschleunigen.
Im Amazon Marketplace lassen sich nach diesem Prinzip
bereits über 8000 Software-Produkte einkaufen. Vom Betriebssystem bis zum Machine-Learning
Anwendung lässt sich vieles mit wenigen Klicks als Infrastruktur für das
Unternehmen bereitstellen.
„Die Infrastruktur des 21. Jh. – das Internet – ermöglicht wie keine andere, Prozessschritte global outzusourcen, inzusourcen, Komponenten neu zusammenzusetzen.“ – Bendig, Evers et. al. 2013, S.69
Dieser Trend weitet sich auch auf Rechtsdienstleistungen
aus, sodass auch hier immer mehr Leistungen und Services standardisiert und
automatisiert werden können. So gehen im Fall der Wahrung von Fluggastrechten
bereits jetzt viele Mandate an Flightright.de.
Flightright (Plattform für Fluggastrechte) ist eine Online-Plattform über die geschädigte Fluggäste automatisiert, anhand der Eingabe Ihrer Flugdaten, Forderungen gegenüber Fluggesellschaften aus Verspätungen und Flugausfällen geltend machen können. Die Prüfung erfolgt anhand von Fragen, die den Kunden über das Webinterface gestellt werden (Flugnummer, Art des Schadens, Grund etc.). Der Kunden erhält nach Abschluss des Fragebogens eine Information darüber, ob die Geltendmachung von Ansprüchen eine Chance auf Erfolg hat oder nicht. Fällt die Prüfung positiv aus, bietet Flightright an, diese Ansprüche für die Betroffenen durchzusetzen. Siehe Webseite von Flightright (https://www.flightright.de/)
Plattformen und Lösungen wie diese ermöglichen vermehrt die standardisierte
Prüfung und Bewertung von Einzelfällen und somit deren maschinelle Abarbeitung.
Arbeit wird uns zunehmend von Maschinen abgenommen und das ist gut so. Die Wenigsten der hier Lesenden werden sich darüber beschweren können, dass die Arbeit immer weniger wird. Vielmehr verdichtet sich die Arbeit zunehmend, ein Trend der vom Fachkräftemangel, Sparzwängen und dem Eintritt der Babyboomer in die Rente nur verstärkt wird. In der Automatisierung juristischer Prozesse liegt die Chance wieder Zeit für das Wesentliche zu erlangen, in dem das aufwendige Administrative von dem gemacht wird, der dafür ehesten geeignet ist: die Maschine.
Einsatz von Legal Tech und Services
Legal-Tech, soviel muss gesagt werden, ist mehr als ein Buzzword. Es ist ein Sammelbegriff für Technologien, die juristische Prozesse mit Technologie unterstützen bzw. abbilden können und somit die Digitalisierung des Rechts vorantreiben. Legal-Tech ist letztendlich die praktische Umsetzung der Rechtsinformatik, welche selbst für interessante Diskussionen sorgt, aber auch dass ein oder andere Problem hat. Das Hauptproblem von Legal-Tech und der Rechtsinformatik ist, dass die Juristen diese Disziplin ein Stück aus der Hand geben und verstärkt interdisziplinär, insbesondere mit den Informatikern zusammenarbeiten.
Dabei sind die Möglichkeiten der Rechtsinformatik und von
Legal-Tech letztendlich immens. Bei ink unterscheiden wir hier zwischen Legal-Tech
Basic Produkten, dies sind Produkte die bereits als Standardlösungen
existieren und eingesetzt werden können und Legal-Tech Advanced, welches
rechtliche Prozesse durch Automatisierung auf ein neues Level hebt und deren
Skalierung ermöglicht. Dies können z.B. automatisierte Vertragsdatenbanken
sein, die – einmal auf die jeweiligen Unternehmensbedürfnisse eingestellt –
nicht mehr manuell befüllt werden müssen.
Legal Tech Basic beschreibt weitgehend Standardlösungen, die juristische Prozesse unterstützen. Ein einfaches Beispiel hierfür sind Datenbanken wie Beck Online oder juris.de. Während Jura-Studenten für die Erstellung von Hausarbeiten vor zehn Jahren sich noch in der Bibliothek einquartiert haben, ist die Recherche und die Erstellung von Hausarbeiten und Gutachten mittlerweile von der Couch aus möglich. Darüber hinaus gibt es bereits eine Reihe von Standardlösungen welche Unternehmen in Ihren Arbeitsabläufe unterstützen.
Digitalisierung der Ausgangs- und Eingangspost: Der Brief lässt sich schon heute mit wenig Aufwand vollständig oder teilweise digitalisieren, wodurch sich leicht Portokosten und auch Zeit bei Mitarbeitern sparen lässt. Dies geht auch ohne Einbußen bei der Rechtssicherheit. Im Gegenteil gibt es einen Zugewinn an Rechtssicherheit. Die Zeiten, an denen Briefe zugehen oder versandt werden, werden automatisiert dokumentiert und können archiviert werden. Der Versand von Einschreiben ist unproblematisch. Durch den digitalen Footprint, den der digitale Brief hinterlässt, erhält dieser eine höhere Rechtssicherheit als der analoge Bruder.
Dokumentenmanagement: Nichts ist dem Juristen so lieb, wie das gedruckte Wort. Letztendlich können Dokumentenmanagementsysteme (DMS), die von der Stange gekauft werden, allerdings jeden Aktenschrank in die Arbeitslosigkeit schicken. Moderne Dokumentenmanagementsysteme können die gesamten Dokumenteninhalte auslesen und über Such- und Recherchefunktionen auffindbar machen. Auch klassische Aktenstrukturen lassen sich abbilden, sodass die Auffindbarkeit von Informationen erheblich vereinfacht wird und sich Wissen leichter teilen lässt. Moderne DMS werden auch sehr gerne in Finanzabteilungen eingesetzt, wo sich durch Workflows (Beim Kauf von der Stange inklusive) zahlreiche Prozesse wie die Rechnungserfassung und -auswertung sowie Freigabeprozesse einfach abbilden lassen. Ganz zu schweigen davon, dass es nicht erst seit der DSGVO ein No-Go ist, sensible Unterlagen auf offenen Gruppenlaufwerken herumzureichen.
Vertragsmanagement: Jeder braucht Es, kaum jemand macht Es. Aus langjähriger Erfahrung sowohl mit kleinen Unternehmen als auch Groß-Konzernen, ist deutlich geworden, dass das Thema immer noch zu stiefmütterlich behandelt wird und Unternehmen hierdurch viel Geld liegen lassen. Dies liegt unter anderem daran, dass Verträge sobald diese geschlossen sind, in der untersten Schublade verschwinden und selten aktives Vertragsmanagement betrieben wird. Entsprechende Software nimmt hier viele Aufgaben wie die Überwachung von Fristen oder das Lizenzmanagement ab.
Datenschutzmanagement: Gute Datenschützer wissen, dass der Datenschutz eine sehr dokumentationslastige Angelegenheit ist.Damit der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO mit angemessenen Aufwand entsprochen werden kann, bietet sich der Einsatz von Datenschutzmanagementsystemen an, welche die zugehörigen Prozesse automatisieren und strukturieren können.
Die hier genannten Lösungen sind nur einige von vielen
Möglichkeiten, die Rechtsabteilung mit etablierten Lösungen fit für die Zukunft
zu machen.
Legal-Tech Advanced
In der zweiten Stufe von Legal-Tech werden Tätigkeiten zunehmend
automatisiert. Beispielhaft hierfür stehen Plattformen wie flightright.de und
wenigermiete.de.
Spannend innerhalb dieser Stufe der Komplexität ist, dass
sich die Perspektive wie Recht angewandt wird, gleich in mehreren Faktoren
ändert. Von der Einzelfallbetrachtung hin zur Standardisierung und von
abrechenbaren Stunden hin zu Softwarelizenzmodellen.
So ermöglicht https://www.smartlaw.de/
die einfache Erstellung von Vertragsmustern. Parallel findet hier auch eine
Revolution im Finanzbereich und bei den Kollegen der Steuerberatung statt. Mit
Robotic Process Automation werden bereits zahlreiche Prozesse in
Finanzabteilungen automatisiert und gleichzeitig SAP Legacy Probleme gelöst.
Ganz konkrete Lösungen in dem Bereich von Legal-Tech 2.0
sind Lösungen wie RPA, Smart Contracts und vor allem die aufstrebende
e-Discovery. Oft befinden wir uns hier im Unternehmenskontext aber in einem
Bereich, in dem Individuelle Lösungen entwickelt in die Prozesse der jeweiligen
Unternehmen integriert werden.
Legal Process Automation mit RPA: Robotic Process Automation ist eine Brückentechnologie die überwiegend zur Automatisierung repetitiver, administrativer Aufgaben verwendet wird. Dies funktioniert, indem Bots (Roboter) angelernt werden, um bestimmte Aufgaben zu übernehmen wie das Ablegen oder Verschieben von Dokumenten. Die Einführung dieser Lösungen ist in der Regel mit Consulting-Projekten verbunden, da es notwendig ist, die dahinterliegenden Prozesse im Detail zu verstehen. Hauptsächlich wird die Technologie in Finanzbereichen angewandt, eignet sich aber auch hervorragend für die Automatisierung von administrativen Aufgaben, die in Rechtsabteilungen anfallen, z.B. im Zusammenhang mit Dokumentenverwaltung oder Fristüberwachung.
e-Discovery und Forensics: Beschreibt die Fähigkeit eines Unternehmens prozessrelevante Informationen mit Blick auf deren Beweiskraft aufzubewahren, aufzufinden und zu verwerten. In großen Organisationen sind Information und Wissen häufig auf dutzende bis hunderte Systeme verteilt und im Fall von Rechtsstreitigkeiten häufig schwer aufzufinden oder haben vor Gericht nur eine schwache Beweiskraft. Als Teil eines modernen Wissensmanagement können im Rahmen des e-Discovery Prozesse und Systeme etabliert werden, welche die Compliance und rechtliche Resilienz eines Unternehmens stärken.
Smart Contracts: Sind auf Blockchain Technologie basierende Produkte mit denen sowohl der Abschluss als auch die Durchführung eines Vertrages automatisiert werden kann, sodass die Erfüllung von Vertragskonditionen automatisch überwacht werden kann. Beispielhaft hierfür steht, dass ein Auto beim Car-Sharing erst freigeschaltet wird, sobald der Mitgliedbeitrag überwiesen wurde.Die Technologie besitzt einen noch geringen Reifegrad, und hat sich am Markt bisher nicht durchsetzen können.
Decision Automation: Decision Automation beschreibt Systeme mit denen Workflows mittels BPMN abgebildet werden und Entscheidungen durch das Erfüllen von definierten Tatbeständen oder Konditionen automatisiert werden können. Ein Anbieter für diese Art von Lösungen ist https://bryter.io/product/ aber State-of-the-Art Dokumentenmanagementsysteme oder Vertragsmanagementsysteme bringen bereits Tools mit, um Workflows zu automatisieren.
Individuallösungen: Grundsätzlich lassen sich viele Business-Cases und Prozesse auch durch HTML Seiten oder Individualentwicklungen abbilden.
Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.
Unbedingt notwendige Cookies
Unbedingt notwendige Cookies sollten jederzeit aktiviert sein, damit wir deine Einstellungen für die Cookie-Einstellungen speichern können.
Wenn du diesen Cookie deaktivierst, können wir die Einstellungen nicht speichern. Dies bedeutet, dass du jedes Mal, wenn du diese Website besuchst, die Cookies erneut aktivieren oder deaktivieren musst.
