Legal, illegal, digital?

Vorsicht, Fallen!

Die Technologie ist schneller als das Gesetz. Was heißt das für Unternehmer?





/ Seit der Öffnung des Internets für Unternehmen in den Neunzigerjahren hecheln die Juristen den Informatikern hinterher. Anfangs galt das Netz als rechtsfreier Raum, auch weil die Politik die neue Technik mit Blick auf die Wirtschaft nicht überregulieren wollte. Inzwischen gibt es ein Nebeneinander von sehr streng regulierten Bereichen und Zonen großer Rechtsunsicherheit. Deshalb müssen Unternehmen bei der digitalen Transformation immer mitdenken, wofür sie am Ende haften.

Ein Bonmot aus der Frühzeit der IT sagt, der Computer helfe der Menschheit, Probleme zu lösen, die sie ohne ihn nicht hätte. Glücklicherweise half er immer auch, andere Probleme zu lösen – doch die Ambivalenz ist geblieben. Denn der Fortschritt hat seinen Preis: Die digitale Welt ist so mächtig geworden, dass sie reguliert werden muss, um vorsätzlichen oder fahrlässigen Missbrauch zu begrenzen.

Dabei liegt es in der Natur der Sache, dass der Gesetzgeber keine Chance hat, alle unerwünschten Entwicklungen und Nebenwirkungen zu antizipieren – bei einer so universell einsetzbaren Technologie ist Folgenabschätzung ein Job für Propheten. Dass etwa Netzwerkeffekte zur Entstehung globaler Quasi-Monopole führen würden, war zu einer Zeit, zu der man noch leicht hätte gegensteuern können, nicht vorherzusehen.

Deshalb kann der Rechtsstaat selten agieren, sondern muss fast immer reagieren. Dabei kommt es allerdings manchmal auch zu Überreaktionen, wenn etwa wieder einmal gut gemeinte, aber praxisuntaugliche Vorschriften erlassen werden, die weder der Wirtschaft noch den Bürgern dienen. Typisches Beispiel: Onlinehändler müssen auf die EU-Plattform zur Online-Streitschlichtung (OS) auch dann hinweisen, wenn sie gar nicht verpflichtet sind, an dem Verfahren teilzunehmen. Setzen sie den OS-Link nicht, riskieren sie eine wettbewerbsrechtliche Abmahnung. Praktiker sagen mittlerweile: Sich jederzeit gesetzestreu zu verhalten wird immer schwieriger und aufwendiger.

Das Dilemma ist nicht zuletzt in der Innovationsgeschwindigkeit begründet: Kommt eine neue IT-Anwendung so gut an, dass sie relevant genug ist, sie gesetzlich zu regeln, sind am Markt oder in der Gesellschaft schon Fakten geschaffen, von denen oft eine normative Kraft ausgeht. Nutzer und Bürger, Unternehmer und Kunden, sie alle möchten auf Errungenschaften, von denen sie profitieren, nicht verzichten – auch wenn sich zeigt, dass durch disruptive Geschäftsmodelle etablierte Rechtsnormen oder die Interessen Dritter verletzt werden.

So berief sich ein Weltkonzern wie Google Alphabet auf die an sich für Start-ups gedachte Haftungsfreistellung der europäischen E-Commerce-Richtlinie, um sein Youtube-Angebot zu einer der populärsten Musikstreaming-Plattformen im Netz zu entwickeln – die Komponisten der von Nutzern eigenständig hochgeladenen Lieder schauten in die Röhre. Der Artikel der neuen Urheberrechtsrichtlinie, der Youtube für „User Uploaded Content“ in die Haftung nimmt, wurde deshalb zum Zankapfel zwischen denen, die an der Musik verdienen, und denen, die sie hören – mit der grotesken Folge, dass die Uploader, die zukünftig nicht mehr haften sollen, an der Seite von Google gegen die Richtlinie kämpften: Sie fürchteten, dass der Konzern den Dienst in Europa einstellt, wenn er Lizenzgebühren zahlen muss.

Ein anderes Beispiel ist Uber: Taxiunternehmer monierten den unfairen Wettbewerbsvorteil, weil Ubers Privatchauffeure das Personenbeförderungsgesetz ignorieren, dem das traditionelle Taxigewerbe aber unterworfen ist. Oder AirBnB: Die Online-Zimmervermittlung schuf eine Basis für Zweckentfremdung von Wohnraum.

Regelmäßig kollidieren die vermeintlichen Gesetzmäßigkeiten einer durch Software gesteuerten Welt mit Gesetzen, die auf nationalstaatlicher Ebene Tatbestände regeln, die es lange vor dem Internetzeitalter gab. Hinzu kommt: Die globalen Datenströme halten sich nicht an die geografischen Grenzen einheitlicher Rechtsräume wie etwa des EU-Binnenmarktes.

Prallen die europäische und die US-Rechtsauffassung aufeinander, hat das handfeste Auswirkungen auf international tätige Unternehmen. So erlaubt ein US-Gesetz Behörden Zugriff auf Daten in Cloud-Rechenzentren auch außerhalb der Vereinigten Staaten, wenn der Betreiber in den USA tätig ist. Lässt der Cloud-Anbieter dies an einem Standort innerhalb der EU zu, könnte das gegen die europäische Datenschutz-Grundverordnung verstoßen. Der große Präzedenzfall, der die Inkompatibilität der Rechtssysteme zum echten Politikum macht, lässt freilich noch auf sich warten.

Die technisch-juristische Gemengelage sprengt längst den Rahmen dessen, was Unternehmensverantwortliche ihren Digital-Spezialisten überlassen können. Geschäftsführer und Vorstände haften für Handlungen und Unterlassungen ihrer IT-Mitarbeiter, sei es beim Datenschutz (organisatorische Seite) oder bei der Datensicherheit (technische Seite). Sie riskieren Ärger wegen angeblicher Scheinselbstständigkeit, wenn sie für Projekte zeitweise externe Spezialisten ins Team holen, oder wegen ungeklärter Nutzungsrechte von Bildern auf der Website der Firma. Die Folgen reichen von zivilrechtlicher Haftung, etwa Regressansprüche, über hohe Bußgelder bis zu strafrechtlichen Sanktionen. Viel Unsicherheit herrscht auch bei Abmahnungen, insbesondere seit Inkrafttreten der Datenschutz- Grundverordnung. Etwas falsch zu machen, so weit sind sich die Experten einig, ist leicht.

Vieles ist allerdings auch strittig, etwa ob Wettbewerber und Verbände überhaupt das Recht haben, eine Firma wegen vermeintlicher DSGVO-Verstöße vor den Kadi zu zerren. „Es gibt gewichtige Stimmen, die dies verneinen“, sagt der Kölner Rechtsanwalt Arno Lampmann, ein auf IT-Recht spezialisierter Jurist, dem wir – wie auch einigen seiner Kollegen – eine Reihe von Fragen gestellt haben, die sich Unternehmer heute regelmäßig stellen. Zuletzt habe sich das Landgericht Stuttgart der Auffassung angeschlossen, Mitbewerbern fehle dafür die nötige Aktivlegitimation. Für Laien: Wenn es bereits staatliche Bußgelder gibt, ist der Sache Genüge getan. Dann kann nicht auch noch der missgünstige Konkurrent ankommen und Stress machen.

Doch Strafen und juristische Nadelstiche sind gar nicht das schärfste Schwert, das Unternehmer fürchten müssen. Wichtiger ist: Wer sich nicht darum kümmert, seine IT nach dem Stand der Technik gegen Angriffe abzusichern, riskiert seinen Versicherungsschutz. Und das kann im Ernstfall richtig teuer werden.

Datenschutz-Regeln nicht ernst zu nehmen kann teuer werden. Unternehmer haften aber auch für die IT-Sicherheit – den Schutz vor Tätern, die sich von außen oder im Haus an Computern zu schaffen machen. Viele vernachlässigen diese Pflicht, sagt der Kölner Rechtsanwalt und Informatiker Marcus Werner. Bei seinen Mandanten im Mittelstand beobachtet er regelmäßig drei Kardinalfehler: leichtsinnigen Umgang mit Passwörtern, unverschlossene Server-Räume und veraltete Software.

„Ich sehe immer noch Zettel mit Log-in-Daten an Rechnern hängen“, erzählt Werner seufzend. Das dürfe kein Chef dulden – alle Mitarbeiter müssen simple Tricks lernen, mit denen sie gut merkbare Passwörter anlegen können. Oft stünden Server in nicht verschließbaren Räumen wie Abstellkammern. „Wenn es heiß ist, wird zur Lüftung auch noch die Tür aufgemacht“, sagt Werner. Im Worst-Case-Szenario steht der Server wie auf dem Präsentierteller, startklar mitsamt Bildschirm und Tastatur – und der Administrator hat vergessen, die Hardware mit einem Passwort zu sichern. „Die Maschine gehört dann dem Angreifer.“

Sträflicher Leichtsinn ist es für Marcus Werner auch, mit veralteter Software zu arbeiten, etwa Windows 7. Demnächst stellt Microsoft den Support für das beliebte Betriebssystem ein, schließt also fortan neu erkannte Sicherheitslücken nicht mehr. Deshalb rät der Jurist seinen Mandanten, alle PCs und Notebooks zu verschrotten, auf denen neue Windows-Versionen nicht laufen – auch wenn sie noch tadellos funktionieren.

Experten warnen: Wer glaubt, sein Firmennetz sei noch nicht von Hackern angegriffen worden, hat es nur nicht bemerkt. Ist der Datenschutz gefährdet, müssen die Unternehmen dies schon jetzt der Aufsichtsbehörde ihres Bundeslandes melden, sonst riskieren sie einen Bußgeldbescheid. Wer sogenannte kritische Infrastrukturen betreibt, etwa Stromversorger, muss zudem das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren. Diese Meldepflichten sollen nun durch das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ ausgeweitet werden, außerdem erhält das BSI für seine Arbeit erweiterte Befugnisse. Im Gegenzug ist ein „IT-Sicherheitskennzeichen“ geplant, mit dem sich Unternehmen, die alles richtig machen, schmücken dürfen.

Träte der Gesetzentwurf in vollem Umfang in Kraft, beträfe er laut Rechtsanwalt Werner viele Mittelständler. Das BSI verbreitet bereits heute etliche Warnungen. „Für einen Handwerksbetrieb mit zehn Mitarbeitern, der einmal im Monat einen IT-Experten kommen lässt, ist es unmöglich, das alles noch wahrzunehmen und kein Update zu verpassen“, glaubt Werner. „Bei den kleineren und mittelständischen Unternehmen leben wir mit einem erheblichen Gefahrenpotenzial.“

Das eigentliche Problem ist aber nicht die mangelnde Bereitschaft zur Mitwirkung oder die Bürokratie. Es sind die Angriffe selbst. „Derzeit ist eine ganz aggressive Welle von Erpressungstrojanern unterwegs“, warnt Werner. „Man bekommt eine scheinbar vertrauenswürdige Mail, aber wenn man den Anhang öffnet, wird der ganze Rechner verschlüsselt.“ Und bevor sich der Virus zu erkennen gibt, hat er schon andere Rechner im Firmennetz infiziert. So legen Schutzgelderpresser den ganzen Betrieb lahm. Deshalb müssten sich die Unternehmen ihre Sicherheit etwas kosten lassen, meint Werner: „Der Mittelstand ist ein leichtes Opfer. Wer mit veralteter IT-Infrastruktur arbeitet, spart am falschen Ende.“

Bei Cyber-Versicherungen, die Risiken aus dem Netz (Cyberspace) abdecken, ist der Stand der Technik die Messlatte. Aber muss man deshalb sofort immer das Nonplusultra anschaffen? Nein, sagt Marcus Werner, es genüge, auf dem aktuellen Stand zu bleiben. Damit die Versicherung die Leistung verweigern oder den Versicherungsnehmer für Zahlungen in Regress nehmen kann, müsse der seine vertraglichen Pflichten in einem Umfang verletzen, den man ihm berechtigterweise zum Vorwurf machen kann.

Anbieter von Cyber-Policen machen den Abschluss eines Vertrags von einer qualifizierten Risikobewertung abhängig. Wer mit sensiblen Daten hantiert (etwa im Gesundheitswesen) oder „kritische Infrastrukturen“ betreibt, muss höhere Anforderungen erfüllen, die aber im Vertrag konkretisiert werden. Laut Werner ist es auf alle Fälle ratsam, sich auf der Website des BSI (www.bsi.bund.de) unter der Rubrik „IT-Grundschutz“ zu informieren. Dort sind die Mindestanforderungen genannt, deren Kenntnis im Zweifelsfall erwartet wird. ___

Dr. Marcus Werner
ist Partner der Kanzlei Werner Rechtsanwälte Informatiker (Werner RI) in Köln. Der Fachanwalt für IT-Recht sowie für Handels- und Gesellschaftsrecht ist Diplom-Informatiker und Doktor der Rechte.

Glaubt man deutschen Cloud-Computing-Dienstleistern, meidet man am besten ihre US-Konkurrenten, denn die unterliegen dem „Cloud Act“. Das 2018 erlassene Gesetz erlaubt Strafverfolgern und Behörden (auch Nachrichtendiensten), auf Daten von Beschuldigten selbst dann zuzugreifen, wenn sie außerhalb der USA gespeichert sind. „Der US Cloud Act steht im klaren Widerspruch zur Datenschutz-Grundverordnung (DSGVO)“, behauptet der Anbieter von Cloud-Services und Hosting-Dienstleistungen Ionos by 1&1.

„Das Thema wird ziemlich hochgekocht“, winkt die Münchner IT-Recht-Fachanwältin Natalie Wall ab. Denn anwendbar sei der Cloud Act nur bei schweren Straftaten und Terrorismus-Verdacht. Die Regeln seien vergleichbar mit entsprechenden Paragrafen in der deutschen Strafprozessordnung. Die Herausgabe der Kundendaten dürfe grundsätzlich nur ein Gericht anordnen. Bei Gefahr im Verzug könne der Richtervorbehalt allerdings ausgehebelt werden.

Das Problem ist laut Wall, dass ein wesentlicher juristischer Baustein fehlt: ein Rechtshilfeübereinkommen zwischen den USA und den europäischen Ländern, in denen die Server stehen, beziehungsweise der EU als Ganzes. So ein Vertrag würde den hiesigen Justizbehörden erlauben, die Anordnung der Amerikaner zu überprüfen, und regeln, wie Betroffene dagegen vorgehen können. Denn der Cloud Act gibt dem Betreiber des Rechenzentrums zwei Wochen Zeit, Rechtsmittel einzulegen – aber eben nur, wenn ein bilaterales Abkommen existiert.

Die Fachjuristin rechnet fest damit, dass diese Lücke in absehbarer Zeit geschlossen wird. Problematisch ist nur, dass die EU eine einheitliche, unionsweite Vereinbarung mit den USA anstrebt, während sich der Text des Cloud Act auf Nationalstaaten als Vertragspartner bezieht.

Was passiert nun, wenn ein in der EU tätiger Cloud-Dienst Daten herausrücken soll? Wall sieht ein Dilemma: Einerseits riskiert er mit einem Verstoß gegen die DSGVO ein Bußgeld. Andererseits muss er mit „Zwangsgeld, Entschädigungsansprüchen oder Freiheitsstrafen“ rechnen, kommt er der Anordnung eines US-Gerichts nicht nach.

Ein denkbarer Weg, dem Problem vorzubeugen, sei eine Verschlüsselung der Daten unter alleiniger Regie des Kunden. Das US-Justizministerium versichert, der Cloud-Anbieter dürfe nicht gezwungen werden, beim Dechiffrieren verschlüsselter Daten zu helfen. Während Ionos warnt, auch dieses Vorgehen habe seine Schwachstellen, sieht Wall das gelassener. Bei US-Behörden und -Richtern dürfe man auf eine „nicht grundsätzlich falsche Rechtsanwendung“ vertrauen.

Ohne freiberufliche Spezialisten wären viele Software-Projekte kaum umsetzbar. Das Problem: Die Externen arbeiten oft monatelang exklusiv für einen Auftraggeber und wechseln dann zum nächsten. Das macht sie aus Sicht der Sozialversicherung zu Scheinselbstständigen, für die der vermeintliche Arbeitgeber nachzahlen muss – und zwar sowohl Arbeitgeber- als auch Arbeitnehmeranteile. „Die Behörden werden immer strenger“, warnt Natalie Wall, „bei meinen Mandanten gab es in letzter Zeit sehr viele Sozialversicherungsprüfungen.“

Betrieben, die auf externe IT-Mitarbeiter angewiesen sind, rät Wall zu Verträgen, in denen der Auftragnehmer dem Auftraggeber seine Dienste für maximal 70 Prozent seiner monatlichen Arbeitszeit zur Verfügung stellt und den Rest für andere Auftraggeber arbeitet. Wichtig sei, dass sich der Mitarbeiter keinerlei Anwesenheitspflichten unterwirft und seine Zeit ausdrücklich frei einteilen kann. Zur Vermeidung böser Überraschungen könne man sich vom Freiberufler außerdem zusichern lassen, dass er sofort Bescheid gibt, wenn er weniger als abgemacht für Dritte arbeitet, und dafür haftet, wenn er dies verschweigt. ___

Natalie Wall
Natalie Wall ist Fachanwältin für IT-Recht in München, sie trug schon 2006 als eine der ersten den Titel „Fachanwalt für Informationstechnologierecht“.

Betriebssysteme, PC-Programme, Apps und in Geräte eingebettete Software sind zu komplex, um sie vollständig mit jedem denkbaren Input zu testen. Fehlerfreien Code kann niemand garantieren.

Den Schwarzen Peter hat im Zweifelsfall aber derjenige, der den Einsatz fehlerhafter Software zu verantworten hat – selbst dann, wenn ihn keine Schuld trifft. „Wer fremde Software als Teil eigener Produkte oder Dienstleistungen einsetzt und verkauft, unterliegt der Produkthaftung“, sagt die Berliner Rechtsanwältin Kathrin Schürmann. Für den Schaden, den er seinem Kunden ersetzen müsse, könne er jedoch versuchen, den Softwareentwickler in Regress zu nehmen.

Das gilt allerdings nicht, wenn ihm ein schuldhaftes Verhalten nachzuweisen ist. Schürmann verweist auf den Fall eines Statikers, den ein Prüfingenieur darauf hingewiesen hatte, dass die von ihm genutzte Planungssoftware unplausible Ergebnisse lieferte. Der Statiker schlug jedoch die Warnung in den Wind, der Bau wurde falsch ausgeführt – und er musste dem Bauherrn Schadenersatz leisten.

Softwarehersteller unterliegen, wie Marcus Werner ergänzt, einer Marktbeobachtungspflicht: Sie müssen ihre Produkte sicher halten, indem sie während der üblichen Nutzungsdauer Updates liefern, wenn relevante Fehler festgestellt werden. Wie lange die Pflicht gilt, ist allerdings vom Einzelfall abhängig. Beim zehn Jahre alten Windows 7 etwa hält Werner die Einstellung „mit angemessener Ankündigungsfrist“ für zulässig. ___

Kathrin Schürmann
ist Partnerin der Berliner Sozietät Schürmann Rosenthal Dreyer (SRD).

E-Mails gelten als die Postkarten des Internets: Ohne Verschlüsselung kann sie jeder lesen, bei dem sie vorbeikommen, etwa Mitarbeiter des Providers. Auch Hacker haben leichtes Spiel. Den Inhalt zu verschlüsseln hat aber nur Sinn, wenn der Empfänger ihn decodieren kann, also fast nie. „Eine explizite Pflicht, E-Mails zu verschlüsseln, besteht bis heute nicht“, erklärt der Kölner Rechtsanwalt Arno Lampmann.

Das Risiko ist dennoch überschaubar, da sich die Transportverschlüsselung am Markt durchgesetzt hat. Dabei wird die Postkarte quasi im verschlossenen Lieferwagen befördert. So kann zwar der Empfänger eines Irrläufers alles lesen, aber niemand, der entlang des Weges Informationen abzufischen versucht. Mit diesem Mindestschutz geben sich auch die Datenschützer zufrieden, solange die Mails normalen geschäftlichen Inhalt haben. Nur bei sensiblen Daten, etwa im Gesundheitswesen, verlangen Behörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zusätzlich eine Inhaltsverschlüsselung.

Seit bald fünf Jahren, erklärt Arno Lampmann, ist auch elektronische Geschäftspost revisionssicher zu archivieren: „Gewerbliche Dokumente müssen im Original, unverlierbar, unveränderbar, jederzeit sofort und lückenlos verfügbar sowie maschinell auswertbar aufbewahrt werden.“ Das ist ein Widerspruch in sich, da jedes Archivprogramm nur Kopien von E-Mails und Anhängen speichern kann. Schon die erhaltene E-Mail ist lediglich ein Duplikat des Originals, das beim Absender liegt – ergänzt um Metadaten, die den exakten Weg durchs Netz sekundengenau protokollieren.

Da der Wortlaut der Vorschriften Auslegungssache ist, bleibt dem Steuerzahler nur übrig, sie dem Sinn nach zu erfüllen. „Man kann nie alles hundertprozentig machen“, beschwichtigt Lampmann, „aber alle Buchungsvorgänge müssen für einen Prüfer nachvollziehbar sein.“ Größeren Unternehmen helfen dabei kostspielige Dokumentenmanagement-Systeme, die E-Mails zumindest teilautomatisch importieren.

Billigere Archivierungslösungen für den eigenen Rechner oder aus der Cloud, die für Einzelunternehmer erschwinglich wären, erfüllen meist nur einen Teil der Anforderungen. Ein Zertifikat, das die Einhaltung der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) garantieren würde, existiert leider nicht.

Laut Lampmann muss so oder so jede E-Mail, die einem Handelsbrief entspricht, also etwa Angebote, Bestellungen oder Lieferungen zum Gegenstand hat, sechs Jahre lang archiviert werden. Bei Einnahme- und Ausgabebelegen sind es zehn Jahre. Sind die „Originale“ nur mit veralteter Software lesbar, die auf einem alten Computer läuft, sollte man den erst nach Ablauf der Zehn-Jahres-Frist für Betriebsprüfungen verschrotten. ___

Arno Lampmann
ist Partner der Kölner Kanzlei Lampmann, Haberkamm & Rosenbaum Rechtsanwälte (LHR-Law).

„Die größte Gefahr besteht darin, abgemahnt zu werden“, sagt die Münchner eCommerce-Anwältin Corinna Sobottka. Immer wieder verletzten Unternehmen aus Unkenntnis Schutzrechte Dritter, wenn sie Bilder, Grafiken oder Logos, Musik, Videos oder Texte ohne Genehmigung des Urhebers oder Inhabers der Markenrechte verwendeten. Wer ganze Zeitungsartikel und nicht nur kurze Zitate übernehmen oder seine Texte mit Fotos illustrieren möchte, die er im Internet gefunden hat, muss sich zuvor an den Urheber oder Rechteinhaber wenden, sonst kann es für ihn sehr teuer werden. Insbesondere mit Fotografen ist angesichts des verbreiteten Diebstahls von Bildern nicht zu spaßen. Ärger droht auch, wenn die Homepage keinen Link zu einem ordnungsgemäßen Impressum enthält.

Obwohl man grundsätzlich nur für eigene Rechtsverletzungen hafte, so Sobottka, müsse man auch bei Nutzer-Kommentaren oder eingebundenen fremden Inhalten wie Youtube-Videos vorsichtig sein: „Wer hinsichtlich fremder Inhalte von einem Rechtsverstoß in Kenntnis gesetzt wurde, muss diese Inhalte unverzüglich löschen und dafür Sorge tragen, dass sich dieser Verstoß nicht wiederholt.“ Mache sich der Website-Betreiber fremde Inhalte derart zu eigen, dass sie wie die eigenen wirken, hafte er in vollem Umfang.

Außerdem droht Ärger beim Datenschutz: „Wer Cookies oder Tracking-Tools wie Google Analytics einsetzt, verarbeitet personenbezogene Daten. Wer dabei Fehler macht, dem drohen nicht nur hohe Bußgelder, sondern im Extremfall sogar Schmerzensgeldforderungen.“

Wer seine Website als Verkaufsplattform nutzt, muss besonders aufpassen und strenge Informationspflichten beachten. Abmahnungen drohen vor allem durch klagebefugte Verbände. So werden Autohändler, die nicht korrekt und vollständig über die Abgaswerte ihrer Neu- und Gebrauchtwagen informieren, regelmäßig von der Deutschen Umwelthilfe abgemahnt. Laut Corinna Sobottka durchforsten Abmahner gern auch die AGB: „Besonders fehleranfällig sind Haftungsbeschränkungen, Widerrufsbelehrungen, Rechtswahlklauseln und Gerichtsstandsvereinbarungen.“

„Bei Facebook- und Instagram-Seiten sind im Prinzip die gleichen Pflichten und Risiken zu beachten wie bei eigenen Web-Domains“, erklärt Sobottka. „Allerdings hat der Europäische Gerichtshof bereits im Juni 2018 entschieden, dass Betreiber von Fanpages gemeinsam mit Facebook für die Datenverarbeitung verantwortlich sind.“

Facebook habe zwar prompt reagiert und den Unternehmen eine Vertragsergänzung zur Verfügung gestellt, die klarstellen sollte, wer wofür konkret verantwortlich ist: Facebook oder das Unternehmen, das die Fanpage eingerichtet hat. Die Datenschutzkonferenz (DSK), das Gremium der deutschen Aufsichtsbehörden, hält diese Bemühungen aber bislang nicht für ausreichend und stellte im April 2019 fest, dass „ein datenschutzkonformer Betrieb einer Fanpage nicht möglich“ sei. Bislang halten die Datenschutzbehörden der Länder allerdings noch still. ___

Corinna Sobottka
arbeitet im Münchner Büro der Kanzlei SKW Schwarz Rechtsanwälte. Sie berät Unternehmen im Online- und Datenschutzrecht.

brandeins /thema ist das Heft, das Branchen und Trends auf den Grund geht, Märkte und Dienstleistungen transparent macht – und Unternehmern hilft, besser zu wirtschaften.

Zur interaktiven Karte und Bestenliste

Einzelausgabe kaufen
Abonnement kaufen