Skip to content

Wir erklären, was Gmail und ein Telekommunikationsdienst ist und warum Gmail laut Urteil OVG keiner ist.

OVG NRW: Gmail ist kein Telekommunikationsdienst im Sinne des TKG

Einleitung

Zwischen der Bundesnetzagentur (BNetzA) und Google besteht bereits seit mehreren Jahren ein Rechtsstreit darüber, ob das Betreiben von Googles Webmail-Dienst „Gmail“ einen Telekommunikationsdienst im Sinne des Telekommunikationsgesetzes (TKG) darstellt und deswegen in den Anwendungsbereich des TKG fällt. Telekommunikationsdienstleister treffen diverse Pflichten aus dem TKG, die vor allem Regelungen zum Kundenschutz und Datenschutz betreffen. Beispielsweise unterliegen Telekommunikationsdienstleister nach § 98 TKG Informationspflichten bei Ortungsdiensten und gem. § 46 TKG einer Pflicht zur Sicherstellung einer ununterbrochenen Leistung auch bei einem Anbieterwechsel oder Umzug des Endnutzers. Zudem müssen Telekommunikationsdienste gem. § 6 Abs. 1 TKG bei der Bundesnetzagentur angemeldet werden.

Die BNetzA hat Google 2012 in einem Bescheid dazu verpflichtet, seiner Meldepflicht aus § 6 Abs. 1 TKG nachzukommen, da Gmail aus Sicht der Behörde ein öffentlich zugänglicher Telekommunikationsdienst im Sinne des TKG sei. Demgegenüber ist Google der Ansicht, dass es sich bei Gmail nicht um einen Telekommunikationsdienst handele und es deshalb auch nicht den Pflichten des TKG unterliege. Google hat gegen den Bescheid der BNetzA vor dem Verwaltungsgericht Köln Klage erhoben, die sodann als unbegründet abgewiesen wurde. Gegen dieses Urteil legte Google beim Oberverwaltungsgericht (OVG) NRW in Münster Berufung ein.

Was ist Gmail?

Gmail, früher bekannt als Google Mail, ist ein Webmail-Dienst. Um den Dienst von Google in Anspruch nehmen zu können, müssen Nutzer ein E-Mail-Konto erstellen und bekommen sodann eine E-Mail-Adresse zugewiesen. Anschließend können sie E-Mails über das Internet versenden und empfangen. Als internetbasierter E-Mail-Dienst stellt Gmail das Internet als Kommunikationsweg bereit, bietet aber selber keinen Internetzugang an.

Was ist ein Telekommunikationsdienst?

Damit eine Meldepflicht bei der BNetzA gem. § 6 Abs. 1 TKG besteht, müsste es sich bei Gmail um einen Telekommunikationsdienst handeln. Entscheidend für den Ausgang des Rechtsstreits ist somit die Frage, was genau unter einem Telekommunikationsdienst zu verstehen ist. Hierbei ist auf das deutsche Recht aus dem TKG und auf die europäische Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und –dienste (im Folgenden Rahmenrichtlinie) abzustellen. Das TKG ist die deutsche Umsetzung der Rahmenrichtlinie und muss demnach mit ihr im Einklang stehen.

In § 3 Nr. 24 TKG ist der Begriff des Telekommunikationsdienstes als in der Regel gegen Entgelt erbrachte[r] [Dienst], [der] ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteh[t], einschließlich Übertragungsdienste[n] in Rundfunknetzen legaldefiniert. Die Definition des TKG entspricht im Wesentlichen der aus Art. 2 lit. c der Rahmenrichtlinie zu elektronischen Kommunikationsdiensten.

Für die Klassifikation als Telekommunikationsdienst ist demnach ausschlaggebend, ob der jeweilige Dienst selbst Signale über Telekommunikationsnetze übermittelt. Inwieweit Gmail Signale ganz oder überwiegend überträgt, hat das OVG nun geprüft.

Entscheidung des OVG (Urt. v. 05.02.2020, Az. 13A 17/16)

Das OVG hat das Verfahren zunächst ausgesetzt und den Europäischen Gerichtshof (EuGH) angerufen. Die Münsteraner Richter haben um eine Auslegung des Begriffs der elektronischen Kommunikationsdienste aus Art. 2 lit. c der Rahmenrichtlinie gebeten, um im konkreten Fall zu klären, ob es sich bei Gmail um einen Telekommunikationsdienst im Sinne des TKG bzw. der Rahmenrichtlinie handelt. Dazu hat der EuGH am 13.06.2019 in einem Urteil (Az. C- 193/18) Stellung genommen. Zentrale Vorlagefrage des OVG an den EuGH war, ob es sich bei internetbasierten E-Mail-Diensten, die selbst keinen Internetzugang bereitstellen, um Telekommunikationsdienste handelt, die Signale über elektronische Kommunikationsnetze übermitteln.

Der EuGH ist der Meinung, dass Googles Webmail-Dienst Gmail nicht als Telekommunikationsdienst einzustufen ist. Dies wird damit begründet, dass es für eine ganze oder überwiegende Übertragung von Signalen über elektronische Kommunikationsnetze im Sinne der Rahmenrichtlinie nicht ausreicht, wenn ein Webmail-Dienst lediglich die jeweiligen E-Mail-Adressen den Mailserver-IP-Adressen zuordnet, um eine Übertragung zu ermöglichen oder die jeweiligen Nachrichten in Datenpakete zerlegt, um sie ins offene Internet einzuspeisen oder aus dem offenen Internet zu empfangen. Zudem würde der Umstand, dass Google eine Netzinfrastruktur in Deutschland betreibt, die der Meldepflicht des TKG unterliegt, dem nicht entgegenstehen. Von einem internetbasierten Dienst des Unternehmens könne nicht direkt auf alle anderen Dienste geschlossen werden, es bedürfe stets einer Einzelfallprüfung, ob der jeweilige Dienst ganz oder überwiegend Signale überträgt. Googles elektronischen Kommunikationsnetze würden primär von anderen Diensten von Google, beispielsweise deren Suchmaschine verwendet. Im vorliegenden Fall übertrage Gmail selbst nicht ganz oder überwiegend Signale, sondern verwende dazu mittelbar das Internet.

Das OVG hat in seiner Urteilsbegründung überwiegend auf die Ausführungen des EuGH verwiesen. Somit ist Gmail nicht als Telekommunikationsdienst einzuordnen und unterliegt auch nicht der Meldepflicht aus dem TKG. Das OVG hat der Klage stattgegeben, das Urteil des VG Köln geändert und den Bescheid der BNetzA aufgehoben. Auf die Frage nach der Entgeltlichkeit komme es aus Sicht des EuGH und des OVG im vorliegenden Fall nicht an, da die Einordnung als Telekommunikationsdienst schon an der fehlenden überwiegenden Signalübertragung scheitert.

Fazit

Um entscheiden zu können, ob ein Telekommunikationsdienst vorliegt, kommt es vor allem auf die Auslegung der Rahmenrichtlinie der Europäischen Union an, da das TKG ihre Umsetzung im deutschen Recht ist. Mithin müssen sie harmonieren und die deutsche sowie die europäische Auslegung des Begriffs des Telekommunikationsdienstes im Einklang stehen.

Es ist festzuhalten, dass Webmail-Dienste keine Telekommunikationsdienste im Sinne des TKG darstellen, weil sie den Kunden meist keinen Internetzugang bieten. Aus diesem Umstand folgt, dass durch die Webmail-Dienste nicht selbst überwiegend Signale übertragen werden. Webmail-Dienste unterliegen folglich nicht die Pflichten des TKG, vor allem nicht der Meldepflicht bei der BNetzA. Die Entscheidung des OVG bezieht sich nicht nur auf Webmail-Dienste, sondern könnte auch auf andere webbasierte Dienste, die keinen Internetzugang bieten, übertragen werden.

Diese rechtliche Einordnung könnte sich jedoch durch die bevorstehende ePrivacy-Verordnung der Europäischen Union wieder ändern, welche eine stärkere Regulierung von internetbasierten Diensten beabsichtigt

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Legal-Tech auf dem Prüfstand. Automatisierung von Rechtsberatung und deren Anbietern stehen auf dem Prüfstand. Jetzt gibt es ein neues Urteil.

BGH-Urteil vom 27.11.2019: Zulässigkeit von Legal-Tech-Dienstleistern

Einleitung

Am 27.11.2019 hat der Bundesgerichtshof (BGH) mit seinem Urteil Klarheit zum Thema Legal-Tech geschaffen. Das Urteil war mit Spannung erwartet worden, da es eine stark wachsende Branche betrifft. Unter Legal-Tech versteht man vor allem die Digitalisierung der Rechtsberatung. In jüngster Zeit wird der Begriff für die Automatisierung von Rechtsberatung verwendet, bei der hunderte ähnlich gelagerte Fälle zusammengefasst werden. Dies können Forderungen aus Flugverspätungen, Maßnahmen gegen Verwarngelder oder – wie im zugrundeliegenden Urteil – Ansprüche aus zu viel gezahlter Miete sein. Dabei treten potenziell Geschädigte ihre Forderungen aus einem Rechtsanspruch an Internetportale ab, die diese dann gebündelt dem Schuldner in Rechnung stellen. Die Internetportale zahlen zwar nur einen Teilbetrag der Forderung an den Geschädigten, dafür übernehmen sie auch das komplette Ausfallrisiko. Dies erklärt die Attraktivität dieses Geschäftsmodells, da der Forderungsinhaber in jedem Fall einen Betrag erhält, selbst bei geringen Forderungsbeträgen von unter 100€, die klassische Anwaltskanzleien zumeist gar nicht erst eintreiben würden.

Von diesen kam auch zuvor die meiste Kritik an Legal-Tech-Unternehmen, da die Legal-Tech-Unternehmen quasi anwaltliche Beratung anbieten, aber nicht den strengen Anforderungen des Rechtsdienstleistungsgesetzes (RDG) genügen müssen.

Der BGH hat dieses Geschäftsmodell nun im Rahmen eines Grundsatzurteils für zulässig erklärt. Für Verbraucher ist dieses Urteil erfreulich – sehen sie sich durch die höchstrichterliche Bestätigung durch den BGH letztlich in ihren Rechten gestärkt.

Zum Urteil (Az. VIII ZR 285/18) 

Konkret ging es in der Rechtssache VIII ZR 285/18 um den Fall eines Mieters, der zu viel gezahlte Mietbeträge zurückfordern wollte. Dazu beauftragte der Mieter das Internetportal wenigermiete.de (Lexfox GmbH; zuvor Mietright GmbH), indem er seine Forderungen an dieses abtrat. Dieses wandte sich an die vermietende Wohnungsgesellschaft, die den Forderungen nicht nachkam, so dass das Internetportal Klage auf Rückzahlung der zu viel gezahlten Miete sowie der Kosten für die Rechtsverfolgung erhob. Die Klage landete schließlich beim BGH, der dem Kläger Recht gab.

Entscheidendes Kriterium laut BGH ist, dass die Tätigkeit des Internetportals wenigermiete.de als Inkassodienstleistung zu bewerten ist, da sich die Tätigkeit auf das Einziehen von Forderungen beschränkt, wozu das Portal als Inkassodienstleister befähigt ist. Als Begründung verwies der BGH auf das Rechtsdienstleistungsgesetz, welches im Jahr 2008 dereguliert und liberalisiert worden war.

Damit folgt der BGH der Argumentation des Bundesverfassungsgerichts. Dieses hat im Jahr 2002 (Beschl. v. 20.2.2002, Az. 1 BvR 423/99 = NJW 2002, 1190) entschieden, dass mit der Rechtsberatung durch ein Inkassounternehmen grundsätzlich die umfassende und vollwertige substanzielle Beratung der Rechtsuchenden gemeint sei, wenn auch nur in einem bestimmten, im Gesetz genannten Sachbereich wie eben der außergerichtlichen Einziehung von Forderungen. Als Begründung hat das Bundesverfassungsgericht angeführt, dass Inkassounternehmen nicht ohne Erlaubnis tätig werden dürfen und über die erforderliche Sachkunde verfügen, um die gekauften Forderungen einzuziehen und die Berechtigung der Beitreibung selbständig zu prüfen. Erst bei Bedarf wird darüber hinaus ein Rechtsanwalt hinzugezogen, was meistens zur Makulatur gerät, da Legal-Tech-Dienstleister vor allem Rechtsanwälte beschäftigen.

Aufgrund der Klassifizierung als Inkassounternehmen, ist auch die Vereinbarung eines Erfolgshonorars – im Gegensatz zur klassischen Anwaltsmandatierung – gestattet, da Inkassounternehmen eben nicht unter § 4 Abs. 1 des Einführungsgesetzes zum Rechtsdienstleistungsgesetz (RDGEG) fallen, sondern registrierte Personen gemäß § 10 Abs. 1 Satz 1 Nr. 1 RDG sind.

Fazit

Die Entscheidung des BGH ist im Sinne des Verbraucherschutzes begrüßenswert. Der Zunahme von Kleinstforderungen aus Flugentschädigungen oder Mietrückzahlungen steht zum einen eine mangelnde Bereitschaft der klassischen Anwaltschaft zur Mandatsübernahme gegenüber und zum anderen ein geringes Interesse der Geschädigten an der Mandatierung und den daraus resultierenden Kosten und dem Aufwand. Damit füllen Legal-Tech-Unternehmen vor allem eine immer größer werdende Marktlücke aus, in der eine umfassende, einzelfallbezogene Mandatsbetreuung eben nicht notwendig ist, sondern gewinnorientierte Großunternehmen im großen Stil versuchen, dem Bürger seine zustehenden Ansprüche aus Forderungen vorzuenthalten.

Es bleibt abzuwarten, ob der Gesetzgeber die Rechtslage nach dem Urteil des BGH dahingehend abändern wird, dass Anwälte mit Legal-Tech-Unternehmen gleichziehen können, um ebenfalls Erfolgshonorare vereinbaren zu können. Es ist nicht ersichtlich, warum Anwaltsgesellschaften, um derartige Dienstleistungen erbringen zu können, diese separat ausgliedern müssen, statt ein umfassendes Rechtsdienstleistungsangebot anbieten zu können.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die Verschlüsselung von E-Mails ist mit Blick auf die DS-GVO essenziell. Wir beleuchten nun die verschiedenen Verschlüsselungsmethoden.

Verschlüsselung von E-Mails

Einführung

Spätestens seit Anwendungsbeginn der DS-GVO am 25. Mai 2018 sollten Unternehmen auch im Zusammenhang mit der E-Mail-Kommunikation umfangreiche technische Sicherheitsmaßnahmen zum Schutze der Rechte und Freiheiten der von Datenverarbeitungen betroffenen Personen gewährleisten. Doch auch in Ansehung zu schützender Geschäftsgeheimnisse sollte zwingend angedacht werden, sich mit dem Thema der E-Mail Verschlüsselung auseinanderzusetzen. Schließlich kann der unverschlüsselte E-Mail Versand mit dem einer Postkarte verglichen werden. Nachfolgend wollen wir Ihnen in aller Kürze aus der Perspektive eines Rechtsanwalts darstellen, welche Möglichkeiten hierzu bestehen. 

Kategorien von Verschlüsselungsmethoden

Es existieren zwei grundlegende Verschlüsselungsmechanismen: Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung.

Vorauszuschicken ist, dass eine E-Mail nicht nur aus Daten in Form des versendeten Inhalts (Body) besteht, sondern auch umfangreiche Metadaten wie Absender und Empfänger, das Datum und den Betreff (Header) enthält.

Eine Punkt-zu-Punkt-Verschlüsselung verschlüsselt nur die einzelnen Abschnitte im Versandkanal, das heißt, von wem, wann und von wo die E-Mail versandt wurde. Das sind die Metadaten. Eine Verschlüsselung des E-Mail-Inhalts kann sehr aufwändig mithilfe einer Ende-zu-Ende-Verschlüsselung vorgenommen werden, wobei jedoch die Metadaten nicht verschlüsselt werden und weiter einsehbar bleiben. 

Punkt-zu-Punkt-Verschlüsselung/Transportverschlüsselung

Bei der Punkt-zu-Punkt-Verschlüsselung bei E-Mails lautet der aktuelle Standard TLS – entweder mit oder ohne STARTTLS. TLS ist der Nachfolger von SSL. Eine Verschlüsselung erfolgt hier jedoch nur auf Transportebene, das heißt, dass nur die Kommunikation zwischen zwei E-Mail-Servern verschlüsselt erfolgt. Die interne Weitergabe der E-Mail auf dem Server des Host-Providers der E-Mail an den Adressaten verläuft unverschlüsselt. STARTTLS dient nur der Einleitung einer mit TLS verschlüsselten Kommunikation. Zuerst beginnt die Kommunikation unverschlüsselt, indem der E-Mail-Client über STARTTLS die angebotenen Möglichkeiten des E-Mail-Servers anfragt. Erst dann erfolgt ein Aufbau einer verschlüsselten Verbindung.

Da die Kommunikation zwischen E-Mail-Client und E-Mail-Server unverschlüsselt abläuft, ist die Authentizität der E-Mail nicht gewährleistet. Dies kann durch Signieren korrigiert werden. Das Signieren muss im Client oder Browser aktiviert werden. Mithilfe eines Zertifikats wird dann festgestellt, ob die E-Mail tatsächlich vom angegebenen Absender stammt und auf dem Weg zum Empfänger nicht verändert wurde.

Für die Verschlüsselung auf Transportebene lässt sich auf die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeiteten Richtlinie „BSI TR-03108: Secure E-Mail Transport“ zurückgreifen. Diensteanbieter können auf Grundlage dieser Richtlinie durch das BSI zertifiziert werden. 

Ein Problem bei STARTTLS ist, dass das Mailprogramm den unverschlüsselten Port aussucht und erst danach die Verschlüsselung benutzt. Dabei muss sich das Mailprogramm mit dem Server abstimmen. Ist das Mailprogramm so konfiguriert, dass es eine Verschlüsselung zwingend voraussetzt, können sich Server und das Mailprogramm nicht einig werden und die E-Mail wird unverschlüsselt übertragen.

Ende-zu-Ende-Verschlüsselung

Um auf Nummer sicher zu gehen, bedarf es einer Ende-zu-Ende-Verschlüsselung. Dabei haben sich zwei Verfahren etabliert: S/MIME und OpenPGP. Außerdem kann eine Ende-zu-Ende-Verschlüsselung in Form einer symmetrischen oder asymmetrischen Verschlüsselung erfolgen. Bei der symmetrischen Verschlüsselung besitzen Versender und Empfänger einen gemeinsamen Schlüssel (Single-Key-Verfahren). Dabei wird eine Information mit einem Kennwort verschlüsselt. Diese Information wird zusammen mit dem Schlüssel übertragen, z.B. PDF-Datei, ZIP-Archiv. Dieses Verfahren lässt sich jedoch mit hohem Rechenaufwand (Brute-Force-Attacke) aushebeln. Außerdem kann der Empfänger nicht überprüfen, von wem das Dokument stammt.

Von der Single-Key-Methode hebt sich Ende-zu-Ende-Verschlüsselung ab. Hierbei handelt es sich um eine asymmetrische Verschlüsselung (Public-Key-Verfahren), da Versender und Empfänger über jeweils einen individuellen Schlüssel verfügen. Das darauf basierende Verfahren heißt RSA. Im Falle der asymmetrischen Verschlüsselung müssen sowohl Sender als auch Empfänger gegenseitig ihre Schlüssel austauschen, was zugleich das größte Problem in der Praxis offenbart: Sämtliche Kommunikationspartner müssen vor Aufnahme der Kommunikation ihre öffentlichen PGP-Schlüssel austauschen. Mithilfe eines solchen Schlüssels lässt sich dann die Nachricht des jeweils anderen entschlüsseln und lesen. Das Dokument muss somit mit dem eigenen (private key) Schlüssel 1 verschlüsselt werden, um mit dem dazu korrespondierenden Schlüssel 2 (public key) – der zuvor dem Empfänger übermittelt werden muss – entschlüsselt werden zu können.

Cloud Mail

Neben den oben genannten Optionen existiert mit der Cloud-Mail ein weiteres Verfahren mit Ende-zu-Ende-Verschlüsselung. Dabei wird eine E-Mail nicht direkt an den Adressaten versendet, sondern in eine Cloud hochgeladen, zu der man sich mittels eines zuvor telefonisch übermittelten Passworts anmelden muss. Technisch bedingt können die Teilnehmer die Nachricht nur in diesem Portal lesen.

DS-GVO Vorgaben der Landesbeauftragten für Datenschutz NRW

In NRW empfiehlt der Landesbeauftragte für Datenschutz, die Einhaltung der von der DS-GVO geforderten technischen und organisatorischen Maßnahmen bezüglich des E-Mail-Versandes anhand mehrerer Punkte:

  • Es soll mindestens eine Punkt-zu-Punkt-Verschlüsselung verwendet werden.
  • Einhalten der Richtlinie BSI TR-03108.
  • Bei besonders sensiblen Daten muss eine Ende-zu-Ende-Verschlüsselung verwendet werden.
  • Keine personenbezogenen Daten innerhalb der Betreffzeile.

Eine länderübergreifende Empfehlung der Datenschutzkonferenz (DSK) steht noch aus.

Verschlüsselung im Unternehmen und Umsetzung in der Praxis

Wollen Sie wichtige Dokumente und Nachrichten schützen, empfiehlt sich eine Ende-zu-Ende-Verschlüsselung, damit keine unbefugten Dritten Ihre Dokumente lesen können. Besonders relevant ist diese Verschlüsselungsmethode, wenn sie wichtige Geschäftsgeheimnisse schützen möchten. Das Einrichten ist allerdings mit etwas Aufwand verbunden. 

Dabei empfiehlt sich beispielsweise die Installation des Programms Gpg4win. Anschließend muss ein neuer Schlüssel (Key) und ein dazu korrespondierendes Alias erstellt werden. Um Anonymität zu gewährleisten, sollten bei der Angabe der E-Mail-Adresse als auch des Alias neue Fantasie-Namen genutzt werden. Eine funktionsfähige E-Mail-Adresse wird nicht benötigt. Um nachher mit anderen Personen zu kommunizieren, muss der eigene Schlüssel weitergegeben werden und der öffentliche Schlüssel des Absenders einer verschlüsselten E-Mail importiert werden. Eine nutzerfreundliche Anleitung zur Verteilung öffentlicher Schlüssel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Das Projekt heißt „EasyGPG“. Grundlage ist ein Web Key Directory (WKD), was die sonst bei PGP üblichen öffentlichen Key Server ersetzt. Das Web Key Directory muss vom E-Mail-Provider angeboten werden. Dabei durchsucht der E-Mail-Client das Web Key Directory automatisch nach dem zu einer E-Mail zugehörigen Schlüssel und stellt diesen anschließend per HTTPS bereit.

WKD ist in GnuPG seit Version 2.1.12 implementiert. Unter den E-Mail-Clients unterstützen Thunderbird mit der Erweiterung Enigmail 2.0 und Outlook mit GpgOL seit Version 2.2.0 das Web Key Directory.

Wenn Ihnen potentielle Einblicke Dritter egal sind, Sie jedoch nicht möchten, dass man mitverfolgen kann mit wem Sie kommunizieren, greifen Sie auf eine Punkt-zu-Punkt-Verschlüsselung zurück. Diese lässt sich einfach aktivieren; auf vielen Rechnern ist sie schon standardmäßig aktiviert. Verschlüsselte E-Mails erkennen Sie in Outlook an dem Schloss-Zeichen.

Fazit

Die Einrichtung einer Ende-zu-Ende-Verschlüsselung wäre das Optimum, um sicher Inhalte zu verschicken. In der Praxis steckt die Umsetzung bei vielen Nutzern aufgrund von Überforderung oder mangelnder Sensibilität, besonders aber auch aufgrund der jahrzehntelangen laxen Einstellung und fehlenden Standards seitens des Monopolisten bei PC-Betriebssystem im Umgang mit persönlichen Daten, noch in den Kinderschuhen.

Solange sich eine Ende-zu-Ende-Verschlüsselung noch nicht als Standard etabliert hat, empfiehlt sich für die Kommunikation vertraulicher Daten diese als Anhang einer E-Mail in eine externe Datei auszulagern (Z.B. PDF) und separat mit einem Kennwort zu verschlüsseln. Alternativ kann man auch personenbezogene Daten verschlüsselt auf sichere Cloudspeicher hochladen.

Die Datenschutzkonferenz (DSK) erarbeitet derzeit Empfehlungen zur datenschutzkonformen E-Mail-Kommunikation. Daher stehen die obigen Ausführungen unter dem Vorbehalt späterer Anpassungen an die Empfehlungen.

Gerne können Sie zur vertraulichen Kommunikation unseren PGP-Schlüssel erfragen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Alles rund um die neue Geoblocking Verordnung: der Anwendungsbereich, Inhalt und die einhergehenden Sanktionen sowie Auswirkungen für die Anbieter.

Die neue Geoblocking Verordnung

Einführung

Die mit dem Internet und damit auch mit dem e-Commerce assoziierte Grenzenlosigkeit stellte sich in der vergangenen Zeit teilweise nicht als Realität, sondern mehr als Schein dar. Das sog. Geoblocking sorgte für unterschiedliche Angebote an Kunden aus verschiedenen europäischen Ländern und somit für Diskriminierungen und unterschiedliche Behandlungen. Dem will die Europäische Union ein Ende setzen und führte nun mit verbindlicher Wirkung zum 03. Dezember 2018 die Verordnung über Maßnahmen gegen ungerechtfertigtes Geoblocking und andere Formen der Diskriminierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden (VO 2018/302) ein. Kurz wird die unmittelbar und europaweit geltende verbindliche Verordnung auch „Geoblocking-Verordnung“ genannt.

Sie legt Händlern diverse Pflichten zum Zweck der Gleichbehandlung von Kunden auf und soll im Ergebnis zu einer Antidiskriminierung führen. Die Verordnung hat zum Ziel, den Binnenmarkt zugunsten des Kunden zu stärken, indem sie Geoblocking und andere Formen der Diskriminierung aufgrund von Herkunft, Staatsangehörigkeit oder Aufenthaltsort verhindern soll.

Regelungsbereich der Verordnung

Geoblocking ist die unterschiedliche Behandlung von Kunden aufgrund der Herkunft, der Staatsangehörigkeit oder des Niederlassungsortes. Am häufigsten findet das Geoblocking im e-Commerce statt. Konkrete Ausprägung der Diskriminierung ist beispielweise eine automatische Weiterleitung des Kunden durch den Händler auf die Länderversion des Webshops, in dessen Staat sich der Kunde aufhält oder deren Staatsangehörigkeit der Kunde angehört, anstelle des Zugangs zu der Version der Webseite des EU-Staates, die der Kunde besuchen wollte. Anhand der IP-Adresse des Kunden kann das entsprechende Land vom Händler erkannt und der Kunde somit auf eine andere Version der Webseite weitergeleitet werden. Unter eine Diskriminierung mittels Geoblockings ist aber auch das Angebot der gleichen Ware in unterschiedlichen EU-Staaten zu unterschiedlich hohen Preisen zu verstehen. Dabei beschränkt sich das Geoblocking nicht nur auf den e-Commerce, sondern auch auf den „offline-Bereich“.

Diese Schranken des Binnenmarktes mit Grenzen der Warenverkehrsfreiheit durch eine uneinheitliche Behandlung der Kunden hieß die EU nicht gut und nahm sich mit der Geoblocking-VO den Kampf und die Untersagung dessen zum Anlass.

Anwendungsbereich der Verordnung

Die Geoblocking-VO regelt das Verhältnis zwischen Anbietern und Kunden, jedoch nur bei Grenzüberschreitungen innerhalb des europäischen Binnenmarktes, was sich aus einem Umkehrschluss aus Art. 1 Abs. 2 der Geoblocking-VO ergibt. „Anbieter“ im Sinne der VO ist nach Art. 2 Nr. 18 der Geoblocking-VO jede natürliche oder juristische Person, die für die Zwecke der gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit des Anbieters selbst oder durch eine andere im Namen oder im Auftrag des Anbieters handelnde Person tätig wird. Damit gilt die Verordnung nicht bei Abschluss eines Vertrages zwischen zwei Privatpersonen. „Kunde“ nach Art. 2 Nr. 13 der VO kann sowohl ein Verbraucher, sofern er die Staatsangehörigkeit eines Mitgliedstaates oder Wohnsitz in einem Mitgliedstaat hat, als auch ein Unternehmer, sofern er in einem Mitgliedstaat niedergelassen ist, sein, der ausschließlich zur Endnutzung Dienstleistungen in Anspruch nimmt oder Waren erwirbt oder dies anstrebt. Die Verordnung gilt sowohl im B2C- als auch im B2B-Verhältnis. Veräußert ein Unternehmenskunde die Ware jedoch beispielsweise weiter, vermietet sie, verarbeitet sie oder ist er aus einem anderen Grund nicht der Endnutzer der Ware, so ist er kein Kunde im Sinne der Geoblocking-VO. Ferner ist noch erwähnenswert, dass der Sitz des Unternehmens des Anbieters nicht zwangsläufig in der europäischen Union sein muss (vgl. Erwägungsgrund 17 der VO).

Die Geoblocking-VO findet jedoch keine Anwendung auf die in Art. 2 Abs. 2 der RL 2006/123/EG genannten Tätigkeiten wie beispielsweise Finanzdienstleistungen, Gesundheitsdienstleistungen, Telekommunikationsdienstleistungen, Verkehrsdienstleistungen und autovisuelle Dienste.

Inhalt der Verordnung

Die Verordnung bringt drei wesentliche Änderungen mit sich. Sie verbietet zum einen die Beschränkung des Zugangs zu einer Webseite, Plattform oder App, zum anderen die Diskriminierung durch allgemeine Geschäftsbedingungen beim Zugang zu Waren oder Dienstleistungen und auch die Diskriminierung bei Zahlungs- und Liefervorgängen.

Zugang zu Online-Benutzeroberflächen

Art. 3 Abs. 1 der Geoblocking-VO untersagt das Geoblocking, also die Sperrung oder Beschränkung des Zugangs von Kunden zu einer Online-Benutzeroberfläche des Anbieters aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes des Kunden.

Die Verordnung definiert eine „Online-Benutzeroberfläche“ als eine von einem Anbieter oder in dessen Namen betriebenen Software oder Anwendung zum Zwecke der Zugangsgewährung für Kunden zu Waren und Dienstleistungen des Anbieters, um darüber ein Geschäft zu tätigen. Nicht als Online-Benutzeroberfläche und damit nicht von dem Verbot erfasst sind rein informative oder redaktionelle Webseiten oder welche, die Verkaufsprodukte zwar präsentieren, jedoch keine Verkaufsmöglichkeit für den Kunden darstellen. Gemischt genutzte Webseiten oder Anwendungen wie Apps reichen nach der Definition nach Art. 2 Abs. 16 der Geoblocking-VO aus und fallen demnach nicht aus dem Anwendungsbereich.

Zudem untersagt die Verordnung das sog. „Autoforwarding“, also eine Weiterleitung des Kunden zu einer länderspezifischen Webseite, obwohl der Kunde eine andere Webseite besuchen wollte. Ein Beispiel dafür ist, dass ein sich in Deutschland aufhaltender Kunde auf die französische Version eines Onlineshops klickt, er jedoch automatisch auf die deutsche Webseite umgeleitet wird. Mittels der IP-Adresse des Kunden kann die Länderkennung ausfindig gemacht werden und der Kunde wird auf die Webseitenversion seines Landes weitergeleitet. Eine Weiterleitung darf nun aber nur aufgrund einer ausdrücklichen Einwilligung des Kunden erfolgen (sog. Opt-In), Art. 3 Abs. 2 a.E. der Geoblocking-VO, dennoch muss die ursprünglich besuchte Webseite für den Kunden leicht zugänglich bleiben, da der Kunde zum einen Recht auf freien Zugang zu den Webseiten hat, zum anderen ein Wahlrecht und sich somit aussuchen kann, wo er zu welchen Bedingungen einkauft.

Ist die Sperrung, Beschränkung oder Weiterleitung jedoch auf die Gewährleistung der Erfüllung rechtlicher Anforderungen des Anbieters zurückzuführen und dafür auch erforderlich, treffen diesen keine der beiden zuvor genannten Verbote, Art. 3 Abs. 3 der Geoblocking-VO. Solche rechtlichen Pflichten sind beispielsweise Bestimmungen des Jugendschutzrechts oder des Lebensmittelrechts. Dass die Weiterleitung, Sperrung oder Beschränkung aus diesem Grund erfolgt, hat der Anbieter dem Kunden in der Sprache der anfänglich besuchten Webseite anzugeben und zu begründen.

Verwendung von AGB bei Waren- und Dienstleistungsangeboten

Art. 4 Abs. 1 der Geoblocking-VO normiert, dass ein Anbieter für den Zugang zu Waren oder Dienstleistungen für seine Kunden keine unterschiedlichen allgemeinen Geschäftsbedingungen aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes des Kunden anwenden darf. Dieses Verbot betrifft ausschließlich die in der Norm aufgelisteten Fälle. Dazu gehört zum einen der Verkauf von materiellen Wirtschaftsgütern, so dass dem Kunden die gleichen AGB eingeräumt werden müssen, wie den Kunden in einem Mitgliedstaat, in den die Waren geliefert oder abgeholt werden können. Zum anderen erfasst die nächste Fallgruppe die Beziehung von elektronisch erbrachten Dienstleistungen, also bei denen eine materielle Lieferung nicht erforderlich ist. Nach Erwägungsgrund 24 der Verordnung fallen darunter Cloud-Dienste, Date-Warehousing, Webhosting die Bereitstellung von Firewalls und die Nutzung von Suchmaschinen und Internetverzeichnissen. Die letzte Fallgruppe stellen sonstige Dienstleistungen dar, die der Kunde an einem physischen Standort im Mitgliedstaat, in dem der Anbieter tätig ist, erhält, womit auch hier keine grenzüberschreitende Lieferung erfolgt.

Diese Regelung ist jedoch etwas missverständlich formuliert: man muss klarstellen, dass es dem Anbieter nicht verboten ist, verschiedene AGB für verschiedene Mitgliedstaaten zu verwenden, was sich aus Art. 4 Abs. 2 der Geoblocking-VO ergibt. Das Verbot erfasst lediglich eine diskriminierende Differenzierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes, wenn der Kunde genau bestimmte Angebote und AGB für sich nutzen möchte. Es darf dem Kunden aber nicht verwehrt bleiben, einen Vertrag mit dem Anbieter auf der Webseite eines anderen Landes zu schließen und sich auf die konkret verwendeten AGB in dem anderen Mitgliedstaat beziehen zu können. Damit kommt ein Vertrag zwischen den Beteiligten genau zu den Konditionen des Mitgliedstaats zustande. Dennoch hat der Kunde kein Recht auf Lieferung in seinen Heimatstaat. Er darf nicht schlechter, muss aber auch nicht besser gestellt werden als inländische Kunden. Bezieht sich beispielsweise ein Kunde aus Mitgliedstaat A auf die AGB in Mitgliedstaat B, in denen lediglich eine Lieferung in den Staat B vorgesehen ist, ist der Anbieter auch nur zu einer Lieferung in B verpflichtet. Zwar schließt er den Vertrag mit einem Kunden aus dem Mitgliedstaat A ab, und akzeptiert damit eine Rechnungsanschrift aus dem Staat A, dennoch muss der Kunde sich selbst um die Abholung der in den Staat B gelieferten Ware kümmern.

Durchführung des Zahlungsvorgangs in Bezug auf vom Anbieter angebotene Zahlungsmethoden

Damit der Handel auch in Bezug auf Zahlungsmethoden vereinheitlicht wird, untersagt Art. 5 der Geoblocking-VO verschiedene Konstellationen der Diskriminierung von Kunden in Bezug auf angebotene Zahlungsmittel. Konkret verbietet die Verordnung eine Differenzierung, die auf die Staatsangehörigkeit, den Wohnsitz, den Niederlassungsortes des Kunden, den Standort des Zahlungskontos, des Niederlassungsortes des Zahlungsdienstleisters oder des Ausstellungsortes des Zahlungsinstruments zurückzuführen ist. Wie auch bei Art. 4 der Geoblocking-VO meint der europäische Gesetzgeber damit kein Verbot des unterschiedlichen Angebots von Zahlungsmethoden an Kunden in unterschiedlichen Mitgliedstaaten, sondern lediglich ein Verbot der Verweigerung, wenn sich ein Kunde auf die Zahlungsmittel eines anderen Mitgliedstaates berufen möchte. Das bedeutet nicht, dass ein Anbieter auch alle Zahlungsmethoden anbieten muss. Bietet er jedoch mehrere Modalitäten an, so hat er sicherzustellen, dass alle Kunden die angebotenen Zahlungsmittel nutzen können.

Diese Regelung bezieht sich nach der abschließenden Aufzählung auf Zahlungsvorgänge durch Überweisung, Lastschrift oder Kartenzahlung oder wenn die Authentifizierungsanforderungen der PSD 2-Richtlinie erfüllt sind und ein vom Anbieter angebotener Zahlungsvorgang erfolgt.

Damit nicht ausschließlich der Kunde durch die Verordnung privilegiert wird, stellt Art. 5 Abs. 2 der Geoblocking-VO ein Zurückbehaltungsrecht des Anbieters klar, bis der Zahlungsvorgang durch den Kunden ordnungsgemäß eingeleitet worden ist.

Rechtliche Bedeutung für den Handel und die Wirtschaft

Die Bedeutung dieser Verordnung für die Praxis verdeutlichen bereits folgende Zahlen: 2017 tätigten rund 68 % der Internetnutzer in der EU Käufe über das Internet (Statistik des Statischen Amtes der Europäischen Union), allerdings konnten nur rund 37 % aller Webseiten in der EU die Käufe auch an Kunden aus dem EU-Ausland anbieten. Nach Ansicht der EU-Kommission hemmt Geoblocking die Verwirklichung des digitalen Binnenmarkts und verringert das Potential des grenzüberschreitenden Handels. Aus diesem Grund möchte die EU nun diesen Markt mit besonderem Hinblick auf eine kundenfreundliche Ausrichtung stärken und verbessern. Der Anwendungsbereich der Verordnung ist jedoch stark eingeschränkt, so dass das Regelwerk das Geoblocking nicht vollständig beseitigt. In der Begründung der Geoblocking-VO verdeutlicht der europäische Gesetzgeber ausdrücklich, dass die Verordnung keine Preisregulation darstellt. Es bleibt Anbietern weiterhin frei, einzelne Zielgruppen in den Fokus zu nehmen, solange die unterschiedliche Behandlung von Kunden sich nicht auf Gründe der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes zurückführen lässt. Somit sind Sonderaktionen oder Rabatte in einzelnen Ländern zulässig, jedoch muss jeder europäische Kunde dieses Angebot auch annehmen können.

Sanktionen

Nach Art. 7 Abs. 1 der Geoblocking-VO bleibt die Durchsetzung der Verordnung den Mitgliedstaaten überlassen. In Deutschland soll die Bundesnetzagentur die dafür zuständige Kontrollbehörde sein. Zwar gilt die Geoblocking-VO als Rechtsverordnung unmittelbar in allen Mitgliedsstaaten der europäischen Union, dennoch soll nach aktuellen Erkenntnissen das Telekommunikationsgesetz an die Geoblocking-VO angepasst und um die bei Verstößen gegen die Geoblocking-VO geltenden Sanktionen ergänzt werden. Diese Regelungen sollen wirksam, verhältnismäßig und abschreckend sein, um die Umsetzung der Verordnung zu gewährleisten. Derzeit plant man mit Bußgeldern von bis zu 300.000 Euro. Darüber hinaus können weitere Sanktionen durch die Bundesnetzagentur wie beispielsweise eine Anordnungsbefugnis zur Sicherstellung eines ortsdatenunabhängigen Zugangs zu den angebotenen Waren und Dienstleistungen bislang nicht ausgeschlossen werden.

Nach Art. 10 Abs. 3 der Geoblocking-VO wird die Verordnung in den Anhang der Richtlinie 2009/22/EG, der Unterlassungsklagerichtlinie, eingefügt. Daraus ergibt sich, dass qualifizierte Einrichtungen gegen herkunftsbezogen diskriminierende Anbieter mittels Unterlassungsklagen vorgehen können.

Praktische Auswirkungen für den Anbieter

Die Geoblocking-VO verbietet Anbietern in erster Linie eine Menge. Die Verbote haben jedoch auch zur Konsequenz, dass der Anbieter tatsächlich tätig werden muss. Hinsichtlich des nun verbindlichen Verbotes der Weiterleitung, Sperrung und Beschränkung, hat der Anbieter sicherzustellen, dass er gegen die Regelungen aus der Geoblocking-VO nicht verstößt. Aus diesem Grund sollten Anbieter nun ihre Webshops nach möglichen Verstößen durchsuchen im Hinblick auf bestehende Zahlungsmodalitäten, Verkaufsbedingungen und Zugangsbeschränkungen. Sollte ein Verstoß festgestellt werden, so liegt es im Interesse des Anbieters, diesen schnellstens zu beseitigen, sodass alle europäischen Kunden die Webseiten aufrufen und nutzen können. Dazu gehören im Einzelnen:

1. Es darf keine automatische Weiterleitung des Kunden auf die nationale Länderseite geben. Eine Umleitung ist nur rechtmäßig, wenn der Kunde ausdrücklich darin eingewilligt hat. Dies kann beispielsweise mithilfe der Opt-In-Lösung erfolgen, indem der Kunde vor einer Weiterleitung dieser in einem Dialogfeld zustimmen kann. Liegt eine solche Einwilligung vor und ist die Weiterleitung damit rechtmäßig, so muss die ursprünglich aufgerufene Webseite dennoch für den Kunden leicht zugänglich bleiben.

2. Eine Beschränkung oder Sperrung des Zugangs auf eine Online-Benutzeroberfläche für Kunden aus dem EU-Ausland aufgrund der Staatsangehörigkeit, des Wohnsitzes oder Niederlassungsortes ist verboten und darf damit nicht stattfinden. Also müssen Webseiten für europäische Kunden erreichbar sein, so dass es Kunden möglich ist, auf jeder Webseite zu den dort geltenden Bedingungen einzukaufen.

3. Anbieter sollten ihre Zahlungsmethoden im Hinblick auf die verbotene herkunftsbezogene Diskriminierung untersuchen. Unterschiedlichkeiten, die auf der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes basieren, sind verboten. Dabei bleibt die Wahl der zur Verfügung gestellten Zahlungsmodalitäten jedoch den Anbietern überlassen. Jeder Kunde muss sich auf ein angebotenes Zahlungsmittel in einem EU-Mitgliedstaat berufen können.

4. Zudem darf ein Anbieter allen Kunden nicht unterschiedliche Lieferbedingungen aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Niederlassungsortes anbieten.

Jedoch ist festzuhalten, dass die Geoblocking-VO einen Anbieter nicht dazu verpflichtet, seine Waren oder Dienstleistungen europaweit zu verkaufen und auch nicht europaweit zu liefern. Der Anbieter darf selber über die von ihm belieferten Gebiete bestimmen, bietet er jedoch die Lieferung in den Mitgliedstaat A an, so muss jeder Kunde aus der EU die Möglichkeit haben, zu diesen Konditionen einzukaufen und damit die Lieferung in den Staat A verlangen dürfen.

Eine Herausforderung ergibt sich aber aus der Bezahlung der bestellten Waren. Die kundenfreundlichste Zahlungsmethode des Kaufes auf Rechnung wird in der Praxis jedoch schwer umzusetzen sein: zahlt ein Kunde trotz Mahnungen nicht, muss das Geld in einem Mahnverfahren eingetrieben werden, was sich in praktischer Hinsicht durch die Grenzüberschreitung als nicht unkompliziert darstellt.

Fazit

Insgesamt stellt die Geoblocking-VO keine grundlegende Änderung des Online-Handels dar. Durch die Verbote der Diskriminierung von Kunden aus Gründen der Staatsangehörigkeit, des Wohnsitzes und des Niederlassungsortes möchte der europäische Gesetzgeber den Binnenmarkt vereinheitlichen und die Gleichberechtigung von Kunden fördern. Die Kernaussagen der Verordnung liegen in zusammenfassend darin, dass jeder Kunde aus der europäischen Union zu den gleichen Bedingungen einkaufen können soll, indem er den Vertrag mit dem Anbieter auch zu den Konditionen eines anderen Mitgliedstaates abschließen können soll. Im Kern dürfen EU-Bürger also nicht schlechter gestellt sein als Einheimische eines Mitgliedstaates, was aber für Anbieter keinesfalls eine Pflicht zur europaweiten Lieferung bedeutet. Anbieter sollten nun ihre Webseiten und anderen Online-Benutzeroberflächen auf mögliche Verstöße untersuchen und diese schnellstens beseitigen, um keine Bußgelder befürchten zu müssen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Aktuell und heiß diskutiert: die Custom Lookalike Audiences. Hier erfahren Sie, was Lookalike Audiences sind, wie diese funktionieren und wie sie datenschutzrechtlich einzuordnen sind.

Facebooks Custom Lookalike Audiences und Datenschutz

Einführung: Custom Lookalike Audiences

Zur Steigerung der sogenannten persönlichen Reichweite gibt es das Instrument der Lookalike Audiences. Lookalike Audiences sind Zwillingszielgruppen und dienen der Neukundengewinnung. Ausgehend von der bestehenden Source Audience, also der Custom Audience aus Pixel-Daten oder Fans der Unternehmens-Fanpage, kann man nun eine neue Audience erstellen, die der Source Audience in demografischen Daten und Interessen ähnelt. Personen, mit denen noch keine geschäftliche Kontakte bestanden, die jedoch ein ähnliches Interessenprofil wie Bestandskunden haben, sollen daher durch Anzeigen als potentielle Kunden gewonnen werden.

Diese Zielgruppenfunktion ist aber nicht nur auf Facebook begrenzt, sondern kann vielmehr auch auf anderen Social Media-Kanälen wie beispielsweise Instagram angewandt werden. Wichtig ist, dass nur dann eine Lookalike Audience erstellt werden kann, wenn man „Inhaber“ der Ausgangsquelle, der sogenannten Source Audience, ist.

Unabhängig von der konkreten Zielsetzung können Lookalike Audiences vielfach eingesetzt werden, wie beispielsweise um mehr Käufe, Downloads oder Traffic zu generieren. Dabei steht dem Ersteller der Lookalike Audiences ein großer Spielraum zu. Nach Angabe der Source Audience bestimmt der Ersteller den Ort, auf den abgezielt werden soll, und danach die Größe seiner Zielgruppe. Jedoch wird die Ähnlichkeit der Profile proportional zu einer ansteigenden Größe der Reichweite geringer.

Viele Werber greifen auf dieses Instrument zum Marketing zurück, um Werbekosten durch Steuerverluste zu senken, indem gezielt Personen mit einem vermuteten Interesse an der Werbung beworben werden.

Facebook Custom Audience über die Kundenliste

Die am häufigsten verwendete Methode der Facebook Lookalike Audiences funktioniert über die Kundenliste. Der Werbende verwendet eine Liste mit Kundendaten wie der E-Mail-Adresse als Grundlage der Lookalike Audience. Dafür lädt er diese bei Facebook hoch, indem die Daten der Kunden im Browser durch das Verfahren „Secure Hash Algorithm 256“ gehasht und anschließend verschlüsselt an Facebook übermittelt werden. Dort kommt es zu einem Abgleich der Hashwerte durch Facebook mit vorhandenen Nutzerdaten. Zusätzlich erlangt Facebook Kenntnis von der Nutzung der sozialen Medien einzelner Betroffener. Nun werden die Übereinstimmungen zu einer Custom Audience zusammengefasst und für den Werbenden gespeichert.

Facebook Custom Audience Pixel-Verfahren

Neben der Möglichkeit der Erstellung einer Lookalike Audience mittels Kundenliste steht Werbenden noch die Alternative des Pixel-Verfahrens zur Verfügung. Bei diesem Verfahren ist die Webseite der Ausgangspunkt. Der Seitenbetreiber verwendet einen unsichtbaren Pixel, indem er ihn als Code auf die Webseite einbindet. Dieser Pixel erkennt Wiederkehrer und erstellt von ihnen ein pseudonymes Nutzungsprofil, wodurch Facebook die Besucher der Webseite erkennt und ihnen künftig Werbeanzeigen des Webseiten-Inhabers anzeigt.

Datenschutzrechtliche Einordnung

Bei der rechtlichen Einordnung der Custom Lookalike Audiences ist eine differenzierte Ansicht nach den verschiedenen Verfahren vorzunehmen.

Das Pixel-Verfahren

Das Pixel-Verfahren ist aus datenschutzrechtlicher Hinsicht im Ergebnis nicht als rechtswidrig einzuordnen. Im Datenschutzrecht gilt allgemein das Prinzip des Verbots mit Erlaubnisvorbehalt: danach ist eine Datenverarbeitung grundsätzlich immer rechtswidrig, es sei denn die Verarbeitung geschieht im Rahmen einer rechtlichen Erlaubnis. Bislang wurde vertreten, dass es unter die Erlaubnisnorm § 15 Abs. 3 Telemediengesetz (TMG) fällt. § 15 Abs. 3 TMG erlaubt Dienstanbietern die Erstellung pseudonymer Nutzungsprofile für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung von Telemedien. Allerdings hat der Betroffene ein Widerspruchsrecht in Bezug auf die Nutzung seiner Daten, über das er informiert werden muss. Dafür ist eine Opt-Out-Lösung im Rahmen der Datenschutzerklärung heranzuziehen, um dem Betroffenen einen Widerspruch zu ermöglichen.

Folgende Inhalte muss der Hinweis über die Custom Audiences enthalten:

  • Zweck der Datenverarbeitung
  • Art der betroffenen personenbezogenen Daten
  • Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. f) DS-GVO)
  • Benennung des berechtigten Interesses
  • Einsatz eines Tracking-Verfahrens
  • Möglichkeit eines Opt-Out-Verfahrens

Jedoch liegt folgende Problematik vor: Ursprünglich wollte der europäische Gesetzgeber neben der DS-GVO am 25. Mai 2018 auch die ePrivacy-VO einführen. Dadurch bezweckte er ein einfacheres Zusammenspiel der aktualisierten europäischen Regelungen im Rahmen des Datenschutzrechts und der elektronischen Kommunikation. Allerdings blieb die ePrivacy-VO im Gesetzgebungsstadium aufgrund politischer Differenzen stecken.

Die ePrivacy-VO wird die ePrivacy-Richtlinie ablösen, welche wiederrum durch die nationalen Gesetze Telemediengesetz und Telekommunikationsgesetz umgesetzt werden. Die ePrivacy-VO entfaltet unmittelbare Wirkung, jedoch herrscht bislang noch ein Schwebezustand. Unternehmen stehen vor der Frage, ob neben der DS-GVO auch das TMG zu beachten ist. Nur dann kann § 15 Abs. 3 TMG eine Erlaubnisnorm für das Pixelverfahren darstellen.

Exkurs: Anwendbarkeit des Telemediengesetzes

Hinsichtlich des Telemediengesetzes kann festgestellt werden, dass der Gesetzgeber keine Änderungen am TMG vorgenommen hat, womit das Gesetz in erste Linie in Kraft bleibt.

Das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, die Datenschutzkonferenz (DSK), hat nun zu dieser Problematik Stellung genommen:

Die DS-GVO genießt Anwendungsvorrang. Die datenschutzrechtlichen Regelungen aus dem TMG könnten aufgrund von Kollisionsvorschriften, Umsetzungsauftrags oder einer Öffnungsklausel aus der DS-GVO vorrangig anwendbar sein. Art. 95 DS-GVO ist eine Kollisionsregel der DS-GVO zur ePrivacy-VO, womit die Grundsätze der ePrivacy-Richtlinie weiterhin gelten können. Diese Kollisionsregel findet nach Auffassung der DSK aber nicht auf den 4. Abschnitt des TMG Anwendung. Grund dafür ist, dass der 4. Abschnitt Umsetzungsregelungen der inzwischen aufgehobenen Datenschutzrichtlinie enthält und damit bereits durch den Anwendungsbereich der DS-GVO reformiert wurde. In der Konsequenz können die §§ 12, 13 und 15 TMG nicht mehr angewandt werden. §§ 12 ff. TMG regeln die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen. Diese Lücke wird nicht durch entsprechende Anwendung der ePrivacy-Richtlinie geschlossen, ferner greift nur die DS-GVO. Mithin ist taugliche Rechtsgrundlage für eine Datenverarbeitung somit Art. 6 Abs. 1 DS-GVO. Auch gelten die Grundsätze für die Datenverarbeitung nach Art. 5 DS-GVO verbindlich.

Tracking-Mechanismen dienten der Untersuchung von Nutzern im Internet oder der Erstellung von Nutzerprofilen, darunter fiele auch der Einsatz von Cookies. Würden Tracking-Mechanismen eingesetzt, bedürfe es nach neuster Ansicht der DSK aufgrund der unmittelbaren Geltung der DS-GVO auf Verarbeitungen der elektronischen Kommunikation einer DS-GVO-konformen Einwilligung des Betroffenen. Nach Art. 7 DS-GVO müsse der Betroffene die Einwilligung abgeben, bevor es zur Datenverarbeitung komme und zu diesem Zweck umfassend informiert werde.

Danach sollte die Verarbeitung derzeit nicht mehr auf § 15 Abs. 3 TMG gestützt werden.

Kritik an dieser Auffassung

Allerdings ist der gezogene Schluss der DSK nicht unproblematisch. Die bloße Anwendbarkeit der DS-GVO bedeutet nicht zwingend, dass eine Datenverarbeitung nur auf eine rechtskonforme Einwilligung nach Art. 7 DS-GVO gestützt werden kann. Vielmehr könnte eine Datenverarbeitung von einem anderen Rechtfertigungsgrund wie Art. 6 Abs. 1 lit. f) DS-GVO getragen werden. Danach ist eine Datenverarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Maßgeblich ist also, ob der Einsatz von Cookies und anderen Tracking-Mechanismen von einem berechtigten Interesse gerechtfertigt werden kann. Der Begriff des berechtigten Interesses wird weit gefasst, so dass Direktwerbung und Marktforschung darunter fallen. Jedoch ist bislang unklar, ob für die Wahrung dieser Interessen auch die Verwendung von Werbe-Tools erforderlich ist oder nicht vielmehr ein milderes Mittel gleich geeignet ist. Diesbezüglich ist die Rechtslage noch unsicher. Nach Auffassung der DSK überwiegen bei einer Abwägung der Interessen beider Parteien stets die Betroffeneninteressen, sodass Art. 6 Abs. 1 lit. f) DS-GVO effektiv gesehen nicht eingreift und somit keine Rechtsfertigungsnorm darstellt.

Für die rechtssichere Verwendung der Nutzerdaten für das Pixel-Verfahren bedürfte es entsprechend einer informierten Einwilligung. Diese müsste idealerweise bereits bei Erheben des Datums eingeholt werden.

Das Listen-Verfahren

Bei den Custom Lookalike Audiences mittels Listen-Verfahrens hingegen sieht es etwas anders aus: eine Erlaubnisnorm greift hier nicht ein, sodass der Webseitenbetreiber auf eine rechtskonforme Einwilligung zur Datenverarbeitung angewiesen ist. Anderenfalls ist die Datenverarbeitung nicht gerechtfertigt. Widerruft der Betroffene also seine Einwilligung, so entfällt damit die Rechtsgrundlage, die Datenverarbeitung darf nicht weiter vorgenommen werden, der Nutzer ist von der Kundenliste zu streichen und Facebook über den Widerruf zu informieren.

Auch im Übrigen stellen sich in Bezug auf das Listen-Verfahren mehrere Fragen. Die bayerische Datenschutzbehörde ist der Auffassung, dass das verwendete SHA-265-Verfahren, mittels dem personenbezogene Daten gehasht und verschlüsselt an Facebook gesendet werden, kein geeignetes Anonymisierungsverfahren darstellt. Ein Anonymisierungsverfahren macht datenschutzrechtlich gesehen nur dann Sinn, wenn durch das Verfahren ausgeschlossen werden kann, dass die einzelnen Daten einer natürlichen Person zugeordnet werden können. Bei dem SHA-265-Verfahren kann dies aber nicht gewährleistet werden, da weiterhin trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook möglich ist. Facebook benutzt hinsichtlich der Verschlüsselung der E-Mail-Adressen von Facebook-Nutzern und denen der Custom Audience das gleiche Verfahren, so dass durch einen Vergleich der Hashwerte festgestellt werden kann, welcher Facebook-Nutzer auch Kunde in der Custom Audience ist. Diese Feststellung des Personenbezugs stellt also gerade keine Anonymisierung dar. Auch befürchtet die Datenschutzbehörde eine mögliche Zurückrechnung des Klartexts mittels der Brute-Force-Methode, wodurch die personenbezogenen Daten für Facebook letztendlich nicht verschlüsselt sind. Dass damit kein ausreichender Datenschutz gewahrt wird, ist offensichtlich.

Und was nun?

Festzuhalten bleibt, dass die Custom Lookalike Audiences datenschutzrechtlich nicht unproblematisch sind. Während die DSK kürzlich noch der Auffassung war, es bedürfe in Bezug auf das Pixel-Verfahren keiner Einwilligung als Rechtfertigungsgrund, so änderte sie ihre Meinung mit Veröffentlichungen wie „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber“ und „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ und sieht nun sowohl in Bezug auf das Listen-Verfahren, als auch auf das Pixel-Verfahren das Erfordernis einer DS-GVO-konformen Einwilligung.

Zwar strahlt die Auffassung der DSK keine rechtliche Bindungswirkung aus, allerdings ist sie auch nicht zu unterschätzen. Die Gerichte orientieren sich an den Einschätzungen der Aufsichtsbehörden und weichen nicht wesentlich von ihnen ab.

Bei der Nutzung von Custom Audiences sollte der Betroffene über deren Einsatz jedenfalls in der Datenschutzerklärung informiert werden. Während bei der Verwendung des Listen-Verfahrens eine Einwilligung des Betroffenen vorliegen muss, liegt in Bezug auf das Pixel-Verfahren bislang noch kein Erfordernis vor.

Das EuGH-Fanpage-Urteil

Nicht nur die Facebook Custom Lookalike Audiences sind aus der Perspektive des Datenschutzrechts höchst interessant, sondern auch das Urteil des EuGH in Bezug auf eine Fanpage auf Facebook sorgte für Aufmerksamkeit. Hintergrund des Rechtsstreits ist, dass weder der Betreiber einer Fanpage über Facebook noch Facebook Ireland Ltd selber den Nutzer der Fanpage über die von Facebook vorgenommenen Datenverarbeitungen in Form des Setzen von Cookies und der damit verbundenen Datenerhebung informiert haben. Der EuGH entscheid nun im Rahmen eines Vorabentscheidungsersuchens, dass der Betreiber der Fanpage neben Facebook mitverantwortlich für die Datenverarbeitung ist.

Eine gemeinsame Verantwortlichkeit von Dienstanbietern für Verarbeitungen personenbezogener Daten regelt Art. 26 DS-GVO. Konsequenz dessen ist die gemeinsame Haftung beider Verantwortlicher, sodass sie zusammen eine Vereinbarung zur Erfüllung ihrer Pflichten, wie beispielsweise der Informationspflichten, abschließen müssen. Danach müsste Facebook dem Fanpage-Betreiber diverse Informationen über die Datenverarbeitungen offenlegen, damit letzterer seinen Informationspflichten nachkommen kann. Inwiefern Facebook die Fanpage-Betreiber letztendlich dahingehend unterstützen wird, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären den Unterschied zwischen einer Garantie und der (gewöhnlichen) Gewährleistung und gehen vertieft auf die entstehenden Informationspflichten ein.

Informationspflichten bei Werbung mit Garantien im Onlinehandel

Einführung

Die Nutzung von Garantie als Marketingmaßnahme erfordert eine genaue Einhaltung der gesetzlichen Vorschriften. Dabei ist zwischen der Garantieerklärung im Sinne des § 443 BGB und einer bloßen Werbemaßnahme über Garantien zu differenzieren. Die Garantie darf nicht mit der Gewährleistung verwechselt werden. Die Gewährleistung bezeichnet die gesetzliche Pflicht des Verkäufers, dem Käufer einwandfreie Ware zu übergeben. Die Ansprüche des Käufers gegenüber dem Verkäufer bei Mängeln sind in den §§ 437 ff. BGB geregelt. Eine Garantie hingegen stellt eine vertraglich eingeräumte freiwillige Leistung des Verkäufers (Garantiegebers) gegenüber dem Käufer dar.

Inhaltliche Anforderungen an eine Garantieerklärung

§ 479 Abs. 1 S. 1 BGB verlangt die Verwendung einer dem jeweiligen Adressatenkreis verständlichen Sprache sowie eine einfache und verständliche Abfassung in der Art, dass ein durchschnittlicher Verbraucher deren Voraussetzungen, Inhalt und Reichweite ohne weiteres verstehen kann (Transparenzgebot). Dazu gehört u.a. in der Regel die Verwendung der deutschen Sprache.

Dazu muss der Verkäufer gem. § 479 Abs. 1 S. 2 BGB auch explizit auf die gesetzlichen Rechte des Käufers hinweisen. Dies dient insbesondere der Vorbeugung einer Irreführung des Verbrauchers, dass die gesetzlichen Rechte des Verbrauchers (Gewährleistungsrechte) nicht als Garantie bezeichnet werden sollen und beim Kunden ein falscher Eindruck besonders günstiger Konditionen erweckt wird. Eine Garantie stellt nur ein zusätzliches Leistungsversprechen dar, das über die gesetzlichen Rechte hinausgeht. Dies stellt Art. 6 Abs. 2 der Richtlinie 1999/44/EG klar, wonach die gesetzlichen Rechte unberührt bleiben.

Die Garantieerklärung muss gem. § 479 Abs. 1 S. 2 Nr. 1 BGB einen Hinweis auf die gesetzlichen Rechte des Verbrauchers enthalten. Zusätzlich müssen gem. § 479 Abs. 1 S. 2 Nr. 2 BGB  alle wesentlichen Angaben, die für die Geltendmachung der Garantie erforderlich sind, genannt werden. Dies umfasst Angaben wie „im Falle von Bruch, Durchrostung etc.“ ebenso wie eine deutliche Angabe von Bedingungen, von denen die Garantie abhängig ist. Schließlich muss der Verbraucher darüber informiert werden, wie und gegenüber wem, inklusive Adresse, er diese Rechte geltend zu machen hat. Auch ein Zeitraum nach Eintreten des Garantiefalls und auf welche Weise (schriftlich, nur unter Rücksendung der beiliegenden Garantiekarte etc.) müssen benannt sein. Auf seinen Wunsch hin muss ihm gem. § 479 Abs. 2 BGB die Garantieerklärung in Textform mitgeteilt werden.

§ 479 Abs. 3 BGB stellt klar, dass eine Garantie bei einem Verstoß nicht unwirksam ist. Anderenfalls würde dies dem verbraucherschützenden Zweck des § 479 BGB zuwider laufen.

Grundsätze des BGH zu Informationspflichten

Entscheidend ist, zwischen Kaufangeboten mit Garantieversprechen, die eine Aufforderung zur Abgabe eines Angebots darstellen und die der Verkäufer erst per E-Mail bestätigt und solchen Käufen, die sofort zustande kommen, wie zum Beispiel durch die „Sofort-Kaufen“-Option auf eBay, zu differenzieren.

Eine Werbung mit einer Garantie sei hingegen nur eine Aufforderung an den Kunden, die Ware zu kaufen und daher lediglich eine Ankündigung der Garantie, so dass z.B. eine Werbung mit „3 Jahre Garantie“ nicht den Erfordernissen des § 479 Abs. 1 BGB genügen muss. Der Verkäufer muss dieses Angebot des Kunden auf Vertragsschluss erst annehmen. Erst dann wird die Garantie verbindlich und muss den Erfordernissen des § 479 Abs. 1 BGB genügen.

Dabei ist zwischen selbstständigen und unselbstständigen Garantien zu unterscheiden. Eine selbstständige Garantie verspricht einen über die Sachmängelfreiheit hinausgehenden Erfolg. Sie wird auch als Garantieversprechen bezeichnet und stellt einen eigenen vertraglichen Anspruch dar. Dies kann zum Beispiel eine Zufriedenheitsgarantie, Niedrigpreisgarantie oder eine Vor-Ort-Reparaturgarantie sein. Diese Garantieerklärung muss dann auch die Voraussetzungen des § 479 Abs. 1 S. 1 BGB einhalten.

Eine unselbstständige Garantie erweitert lediglich die gesetzliche Sachmängelfreiheit, z.B. Verlängerung der gesetzlichen Gewährleistung auf drei Jahre oder Erleichterung der Beweislast.

Garantieversprechen in Internetshops

In Bezug auf Garantieversprechen in Internetshops hat der BGH im Urteil Az. I ZR 133/09 vom 14. April 2011 entschieden, dass die bloße Werbung mit einer Garantie keine detaillierten Informationspflichten gem. § 479 BGB enthalten muss. Erst bei der Abgabe einer Garantieerklärung muss der Verkäufer die Informationspflichten aus § 479 BGB einhalten. Eine Werbung mit einer Garantie sei hingegen nur eine Aufforderung an den Kunden, die Ware zu kaufen und daher lediglich eine Ankündigung der Garantie. Damit sei diese noch nicht rechtsverbindlich versprochen. Dies sei nach Auffassung des BGH auch mit der Richtlinie 1999/44/EG über den Verbrauchsgüterkauf vereinbar. Deren Wortlaut regelt die Informationen für „die Garantie“, woraus die Richter den Schluss zogen, dass ebenfalls nur die Garantieerklärung und nicht die vorherige Werbung gemeint sein kann. Die erforderlichen Informationen müssen nicht auf den ersten Blick auffindbar sein, sondern können dem Verbraucher auch erst beim Bestellvorgang zur Verfügung gestellt werden. Dies ist der Fall bei einem Online-Shop.

Garantieversprechen bei eBay

Anderes gilt bei der Nutzung der Plattform eBay, wenn ein Angebot mit einer „Sofort-Kaufen“-Option versehen ist. Diesbezüglich hat der BGH im Urteil Az. I ZR 88/11 vom 05.12.2012 für Klarheit gesorgt. In dem Fall erfolgt keine Bestätigungsmail, so dass Belehrungen zum Inhalt und Umfang der Garantie bereits im Angebotstext enthalten sein müssen. Der Verkäufer kann sich in diesem Fall, anders als in einem klassischen Internetshop, nicht entscheiden, ob er mit dem Käufer einen Vertrag schließen will oder nicht. Das Anklicken des Buttons und Durchlaufen des Bestellablaufes bei eBay lässt den Kaufvertrag gleichzeitig mit dem Garantievertrag zustande kommen. Für eine Information des Verbrauchers über Bedingungen der Garantie ist bei diesem Vorgehen jeder Zeitpunkt nach Aufgabe der Bestellung naturgemäß zu spät, sodass der Unternehmer sofort im Zeitpunkt des Zustandekommens des Vertrags den Käufer über seine Rechte und eventuelle Garantien informieren muss.

Dieser Garantievertrag kann zwischen Käufer und Verkäufer bestehen oder – wie es üblich ist – zwischen Käufer und Hersteller zustande kommen. Es macht keinen Unterschied, ob für eigene Garantien oder für Herstellergarantien geworben wird. Auch bei einer Herstellergarantie müssen sämtliche Garantieinformationen im Angebot selbst mit aufgeführt sein.

Aus diesem Grund muss auch in der klassischen Prospekt-Werbung, die wohl Motivation für die ursprüngliche BGH-Entscheidung war, nicht konkret über Garantiebedingungen informiert werden.

Preisgarantie

Beliebt ist auch die Zusicherung eines Unternehmers den Preis seines Produkts oder Dienstleistung an den günstigeren Verkaufspreis eines Konkurrenten anzupassen. Das kann eine Tiefpreisgarantie sein, wonach Verbraucher die Differenz zu einem günstigeren Mitbewerber abgezogen bekommen oder der Verbraucher zahlt den angebotenen Preis und hat das Recht den Gegenstand zurückzugeben, wenn er innerhalb einer bestimmten Frist ein günstigeres Angebot eines anderen Anbieters entdeckt. Des Weiteren kann ein Anbieter mit einer Bestpreisgarantie werden („Nirgendwo günstiger!“, „Wir garantieren Ihnen einen Preis, der 13 % unter jedem Mitbewerber-Angebot liegt“). Damit soll der Preis die Angebote der Konkurrenz unterbieten, um den tatsächlich günstigsten Preis zu haben.

Solche Preisgarantien werden von der Rechtsprechung als zulässig angesehen, vorausgesetzt, dass die Artikel in gleicher Ausführung und Qualität auch von Mitbewerbern geführt und von den Kunden auch „wieder gefunden” werden können. Auch dürfen sie keine irreführende geschäftliche Handlung im Sinne des § 5 Abs. 1 S.2 Nr. 2 und 7 UWG sein. Dabei ist auf den „normal informierten und angemessen aufmerksamen, verständigen Durchschnittsverbraucher“ abzustellen. Die Bedingungen unter denen die Inanspruchnahme der Garantie erfolgt, müssen für den Verbraucher klar ersichtlich sein. Der lediglich pauschale Verweis auf weitere Bedingungen auf der Internetseite reicht nicht aus.

In der Regel muss der Kunde dafür seinen recherchierten Preis dem Einzelhandelsunternehmen vor Ort zeigen. Allerdings betreibt nicht jeder Kunde so eine Recherche. Somit können die Unternehmen mit der Uninformiertheit der Kunden kalkulieren und sogar einen höheren Preis ansetzen.

Ergänzungen des OLG Hamm

Das OLG Hamm hat in einem ähnlich gelagerten Sachverhalt einer Garantiewerbung auf eBay (Az. 4 U 1/16 vom 25.08.2016) den Zusatz „5 Jahre Garantie“ als unlauter im Sinne des § 3a UWG gewertet und damit auch nach § 3 Abs. 2 UWG als unzulässige geschäftliche Handlung. Denn bei einem Fernabsatzvertrag, wie er bei einer Onlinebestellung zustande kommt, gilt die Regelung des § 312d Abs. 1 S.1 BGB, sodass der Unternehmer den Verbraucher nach Maßgabe des Art. 246a EGBGB informieren müsse. Aus Art. 246a § 1 Abs. 1 S. 1 Nr. 9 EGBGB wiederum ergibt sich, dass der Unternehmer verpflichtet ist, dem Verbraucher Informationen über das Bestehen und die Bedingungen von Garantien zur Verfügung zu stellen. Dabei gilt, dass diese Informationen in klarer und verständlicher Weise vor der Vertragserklärung zur Verfügung gestellt werden müssen. Gegen diese Informationspflichten hat die Beklagte verstoßen und damit auch eine Marktverhaltensregel im Sinne des § 3a UWG verletzt. Schließlich erfährt der Verbraucher durch die Angabe „5 Jahre Garantie“ nur, dass eine Garantie bestehen soll, jedoch werden alle weiteren Angaben zu den Bedingungen dieser Garantie ausgespart. Diese Informationen müssen ihm aber vor Abschluss des Vertrages zur Verfügung stehen.

Dies gilt nach Art. 246a § 1 Abs. 1 S. 1 Nr. 9 EGBGB selbst in dem Fall, wenn es sich bei den Angaben lediglich um Werbung handeln soll. Dies wird damit begründet, dass die Informationen dem Verbraucher vor Abschluss des Vertrages zur Verfügung stehen müssen, damit er in die Lage versetzt wird, das Für und Wider des Vertrages abzuwägen, um dann eine überlegte Entscheidung über den Abschluss des Vertrages treffen zu können. Nur in dieser Lesart entspricht Art. 246a § 1 Abs. 1 S. 1 Nr. 9 EGBGB dem Zweck des Art. 1 der Verbraucherrichtlinie (2011/83/EU), nämlich ein möglichst hohes Verbraucherschutzniveau zu ermöglichen.

Fazit

Grundsätzlich ist von einer Verwendung des Wortes „Garantie“ in eBay-Angeboten zu Werbezwecken abzuraten. Dazu gehören alle Formen wie „Zufriedenheitsgarantie“, „garantierte Lieferung“, „garantiert echt“ sowie der Hinweis, dass der Ware eine „Garantiekarte“ beigefügt ist. Anderes gilt beim Betrieb eines eigenen Internetshops, wo eine derartige Werbemaßnahme aufgrund der Unverbindlichkeit des Angebots zulässig ist.

Abschließend ist festzuhalten, dass eine Garantie ohne Frage ein wirksames Werbemittel darstellt. Derjenige, der sich für den Einsatz der Garantie als Werbemittel jedoch entscheidet, muss zwingend die Einhaltung der Informationspflichten gewährleisten können. Gegenüber Verbrauchern ist dabei die Informationspflicht aus § 312d Abs. 1 BGB zu beachten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden gehen wir auf zwei BGH-Urteile zum Käuferschutz bei PayPal ein, welche sich insbesondere mit dem Erlöschen der Kaufpreisforderung auseinandersetzen.

Relativierung des Käuferschutzes bei PayPal 

Einführung

Der Bundesgerichtshof entschied, dass Verkäufer trotz käuferseitig in Anspruch genommenen PayPal-Käuferschutzes die Zahlung des Kaufpreises erneut verlangen können, auch wenn der Online-Bezahldienst das bereits gezahlte Geld schon zurückgebucht hat (Urt. v. 22.11.2017, Az. VIII ZR 83/16, VIII ZR 213/16). 

Was ist PayPal?

PayPal ist ein Online-Bezahldienst für den Online-Handel, bei dem der Käufer nach Registrierung den sogenannten PayPal-Käuferschutz beanspruchen kann. Wenn die bestellte Ware nicht ankommt oder wesentlich von der Artikelbeschreibung abweicht, bucht PayPal dem Käufer nach Prüfung des Antrags den gezahlten Kaufpreis zurück und belastet in entsprechender Höhe das PayPal-Konto des Verkäufers. Der Bezahldienst ist für den Käufer kostenlos, beim Verkäufer wird bei jedem Geldeingang unter Verwendung von PayPal eine Provision abgezogen. 

Nun entschied der BGH, dass Verkäufer den Käufer trotz des PayPal-Käuferschutzes auf Kaufpreiszahlung in Anspruch nehmen können. Das bedeutet jedoch nicht, dass der PayPal-Käuferschutz nun völlig leerläuft. Nach Ansicht des BGH wird der Käufer nach wie vor besser gestellt als der Verkäufer, da der Käufer den Kaufpreis unverändert rückerstattet bekommt, der Verkäufer hingegen seine Ansprüche erst einklagen muss. 

Die Sachverhalte

Im ersten Fall (Az. VIII ZR 83/16) kaufte der beklagte Kunde ein Mobiltelefon über die Internetplattform eBay unter Nutzung des Bezahlungsdienstes PayPal. Der Käufer (kein Verbraucher) behauptete, das Paket nie erhalten zu haben und beantragte die Rückerstattung des Kaufpreises über Paypal. Der Verkäufer klagte auf erneute Zahlung des Kaufpreises und bekam vom Landgericht Essen Recht. Das Risiko des Verlustes des Pakets sei aufgrund des vereinbarten Versendungskaufs auf den Käufer übergegangen, sodass ihm auch der PayPal-Käuferschutz nicht half. 

Im zweiten Fall (Az. VIII ZR 213/16) hingegen entsprach der Kaufgegenstand nach Ansicht des Käufers nicht der Artikelbeschreibung, sodass dieser bei PayPal ebenfalls die Rückerstattung des Kaufpreises beantragte. Während das Landgericht Saarbrücken die Klage des Verkäufers auf Zahlung des Kaufpreises als nicht begründet sah, verwies der BGH das Landgericht Saarbrücken nun zur erneuten Verhandlung. 

Wann erlischt ein Anspruch auf Kaufpreiszahlung?

Maßgeblich war bei der Entscheidung der Zeitpunkt, wann der Anspruch des Verkäufers gegen den Käufer auf Zahlung des Kaufpreises erlischt bzw. ob noch ein Anspruch auf Kaufpreiszahlung bestehen kann, nachdem PayPal den bereits gezahlten Kaufpreis zurückgebucht hat. 

Ein Anspruch erlischt grundsätzlich, wenn die geschuldete Leistung an den Gläubiger bewirkt wird, § 362 Abs. 1 BGB. Dabei kommt es auf den Leistungserfolg an, das heißt die Leistung muss beim Gläubiger eintreten. Bei Geldschulden erlischt der Anspruch also erst, wenn der Schuldner den Geldbetrag an den Gläubiger gezahlt hat und der Betrag dem Konto des Gläubigers vorbehaltslos gutgeschrieben wird. Konkret bezogen auf PayPal bedeutet das, dass der Käufer von seiner Zahlungspflicht erst befreit wird, wenn der Kaufpreis dem PayPal-Konto des Verkäufers gutgeschrieben wird.

Die Entscheidungen des BGH

Der BGH sieht den Anspruch auf Kaufpreiszahlung aber wieder begründet, sofern das PayPal-Konto des Verkäufers rückbelastet wird. Das würden die Vertragsparteien stillschweigend durch die Nutzung von PayPal vereinbart haben. Eine interessengerechte Vertragsauslegung führe zu dem Ergebnis, dass PayPal lediglich isoliert über Anträge auf Käuferschutz entscheide. Davon unberührt blieben die gesetzlichen und vertraglichen Rechte der Vertragsparteien. Während also der Käufer neben dem PayPal-Käuferschutz auch die kaufrechtlichen Gewährleistungsrechte und die staatlichen Gerichte bei Nicht- oder Schlechtleistung in Anspruch nehmen kann, solle auch dem Verkäufer das Recht zustehen, den wiederauflebenden Anspruch auf Kaufpreiszahlung – auch gerichtlich – durchzusetzen.

Diese Ansicht begründet der BGH mit dem lediglich vereinfachten Prüfungsmaßstab durch PayPal, wodurch eine sachgerechte Berücksichtigung der Interessen beider Vertragsparteien nicht sichergestellt werden könne. Anders als beim gesetzlichen Mängelgewährleistungsrecht würde PayPal nur über Anträge auf Käuferschutz entscheiden, sodass die Interessen der Verkäufer zunächst unberücksichtigt blieben. Die PayPal-Käuferschutzrichtlinie schließe gerade nicht den Rechtsweg für den Verkäufer aus, da „die gesetzlichen und vertraglichen Rechte zwischen Käufer und Verkäufer nicht“ berührt würden und „separat von diesen zu betrachten“ seien, was insgesamt für eine Wiederbegründung des Kaufpreisanspruchs gegen den Käufer spräche. Zudem bleibe der Käufer dadurch privilegiert, dass dieser den Kaufpreis unverändert rückerstattet bekommen könne, wohingegen der Verkäufer seinen Anspruch auf Kaufpreiszahlung gerichtlich einzuklagen habe. Zudem solle PayPal nicht faktisch die Kontrolle der deutschen Gerichte über die Streitigkeiten entziehen, indem es in kaufrechtlichen Streitigkeiten als „Richter“ fungiert. Zumal prüfe PayPal Streitigkeiten aufgrund der unzureichenden Interessenabwägung der Vertragsparteien nicht in vergleichbarer Qualität wie ein Gericht. 

Weiter ließ sich der BGH von der Erwägung leiten, dass sich der PayPal-Käuferschutz gegen Verbraucher richten könne, wenn der Verkäufer kein Unternehmer, sondern Verbraucher ist. Um dem entgegen zu wirken und den Verbraucherschutz zu stärken, entschied sich der BGH für eine Berücksichtigung der Interessen beider Vertragsparteien.

Eine ähnliche Entscheidung traf der BGH 2010 bezüglich des SEPA-Lastschriftverfahrens. Auch dort war das Gericht der Ansicht, dass die Erfüllungswirkung nachträglich bei einem Widerruf der Lastschrift durch den Schuldner gegenüber seiner Bank entfalle (BGH Urt. v. 20.07.2010, Az. XI ZR 236/07).

Folgen der BGH Entscheidung 

Das Urteil des BGH bringt einige Unsicherheiten für den Verbraucher mit sich. Fraglich ist, welche Konsequenzen sich daraus ergaben, dass das Vertragsverhältnis zwischen Verkäufer und Paypal Auswirkungen auf den Kaufvertrag zwischen Verkäufer und Käufer hat, wenn der BGH seine Entscheidung auf eine stillschweigende Parteivereinbarung durch die Verwendung des Bezahlsystems PayPal stützt. 

Im Ergebnis erteilt der BGH dem größten Vorteil von PayPal der vollständigen Absicherung für die Käufer eine Absage: Künftig können Verkäufer nun also doch die Käufer zur Zahlung in Anspruch nehmen. Auf Händlerseite könnte PayPal als eine Art Versicherung gegen Zahlungsausfall, auf Kundenseite als eine Art Versicherung gegen Online-Shop-Risiken wie Nicht- oder Schlechtleistung einzuordnen sein.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Im Folgenden gehen wir näher auf die vertraglichen Beziehungen beim Kauf von Apps ein.

Rechtliche Betrachtung von App-Käufen

Einführung

Ein Klick und vielleicht noch ein kurzes, unbedachtes Tippen auf den Akzeptieren-Button und schon ist die App runtergeladen. Dabei passiert aus rechtlicher Betrachtungsweise in diesem kurzen Vorgang eine Menge zwischen dem Anbieter, dem Store-Betreiber und dem Anwender, was rechtlich nicht immer eindeutig eingeordnet werden kann. Kaufe ich mit dem Herunterladen die App und erhalte ich nur Nutzungsrechte daran? Wer ist eigentlich mein Vertragspartner, der Anbieter oder der Betreiber? Und welche Willenserklärung mit welchem genauen Inhalt wird wann von wem abgegeben?

Vertragsbeziehungen der Beteiligten

Sowohl Google als auch Apple unterscheiden zwischen zwei Kategorien von App-Produkten: Zum einen die Apps, die von Google oder Apple selbst entwickelt wurden und zum anderen sog. Dritt-Apps, die von einem Drittanbieter entwickelt werden, aber über den Store von Google oder Apple vertrieben werden. 

Die Vertragsverhältnisse in der ersten Konstellation sind eindeutig: Geht es um den Download einer eigens entwickelten App, so wird der Store Betreiber unzweifelhaft Vertragspartner. So sehen es auch die Nutzungsbedingungen der Storebetreiber selbst vor. 

Anders verhält es sich, wenn über den Store Dritt-Apps von anderen Anbietern heruntergeladen werden. Ein Blick in die Nutzungsbedingungen von Apple verrät:

Indem Apple den App Store zur Verfügung stellt, handelt Apple als Vertreter für App-Provider [Anbieter / Entwickler] und ist keine Partei des Kaufvertrages oder der Benutzervereinbarung zwischen Ihnen und dem App-Provider. 

Auch Google formuliert eine ähnliche Klausel. Es soll also aus Sicht der Store Betreiber direkt ein Vertrag zwischen dem Anwender und dem Anbieter, also dem Entwickler der App zu Stande kommen. Ganz so einfach ist es jedoch nicht: Für den Nutzer ergibt sich ein völlig anderes Bild. Beim Download einer App nimmt der Nutzer ausschließlich den Store Betreiber als Vertragspartner wahr, der ihm direkt gegenübersteht. Daher wird teilweise in der juristischen Literatur angenommen, dass eine bloße Erwähnung eines Anbieters bzw. Entwicklers nicht ausreiche, anzunehmen, dass dieser tatsächlich auch Vertragspartner werde. Denn dies entspreche nicht der Wahrnehmung des Endkunden. 

Eine andere Ansicht betont, dass der Nutzer den Store eher als Marktplatz betrachte, ähnlich wie die Angebote bei Ebay oder Amazon und der Store Betreiber als technischer Dienstleister hinter dem App-Entwickler zurücktrete. Aus Nutzerperspektive würde also ein Vertrag mit dem Anbieter der App geschlossen. Gleichzeitig sei die Nutzerperspektive jedoch falsch und der Blick auf das Verhältnis zwischen Store Betreiber und Anbieter zu lenken. Denn aus den Verträgen zwischen App-Store und Anbieter ergäbe sich, dass kein direkter Vertrag zwischen Nutzer und Anbieter gewollt sei.

Aus Sicht anderer Stimmen in der juristischen Literatur, die die herrschende Meinung darstellen, wiederum, soll maßgeblich auf den objektiven Empfängerhorizont abgestellt und die Auslegung der Willenserklärungen nach allgemeinen zivilrechtlichen Grundsätzen vorgenommen werden, sodass es von der konkreten Gestaltung des Vertriebs abhänge, wer Vertragspartner werde. Doch auch nach dieser Betrachtungsweise sind unterschiedliche rechtliche Konstruktionen denkbar: 

Kommissionsgeschäft 

Aus dem Developer Program License Agreement (iDPLA) und auch der Formulierung, der Store Betreiber wolle nur als Vertreter auftreten, geht hervor, dass ein Kommissionsgeschäft gem. § 383 HGB beabsichtigt sein könnte. Dabei würde der Store Betreiber im eigenen Namen auf fremde Rechnung handeln, also auf Rechnung der Entwickler. Der Annahme eines Kommissionsgeschäfts steht jedoch entgegen, dass der Kommissionär dann auch selbst Vertragspartner werden würde. In den Nutzerbedingungen wird jedoch eindeutig jeder direkte Vertragsschluss zwischen dem Store und dem Nutzer ausgeschlossen, so zumindest bei Apple, sodass die eigenen vertraglichen Ausarbeitungen bereits widersprüchlich wären und ein Kommissionsgeschäft hier nicht sachgemäß erscheint. 

Mittelbare Stellvertretung 

Lässt man das Innenverhältnis zwischen Store Betreiber und Anbieter zunächst außer Betracht und stellt auf den objektiven Erklärungswert des Vertreterhandelns ab, käme auch eine Stellvertretung nach §§ 164 ff. BGB in Betracht. Nach dem Offenkundigkeitsprinzip muss der Vertreter erkennbar im Namen des Vertretenen auftreten, es muss also deutlich werden, dass der Vertretene und nicht der Vertreter Vertragspartner werden soll. Fraglich ist hier dann also, ob das Verhalten des App-Store und die Erwähnung in den AGB den Anforderungen des Offenkundigkeitsprinzips genügen. Aus dem Sinn und Zweck des Offenkundigkeitsprinzips und auch der Wertung des § 164 Abs. 2 BGB ergibt sich, dass aus dem Handeln des Vertreters und nicht aus dessen Willen hervor gehen muss, wer Vertragspartner werden soll. Aus objektiver Betrachtungsweise und vor dem objektiven Empfängerhorizont erscheint aber der App-Store als Vertragspartner. Auch die fehlende Anbieterkennzeichnung nach § 5 Abs. 1 TMG und die Informationen nach § 312d BGB für den Entwickler sprechen dagegen, ihn als Vertragspartner zu werten. 

Aktueller Stand bei Google und Apple 

Nach den vorgenannten Erwägungen kommt es also maßgeblich darauf an, wie der App-Store auftritt und inwiefern der Anbieter für den Nutzer als tatsächlicher Vertragspartner erkennbar ist. Bei Google haben sich die Nutzungsbedingungen in den letzten Jahren weitgehend konkretisiert und der Vertragspartner festgelegt, sodass bei Dritt-Apps immer der Anbieter Vertragspartner wird. Apple dagegen schließt in seinen Nutzungsbedingungen noch immer aus, bei dem Verkauf einer Dritt-App Vertragspartner zu werden, obwohl das äußere Erscheinungsbild eher dahin zu deuten ist, dass Apple die wesentliche Kontrolle über alle Inhalte, Werbung und technische Inhalte innehat, sodass mehr dafür spricht den AppStore als Vertragspartner einzustufen.

Fazit 

Entscheidendes Merkmal bei der Beurteilung, zwischen welchen Parteien der Vertragsschluss stattfindet, ist ob der Anbieter ausdrücklich in den App-Stores benannt ist und er für den Nutzer als solcher erkennbar ist, oder ob er hinter den Betreiber zurücktritt. Diese Einschätzung kann jedoch durch Umgestaltung des Stores oder expliziterer Formulierungen in den Nutzungsbedingungen schnell Änderung erfahren, sodass dieses Problem immer aktueller Beurteilung bedarf.

Willenserklärungen der Beteiligten 

Bei dem automatischen Vorgang des App-Erwerbs durch wenige Klicks stellt sich bereits die Frage, welcher der Beteiligten wann eine Willenserklärung mit welchem Inhalt abgibt. Konkret: Worin ist das Angebot zu sehen und wer erklärt wann die Annahme? 

Wie auch im normalen Geschäftsverkehr stellt das Anbieten eines Produkts noch keine Willenserklärung dar, sondern bloß eine invitatio ad offerendum. Also eine Einladung ein Angebot abzugeben. So wird im Online-Handel beispielsweise nicht schon der Vertrag mit Bestellung geschlossen, sondern erst durch eine Bestätigungsmail des Shop-Betreibers oder Zusendung der Ware. Anders zu beurteilen sind dagegen vollautomatische Systeme: Hier geht man davon aus, dass der Vertrag automatisch abgewickelt werden soll, ohne dass noch eine Annahme erfolgt. Dabei besteht dann ein genereller Geschäftswille und der Produktanbieter erklärt ein „Angebot an jedermann“. Bei dem Kauf von Apps im Onlinestore könnte man zunächst davon ausgehen, dass beim Vertrieb von virtuellen Gütern, bei denen auch kein Bedürfnis besteht den Warenbestand zu überprüfen oder ein Angebot abzulehnen, falls das Produkt nicht mehr vorrätig ist, der komplette Kaufprozess automatisiert ablaufen soll, sodass in dem Bereitstellen im App-Store ein „Angebot an jedermann“ gesehen werden könnte. 

Die Nutzungsbedingungen von Google Play dagegen, sagen etwas anderes: „Ihr Vertrag über den Erwerb und die Nutzung von Inhalten gilt als abgeschlossen, sobald Sie von Google eine E-Mail-Bestätigung für den Kauf erhalten.“ Die Klausel klingt zunächst danach, dass die Bestätigungs-E-Mail das Angebot darstellen soll. Näher betrachtet könnte sie jedoch auch unwirksam sein, da bei dem Nutzer durch die tatsächliche Gestaltung des Vertragsschlusses ein anderer Eindruck erweckt würde und es sich somit um eine überraschende Klausel nach § 305c Abs. 1 BGB handeln könnte. Darüber hinaus kann es zu Konstellationen kommen, in denen die Bestätigungs-E-Mail noch nicht erhalten wurde, aber die App bereits installiert wird, was laut Nutzungsbedingungen von Google die Vertragserfüllung darstellt. Dies kann von Google bereits nicht gewollt sein. Vieles spricht also dafür ein „Angebot an jedermann“ anzunehmen, denn der Vertragsschluss liegt voll und ganz in den Händen des Nutzers und damit läge ein Angebot bereits in dem Bereitstellen der App im App-Store.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir gehen näher auf die Werkvertragsreform 2018 ein und erläutern die Auswirkungen auf das IT-Recht.

Die Werkvertragsreform 2018

Einleitung

Bundesrat und Bundestag haben diverse Änderungen des Schuldrechts verabschiedet. Ab 2018 kommt es zu Neuerungen im Bereich des Werkvertragsrechts, des Bauvertragsrechts, des Architekten- und Ingenieurvertragsrechts sowie des Kauf- und Reisevertragsrechts. 

Auswirkungen auf IT-Verträge

Die Änderungen im Bereich des Werkvertragsrechts wirken sich auch auf IT-Verträge aus: IT-Projektverträge können Werkverträge eingestuft werden, wenn die Erstellung einer Software geschuldet oder die Veränderung etwa des Programmcodes einer bereits bestehenden Software Vertragsgegenstand ist. Beispielhaft kann die Anpassung von Standardsoftware anhand kundenspezifischer Anforderungen genannt werden. Im Gegensatz zum Dienstvertrag steht beim Werkvertrag die Erfolgsbezogenheit der Unternehmerverpflichtung im Vordergrund. Maßgeblich ist im Einzelfall der Schwerpunkt der Leistungsbeschreibung. Ein Werkvertrag und die Regelungen des Werkvertragsrechts können nicht durch die Bezeichnung als „Dienstvertrag“ umgangen werden, sofern nach der vertraglichen Leistungsbeschreibung Erfolg geschuldet ist. 

In Abgrenzung dazu sind die Normen aus der kaufrechtlichen Mängelhaftung insbesondere für die dauerhafte Überlassung von Standardsoftware anzuwenden. Standardsoftware wird als vorgefertigtes Produkt weitestgehend ohne anwenderbezogene Anpassungen angeboten. 

Reichweite und Geltung der Änderungen im Werkvertragsrecht

Die Gesetzesänderungen treten am 01.01.2018 in Kraft und gelten für alle Verträge, die ab Jahresbeginn geschlossen werden. Auf bis zum 01.01.2018 geschlossene Verträge – selbst wenn sie erst nach dem 01.01.2018 erfüllt werden – finden die neuen Regelungen keine Anwendung.

Anlass der Gesetzesänderungen im Allgemeinen waren unter anderem der Zweck der Verbesserung des Verbraucherschutzes sowie die Umsetzung zweier Entscheidungen des Europäischen Gerichtshofs. 

Änderungen des Werkvertragsrechts im Einzelnen

Die Neuerungen des Werkvertragsrechts gestaltet der Gesetzgeber beispielsweise in der Regelung von Abschlagszahlungen, der Abnahmefiktion, der Kündigung aus wichtigem Grund, der Teilkündigung und der Mitwirkungspflicht beim Projektende.

Abschlagszahlungen

Im Werkvertragsrecht wird die Regelung zu Abschlagszahlungen angepasst, indem es zu einer Modifikation der Berechnungsgrundlage kommt. Im Rahmen des § 632a BGB-E wird nicht mehr auf den Wertzuwachs beim Besteller abgestellt, sondern künftig auf den Wert der Leistungen, die der Unternehmer vertraglich geschuldet und erbracht hat. Dabei kann der Besteller einen angemessenen Teil des Abschlages bei der nicht vertragsgemäßen Leistungserbringung durch den Anbieter verweigern. Damit soll insgesamt die Berechnung der Höhe der geschuldeten Abschlagszahlungen vereinfacht werden, wenn der Wertzuwachs beim Besteller und der Wert der geschuldeten Leistung beim Anbieter nicht identisch sind. Im Ergebnis erhöht sich dadurch das Risiko für den Besteller, welches aber in Bezug auf die Vereinfachung der Berechnung und die Einführung von Verbraucherschutzregelungen hinsichtlich des Bauvertragsrechts gem. § 650k BGB-E hinnehmbar erscheint. 

Für das IT-Recht bedeutet dies, dass Auftraggeber von IT-Projekten künftig einem höheren Risiko ausgesetzt sind, indem sie sich nun an den gesetzlich vorgeschriebenen Zahlungen orientieren müssen. In Zukunft ist zu erwarten, dass die Vertragsparteien verstärkt vertragliche Regelungen über die Höhe der Abschlagszahlungen vereinbaren. Eine große Bedeutung für die Praxis wird auch das Zurückbehaltungsrecht des Bestellers haben. Selbst bei wesentlichen Mängeln darf nur ein Teil, und nicht die ganze Leistung, zurückbehalten werden. Zuvor gab es hier eine Unterscheidung zwischen wesentlichen und unwesentlichen Mängeln. Gem. § 640 Abs. 2 BGB-E kann der Besteller einen angemessenen Teil der Abschlagszahlung nur verweigern, wenn er behauptet, die Leistung sei nicht vertragsgemäß. 

Abnahme

Zum Zwecke der Beschleunigung des Abnahmeverfahrens und der Schaffung zusätzlicher Rechtssicherheit hinsichtlich der Fälligkeit der Vergütung gem. §§ 641, 640 Abs. 1 BGB kommt es nun zu einer Modifikation der Abnahmefiktion nach § 640 Abs. 2 BGB-E. Ab dem 01.01.2018 tritt die Abnahmefiktion gem. § 640 Abs. 2 BGB-E ein, wenn der Besteller nicht innerhalb einer gesetzten angemessenen Frist die Abnahme unter Angabe mindestens eines Mangels verweigert hat. Wenn der Besteller also keinen Mangel an dem Werk rügt, dann tritt trotz wesentlicher Mängel die Abnahmefiktion ein. Der Besteller unterliegt somit einer Handlungspflicht, und muss auftretende konkrete Mängel innerhalb der gesetzten Frist rügen, ganz gleich, ob der konkrete Mangel wesentlich ist. Es ist nicht notwendig, alle Mängel anzugeben und weitere Mängel können nachgeschoben werden. Nicht ausreichend ist allerdings die Angabe eines ohne weiteres erkennbar vorgeschobenen Mangels oder eines ohne Zweifel unwesentlichen Mangels. Nur durch die Angabe eines Mangels verhindert der Besteller die Fiktion der Annahme verbunden mit einer Beweislastumkehr. 

Es kann festgestellt werden, dass für den Auftraggeber im IT-Projektgeschäft darin eine Neuerung zu seinen Lasten liegt. Wann ein „Mangel“ im Sinne des IT-Rechts vorliegt, kann nicht pauschal beantwortet werden. Es kommt auf die Vereinbarungen der Vertragsparteien im Einzelfall an. Dementsprechend breit gefächert ist die Rechtsprechung zum Mängelbegriff im IT-Recht. Wenn der Besteller eine Funktionsstörung rügt, kann es sich hierbei um einen Teilmangel oder um einen selbständigen Mangel handeln. Aufgrund dessen bleibt zweifelhaft, ob das Ziel der gerechten Interessen-, Risiko und Belastungsverteilung dadurch gewahrt wird. Jedoch reicht bei der Rüge die Angabe „eines“ Mangels, an den gem. § 640 Abs. 2 S. 1 BGB-E keine hohen Anforderungen gestellt werden. 

Kündigung

Erstmals normierte der Gesetzgeber sowohl für den Besteller als auch den Unternehmer ein Kündigungsrecht aus wichtigem Grund in § 648a BGB-E, das neben der bisherigen Kündigungsmöglichkeit gem. § 649 BGB, ab 2018 gem. § 648 BGB-E, steht. Dabei knüpft § 648a BGB-E an die Regelung zur Kündigung von Dauerschuldverhältnissen an, §§ 648a Abs. 3, 314 Abs. 2, 3 BGB-E. Zum Zweck der Rechtssicherheit schließt der Gesetzgeber an die außerordentliche Kündigungsmöglichkeit an, die bislang auf Richterrecht beruhte. 

Für das IT-Vertragsrecht bedeutet dies, dass ein Softwareerstellungsvertrag bei einer Kündigung aus wichtigem Grund durch den Verweis des § 648a Abs. 3 BGB-E auf § 314 Abs. 2 und 3 BGB wie ein Dauerschuldverhältnis behandelt werden dürfte. Eine Kündigung ist dann gem. § 314 Abs. 2 S. 1 BGB erst nach erfolgloser Abmahnung beziehungsweise Fristsetzung möglich, es sei denn, der Schuldner verweigert die Leistung ernsthaft und endgültig, §§ 314 Abs. 2 S. 2, 323 Abs. 2 Nr. 1 BGB, der Schuldner leistet nicht termin- oder fristgerecht, §§ 314 Abs. 2 S. 2, 323 Abs. 2 Nr. 2 BGB, oder es liegen bestimmte Umstände vor, die unter Abwägung der beiderseitigen Interessen die sofortige Kündigung rechtfertigen, § 314 Abs. 2 S. 3 BGB. 

Gem. § 648a Abs. 5 beschränkt sich der Vergütungsanspruch des Unternehmers auf die bis zur Kündigung erbrachten Leistungen. Die nicht erbrachten Leistungen kann der Unternehmer im Rahmen eines Schadensersatzes gem. §§ 280 ff. BGB geltend machen, sofern die Voraussetzungen erfüllt sind. Ein Anspruch auf Schadensersatz steht beiden Parteien zu, § 648a Abs. 6 BGB-E. Ersatzfähig ist unter anderem auch der Anspruch auf Schadensersatz des bis zur Kündigung entstandenen Verzögerungsschadens gem. §§ 280 Abs. 1, 2, 286 BGB oder des Schadens wegen eines Mangels gem. § 634 Nr. 4 BGB. 

Teilkündigung

Die in § 648a Abs. 2 BGB-E neu eingeführte Teilkündigung ermöglicht die Kündigung eines abgrenzbaren Teils des geschuldeten Werks. Positiv zu sehen ist, dass ein IT-Projekt im Ganzen somit nicht unbedingt scheitern muss, sondern beispielsweise zwischen erbrachter und noch ausstehender Leistung differenziert werden kann.

Um das Recht der Teilkündigung nutzen zu können, wird es für die Parteien in IT-rechtlichen Schuldverhältnissen unerlässlich sein, ihre Projekte in klare Einheiten abzugrenzen. 

Mitwirkungspflichten nach ausgesprochener Kündigung

Die Vertragsparteien müssen bei der Feststellung des Leistungsstandes nach ausgesprochener Kündigung mitwirken. Das ergibt sich aus § 648a Abs. 4 BGB-E. Diese Verpflichtung greift für den Zeitpunkt nach einer Kündigung und soll einen Anreiz zur Vorbeugung eines Streites über den Umfang der bisher erbrachten Leistungen durch die Mitwirkung bei der Feststellung der quantitativen Bewertung schaffen. Ein Verstoß gegen diese Pflicht in Form der Verweigerung oder des Fernbleibens bei dem festgelegten Termin der Feststellung des Leistungsstandes führt zu einer Beweislast dieser Partei nach § 648a Abs. 4 S. 2 BGB-E. Dann wird die Behauptung der anderen Partei bezüglich der bereits erbrachten Leistungen als richtig vermutet. Davon wird aber eine Ausnahme gemacht, wenn die Partei das Fernbleiben nicht zu vertreten hat und die andere Partei darüber unverzüglich in Kenntnis setzt, § 648a Abs. 4 S. 3 BGB-E. 

Im IT-Recht hat die Neuerung der Mitwirkungspflicht die Folge, dass die Partei, die sich auf einen abweichenden Leistungsstand berufen möchte, die Beweislast dafür trägt. Zudem ist es in der Praxis relevant, dass die Beweislast bereits mit Mitwirkungsverweigerung oder Fernbleiben am Termin auf diese Partei übergeht. 

Weitere Änderungen ab 2018 

Es kommt ab dem 01.01.2018 auch zu Änderungen der kaufrechtlichen Mängelhaftung, indem der Verkäufer nun dem Käufer gegenüber verpflichtet ist, gem. § 439 Abs. 3 S. 1 BGB-E verschuldensunabhängig die Aufwendungen für das Entfernen der mangelhaften und für den Einbau oder das Anbringen der nachgebesserten oder gelieferten mangelfreien Sache zu ersetzen. Zu ersetzen sind sämtliche erforderlichen Aufwendungen, die zum Zweck der Nacherfüllung anfallen. Bei der Entfernung und Anbringung einer mangelfreien Sache sind die Aufwendungen erforderlich, die ein vernünftiger, wirtschaftlich denkender Käufer aufgrund einer sachkundigen Beratung oder Feststellung für eine vertretbare, also geeignete und Erfolg versprechende, Maßnahme erbringen konnte und musste. Zwar handelt es sich hierbei um dispositive Vorschriften, es ist also grundsätzlich möglich, sie vertraglich abzubedingen, jedoch ist bei der Verwendung von Allgemeinen Geschäftsbedingungen im B2C-Bereich bei Software-AGB im Rahmen einer Umgehung der Verpflichtung zum Ersatz der Ein- und Ausbaukosten Vorsicht geboten, damit die gesamte Klausel nicht unwirksam nach § 307 Abs. 2 Nr. 1 BGB ist. Im B2B-Bereich können weniger strenge Anforderungen an eine Umgehung gestellt werden. 

Insgesamt haben die Änderungen des Schuldrechts nicht zu unterschätzende Auswirkungen auf IT-Projektgeschäfte. Den Auftraggeber treffen künftig mehr Pflichten, insbesondere die Mitwirkungspflicht bei der Abnahme sowie bei der Feststellung des Leistungsstandes. Auch die nun AGB-feste Kostentragungspflicht für den Ein- und Ausbau von IT-Produkten bringt eine lang umstrittene Änderung mit sich.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über den abgeschlossenen Modernisierungsprozess des neuen IT-Grundschutzes.

Der neue IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik

Modernisierung des IT-Grundschutzes

Seit dem 11.Oktober 2017 ist der umfangreiche und langwierige Prozess der Modernisierung des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik abgeschlossen. Die Ergebnisse wurden auf der IT-Sicherheitsmesse it-sa vom 10. – 12. Oktober 2017 erstmals der Öffentlichkeit präsentiert. Die modernisierte Fassung zielt auf einen flexibleren und zukunftsfähigen IT-Grundschutz ab, so der BSI-Präsident Arne Schönbohm.

Was ist der IT-Grundschutz?

Der IT-Grundschutz umfasst unterschiedliche Methoden und Maßnahmen, die das BSI erarbeitet hat, um das Sicherheitsniveau der eigenen Informationstechnik von Unternehmen und Behörden zu erhöhen. Ziel ist es, ein mittleres, angemessenes oder auch ausreichendes Schutzniveau zu erreichen und den Behörden und Unternehmen ein ganzheitliches Managementsystem für ihre Informationssicherheit zu bieten. Dafür wurden dem Adressaten bisher eine Reihe von IT-Grundschutz-Katalogen zur Verfügung gestellt, die eine Reihe an technischen Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen enthielten. Darüber hinaus dient der IT-Grundschutz als Grundlage für die Zertifizierung eines angemessenen Sicherheitsniveaus.

Was hat sich verändert?

Mit der Modernisierung des IT-Grundschutzes soll ein flexibleres und zukunftsorientierteres Sicherheitssystem geschaffen werden, das vor allem kleineren Unternehmen, Behörden und Institutionen, die sich noch nie mit der Informationssicherheit auseinandergesetzt haben, zu Gute kommen soll. Dazu dient vor allem der neue „Leitfaden zur Basis-Absicherung“, der auf seinen 44 Seiten 3 grundlegende Schritte zur Umsetzung erster Sicherheitsmaßnahmen beschreibt. Der neue und modernisierte IT-Grundschutz besteht aus 3 unterschiedlichen Elementen, zum einen dem IT-Grundschutz-Kompendium, 3 BSI-Standards und dem Leitfaden zur Basis Absicherung.

IT-Grundschutz-Kompendium

Die bisher geltenden IT-Grundschutz Kataloge gehen im Kompendium auf und werden von diesem vollständig abgelöst. Das Kompendium mit seinen 763 Seiten beschäftigt sich schwerpunktmäßig mit Elementaren Gefährdungen, die auftreten und der Informationssicherheit schaden können und seinen 80 Bausteinen. Es werden 47 unterschiedliche elementare Gefährdungen für die Informationssicherheit aufgeführt, darunter beispielsweise Feuer, Abhören, Zerstören von Geräten oder Datenträgern. Diese Auflistung dient dazu, die Unternehmen und Behörden auf die potenziellen Gefahrensituationen für ihre Datensicherheit aufmerksam zu machen, sodass sie sich mit dem entsprechenden Risiko auseinandersetzen und Sicherheitsmaßnahmen ergreifen können. Dabei ist es ihnen möglich das Risiko an Dritte auszulagern, es zu akzeptieren und die möglichen Folgen hinzunehmen oder aber das Risiko gezielt durch Vorkehrungen und Maßnahmen zu reduzieren oder gar ganz zu vermeiden. Die aufgearbeiteten 80 Bausteine stellen maßgebliche Pfeiler einer umfassenden Informationssicherheit dar und unter den Clustern Sicherheitsmanagement, Organisation und Personal. Konzeption und Vorgehensweise, Betrieb, Detektion und Reaktion, Anwendung, IT-Systeme, Industrielle IT, Netze und Kommunikation sowie Infrastruktur werden dem Anwender alle wichtigen Rahmenbedingungen genannt. Diesen werden mögliche Gefahrenlagen und Anforderungen zugeordnet. Beispielsweise wird unter dem Baustein „Allgemeines Gebäude“ erläutert, was der Begriff des Gebäudes im Rahmen der Informationssicherheit umfasst, dass als Gefährdungslage in Gebäuden Feuer, Blitz, Wasser, Elementarschäden und Naturkatastrophen sowie Unbefugter Zutritt und weitere auftreten können und welche Anforderungen für den Bereich „Allgemeines Gebäude“ zu stellen sind, um mögliche Risiken für die Informationssicherheit zu minimieren. Dieses Kompendium soll ab dem 1.Februar 2018 als Prüfungsgrundlage für die Zertifizierung nach ISO 27001 dienen.

Die BSI-Standards Die 3 BSI-Standards des modernisierten IT-Grundschutzes sind die BSI-Standards 200-1, 200-2, 200-3. Sie formulieren Empfehlungen zu Methoden, Prozessen und Verfahren sowie konkreten Vorgehensweisen und Maßnahmen für Behörden, Unternehmen, Hersteller und Dienstleister, um ihre Geschäftsprozesse und Daten sicherer zu gestalten. Der BSI-Standard 200-1 beschäftigt sich mit den Anforderungen an Managementsysteme für Informationssicherheit und ist auch weiterhin kompatibel zum ISO-Standard 27001 und bezieht Empfehlungen der ISO 27002 mit ein. Der BSI-Standard 200-2 führt IT-Grundschutz-Vorgehensweisen aus und enthält 3 neue Vorgehensweisen zur Umsetzung des IT-Grundschutzes. Dagegen beschreibt der BSI-Standard 200-3 unter dem Stichwort Risikomanagement alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes und hilft dem Anwender insoweit, als dass der Aufwand, um ein angemessenes Schutzniveau zu erreichen erheblich reduziert wird. Dieser Standard knüpft an die Situation an, dass Unternehmen und Behörden bereits mit den IT-Grundschutz-Methoden vertraut sind und nun eine Risikoanalyse anschließen wollen.

Leitfaden zur Basis-Absicherung

Als drittes Element tritt der Leitfaden zur Basis-Absicherung nach IT-Grundschutz hinzu und gibt dem Anwender eine Orientierung „In 3 Schritten zur Informationssicherheit“ an die Hand. Diese 3 Schritte beinhalten die Initiierung, Organisation und Durchführung des Sicherheitsprozesses und beschreiben im Detail, wie ein Sicherheitskonzept aufgebaut und umgesetzt werden kann. Unter den ersten Schritt der Initiierung fällt zum einen zunächst Verantwortung zu übernehmen (speziell durch den Informationssicherheitsbeauftragten), zum anderen aber auch Sicherheitsziele festzulegen und Leitlinien zu formulieren. Die Organisation umfasst im zweiten Schritt den Aufbau einer Organisation zur Informationssicherheit und die Integration von Sicherheitsprozessen in bestehende Abläufe und Prozesse. Der dritte Schritt der Durchführung beginnt mit der Auswahl und Priorisierung der Bausteine aus dem Kompendium und schließt mit einem IT-Grundschutz-Check und der Umsetzung der Sicherheitskonzeption ab.

Was geschieht als nächstes?

Das IT-Grundschutz-Kompendium wird im Februar 2018 als gedruckte Version erscheinen und jährlich im Februar aktualisiert werden. Der Leitfaden erscheint als Broschüre. Ob die modernisierte Version tatsächlich flexibler und konkreter ausgestaltet ist als zuvor und daher den Bedürfnissen kleinerer Unternehmen und Behörden entgegenkommt, wird sich aus der Praxis der nächsten Zeit erst noch zeigen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!