Rechtlich wasserdichte Webseiten
Ihre Internetseite ist die digitale Visitenkarte Ihres Unternehmens. Sie stellt das zentrale Kommunikationsmittel dar, um Kunden zu erreichen und zu binden. Damit gehört sie zu den wichtigsten Erfolgsfaktoren eines Unternehmens.
Erfahren Sie hier, wie Sie die grundlegenden rechtlichen Vorgaben umsetzen. Diese gelten für alle Internetseiten, also auch für Online-Shops. Das Thema AGB und Widerrufsbelehrung wird in dieser grundlegenden Übersicht nicht behandelt.
Anforderungen an das Impressum
Die sog. Impressumspflichtgilt für alle geschäftsmäßigen Internetseiten, wie z.B. Unternehmenswebseiten, Unternehmens-Blogs, Online-Shops und generell alle Seiten auf denen Werbung geschaltet wird. Darüber hinaus müssen aber auch Unternehmensseiten auf Social-Media-Plattformen wie Facebook, Instagram,Twitter usw. mit einem rechtskonformen Impressum ausgestattet werden.
Ziel der Impressumspflicht ist es, Transparenz herzustellen, so dass die Besucher schnell und einfach erfahren können, wer hinter einer Internetseite steckt. Darüber hinaus dient die Anbieterkennzeichnung auch dazu, Verantwortlichkeiten für Rechtsverstöße auf einer Internetseite klar zu regeln. Die Anbieterkennzeichnung muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein.
Die Rechtsprechung sieht diese Anforderungen als erfüllt an, wenn die Anbieterkennzeichnung unter der Rubrik “Impressum” oder “Kontakt” auf der Internetseite verlinkt ist und dieser Link mit maximal zwei Klicks von jeder Unterseite aus erreichbar ist.
Anbieterkennzeichnung überprüfen
Der Anbieter einer Internetseite sollte sich darüber bewusst sein, dass Fehler in der Anbieterkennzeichnung nicht als Bagatellverstoß angesehen werden und Konkurrenten wettbewerbsrechtliche Abmahnungen aussprechen können.
Anhand von § 5 TMG sollten Sie Ihre Anbieterkennzeichnung in folgenden Punkten überprüfen:
a) Vollständiger Name des Anbieters, des Vertretungsberechtigten und der Rechtsform
Neben dem Namen und der Anschrift des Anbieters sind bei juristischen Personen und sonstigen Körperschaften (z. B. GmbH, OHG etc.) zusätzlich die Rechtsform und der Vertretungsberechtigte (z. B. Geschäftsführer der GmbH) zu nennen. Die Nennung hat vollständig zu erfolgen, Vornamen dürfen nicht abgekürzt werden. Es ist auf die korrekte Bezeichnung des Vertretungsberechtigten zu achten.
b) Anschrift, Kontaktaufnahme und Kommunikation
Das Impressum hat gemäß § 5 Abs. 1 Nr. 1 TMG die Anschrift der Niederlassung des Anbieters sowie gemäß Nr. 2 Angaben zu enthalten, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit dem Anbieter ermöglichen (Telefon, E-Mail). Die Anschrift muss vollständig sein und es darf nicht lediglich ein Postfach genannt werden. Nach bisheriger Rechtsprechung muss auf eine Anfrage über ein Kontaktformular oder per E-Mail innerhalb von max. 60 Minuten geantwortet werden. Ist dies gegeben, ist die Angabe einer Telefonnummer bislang nicht zwingend notwendig. Hierbei sind zwei Besonderheiten zu beachten:
- Dienstleistungserbringer sollten stets eine Telefonnummer angeben, um ihrer Pflicht aus der Verordnung über Informationspflichten für Dienstleistungserbringer (kurz: DL-InfoV) zu erfüllen (vgl. § 2 Abs. 1 Nr. 2 DL-InfoV)
- Mit Inkrafttreten des Gesetzes zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungs- vermittlung besteht ab dem 13.06.2014 eine Pflicht zur Angabe einer Telefonnummer bei Fernabsatzverträgen (vgl. Art. 246a § 1 Abs. 1 Nr. 2 EGBGB). Dieser Pflicht kann leicht durch die Aufnahme einer Telefonnummer in die Anbieterkennzeichnung genügt werden.
c) Registergericht und Registernummer
Wenn der Anbieter in das Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen ist, müssen das Registergericht und die Registernummer angegeben werden.
d) Umsatzsteuer- und Wirtschafts-Identifikationsnummer
Soweit für den Seitenbetreiber eine Umsatzsteuer-Identifikationsnummer nach § 27a des Umsatzsteuergesetzes (UStG) oder eine Wirtschafts-Identifikationsnummer nach § 139c der Abgabenordnung (AO) vom Bundeszentralamt für Steuern vergeben wurde, muss diese in der Anbieterkennzeichnung angegeben werden. Im Gegensatz hierzu sollte die vom zuständigen Finanzamt vergebene Steuernummer nicht angegeben werden. Ebenso wenig sollten die Bankdaten angegeben werden, um unberechtigte Lastschriften zu verhindern.
e) Name des inhaltlich Verantwortlichen
Bei journalistisch-redaktionellen Angeboten sind gem. § 55 Abs.2 RStV Name und Anschrift eines hierfür Verantwortlichen zu nennen. Derartige Angebote sind z. B. Blogs, News und allgemein sämtliche Inhalte, die über reine Werbetexte hinausgehen.
f) Zuständige Aufsichtsbehörde
Soweit die Internetseite im Rahmen einer Tätigkeit angeboten wird, die einer behördlichen Zulassung bedarf, sind Angaben zur zuständigen Aufsichtsbehörde zu machen. Einer behördlichen Zulassung bedürfen z. B. Gaststätten, Inkassobüros und Taxiunternehmen. Ist die Angabe einer Aufsichtsbehörde erforderlich, so ist diese samt Anschrift und Kontaktdaten der Aufsichtsbehörde in der Anbieterkennzeichnung aufzunehmen.
g) Kammer, Berufsbezeichnung und berufsständische Regelungen
Bei besonders reglementierten Berufen, deren Aufnahme oder Ausübung rechtlich an ein Diplom, eine staatliche Prüfung oder andere Bildungsnachweise gebunden sind (z. B. Ärzte, Apotheker, Therapeuten, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Architekten, Ingenieure), sind zusätzliche Angaben notwendig: Hinzuweisen ist auf die zuständige Kammer, die Berufsbezeichnung, ggf. der Staat, in dem die Berufsbezeichnung verliehen wurde, und die Nennung der betreffenden berufsständischen Regelungen oder wenigstens ein Link dorthin.
h) Stamm- oder Grundkapital bei juristischen Personen
Angaben zu Stamm- oder Grundkapital müssen nur gemacht werden, soweit nicht alle in Geld zu leistenden Einlagen bereits eingezahlt sind. Soweit erforderlich sind der Gesamtbetrag der Einlagen sowie der noch ausstehende Teil zu anzugeben.
i) Berufshaftpflichtversicherung
Dienstleister, die eine gesonderte Berufshaftpflichtversicherung abgeschlossen haben, müssen gem. der Verordnung über Informationspflichten für Dienstleistungserbringer (DL-InfoV) den Namen und die Anschrift ihrer Berufshaftpflichtversicherung sowie den räumlichen Geltungsbereich der Versicherung angeben. Reine Firmenhaftpflichtversicherungen fallen nicht unter diese Regelung. Dabei ist stets zu prüfen, ob die Angebotene Dienstleistung überhaupt in den Anwendungsbereich der DL-InfoV fällt. So gibt es beispielsweise Ausnahmen für Ärzte, und private Sicherheitsdienste.
j) Erkennbarkeit und Erreichbarkeit der Anbieterkennzeichnung
Die Anbieterkennzeichnung muss leicht auffindbar und ständig verfügbar sein. Sie sollte unter einer selbsterklärenden Bezeichnung, wie z.B. “Anbieterkennzeichnung”, “Impressum” oder “Kontakt” verlinkt werden und von jeder Unterseite aus mit maximal zwei Klicks aufrufbar sein. Auch ist darauf zu achten, dass sie nicht nur bei aktiviertem Java-Script sichtbar oder im Flash-Format hinterlegt ist. Manche Browser können derartige Inhalte nicht korrekt darstellen.
k) Keine rechtlich problematischen Hinweise (Disclaimer) auf der Webseite bzgl.
Abmahnungen, Haftung für Links, etc.
Es sollten keine rechtlichen Hinweise (Disclaimer) auf der Webseite vorhanden sein, die möglicherweise zu rechtlichen Nachteilen führen könnten. Ebenso sollten keine generellen Haftungsausschlüsse bzgl. Links zu anderen Internetseiten erfolgen.
Wir beobachten hier häufig folgende Fehler
- Auf Internetseiten, die sog. journalistisch-redaktionelle Angebote beinhalten, muss für diese ein inhaltlich Verantwortlicher benannt werden. Dies schreibt § 55 Abs. 2 des Rundfunkstaatsvertrages (RStV) zwingend vor. Die wenigsten Seitenbetreiber wissen aber, dass eine solche Pflicht besteht, sobald man beispielsweise eine Rubrik “News” oder “Aktuelles” betreibt oder einen Blog in seine Seite eingebunden hat. Dementsprechend oft fehlt die Pflichtangabe gem. § 55 Abs. 2 RStV in der Anbieterkennzeichnung.
- Immer wieder kommt es vor, dass die Pflichtangaben zu Registereintragungen nicht oder nicht korrekt gemacht werden. Eintragungen in das Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister sind in der Anbieterkennzeichnung anzugeben. Diese Informationen ermöglichen es interessierten Nutzern sich weitergehend über den Anbieter zu informieren – etwa über Unternehmen im Handelsregister (z.B. unter www.unternehmensregister.de). Auch beim Fehlen dieser Informationen droht eine Abmahnung.
Anforderungen an den Datenschutz
Da die Rechtsprechung mittlerweile weitgehend der Ansicht ist, dass Datenschutzverstöße als Wettbewerbsverstöße abgemahnt werden können, sollte das Thema Datenschutz nicht vernachlässigt werden. Zudem können die Einhaltung datenschutzrechtlicher Vorgaben und ein offensiver Umgang mit dem Thema Datenschutz das Vertrauen der Kunden in Ihr Unternehmen stärken.
Datenschutzrechtliches Aushängeschild ist dabei eine rechtskonform gestaltete und umgesetzte Datenschutzerklärung. Nachfolgend haben wird daher die wichtigsten Punkte einer solchen Datenschutzerklärung zusammengefasst.
a) Inhalt einer Datenschutzerklärung
Gemäß § 13 TMG sind Betreiber gewerblicher Internetseiten dazu verpflichtet, eine Datenschutzerklärung vorzuhalten. Die Nutzer sind darin über die Art, den Umfang und die Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten.
b) Information über die Rechte des Betroffenen
Nach dem BDSG hat der Betroffene gegenüber der datenverarbeitenden und damit verantwortlichen Stelle, d. h. dem Seitenbetreiber, ein Auskunftsrecht sowie ein Recht zur Löschung, Berichtigung und zur Sperrung der personenbezogenen Daten. Über diese Rechte sollte der Seitenbetreiber die Nutzer in seiner Datenschutzerklärung unterrichten und ihnen aufzeigen, wie sie diese Rechte wahrnehmen können.
c) Einwilligung bei Nutzung personenbezogener Daten zu anderen Zwecken
Seitenbetreiber, die personenbezogene Daten für andere Zwecke als die Vertragsabwicklung oder die Funktion der Internetseite nutzen möchten, müssen den Nutzer hierüber informieren und dieser muss der anderweitigen Nutzung seiner personenbezogenen Daten vorab ausdrücklich zustimmen. An die Einwilligung werden dabei hohe Anforderungen gestellt. Der Seitenbetreiber hat im Streitfall zu beweisen, dass der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat. Die Einwilligung muss zudem protokolliert werden. Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Darauf ist auch hinzuweisen.
d) Datenschutzerklärung berücksichtigt besondere Funktionen der Webseite
Die Datenschutzerklärung muss alle datenschutzrechtlich relevanten Funktionen der Internetseite berücksichtigen, mit denen der Nutzer personenbezogene Daten über die Webseite übermittelt. Dies können z. B. Bestellformulare für Newsletter, Kommentarmöglichkeiten, Kontaktformulare, Gästebücher und Login-Bereiche sein.
e) Datenschutzerklärung ständig verfügbar und aussagekräftig verlinkt
Die Hinweise zum Datenschutz müssen von den Nutzern jederzeit auf der Internetseite abgerufen werden können. Ähnlich wie bei der Anbieterkennzeichnung ist die Datenschutzerklärung mit einem sog. sprechenden Link „Datenschutz” oder „Datenschutzerklärung” zu verlinken. Die Datenschutzerklärung muss mit max. zwei Klicks von der Startseite aus erreichbar sein. Dieses Erfordernis ist nicht erfüllt, wenn die Datenschutzerklärung lediglich in den AGB oder im Impressum „versteckt” wird.
f) Unterrichtung über die Nutzung von Cookies
Cookies sind Informationen, die auf dem Computer des Nutzers in einer kleinen Textdatei hinterlegt und bei einem erneuten Besuch einer Internetseite ausgelesen werden. Online-Shops nutzen regelmäßig Cookies, oder vergleichbare Techniken, um den Warenkorb des Nutzers zu speichern und bei einem erneuten Seitenaufruf wieder anzuzeigen. Da der Einsatz von Cookies datenschutzrechtlich relevant ist, ist der Nutzer über den Einsatz von Cookies und deren Zweck zu informieren.
g) Unterrichtung über die Verarbeitung von Daten außerhalb der EU
Die EU und insbesondere Deutschland, haben im Vergleich mit anderen Ländern ein hohes Datenschutzniveau. Werden Daten in ein Land außerhalb dieses Schutzraumes “exportiert”, ist größte Sorgfalt anzuwenden, weil die europäischen Standards nicht überall bestehen. Auch die USA haben kein derart durchgängig hohes Datenschutzniveau. Einige Nicht-EU-Staaten sind zwar dem sog. “Safe Harbour” Abkommen beigetreten, das ein vergleichbares Datenschutzniveau wie in den EU-Staaten garantieren soll. Aber auch wenn dies der Fall ist, kann man insbesondere bei Cloud-Services wie Google-Analytics oder Facebook nicht wissen, wo die Daten verarbeitet werden. Ob die Integration derartiger Services durch die Nutzung von Plugins und Skripten auf der eigenen Internetseite gegen deutsches Datenschutzrecht verstößt, insbesondere gegen das Verbot, personenbezogene Daten ohne Einwilligung an Dritte in nicht EU-Staaten weiterzugeben, ist gerichtlich noch nicht geklärt.
h) Unterrichtung über den Datenaustausch mit anderen Webseiten
Die Nutzung von externen Webservices, wie z. B. des Facebook-Like-Buttons und anderer aktiver Java-Skript Plugins, ermöglicht den Nutzern einer Internetseite sehr einfach mit der Seite zu interagieren. Als Seitenbetreiber können sehr einfach neue Funktionen in die Internetseite integriert werden.
Ruft der Nutzer eine Seite mit einem aktiven Plug-In auf, stellt der Browser eine direkte Verbindung mit dem fremden Server, z. B. Facebook, her. Ist der Nutzer bei Facebook angemeldet oder liegt ein Facebook-Cookie auf dem Rechner, kann Facebook den Nutzer identifizieren. Da durch solche Plugins, personenbezogene Daten ungefragt an Dritte weitergeleitet werden, muss die Datenschutzerklärung darüber zumindest aufklären. Die ungefragte Weitergabe personenbezogener Daten ist aber auch bei einer ordnungsgemäßen Aufklärung hierüber in der Datenschutzerklärung rechtswidrig. Es ist daher ratsam, sog. Zwei-Klick Lösungen zu nutzen, bei denen der Nutzer der Datenübertragung an den fremden Server vorab explizit zustimmen muss.
i) Ermöglichung anonymer Nutzung oder unter Pseudonym
Der Seitenbetreiber hat den Nutzer über Möglichkeiten zu unterrichten, ob und wie eine anonyme oder pseudonyme Nutzung der Internetseite möglich ist. Wird mit der Internetseite ein Online-Shop betrieben, kann auf die Möglichkeit einer anonymen bzw. pseudonymisierten Nutzung verzichtet werden, da die Adressdaten und der Klarname für die Vertragsabwicklung benötigt werden.
j) Unterrichtung über die Durchführung von Bonitätsprüfungen
Wenn personenbezogene Daten für Anfragen bezüglich Bonitätsauskünften bei Schufa, Creditreform usw. verwendet werden, muss darüber in der Datenschutzerklärung aufgeklärt werden. Hierbei sind der Name und die Anschrift des Unternehmens möglichst genau anzugeben, an das die Daten weitergeleitet werden.
k) Nennung des betrieblichen Datenschutzbeauftragten
Ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist, ist dem BDSG zu entnehmen. Dies ist bei Nicht-öffentlichen Stellen beispielsweise dann der Fall, wenn personenbezogene Daten automatisiert verarbeitet werden und damit mehr als 9 Personen ständig beschäftigt sind oder wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Wenn ein betrieblicher Datenschutzbeauftragter als Ansprechpartner bestellt wurde, ist dieser in der Datenschutzerklärung mit einer Kontaktmöglichkeit zu benennen.
l) Newsletter
Bei Newslettern ist zunächst zwischen Newslettern an Bestandskunden und Nichtbestandskunden zu unterscheiden. Bei der Anmeldung sollte stets ein sog. Double-Opt-In-Verfahren genutzt werden, da der Bundesgerichtshof widerholt entschieden hat, dass ein einfaches Opt-Out-Verfahren (wie es etwa bei Postwerbung genutzt werden kann) bei Werbung über E-Mail oder Telefon gerade nicht ausreichend ist. Der Nutzer muss zudem auf die Möglichkeit einer Austragung aus dem Newsletter-Verteiler hingewiesen werden. Zudem muss in den Newsletter-Mails ein Link zur Abmeldung vom Newsletter enthalten sein (sog. Opt-Out). Über die Newsletter-Funktion ist in der Datenschutzerklärung aufzuklären und sie ist dort in ihrer Funktionsweise zu beschreiben.
m) Anklickbarkeit der Verlinkungen in der Datenschutzerklärung / allgemeine Gestaltung
Die in der Datenschutzerklärung enthaltenen Verlinkungen (Links) zu Opt-Out-Tools und allen sonstigen relevanten Seiten müssen anklickbar sein und diese Links müssen auch funktionieren. Überdies sollte auf eine übersichtliche und lesbare Gestaltung der Datenschutzerklärung geachtet werden. So sollte die Datenschutzerklärung untergliedert und die Überschriften zu den einzelnen Abschnitten als solche zu erkennen sein.
n) Informationen zu eingesetzter Tracking-Technik (z. B. Piwik oder Google Analytics)
Nahezu jede professionelle Webseite setzt eine Web-Tracking-Software, die er Aufzeichnung von Nutzer-Bewegungen, Herkunft und Interaktionen aufzeichnet. Da derartige Tracking-Tools personenbezogene Daten erheben, verarbeiten und speichern, sind strenge Vorgaben der Landesdatenschutzbeauftragten einzuhalten.
Nachdem die Nutzung von Google Analytics in der Vergangenheit noch gegen deutsches Datenschutzrecht verstieß, besteht mittlerweile die Möglichkeit, Google Analytics rechtskonform einzusetzen. Dazu muss ein Java-Skript-Operator, z.B. “_gaq.push (['_gat._anonymizeIp']);”, in den Analytics-Code eingefügt werden. Im Ergebnis werden die IP-Adressen der Nutzer dann nur verkürzt gespeichert und anonymisiert weiterverarbeitet.
Darüber hinaus muss in einem zweiten Schritt der von Google bereitgestellte Vertrag zur Auftragsdatenverarbeitung ausgefüllt und an Google übersendet werden. Auftragsdatenverarbeitung meint die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle gem. § 11 BDSG. Schließlich muss die Datenschutzerklärung diesbezüglich erweitert und die bereits erhobenen Daten gelöscht werden.
Fazit
Die Erstellung des Impressums und der Datenschutzerklärung ist relativ komplex geworden und selbst mit Generatoren für den Laien nur eingeschränkt selbst möglich. Hier stellen wir häufig Fehler fest.
Wir empfehlen allen Betreibern von geschäftlichen Internetseiten, eine spezialisierte Beratung in Anspruch zu nehmen und sich vor allem keine Rechtstexte von Dritten zu kopieren oder Rechtstexte mittels Generatoren zu erstellen, da Sie dann niemanden in die Haftung nehmen können, falls Sie eine Abmahnung erhalten.
Dieser Gastbeitrag wurde verfasst von
Wirtschaftsjurist
Johnny Chocholaty, LL.B.
Geschäftsführender Gesellschafter
Website-Check GmbH
Beethovenstraße 24
66111 Saarbrücken
Internet: www.website-check.de
Rechtsanwalt
Marcus Dury, LL.M.
Fachanwalt für IT-Recht und Inhaber der
IT-Recht Kanzlei DURY
Beethovenstr. 24
66111 Saarbrücken
Internet: www.dury.de