Rechtskonform

 

Symbolbild zum Thema: Illustration des Amtsgerichts Villingen mit Justitia, die jedoch in Wirklichkeit dort nicht zu finden ist (© Alexander Reichert).
Bei einem Internetauftritt gibt es eine wachsende Anzahl von Rechtsnormen zu beachten. Urheberrecht


Websites können auf Dauer nur erfolgreich sein, wenn sie auch rechtskonform sind, d.h. die rechtlichen Anforderungen einhalten. Ansonsten sind sie nämlich abmahngefährdet. Rechtliche Anforderungen zu beachten, gehört zwar zu den so genannten Nebenpflichten eines Webdesigners. In der Praxis gibt es aber große Unterschiede, wie sehr gut sich die handelnden Personen damit auskennen. In der Region Villingen-Schwenningen gehöre ich zu den Leuten, die sich mit den rechtlichen Anforderungen an Websites besonders gut auskennen und sich auf diesem Gebiet laufend weiterbilden. Anzahl und Komplexität dieser Anforderungen nehmen nämlich laufend zu, ebenso wie die Sanktionierung bei Nichtbeachtung. Webdesigner dürfen dabei aber selbst nur in engen Grenzen tätig werden. Ansonsten machen sie sich nämlich wegen unerlaubter Rechtsberatung strafbar: Eine Gratwanderung.

 

Aufklärung, schematische Rechtsanwendung, aber keine Rechtsberatung


Webdesigner dürfen ihre Erzeugnisse nur online stellen und damit in Verkehr bringen, wenn sie in jeder Hinsicht einwandfrei sind, besonders in rechtlicher Hinsicht. Dazu zählt die Beachtung von Urheberrechten ebenso wie ein vollständiges Impressum und eine aktuelle Datenschutzerklärung.

Es gehört zu den so genannten Nebenpflichten eines Webdesigners, sich schlau zu machen, welche rechtlichen Vorgaben zu beachten sind, sie selbst zu beachten und seine Kunden darüber aufzuklären. Aufklärung von Kunden über allgemein gültiges Recht ist seine Pflicht und keine Rechtsberatung.

Würde einer meiner Kunden nicht bereit sein, bestimmten gesetzlichen Vorgaben Rechnung zu tragen, bliebe mir nichts anderes übrig, als den geschlossenen Werkvertrag zu kündigen, weil ich ihn nicht rechtskonform zu Ende führen kann. Ohne die Erfüllung gesetzlicher Vorgaben darf ich nämlich das Ergebnis meiner Arbeit nicht in Verkehr bringen, auch wenn der Kunde damit einverstanden wäre.

Ebenso wie die Aufklärung von Kunden über allgemein gültiges Recht ist auch eine rein schematische Rechtsanwendung keine Rechtsberatung. Wenn ein Webdesigner also seinen Kunden nach den Angaben fragt, die seines Wissens in ein vollständiges Impressum gehören, so ist das keine Rechtsberatung. Auch dann nicht, wenn er weiß und berücksichtigt, dass in das Impressum eines Arztes andere Angaben gehören als in die eines Handwerkers. Denn dieses Wissen gilt für ALLE Ärzte bzw. für ALLE Handwerker und nicht nur für den konkreten Einzelfall. Dies gilt analog auch bei anderen Gesetzen, die in einer für Laien verständlichen Sprache regeln, was wo zu stehen hat, ohne dass man dafür weitere Gesetze oder die Rechtsprechung kennen und Jura studiert haben muss. 

 

Echte und nicht nur schematische Rechtsanwendung ist nur Rechtsanwälten vorbehalten und Personen mit besonderer Erlaubnis. Nach § 2 Abs. 1 RDG ist dies jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.
Eine konkrete rechtliche Prüfung des Einzelfalls und damit eine Rechtsberatung liegt nicht vor, wenn der Webdesigner

  • auf Wunsch des Kunden und mit Genehmigung des Urhebers bzw. dessen genereller Freigabe auf einen im Internet verfügbaren Datenschutzgenerator eines Rechtsanwalts zurückgreift und davon nur die Textbausteine in die eigene Website übernimmt, die für die Website des Kunden relevant sind. Denn hierzu bedarf es keiner rechtlichen, sondern einer faktischen, allenfalls technischen Prüfung des Einzelfalls.
  • die von einem Rechtsanwalt verfassten Textbausteine eines Datenschutzgenerators um wissenswerte Fakten oder technische Details ohne rechtliche Relevanz ergänzt,
  • die von einem Rechtsanwalt verfassten Textbausteine eines Datenschutzgenerators im Wege rein schematischer Rechtsanwendung um Passagen ergänzt, die ihm zur vollständigen Erfüllung gesetzlicher Anforderungen geboten erscheinen.

Ersteller von Muster-Datenschutzerklärungen oder Datenschutzgeneratoren stellen nämlich stets klar, dass ihre Ausarbeitungen nicht allen Eventualitäten von Websites Rechnung tragen können und sie auch keine Haftung für die Vollständigkeit und richtige Anwendung übernehmen können.

Voraussetzung für Punkt 2 und 3 ist, dass die Einfügung gegenüber der ursprünglichen Quellenangabe gekennzeichnet ist.

Den von Rechtsanwälten erstellten Datenschutzgeneratoren gleichgestellt sind Datenschutzgeneratoren von Berufs- und Interessenvereinigungen für ihre Mitglieder gemäß § 7 Rechtsdienstleistungsgesetz (RDG) sowie öffentlichen bzw. öffentlich anerkannten Stellen gemäß § 8 Abs. 1 Pkt. 2 + 4 RDG, wenn die im Gesetz genannten Voraussetzungen gegeben sind.

 

Unabhängig von o.a. Verlinkungen finden Sie deutsche Gesetze alphabetisch sortiert unter www.gesetze-im-internet.de . Teilweise sind die Forderungen dieser Gesetze und Verordnungen identisch.

Da die Gestaltung von Online-Shops nicht zu meinem Leistungsumfang gehört, tragen meine Ausführungen diesen zusätzlichen Anforderungen nicht Rechnung.

An nationale oder internationale Normen wie beispielsweise DIN, EN oder ISO fühle ich mich allerdings nur gebunden, wenn ihre Anwendung gesetzlich vorgeschrieben oder einzelvertraglich vereinbart ist. 

 

Impressum


Jede Website muss über ein Impressum verfügen, das von allen Inhaltsseiten aus unmittelbar zugänglich ist und mindestens folgende Angaben enthalten:

  • Vollständiger Name des Anbieters
    Bei natürlichen Personen mit mindestens einem ausgeschriebenen Vornamen. Bei juristischen Personen mit Gesellschaftsform, Registergericht, Registerabteilung, Registernummer, Vorstand oder Geschäftsführung, mindestens aber deren Vorsitzenden sowie dem Vorsitzenden des Aufsichts- oder Verwaltungsrats, falls vorhanden.
  • Vollständige, ladungsfähige Anschrift; kein Postfach
  • Angaben zu einer schnellen Kontaktaufnahme (Telefonnummer, E-Mail-Adresse)
  • Name und Anschrift des inhaltlich Verantwortlichen (§ 55 Abs. 2 RStV)
  • Für Tätigkeiten, die einer behördlichen Zulassung bedürfen, Namen, Anschrift und Kontaktdaten der zuständigen Aufsichtsbehörde
  • Name, Anschrift und Kontaktdaten einer Kammer, der der Anbieter angehört
  • Eine gesetzliche Berufsbezeichnung (z.B. Arzt, Rechtsanwalt) und der Staat, in dem sie vergeben wurde
  • Link zu diesbezüglichen berufsrechtlichen Regelungen oder wo man sie erhalten oder einsehen kann
  • Bei Ärzten mit Zulassung zu gesetzlichen Krankenkassen zusätzlich Name, Anschrift, Kontaktdaten der zuständigen kassenärztlichen Vereinigung
  • Eine Umsatzsteuer-Identnummer, falls erteilt
  • Name und Anschrift der Versicherungsgesellschaft einer bestehenden Berufs- oder Betriebshaftpflichtversicherung und deren Geltungsbereich
 

Datenschutz


Jede Website muss über eine Datenschutzerklärung verfügen, die unmittelbar von allen Webseiten aus zugänglich ist und daher auch keine Unterseite von „Impressum“ oder „Kontakte“ sein darf. Diese Verpflichtung ergibt sich unter anderem aus § 13 des Telemediengesetzes (TMG):

„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb … (derEU) … in allgemein verständlicher Form zu unterrichten … Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“

Wer dem nicht Rechnung trägt, begeht nach § 16 Abs. 2 Pkt. 2 TMG eine Ordnungswidrigkeit, die mit einem Bußgeld bis zu 50.000 € geahndet werden kann. Zudem gibt es ein OLG-Urteil, wonach das Fehlen einer Datenschutzerklärung auch gegen Wettbewerbsrecht verstößt und entsprechend abgemahnt werden kann.

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der EU in allen Mitgliedsländern als unmittelbar geltendes Recht. Im Gegensatz zu EU-Richtlinien muss sie dafür nicht erst in nationales Recht umgesetzt werden. Wie § 1 Abs. 5 des Bundesdatenschutzgesetzes (BDSG-neu) zu entnehmen ist, finden die Vorschriften des Bundesdatenschutzgesetzes keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt. Hinter dieser Nummer verbirgt sich die DSGVO. Das heißt, die DSGVO ist vorrangig zu beachten. 

 

Gemäß Art 4 Abs. 1 DSGVO versteht die Verordnung unter „personenbezogenen Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“… Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung … oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann …“

Dazu gehören auch IP-Adressen (IP = Internet Protocol), ohne die im Internet keine Kommunikation möglich ist. Sie werden vom Netzbetreiber, z.B. der Deutschen Telekom, dynamisch vergeben. Eine Offenlegung der Identität ist nur auf Antrag per Gerichtsbeschluss möglich, wenn der Antragsteller ein berechtigtes Interesse glaubhaft darlegen kann und Datum und Uhrzeit bekannt sind. Ein Antragsteller, der zur Erreichung dieses Beschlusses unwahre Angaben gemacht hat, kann bestraft werden.

Zu personenbezogenen Daten gehören ggf. auch Cookies. Das sind kleine Dateien, die beim Besuch von Websites auf Ihrem Computer gespeichert werden. Cookies, die nicht betriebsnotwendig sind, sondern dazu benutzt werden, das Verhalten und die Interessen von Websitebesuchern zu ermitteln, dürfen erst nach ausdrücklicher Zustimmung des Websitebesuchers gesetzt werden. Diese Zustimmung muss dokumentiert und widerrufbar sein.

Personenbezogene Daten dürfen grundsätzlich nicht erhoben, verarbeitet, gespeichert oder veröffentlicht werden. Es sei denn, es ist erlaubt. Juristen sprechen in diesem Zusammenhang von einem „Verbot mit Erlaubnisvorbehalt“. Die Erlaubnis kann entweder der Betroffene selbst erteilen (Art. 6 Abs. 1a DSGVO), sich aus den Fällen gemäß Art. 1b – 1f DSGVO ergeben oder ein sonstiges, mit der DSGVO abgestimmtes Gesetz bzw. eine Verordnung erlauben es. Der Verantwortliche hat jeweils darzulegen, aufgrund wessen er sich dazu berechtigt sieht

Zu den Grundsätzen der DSGVO gehören Datenminimierung, Zweckbindung und umfassende Aufklärung. Das heißt, es dürfen nur die Daten erhoben und verarbeitet werden, die für einen ganz bestimmten Zweck erforderlich sind. An diesen Zweck ist die Verarbeitung gebunden. Die Daten dürfen nicht für weitere Zwecke verwendet werden. Zugang zu diesen Daten haben nur Personen, die diese Daten zur Erfüllung des Zwecks benötigen. Auch die Dauer der Speicherung steht unter dem Vorbehalt der Zweckbindung. Personen, deren Daten erhoben werden, sind umfassend aufzuklären.

 

In die Datenschutzerklärung auf einer Website gehören, ohne Anspruch auf Vollständigkeit, mindestens folgende Angaben:


  • Der Verantwortliche gemäß Art. 4 Pkt. 7 DSGVO mit Kontaktdaten
  • Der Datenschutzbeauftragte gemäß Art.37 DSGVO, falls bestellt, mit Kontaktdaten
  • Erläuterung von Fachausdrücken (z.B. „IP-Adressen“, „Cookies“) zur Erfüllung der Forderung von Art. 12 Abs. 1 DSGVO, Informationen in präziser, transparenter, verständlicher, leicht zugänglicher Form in einer klaren und einfachen Sprache bereitzustellen.
  • Generell bei Websites: Informationen gemäß Art. 14 DSGVO, wenn die personenbezogenen Daten NICHT bei der betroffenen Person erhoben werden, sondern beim Besuch der Website automatisch anfallen
  • Warum diese Daten anfallen, was mit ihnen weiter geschieht, wie lange sie warum gespeichert werden (IP-Adressen, Cookies)
  • Inwieweit die Website Cookies erzeugt, welche Arten und was deren Aufgabe ist, ob ihr Einsatz genehmigungspflichtig ist, wenn JA, wie der Betroffene seine Genehmigung erteilen oder sie ablehnen kann und dass der Betroffene die Website auch bei Ablehnung genehmigungspflichtiger Cookies besuchen können muss. 
  • Hinweis, dass Besucher in ihrem Browser Cookies einschränken können und was ggf. davon die Folge ist
  • Die rechtliche Grundlage (Legitimation) für die Datenverarbeitung gemäß Art. 6 DSGVO. Im Falle von Art. 6 Abs. 1c „Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung“ landesspezifische Öffnungsklausel berücksichtigen.
  • Ob diese Daten an Dritte weitergegeben und ggf. den Geltungsbereich der DSGVO verlassen können
  • Ob und mit wem ein Vertrag über Auftragsverarbeitung geschlossen wurde (Art. 28 DSGVO)
  • Ob der Auftragsverarbeiter innerhalb der EU oder in einem als äquivalent eingestuften Drittland seinen Sitz hat (Datenübermittlung aufgrund eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO)
  • Pflichtangaben zu sozialen Netzwerken, falls relevant
  • Pflichtangabe zu Videos, die auf YouTube eingebettet sind, falls relevant
  • Pflichtangabe zu Google Analytics mit IP-Anonymisierung , falls relevant
  • Gewährleistung der Sicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 DSGVO
  • Fallweise bei Websites: Informationen gemäß Art. 13 DSGVO, wenn Daten bei der betroffenen Person erhoben werden. Hierunter fallen z.B. Antwort- bzw. Kontaktformulare und das Angebot von Newslettern.
  • Minimierung der Pflichtfelder in Antwort- bzw. Kontaktformularen
  • Erfüllung der Anforderungen bei der Bestellung von Newslettern
    (double opt-in, opt-out)
  • Die Rechte der betroffenen Person, hier also des Besuchers Ihrer Website
    -   Auskunftsrecht (Art. 15 DSGVO)
    -   Recht auf Berichtigung (Art. 16 DSGVO)
    -   Recht auf Löschung – Recht auf Vergessenwerden (Art. 17 DSGVO)
    -   Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    -   Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    -   Widerspruchsrecht (Art. 21 DSGVO)
    -   Beschwerderecht (Art. 77 DSGVO)
  • Die zuständige Aufsichtsbehörde (Art. 51 DSGVO)
 

Ihre Datenschutzerklärung – Ihre Möglichkeiten


  • Sie machen sich sachkundig und texten Ihre Datenschutzerklärung völlig autonom. Schließlich sind Sie der Verantwortliche. Diese Verantwortung kann Ihnen auch der beste Anwalt nicht abnehmen. Der vorstehende Text kann Ihnen dabei eine Hilfe sein.
  • Sie lassen sich von einem Fachanwalt für Datenschutz- und Internetrecht eine individuell auf Ihre Website zugeschnittene Datenschutzerklärung texten. Mitunter Kapazitätsengpass der Fachleute. Erkundigen Sie sich nach dem Umfang seiner Gewährleistung.
  • Sie übernehmen den Vorschlag Ihrer berufsständischen Organisation, bei Ärzten z.B. der kassenärztlichen Vereinigung, und ergänzen ihn fallspezifisch. Berufs- und Interessenvereinigungen dürfen nach § 7 Rechtsdienstleistungsgesetz (RDG) ihre Mitglieder unentgeltlich rechtlich beraten, wenn die im Gesetz genannten Voraussetzungen gegeben sind.
  • Sie greifen auf einen der im Internet angebotenen Datenschutzgeneratoren zurück. Dieser sollte aber unbedingt von einem Fachanwalt für Datenschutz- und Internetrecht verfasst sein. Prüfen Sie verschiedene Angebote anhand eigenen Wissens. Nicht alle überzeugen. Unentgeltlich angebotene Datenschutzgeneratoren sind natürlich ohne jede Gewährleistung.
  • Sie beauftragen Ihren Webdesigner, Sie bei der Abfassung Ihrer Datenschutzerklärung zu unterstützen, soweit diese Unterstützung nur faktischer, formaler, schematischer und technischer Natur ist und keine Rechtsberatung darstellt. Sie könnten ihm beispielsweise den Link zum Vorschlag Ihrer berufsständischen Organisation nennen und ihn bitten, die Optionen dieses Standardtextes Ihren Gegebenheiten anzupassen und individuelle Ergänzungen vorzunehmen, wo der Standardtext dieses vorsieht; z.B. mit welchem Provider besteht ein Vertrag über Auftragsverarbeitung?
 

Cookiebanner


Vereinfacht ausgedrückt ist alles vom Besucher einer Website ausdrücklich zu genehmigen, was zum einwandfreien, aber durchaus komfortablen Betrieb einer Website nicht unbedingt erforderlich ist. Technisch zwingend erforderlich ist beispielsweise die Erfassung der IP-Adresse des Besuchers. Dem Komfort dient beispielsweise ein Cookie, der bei einer mehrsprachigen Website dafür sorgt, dass die Sprachumschaltung für alle Inhaltsseiten erfolgt, wenn sie auf einer Seite vorgenommen wurde. Das gleiche gilt für einen Cookie, der dafür sorgt, dass der Cookie-Banner von allen Inhaltsseiten verschwindet, wenn der Besucher auf einer Seite seine Zustimmung erteilt hat.

In ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019“ kommt die Konferenz der Datenschutzaufsichtsbehörden von Bund und Ländern jetzt zu der Auffassung, dass auch eine bloße Reichweitenmessung nicht genehmigungspflichtig ist, obwohl sie zum einwandfreien Betrieb einer Website nicht erforderlich ist. Voraussetzung ist aber, dass die Daten weder selbst für weitere Zwecke verwendet noch an Dritte weitergegeben werden.

Das unterscheidet eine bloße Reichweitenmessung, vielfach auch Zugriffsstatistik genannt, vom Einsatz von Google Analytics. Ebenso wie die Datenschutzbehörden hat auch der Europäische Gerichtshof klargestellt, dass der Einsatz von Google Analytics genehmigungspflichtig ist. Vorher darf also keine Datenverarbeitung stattfinden. Die teilweise Anonymisierung der IP-Adresse reicht dafür nicht aus. Inzwischen habe Google nämlich dieses Tool weiterentwickelt und nutzt die gewonnen Daten auch für andere Zwecke, sprich: Werbung.

 
 

Internetadresse/ Domain/ URL


Das folgende Kapitel behandelt das Thema nur aus rechtlicher Sicht und geht nicht auf Aspekte der Werbung und Suchmaschinenoptimierung ein. Ohne Anspruch auf Vollständigkeit sind beispielsweise folgende Internetadressen nicht zulässig:

  • Vorspielung falscher Tatsachen, z.B. Ihr Firmenname in Verknüpfung mit .gmbh als Top-Level-Domain, wenn Ihre Firma keine GmbH ist, oder in Verknüpfung mit .ag, dem Landeskenner für Antigua in der Karibik, wenn Sie keine Aktiengesellschaft sind.
  • Vorspielung falscher Tatsachen, wenn Ihre Internetadresse eine Größe oder Bedeutung vorgaukelt, die Ihrem Unternehmen oder Ihrer Organisation nicht zukommt.
  • Ausschließliche Benutzung von Städtenamen, egal unter welcher Top-Level-Domain. Wenn Ihre Stadt beispielsweise unter einer .de-Domain ihre Homepage betreibt, dürfen Sie ohne deren ausdrückliche Genehmigung den ausschließlichen Namen der Stadt nicht unter einer .com-Domain benutzen. Unkritisch: Domains in Verknüpfung mit Städtenamen, z.B. www.hausarzt-in-musterstadt.de .
  • Benutzung von Markennamen, solo oder in Verknüpfung mit weiteren Begriffen, auch nicht in modifizierter Schreibweise, wenn dadurch beim Verbraucher die Assoziation mit der geschützten Marke entstehen kann oder – aus Ihrer Sicht – sogar entstehen soll.
 

Inhalte


Texte


Es ist nicht nur urheber- und wettbewerbsrechtlich verboten, Texte von anderen Websites oder sonstigen Quellen zu kopieren, sondern im Sinne einer Suchmaschinen-Optimierung ausgesprochen schädlich. Google „bestraft“ nämlich doppelten Content durch schlechteres Ranking, weiß zudem auch, auf welcher Seite der Content zuerst gestanden hat.

Es ist zwar nicht jeder Text automatisch urheberrechtlich geschützt, weil dieser Schutz von der so genannten Schöpfungstiefe abhängt. Da aber banale Aussagen nicht zum Kopieren reizen, sondern nur besonders aussagekräftige, sollten Sie davon ausgehen, dass die Passagen, die Sie gerne „abkupfern“ würden, nicht nur wettbewerbsrechtlich, sondern auch urheberrechtlich geschützt sind.

In Texte werden auch gerne Zitate bekannter Persönlichkeiten eingebaut in dem Glauben, dass es genügt, den Urheber zu nennen. Das genügt aber leider nicht. Ohne ausdrückliche Zustimmung dürfen Zitate erst 70 Jahre nach dem Tod des Urhebers benutzt werden. 

 

Bilder


Fotos von Personen, z.B. Fotos Ihrer Mitarbeiter, dürfen nicht ohne deren ausdrückliche (möglichst schriftliche) Zustimmung veröffentlicht werden (Fachausdruck: Model Release). Sie dürfen auch nicht aus dem Zusammenhang gerissen und vergrößert werden, z.B. kein Einzelbild durch Ausschnitt und Vergrößerung aus einem Gruppenbild.

Fallweise zulässig kann ein Foto sein, wo Mitarbeiter nur im größeren Zusammenhang zu sehen, quasi nur „Beiwerk“ sind. Beispielsweise Sie betreiben ein Hochregallager und auf diesem Foto sind u.a. auch Lagerarbeiter zu sehen. Ähnlich wie bei Straßenaufnahmen ist die Kernfrage, ob der Gesamteindruck des Bildes ein anderer wäre, wenn die aufgenommenen Personen nicht zu sehen wären.