comp/lex Fragestunde Nr. 1 (März 2020) – Fragen und Antworten

Am 23. März fand unsere erste comp/lex Fragestunde statt! Als Nachlese fassen wir hier die Fragen und Antworten kurz zusammen. (Was natürlich hier nicht rüberkommt, ist die zauberhafte Stimmung.)

Frage 1: AGB ändern in der Krise?

Frage: Sollte ich meine AGB aufgrund der aktuellen Situation anpassen? Wenn ja, wie?

Antwort: Uns fallen keine speziellen “Corona-bezogenen” Regelungen ein, die in der aktuellen Situation besonders sinnvoll wären. Besonders “Force Majeure”-Situationen erfordern nicht unbedingt vertragliche Regelungen, wie in diesem Beitrag erklärt. Wir nehmen aber an, dass in den nächsten Monaten geschäftliche Beziehungen mit Kunden und Geschäftspartnern schwieriger werden können. Dann ist es wichtig, kommerzielle Themen (wie z.B. zu Zahlungen und Kündigungen) klar zu regeln, auch in AGB. Wenn Sie hier unsicher sind, helfen wir Ihnen gerne weiter.

Möchten Sie Ihre AGB in laufenden Vertragsbeziehungen wirksam ändern? Hier erfahren Sie, wie’s geht!

Frage 2: Kunde will “pausieren” – was tun?

Frage: Unser Unternehmen bietet eine Standard-Softwarelösung im SaaS-Modell und ist Auftragsverarbeiter für seine Kunden. Bei einem Kunden läuft der Vertrag am Monatsende aus. Er möchte voraussichtlich verlängern, die Klärung dauert aber länger als gedacht. Wie verhalten wir uns in dieser Situation datenschutzkonform?

Antwort: Wenn in dieser Situation die Vertragsbeziehung beendet wird, hat das Unternehmen keine Rechtfertigung mehr, die Daten des Kunden als Auftragsverarbeiter zu speichern. Deshalb sollte man in dieser Situation vermeiden, den Vertrag einfach auslaufen zu lassen. Besser ist es, sich darauf zu verständigen, dass der Vertrag in geänderter Form fortgesetzt wird, z.B. als “kostenloser Übergangszeitraum mit Datensicherung”. Dann kann die AV-Vereinbarung einfach fortgesetzt und muss auch nicht angepasst werden.

Frage 3: Kunde zahlt einfach nicht – hilft ein Mahnbescheid?

Frage: Unser Kunde zahlt unsere Rechnung nicht, obwohl der Anspruch eindeutig besteht. Wir haben schon zwei Mahnungen verschickt. Wie machen wir am besten weiter? Mit einem Mahnbescheid?

Antwort: Wenn sich Kunden hartnäckig weigern zu zahlen, aber zahlungsfähig sind (was man versuchen sollte herauszufinden), braucht man einen sog. Vollstreckungstitel. Den kann man über einen Mahnbescheid/Vollstreckungsbescheid oder über eine Urteil (nach einer erfolgreichen gerichtlichen Klage) bekommen. Der Weg Mahnbescheid/Vollstreckungsbescheid bringt nur etwas, wenn der Kunde auf die entsprechenden Schreiben nicht reagiert. Im B2B-Verkehr passiert das aber so gut wie nie. Deshalb ist es nach unserer Erfahrung sinnvoller, direkt zu klagen oder zunächst einen Anwalt mit einem Mahnschreiben zu beauftragen, um den Druck zu erhöhen. Wir entwerfen solche Mahnschreiben auf Anfrage gerne und vertreten Mandanten bei Zahlungsklagen.

Wie Sie Ihre IT-Verträge wirksam auf Krisenzeiten vorbereiten können, erfahren Sie zudem in unserem E-Book.

Frage 4: AVV nötig oder nicht?

Frage: Für welche Fälle nachstehender Leistungen für Kunden brauchen Agenturen/Freelancer im Bereich Webdesign zwingend einen AV-Vertrag mit ihren Kunden (Annahme: grds./allgemein erstmal nicht unbedingt nötig?):

1. Google Analytics bzw. Matomo: Agentur-Leistung wäre lediglich Einsicht in das Google Analytics Konto des Kunden und statistische Auswertung von Website-Besuchen bzw. Hilfe dabei – wobei IP-Adressen bereits anonymisiert/gekürzt erhoben werden (also „persönliche Daten“ i.S. der Datenschutzgesetze damit eigentlich nicht vorhanden?)

Antwort: Nach der DSGVO liegt eine Auftragsverarbeitung vor, wenn personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet werden (Art. 4 Nr. 8 DSGVO). Dabei umfasst die Verarbeitung auch die Speicherung und das Abfragen von Daten (Art. 4 Nr. 2 DSGVO). Deshalb ist auch die Einsicht / der Zugriff eine Verarbeitung im Sinne der DSGVO; sie erfolgt hier durch die Agentur im Auftrag des Kunden, also als Auftragsverarbeitung.

Sofern die IP-Adressen aber bereits vor dem Abruf durch die Agentur anonymisiert wurde, sind keine personenbezogenen Daten mehr abrufbar, und es liegt keine Auftragsverarbeitung mehr vor. Anderes gilt aber, wenn noch die Zugriffsmöglichkeit auf andere personenbezogene Daten besteht (etwa Cookie-IDs etc.). Wichtig: Lediglich gehashte IP-Adressen sind nicht anonym (Salting erforderlich); gekürzte IP-Adressen sind anonym.

2. Matomo (Piwik) Hosting: Agentur-Leistung wäre das Hosting der Open Source Statistik-Software bzw. der Statistiken für Kunden auf eigenen Servern oder bei einem Provider (wie bei 1) bereits bei Erhebung anonymisierte IP). Fremde Dritte wie Google, eTracker etc. hosten und bekommen bei Matomo (Self-hosting) keinen Datenzugriff.

Antwort: Im Grunde wie oben (1.): Wenn die IP-Adressen bereits vor der Einsicht / dem Zugriff durch die Agentur anonymisiert wurden, liegt keine Auftragsverarbeitung vor. Wenn aber eine Zugriffsmöglichkeit auch auf andere personenbezogene Daten bestand / besteht (etwa Cookie-IDs etc.), liegt eine Auftragsverarbeitung vor.

3. Newsletter-Versand für Kunden, wobei ein Newsletterversand-Anbieter des Kunden genutzt würde: Einsicht in Mailing-Listen-Verwaltung (hier nicht anonym mit E-Mail + evtl. Namen, Adressen etc.) möglich, ausnahmsweise unvermeidbar (z.B. Prüfung, Daten-Import), jedoch die Daten hier nicht eigentlicher Inhalt der Tätigkeit, sondern Erstellung eines Newsletters und den Versand beim Anbieter anstoßen.

Antwort: Hier kommt es nach Ansicht der Bayerischen Landesdatenschutzaufsicht darauf an, ob ein Abruf von / eine Einsicht in personenbezogene Daten ein “nicht nur unwesentlicher Teil des Auftrags” ist. Wenn ja, liegt eine Auftragsverarbeitung vor (https://www.lda.bayern.de/media/FAQAbgrenzungAuftragsverarbeitung.pdf). Hier ist die Einsicht in die Kontaktdaten der Newsletter-Empfänger zwar nicht Kern des Auftrags, aber auch kein unwesentlicher Teil. Daher nehmen wir hier eine Auftragsverarbeitung an.

Alles, was Sie zur Auftragsverarbeitung in der Praxis wissen sollten, erfahren Sie in unserem E-Book.

Frage 5: Was sollen diese ganzen Cookie-Banner?

Frage: Ist die Welt wirklich ein besserer Ort, seitdem man im Internet alle 5 Minuten umfangreiche Informationen zu “Cookies” unter die Nase gehalten bekommt und erst weitermachen darf, wenn man irgendwohin geklickt hat?

Gegenfrage: Passt es zusammen, dass man neuerdings jedes Cookie ausdrücklich bestätigen lassen muss, um legal zu handeln, aber neulich beinahe eine Lösung beschlossen worden wäre, nach der man einem Toten auch ohne dessen Einwilligung seine Organe entnehmen darf?

Auch wenn wir die aktuelle Rechtslage zu Cookies kritisch sehen, sie ist aus unserer Sicht eindeutig: Cookies sind einwilligungspflichtig. Die meisten Cookie-Banner, die man im Netz sieht, sind immer noch so gestaltet, dass sie den Anforderungen an die Einwilligungspflicht nicht genügen.

Frage 6: Sind wir DSGVO-konform?

Frage: Wie kann ich schnell prüfen, ob wir datenschutzrechtlich konform sind?

Antwort: Um datenschutzkonform zu handeln, müssen Unternehmen verschiedene rechtliche, technische und organisatorische Maßnahmen umsetzen. Leider sind die Gesetze nicht so gestaltet, dass Laien daraus klar erkennen können, was Sie tun müssen und wo sie stehen. Hier hilft zum Beispiel unsere DSGVO-Kurzanleitung mit zugehöriger Checkliste weiter. Oder natürlich eine individuelle Beratung durch uns.

Frage 7: Standortverlegung als Kündigungsgrund?

Frage: Wir erbringen für Unternehmenskunden IT-Serviceleistungen. Einer unserer Kunden hat uns mitgeteilt, dass er seine Server an einen anderen Standort verlegt und deshalb unseren Vertrag fristlos kündigen möchte. Darf er das?

Antwort: Nein, normalerweise darf er das aus unserer Sicht nicht. Für diesen Fall müssten die Parteien ein ausdrückliches Sonderkündigungsrecht vereinbart haben. Ist das nicht geregelt, trägt aus unserer Sicht der Kunde das sog. Verwendungsrisiko für die Leistung. Er hat deshalb kein Kündigungsrecht aus wichtigem Grund (§ 314 BGB) und auch kein Recht auf Vertragsanpassung nach sog. Wegfall der Geschäftsgrundlage (§ 313 BGB).

Frage 8: Rechtliche Themen bei Software-/Websiteerstellung?

Frage: Was muss ich aus rechtlicher Sicht bei der Erstellung von Software und Websites beachten?

Antwort: Das ist eine sehr allgemein gehaltene Frage, wir können sie nur grob aus verschiedenen Perspektiven beantworten.

Perspektive 1: Die Vertrags-Perspektive. Als Agentur / Freelancer sollte man darauf achten, die eigenen Pflichten gegenüber dem Kunden – und dessen Pflichten – im Zusammenhang mit der Entwicklung klar zu regeln. Sonst drohen Missverständnisse und Konflikte.

Perspektive 2: Die Datenschutz-Perspektive. Im Rahmen der Entwicklung neuer Produkte bestehen normalerweise keine datenschutzrechtlichen Pflichten. Wenn aber an bestehenden Systemen entwickelt wird, ist die Agentur / der Freelancer häufig sog. Auftragsverarbeiter und muss (!) entsprechende Verträge mit seinen Kunden schließen.

Perspektive 3: Die “Mischperspektive”. Wenn die Agentur / der Freelancer z.B. Websites entwickelt, sollte geregelt sein, wer für die DSGVO-Konformität des Produkts verantwortlich ist. Wer sorgt z.B. für die richtigen Cookie-Banner auf der Website, und wer haftet, wenn es in dem Zusammenhang Probleme gibt? Wir empfehlen Anbietern, die Verantwortung hierfür auf den Kunden abzuwälzen.

Frage 9: Pflicht von Schülern / Eltern zur WhatsApp-Nutzung?

Frage: Darf die Schulpflegschaft vorschreiben, dass Eltern nur über WhatsApp, und über keinen anderen Weg, Information zu den Hausaufgaben und Wochenpläne von Grundschulkinder bekommen können?

Antwort: Die erste Frage ist hier, ob die DSGVO überhaupt anwendbar ist. Für die Schulpflegschaft (= Schulelternbeirat in NRW) ist das der Fall. Das sog. Haushaltsprivileg des Art. 2 Abs. 2 lit. c DSGVO gilt hier nicht, da nicht ausschließlich private Zwecke bei der „ehremsamtsbezogenen“ Datenverarbeitung verfolgt werden. Die Schulpflegschaft ist also Verantwortlicher i.S.d. DSGVO und daher in ihrem Handeln an die Regelungen der DSGVO gebunden.

In dieser Konstellation stammen die Informationen zu Hausaufgaben und Wochenpläne nicht von der Schulpflegschaft, sondern normalerweise von der Schule / der Lehrkraft. Auf welche Weise die Schule / die Lehrkraft die Informationen und Wochenpläne „verteilt“, darf die Schulpflegschaft aus unserer Sicht nicht vorschreiben.

Was das Verhältnis zwischen Schule / Lehrkraft und Eltern bezogen auf die WhatsApp-Nutzung angeht, ist rechtlich unsicher zu beantworten. Wir meinen, sofern die Nutzung auf freiwilliger Basis geschieht, ist dagegen rechtlich nichts einzuwenden. Wir meinen aber auch, dass niemand faktisch zur WhatsApp-Nutzung gezwungen werden darf. Wer sich also weigert, WhatsApp zu nutzen, dem muss ein alternativer Kommunikationskanal zur Verfügung stehen (z.B. E-Mail oder ein anderer Messenger).

Frage 10: Muss Kunde nicht erbrachte Leistungen bezahlen?

Frage: Wir haben mit einem Kunden einen Rahmenvertrag mit einem bestimmten Kontingent geschlossen (2 PT/Woche). Der Kunde ruft das Kontingent nicht ab. Können wir trotzdem die Vergütung verlangen?

Antwort: Kommt drauf an! Nämlich darauf, wie der Vertrag gestaltet ist. Enthält der Vertrag zu diesem Thema keine Regelung, muss man wohl annehmen, dass der Anbieter die Vergütung nur dann verlangen kann, wenn er die Leistung ausdrücklich anbietet, und dann wohl auch nur den Ersatz der bei ihm entstandenen Kosten. Es ist aber durchaus möglich, Regelungen zu treffen, die einen “Verfall” von Guthaben bei bestehender Pflicht zur Vergütung vorsehen. Die eleganteste Kompromisslösung sind wohl Regelungen zum “Übertrag” von Leistungsguthaben in einem bestimmten Umfang.

Sie haben auch Fragen?

Sie haben auch Fragen zum IT- und Datenschutzrecht und zu dem, was wir in diesen Bereichen tun? Nehmen Sie gerne Kontakt zu uns auf.

Ihre Ansprechperson

Dr. Jochen Notholt

jn@comp-lex.de
+49 (0)89 41614295-2