Was gibt es beim Einsatz eines “Merchant of Record” rechtlich zu beachten?

Wenn Ihr Unternehmen digitale Güter weltweit vertreiben und daher auf einen „Merchant of Record“ (MoR) zurückgreifen möchte, gibt es rechtlich einiges zu beachten. Was ein Merchant of Record ist und wie Sie ihn rechtskonform einsetzen können, erfahren Sie in diesem Beitrag.

Was ist ein Merchant of Record?

Zunächst ist festzuhalten, dass der Begriff des Merchant of Record weder rechtlich definiert noch geschützt ist. Daher gibt es bereits bei der Beantwortung der Frage, was ein MoR überhaupt genau ist, eine gewisse Unschärfe.

Im ursprünglichen Sinne ist ein MoR ein Unternehmen, das von einem Finanzinstitut autorisiert und haftbar gemacht wird, Kartentransaktionen von Verbrauchern im Namen eines Verkäufers abzuwickeln. Über die Annahme von Zahlungen hinaus stellt ein MoR auch sicher, dass Ihr Unternehmen die Steuergesetze (lokal und global) einhält und Beziehungen zu Finanzinstituten unterhält.

Zunehmend setzt sich der Begriff MoR am Markt jedoch auch für ein Geschäftsmodell durch: Der MoR agiert als Reseller des Produkts, das über die Website eines Dritten, beispielsweise eines Software-Unternehmens, gekauft wird. Dabei läuft die Transaktion aber über den MoR, der gegenüber dem Käufer zugleich als Vertragspartner des Käufers auftritt. Das bedeutet, dass in Bezug auf den Kauf in erster Linie zwei Rechtsbeziehungen entstehen: Eine zwischen dem Kunden und dem MoR und eine weitere zwischen dem MoR und, in unserem Beispiel, dem Software-Unternehmen. 

Weshalb sind Merchant of Record-Services gerade für (kleine) Software-Unternehmen so interessant?

Der internationale, vor allem weltweite Vertrieb bedeutet gerade im Bereich digitaler Güter einiges an Aufwand. Zunächst muss man als Verkäufer eine globale Zahlungsinfrastruktur aufbauen und verwalten. Dies lässt sich sicherlich noch über den Einsatz entsprechender Zahlungsdiensteanbieter bewerkstelligen. Spätestens aber im Bereich der steuerlichen Compliance wird es kompliziert und ressourcenfressend. Der Grund ist einfach: Zunehmend gehen die Staaten dazu über, digitale Güter zu besteuern. Entscheidend für die Steuerpflicht ist der Sitz des Käufers. Das bedeutet, dass die Umsatzsteuer für Digitalgüter grundsätzlich in dem Staat abzuführen ist, in dem der Käufer ansässig ist. Zum Beispiel hat jeder Bundesstaat in den USA seine eigenen Steuergesetze, was große Unterschiede der Besteuerung digitaler Güter allein schon innerhalb der USA zur Folge hat. Das bedeutet: Das Software-Unternehmen aus unserem Beispiel muss grundsätzlich in jedem Staat aus dem seine Käufer stammen, eine Steuerklärung abgeben, die den Anforderungen der dortigen Gesetze entspricht.

Gerade kleine Software-Unternehmen können einen solchen administrativen Aufwand kaum stemmen. Kleine(re) Unternehmen aus der Digitalbranche sind daher auch die Kernzielgruppe der Anbieter von Merchant of Record-Services. Die Vorteile für unser Software-Unternehmen liegen auf der Hand: Es hat so gut wie keinen Aufwand, was die Zahlungsabwicklung und die Tax Compliance angeht und kann seine Produkte international vertreiben.

Typische Leistungen eines Merchant of Record

Der Merchant of Record ist für Rückerstattungen und Rückbuchungen verantwortlich und bietet häufig auch Systeme zur Betrugsprävention an. Viele Anbieter bieten zusätzlich Kundendienst und das Management von Kundenanfragen. Ein MoR ist dafür verantwortlich, dass die in seinem Besitz befindlichen personenbezogenen (Zahlungs-)Daten sowohl den Anforderungen der Payment Card Industry (PCI) als auch den datenschutzrechtlichen Anforderungen entsprechen.

Rechtliche Gestaltung der Einbindung eines Merchant of Record

Nun stellt sich die Frage nach der praktischen Umsetzung und Einbettung des Merchant of Record in die rechtliche Struktur des Software-Unternehmens.

Im Grunde sind die Leistungen eines MoR ähnlich wie die beispielsweise des Apple App Stores bzw.des Google Play Stores. In beiden Fällen wird die Software eines Dritten (eines Software-Unternehmens) durch ein anderes Unternehmen verkauft. Der entscheidende Unterschied aber liegt in der Außendarstellung der Einbindung des Drittunternehmens (also des App- bzw. Play Stores, oder um in unserem Beispiel zu bleiben: des MoR). Denn für den Käufer des Softwareprodukts stellen sich beide Fälle vollkommen unterschiedlich dar: Während sich im Falle des App- bzw. Play Stores der Käufer aktiv auf dieser Plattform nach einem passenden Softwareprodukt umschaut und auch in der Außendarstellung der Verkauf ganz klar durch die jeweiligen Store-Betreiber erfolgt, läuft es beim Einsatz eines MoR anders. In allen uns bekannten Merchant of Record-Konstellationen findet nämlich eine mehr oder weniger unsichtbare Einbindung des MoR in die Verkaufsinfrastruktur des Software-Unternehmens statt. Für den Käufer der Software ist damit zumindest auf den ersten Blick nicht klar zu erkennen, ob er sein Softwareprodukt nun beim MoR oder beim Software Unternehmen selbst kauft. Das gesamte Branding der Merchant of Record-Einbindung lässt sich an die Gestaltung des jeweiligen Onlineshops anpassen, eine Unterbrechung des Check-Out-Prozesses ist meist nicht festzustellen. Lediglich wenn der Käufer das „Kleingedruckte“ liest, wird er feststellen dass bei dieser Transaktion etwas anders läuft als gewohnt.

Vertragsrechtliche Gestaltung

Da das Software-Unternehmen nicht selbst Vertragspartei des Endkunden wird und daher an dem Kauf (rechtlich betrachtet) nicht beteiligt ist, besteht im Grunde keine Notwendigkeit, Verkaufsbedingungen (also AGB) vorzuhalten. Je nachdem, wie sehr der Verkauf des jeweiligen digitalen Guts in die Verkaufsinfrastruktur des Software-Unternehmens „eingewoben“ ist und wie wichtig es dem Unternehmen ist, den Umgang mit den vertriebenen digitalen Gütern im Rahmen des Vertriebsprozesses zu kontrollieren, kann es jedoch sinnvoll sein, die Nutzungsbedingungen entsprechend anzupassen. Dies ist zum Beispiel immer dann empfehlenswert, wenn mittels des MoR In-App-Käufe oder Mitgliedschaften in einer Community bzw. Abo-Modelle abgewickelt werden sollen.

Darüber hinaus sollte mit dem Einsatz des MoR unbedingt transparent und „offensiv“ umgegangen werden. Dem Käufer muss zu jedem Zeitpunkt und ohne weitere Anstrengungen klar sein, dass der Kaufvertrag nicht zwischen ihm und dem Software-Unternehmen, sondern nur mit dem MoR zu Stande kommt. Aufgrund der individuellen Eigenheiten der jeweiligen Verkaufsinfrastruktur, kann man keine allgemein gültige Empfehlung zur Art der Gestaltung dieser Hinweise geben. Hier muss in jedem Einzelfall das adäquate Maß transparenter Informationen ermittelt werden. 

Datenschutzrechtliche Fallstricke

Beim Einsatz eines Merchant of Record muss man besonders auf den Datenschutz aufpassen. Grundsätzlich ist das Software-Unternehmen für die eigene Verkaufsinfrastruktur (auch) datenschutzrechtlich verantwortlich. Bindet das Software-Unternehmen nun einen MoR in den Shop mit ein, stellt sich automatisch die Frage, wer datenschutzrechtlich Verantwortlicher für die Verarbeitung der Kundendaten ist. Diese Frage ist deshalb kompliziert, weil grundsätzlich das Software-Unternehmen für die Gestaltung der eigenen Verkaufsinfrastruktur und die Verarbeitung der dort erhobenen Daten verantwortlich ist. Auch aus Sicht des Käufers handelt es sich um einen Shop des jeweiligen Software-Unternehmens; dass ein MoR in die Kaufabwicklung mit eingebunden ist, ist in den meisten Fällen im Vorhinein nicht wirklich ersichtlich.

Grundsätzlich kommen daher verschiedene datenschutzrechtliche Positionen des MoR in Frage. Beide Positionen sind grundsätzlich denkbar, welche genau wann passt, ist eine Frage des Einzelfalls. 

• Entweder ist der MoR zusammen mit dem Software-Unternehmen als Betreiber der Verkaufsinfrastruktur gemeinsam verantwortlich im Sinne des Art. 26 DSGVO einzustufen (so genannte Joint Control);
• oder aber der MoR handelt als eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Bei Annahme einer Joint Control müssen das Software-Unternehmen und der MoR eine spezielle Vereinbarung miteinander schließen. Die Inhalte dieser Vereinbarung sind relativ genau vorgegeben; zudem sind sie Gegenstand von Informationspflichten: Der Käufer muss also über die Inhalte der Vereinbarung sowohl vom MoR als auch vom Software-Unternehmen informiert werden, üblicherweise im Rahmen einer Datenschutzerklärung. Von einer Joint Control ist grundsätzlich aber immer dann auszugehen, wenn zwei Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung bestimmen, etwa dann, wenn das Software-Unternehmen in irgendeiner Weise Einfluss auf die Datenverarbeitung durch den MoR nehmen kann.

Nach unserer Erfahrung ist der MoR in vielen Fällen als eigenständiger Verantwortlicher zu bewerten. Zwar werden die Kundendaten im Rahmen des Check-Out-Prozesses regelmäßig direkt vom Merchant of Record erhoben. Allerdings findet diese Erhebung direkt innerhalb der Verkaufsinfrastruktur des Software-Unternehmens statt und ist diesem daher (datenschutzrechtlich) zuzuordnen. Für den Anbieter der Software bedeutet das datenschutzrechtlich jedoch, dass er Kundendaten an einen Dritten weitergibt. Dafür benötigt das Software-Unternehmen eine gesonderte Rechtsgrundlage. Diese muss im Einzelfall ermittelt werden und die Datenschutzerklärung muss über diesen Umstand aufklären.

Alles klar mit Ihrem Merchant of Record?

Sie sehen also, die rechtliche Einbindung eines Merchant of Record ist nicht ganz einfach, sollte in den allermeisten Fällen jedoch möglich sein. Wenn Sie die Einbindung von Merchant of Record-Services planen, unterstützen wir Sie gerne und stehen Ihnen rechtlich zur Seite. Sprechen Sie uns dazu jederzeit gerne an!