Elektronische Transaktionen und Daten, die von Endgeräten und anderen Quellen stammen, bilden die Grundlage für die Geschäftsmodelle einige der größten Unternehmen der Welt. Doch der jahrzehntelange Wildwuchs in der Datenspeicherung sorgte für Misstrauen der Verbraucher*innen und verlangte nach gesetzgeberischen und regulatorischen Maßnahmen.

Auch das Jahr 2023 wird einige neue Regelungen und Maßnahmen bringen, auf die sich die Unternehmen vorbereiten müssen. Hier vier Prognosen:

1. Internationale Datenübermittlungen

Bis Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU. Dies änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.

Am 16. Juli 2020 erklärte der EuGH das bis dahin geltende Privacy Shield für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Firmen bedeutend komplizierter gestaltete. Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA ist inzwischen eines der komplexesten und zeitaufwendigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.

Nun kommt Bewegung in die Sache: Die EU-Kommission hat Mitte Dezember 2022 ihren Entwurf für den bevorstehenden Angemessenheitsbeschluss veröffentlicht, die Arbeiten am neuen EU-U.S.-Data-Privacy-Framework laufen auf Hochtouren.

Bis zum Erlass, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage. Bis dahin werden die anderen möglichen Übermittlungsinstrumente des Art. 46 DSGVO – insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR) – sowie die Ausnahmetatbestände des Art. 49 DSGVO (speziell die Einwilligung der betroffenen Personen) genutzt werden, und zwar mit allen bekannten Herausforderungen und Nachteilen.

2. EU-Dateninitiativen werden verabschiedet

Neue EU-Dateninitiativen werden verabschiedet oder in Kraft treten. Sie beeinflussen, wie Daten mit anderen geteilt werden dürfen und zwingen Organisationen, die einen Wert aus personenbezogenen Daten ziehen, dazu, die Modalitäten für die Weitergabe, den Schutz und den Zugriff auf diese Informationen zu ändern. Besonders folgende:

• Digital Services Act (DSA): Der DSA wird die veraltete E-Commerce-Richtlinie aus dem Jahr 2000 ablösen. Sein extraterritorialer Geltungsbereich betrifft die derzeitigen Geschäftsmodelle vieler datengesteuerter Organisationen, darunter Internetdienst- und Cloud-Anbieter, soziale Medien und Online-Plattformen, Marktplätze und Suchmaschinen. So werden unter anderem zusätzliche Transparenzanforderungen für Online-Werbung, ein Verbot von „Dark Patterns“ und Einschränkungen für Werbung auf der Grundlage sensibler Daten erlassen.
• Data Act: Das Datengesetz soll harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten schaffen. Es stellt sicher, dass ein breiteres Spektrum von Akteuren die Kontrolle über ihre Daten erhält. Es sollen mehr Informationen für innovative Zwecke zur Verfügung stehen, während gleichzeitig Anreize für Investitionen in die Datengenerierung erhalten bleiben. Das soll schließlich zu einem maximalen Wert der Daten für Wirtschaft und Gesellschaft führen.
• Europäischer Raum für Gesundheitsdaten: Befasst sich mit den gesundheitsspezifischen Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten, der gemeinsamen Nutzung und der Gestaltung eines gemeinsamen Raums, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Zudem soll er es Forschern und politischen Entscheidungsträgern ermöglichen, diese elektronischen Gesundheitsdaten in einer vertrauenswürdigen und sicheren Weise zu nutzen, bei der die Privatsphäre gewahrt bleibt.
• Artificial Intelligence Act: Viele Umfragen zeigen, dass sich Verbraucher über die Verwendung ihrer personenbezogenen Daten in KI-Anwendungen Sorgen machen. Der Vorschlag für eine Verordnung mit harmonisierten Regeln für künstliche Intelligenz soll diese Bedenken ausräumen und die ethische Nutzung von KI gewährleisten. Flankiert wird er von den außervertraglichen, zivilrechtlichen Haftungsregeln für künstliche Intelligenz. Diese sollen dafür sorgen, dass Betroffene die gleichen Schutzstandards genießen, falls ihnen unter anderen Umständen durch KI-Produkte oder -Dienste ein Schaden entstehen sollte.

3. Umstellung auf neue Standardvertragsklauseln (SCC)

Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln (SCC), die seit dem 27. September 2021 für alle neuen Verträge gelten. Diese neuen SCC sind modular aufgebaut und decken alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.

In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. Laut diversen deutschen Datenschutzbehörden soll es keine weitere Fristverlängerung geben, sie wollen also kein Auge mehr zudrücken. Daher müssen Firmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen.

4. Vormarsch neuer Instrumente der Rechtsdurchsetzung

Reine Kontrollmaßnahmen der Aufsichtsbehörden werden 2023 nicht mehr allein im Vordergrund stehen. Der Trend geht vielmehr zur zivilrechtlichen Durchsetzung der Beendigung datenschutzwidriger Verarbeitungen und der Entschädigung von Datenschutzverstößen. Dies zeigte sich bereits 2022 im Fall von Google Fonts.

Hunderte von Organisationen in Deutschland und Österreich sahen sich im Sommer und Herbst 2022 mit Abmahnungen und Unterlassungserklärungen wegen Google Fonts konfrontiert. Solche Trittbrettfahrer werden in Zukunft voraussichtlich vermehrt einzelne Gerichtsentscheidungen nutzen, um mit derartigen Massenverfahren gegen angebliche Datenschutzverstöße auf breiter Front vorzugehen. Davon dürften insbesondere Websites und Apps betroffen sein, da sich datenschutzwidrige Konfigurationen und nicht autorisierte Tools mit geringem Aufwand schnell und eindeutig nachweisen lassen. Dass sich solche Massenabmahnungen zumindest in einer Grauzone bewegen und die Schwelle zur Missbräuchlichkeit leicht überschritten werden dürfte, zeigen die ersten Gerichtsverfahren gegen die abmahnenden Anwälte.

Natürlich werden auch die Aufsichtsbehörden weiterhin die DSGVO durchsetzen, doch auch diese dürften in Zukunft Neuland betreten. Es ist nur eine Frage der Zeit, bis sie zunehmend die ihnen nach Artikel 58 DSGVO zur Verfügung stehenden Instrumente nutzen, um die Datenverarbeitung (vorübergehend) zu untersagen und die Löschung von Daten anzuordnen. Da die Wirkung dieser Maßnahmen sofort eintritt, sind die Auswirkungen und die Intensität der Intervention am größten. Aufgrund der rechtlichen Brisanz solcher Entscheidungen haben die Behörden bisher jedoch nur selten von ihnen Gebrauch gemacht. Doch ändert sich bald. So könnten in Fällen wie bei Google Analytics im Jahre 2022 zukünftig nicht nur eine Feststellung der Datenschutzwidrigkeit seitens Behörden erfolgen, sondern zusätzlich eine Untersagung der Übermittlung.

Die größte und wesentlichste Veränderung bei der Rechtsdurchsetzung dürfte jedoch das verstärkte Eingreifen von NGOs und anderen Verbraucherschutzverbänden darstellen. Organisationen wie NOYB haben bei verschiedenen europäischen Aufsichtsbehörden Hunderte von Beschwerden über Cookie-Banner und Websites eingereicht, die gegen Datenschutzgesetze verstoßen. Artikel 80 der DSGVO ermöglicht es NGOs und Verbraucherverbänden, Beschwerden bei den Behörden einzureichen und im Namen der betroffenen Personen Schadenersatz zu fordern. Diese Möglichkeit kannten bisher nur wenige, deswegen wurde sie kaum wahrgenommen. Allerdings dürfte es zu einer verstärkten Aktivität solcher Organisationen kommen, speziell nach dem Grundsatzurteil des EuGH über die Rechtsstellung von Verbraucherschutz-Organisationen im Mai 2022.

Der Europäische Verbraucherverband hat bereits angekündigt, dass seine Mitglieder ihre Befugnisse im Rahmen der DSGVO nutzen wollen, um den Verbraucherdatenschutz zu verbessern.

Der Autor Dr. Frank Schemmel (Practice Lead International Privacy & Compliance) ist seit 2018 bei DataGuard - der All-in-one-Plattform in Sachen Compliance-Anforderungen, Informationssicherheit und Datenschutz – tätig.

Es ist ein Thema, über das Unternehmer*innen und Geschäftsführer*innen zumeist ungern sprechen, doch das ihnen gleichfalls ebenso Sorgen bereitet. Was tun, wenn Mitarbeitende betrügen? Leider kommt es vor, dass Mitarbeiter und Mitarbeiterinnen ihren Arbeitgebenden beispielsweise bestehlen, bei den Arbeitszeiten betrügen oder sich gar in eine Bestechung verwickeln lassen. Unternehmensbetrug kann so facettenreich sein, dass man die Art und Weise mitunter lange nicht durchschaut oder sich überhaupt ausmalen kann.

Der Schaden kann vielfältig sein

Nicht immer fällt der Betrug am Arbeitgebenden durch fehlende Gewinne auf. Es gibt durchaus Fälle, in denen der finanzielle Aspekt gar nicht relevant ist. Bei diesen Fällen geht es um entwendete Gegenstände, die den Unternehmer bzw. die Unternehmerin nicht viel gekostet haben. Konkret können dies beispielsweise Gadgets für Kunden sein, die in Einzelfällen nicht funktionieren und somit ein Imageproblem darstellen.

Es gibt aber auch Fälle, bei denen innerhalb eines Unternehmens Dinge passieren, die auffällig sind, aber noch keine klare Absicht erkennen lassen. Besonders hohe Strom- oder Wasserrechnungen, starker Mehrverbrauch von Materialien, aber auch Vorkommnisse, die die Sicherheit von Mitarbeitenden oder Arbeitsabläufe betreffen. Ebenso wenn Vermutungen hinsichtlich eines Arbeitszeitbetrugs, unerlaubter Nebenbeschäftigungen oder Zweifel bei Spesenabrechnungen bestehen, sollten Arbeitgebende aktiv nachforschen.

Manche Betrugsfälle fallen zunächst auch gar nicht auf. Hier werden nur kleinste Diebstähle begangen oder minimale Veränderungen vorgenommen oder es kommt über einen längeren Zeitraum zu unregelmäßigen, aber insgesamt vielen kleinen Aktionen. Das können aktive sein, aber auch passive wie das Nichtbeachten von Verpflichtungen oder Zuständigkeiten. Insbesondere Wirtschafts- oder Versicherungsbetrug gehören hier zu Gefahren, die oft erst nach Jahren oder gar Jahrzehnten auffallen und zu einer Katastrophe, ja sogar zum Untergang eines Unternehmens führen können.

Nicht gleich wie die Axt im Walde

Die Herausforderung innerhalb eines Unternehmens ist die Vielzahl von Personen, die potenziell infrage kommen. Sei es durch unterschiedliche Arbeits- oder Prozessstationen oder große Abteilungen. Was Geschäftsführer*innen also auf jeden Fall vermeiden sollten, ist gleich wie die Axt im Walde zuzuschlagen und ein Exempel zu statuieren. Denn nichts ist für Arbeitgebende schlechter, als durch vorschnelle Verdächtigungen im schlimmsten Fall das Vertrauen eines ganzen Teams zu verlieren. Und es gilt zu bedenken: Mitarbeitende reden auch abteilungsübergreifend miteinander. Ein vertrauensvolles Arbeitgebende-Arbeitnehmende-Verhältnis sollte immer oberste Priorität haben. In der Regel wird ein Betrug nur von einer Person oder einer kleinen Personengruppe begangen. Dabei muss nicht immer das Offensichtlichste auch richtig sein. Bei zu schneller Verurteilung kann es sogar passieren, dass die falsche Person verantwortlich gemacht wird und die tatsächlichen Verantwortlichen durch diese Vorwarnung ihre Spuren verwischen können.

Spuren nachverfolgen bis zur Quelle

Die Verantwortlichen bei Unternehmensbetrug können an den unterschiedlichsten Stellen sitzen. Für eine erfolgreiche und vor allem richtige Aufklärung gilt es mit viel Feingefühl und Geduld vorzugehen. Neben der Gefahr falscher Verdächtigungen muss auch bedacht werden, dass die ausführenden Personen nicht unbedingt auch die Drahtzieher sein müssen. So kann die kriminelle Intention von jemandem ausgehen, der außerhalb des Unternehmens agiert, ein Wettbewerber oder eine kriminelle Organisation zum Beispiel. Es ist aber auch möglich, dass Personen mit höheren Positionen im Unternehmen persönliche verdeckte Ziele verfolgen.

Maßnahmen wie offene Bestechungen, Drohungen, Erpressungen oder wesentlich perfideres „Einweben“ von Strohmännern, um diese anschließend „gefügig“ zu machen, sind im Bereich der Möglichkeiten. Wenn in solchen Fällen ein Detektiv engagiert wird, ist dessen erster Schritt: Informationen sammeln. Hier geht der Detektiv je nach Herausforderung unterschiedlich vor. Alles, was man aus Kriminalfilmen kennt, ist theoretisch auch in der Realität möglich. Auftreten als Lieferant, Handwerker, Techniker, das Nutzen von versteckten Kameras, Mikrophonen oder Drohnen. Ein hoch technologisiertes Equipment allein macht aber noch keinen guten Detektiv. Viel wichtiger sind Anerkennungen durch den Bund der internationalen Detektive, BID, und die DGFK, Deutsche Gesellschaft für Kriminalistik. Diese Mitgliedschaften werden nur an Detekteien vergeben, die sich als professionell und vertrauenswürdig auf ihrem Gebiet erwiesen haben.

Der Autor Michael Günther ist Detektiv und Gründer der Detektei Günther in Bremen.

Egal ob online, per Excel-Liste oder auf einem Blatt Papier: Um die geleistete Arbeitszeit von Mitarbeitenden zu erfassen, sind alle erwähnten Szenarien möglich. Doch zumindest in Deutschland gab es rechtlich bisher noch keine klare Regelung zur Zeiterfassung in den Betrieben, geschweige denn eine Pflicht, diese überhaupt zu dokumentieren. So haben Beschäftigte hierzulande sogar im Pandemie-Jahr 2020 fast 1,7 Milliarden Überstunden angehäuft, wovon insgesamt nur drei Prozent ausbezahlt wurden.

Eine systematische Zeiterfassung kann dabei helfen, dieses Problem langfristig zu lösen. Denn: Als Arbeitgeber*in ist man generell dazu verpflichtet, die Überstunden seiner Fachkräfte auszugleichen. Das kann entweder in Form von Gehalt oder als Freizeitausgleich abgehandelt werden.

Mit dem Grundsatzurteil 1 ABR 22/21 vom BAG (Bundesarbeitsgericht) vom 13. September 2022 soll sowohl für Arbeitgebende als auch Arbeitnehmende Klarheit in die Erfassung gebracht werden. Denn Arbeitgebende sind nun dazu verpflichtet, ein System einzuführen, mit dem die geleistete Arbeitszeit registriert werden kann. Dabei müssen nicht nur die Arbeitszeiten, die über 8 Stunden pro Arbeitstag hinausgehen, sowie die gesamte Sonn- und Feiertagsarbeit erfasst werden, wie es nach dem bisherigen geschriebenen Recht der Fall war. Arbeitgeber*innen müssen nun generell Beginn und Ende sowie die Gesamtdauer der täglichen Arbeitszeit und der Arbeitspausen aller Arbeitnehmer*innen aufzeichnen. Dies gilt unabhängig davon, ob jemand im Büro, in der Fabrikhalle, von zu Hause oder remote arbeitet.

Begründet wird diese Pflicht mit der Auslegung des deutschen Arbeitsschutzgesetzes nach dem sogenannten Stechuhr-Urteil des Europäischen Gerichtshofs von 2019. Nach dem deutschen Arbeitsrecht mussten bisher nur Überstunden und Sonntagsarbeit dokumentiert werden, nicht jedoch die gesamte Arbeitszeit. Florian Berr, Vice President DACH der Personalplanungssoftware Planday, erklärt, worauf Unternehmen nun achten müssen.

Das ändert sich ab sofort

Ein Urteil des Europäischen Gerichtshofes (EuGH) ließ ganze Branchen schon vor drei Jahren in den EU-Mitgliedsstaaten aufhorchen. Denn laut Urteil müssen Mitgliedstaaten die Arbeitgeber ihres Landes „verpflichten, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von einem jeden Arbeitnehmenden (Anm. d. Red.) geleistete tägliche Arbeitszeit gemessen werden kann“. Doch setzte der EuGH den Mitgliedstaaten bisher keine Frist. Der Bundesgerichtshof macht nun Nägel mit Köpfen. Nun ist klar, dass hierzulande ab sofort eine Pflicht zur Arbeitszeiterfassung besteht. Die Entscheidung betrifft Arbeitgebende daher deutschlandweit, in allen Betrieben und gilt für alle Beschäftigten. Die Arbeitszeiterfassung wird dabei insbesondere auch als ein Element zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Beschäftigten gesehen. Wie die praktische Umsetzung des Urteils erfolgt, ist momentan noch ungewiss. Denn Vorgaben dazu, wie die Zeiterfassung erfolgen muss, hat weder der EuGH noch das BAG gemacht. Hier gibt es also bisher Gestaltungsspielraum. Nichtsdestotrotz gilt nach der Rechtsprechung nun offiziell die Pflicht dazu.

Vertrauensarbeitszeiten vor dem Aus? Nein, aber:

Auch Arbeitgeber*innen, die bisher auf Vertrauensarbeitszeiten setzten, sind ab sofort dazu verpflichtet, ein solches Arbeitszeiterfassungssystem einzuführen, um die gesetzlichen Anforderungen zu erfüllen. Vertrauensarbeitszeit ist dann nur so zu verstehen, dass die Zeiterfassung nicht zum Zwecke der Kontrolle, ob jemand "genug" gearbeitet hat, sondern nur zur Kontrolle der Einhaltung der Grenzen des Arbeitszeitgesetzes (ArbZG) erfolgt. Es wird also auch weiterhin darauf vertraut, dass die Beschäftigten ihre Arbeitszeit selbst gestalten dürfen und man nicht kontrolliert, ob diese angemessen ist oder die vereinbarten Stunden gearbeitet werden.

Was heißt das nun für Unternehmen?

Die Arbeitszeiterfassung ist jedoch nicht erst seit Verkündung dieses Grundsatzurteils oder aber des EuGH-Urteils ein eigentlich notwendiger Bestandteil insbesondere der Branchen, in der Mitarbeiter*innen häufig nach Stunden bezahlt werden, wie in der Gastronomie oder Hotellerie. Ein wichtiger Punkt in der Gesetzesänderung dreht sich nun jedoch um das Tracken der erbrachten Stunden zur leichteren Nachvollziehbarkeit. Hierbei soll es zuständigen Behörden eben beispielsweise durch den Einsatz digitaler Tools ermöglicht werden, die Einhaltung der Arbeitnehmerrechte besser zu schützen. Denn generell haben Arbeitnehmer*innen schon jetzt das Recht, die geleisteten Stunden auch selbst zu erfassen und die entsprechende Vergütung dafür einzufordern. Digitale Tools schaffen hierbei Transparenz für alle Beteiligten und verhindern, dass eine der beiden Parteien bei den Stundennachweisen in Erklärungsnot gerät. Eine Zeiterfassungspflicht kann also für viele Branchen bedeuten, dass weniger Konfliktpotenzial besteht und Mitarbeitende durch ihre Selbstkontrolle motivierter und selbstbestimmter werden. Denn wenn sowohl Überstunden als auch Fehlzeiten oder Pausen nachvollziehbarer sind, kann mit noch mehr Fairness und auf Augenhöhe kommuniziert werden.

Das neue Arbeitszeiterfassungssystem kann dabei sowohl ein elektronisches Erfassungssystem (z.B. Personalverwaltungssoftware) als auch eine Selbstaufzeichnung durch die Arbeitnehmer*innen (z.B. in einer Excel-Tabelle) sein. Zudem kann die Verpflichtung zur Zeiterfassung an die Mitarbeitenden delegiert werden. Wichtig jedoch: Arbeitgeber*innen müssen sich die Aufzeichnungen beispielsweise am Ende jeder Arbeitswoche aushändigen lassen und diese zumindest regelmäßig stichprobenartig im Hinblick auf Verstöße gegen das Arbeitszeitgesetz (ArbZG) überprüfen.

Ab wann droht ein Bußgeld?

Ein Verstoß gegen diese Zeiterfassungspflicht kann nur dann mit einem Bußgeld geahndet werden, wenn Arbeitgeber*innen nicht mindestens alle Arbeitsstunden, die über 8 Stunden pro Arbeitstag hinausgehen, sowie eben alle Arbeitsstunden an Sonn- und Feiertagen aufzeichnen. Nur eine solche Verpflichtung sowie die Sonderregelungen für beispielsweise geringfügig Beschäftigte sind in einem schriftlichen Gesetz verankert und werden mit einer spezifischen Sanktion in Form eines Bußgeldes geahndet (Grundregel: 1.600 Euro pro Fall und Arbeitnehmer*in, höhere Bußgelder bei Verstößen gegen die Sonderregelungen für geringfügig Beschäftigte). Die "neue", noch weitergehende Aufzeichnungspflicht für alle Arbeitnehmer*innen gilt nun, kann aber derzeit nicht sanktioniert werden. Ob die Kontrolldichte der Behörden zunehmen wird, lässt sich zudem nicht mit Sicherheit sagen. Unternehmen tun jedoch aufgrund der aktuell großen Aufmerksamkeit gut daran, sich mit dem Thema aktiv zu beschäftigen.

Wichtig auch: Bisher ist nur die Pressemitteilung zu der Entscheidung veröffentlicht worden, so dass möglicherweise eine Neubewertung erforderlich sein wird, sobald die vollständige Begründung der Entscheidung vorliegt.

Die firmeneigene Webpräsenz ist für Unternehmen ein wichtiger Baustein für wirtschaftlichen Erfolg. Eine ansprechende Webseite oder ein informativer Blog sorgen für Kundenbindung und Neukundengewinnung. Zur attraktiven Webseitengestaltung gehören auch visuelle Elemente wie Fotos oder Grafiken. Den Unternehmen ist in der Regel bekannt, wie wichtig der Erwerb von Lizenzrechten ist, bevor ein Bild auf der eigenen Firmenseite online gestellt werden kann. Trotz aller Sorgfalt bei der rechtssicheren Bildernutzung kommt es dennoch zu bösen Überraschungen. Eine vermeintlich sichere Lizenz entpuppt sich als Verstoß gegen Urheber- oder Persönlichkeitsrechte – und hohe Kosten drohen.

Es gibt für die rechtssichere Nutzung von Bildern eine ganze Reihe an Regeln zu beachten. Es gibt allerlei Fallstricke, in die Unternehmen unbewusst hineinstolpern können. In diesem Beitrag informiert wir, wie sich Unternehmen rechtlich eindeutig absichern können, wenn sie Bilder für ihre Online-Firmenpräsenz nutzen wollen.

Grundsätzlich für die Lizenzierung sorgen

Im Streitfall um Nutzungsrechte muss der Verwender beweisen, dass er dieses Recht erworben hat. Die Beweislast liegt also beim Unternehmen, das ein Foto nutzen möchte. Es muss deshalb für jedes Foto vorab die Lizenz einholen und klären, ob es auf der eigenen Firmenwebseite eingesetzt werden darf.

Gerichte erwarten in diesem Punkt große Sorgfalt: Wer also Bilder einsetzen möchte, muss deren Herkunft lückenlos nachvollziehbar machen. Wie Abmachungen und Verträge den Weg vom Fotografen als Urheber bis zum Nutzungsrecht des Verwenders geebnet haben, muss dokumentiert sein.

Oft besteht der Irrtum, dass die Geldzahlung für eine Lizenz damit gleichbedeutend sei, man hätte das Foto quasi käuflich erworben und könne damit tun, was man möchte. Im Medienbusiness verwenden Profis detaillierte Rechtekataloge, wenn sie eine umfassende Nutzungserlaubnis erwerben wollen. Es ist entscheidend, dass ein Unternehmen diesen Prozess gewissenhaft regelt.

Eigene Fotos erstellen

Auf den ersten Blick scheint die rechtliche Situation unkompliziert, wenn der Nutzer gleichzeitig der Fotograf ist. An selbst aufgenommenen Fotos hat der Urheber das volle Nutzungsrecht. Doch wie sieht die Situation aus, wenn das Foto von einer GbR genutzt wird und jener Gründer das Unternehmen verlässt, dessen Foto auf der Webseite eingesetzt wird? Derartige Fragen werden selten im Gründungsprozess geregelt und führen später zu Streitfällen. Neben dem Urheberrecht spielen auch Persönlichkeitsrechte eine Rolle: Sind Personen auf einem Foto abgebildet, hängt die Verwendung des Fotos von ihrer Zustimmung ab. Das Gleiche gilt, wenn eine ganze Personengruppe abgebildet ist.

Das Internet als Bildquelle

Beauftragt das Unternehmen angestellte Mitarbeiter mit der Fotoerstellung, ist das juristisch unproblematisch. Nutzungsrechte stehen dem Unternehmen zu, wenn die Fotoerstellung für Unternehmenszwecke zu den Mitarbeiteraufgaben gehört. Allerdings ist es empfehlenswert, eine entsprechende Regelung in den Arbeitsvertrag aufzunehmen.

Die Bildbeschaffung über Dritte kennt meistens zwei Wege. Entweder wird ein externer Fotograf beauftragt oder passende Bilder werden im Internet gesucht. Bei Stockfotos oder generischen Motiven ist es meistens am einfachsten, bereitgestellte Bilder aus dem Internet herunterzuladen.

Doch genau hier lauern Risiken: Viele Bilder stehen scheinbar kostenlos zur Verfügung. Aber das bedeutet nicht, dass ein kostenloses Foto auch frei nutzbar ist. Übersieht man hier wichtige Bedingungen, drohen erhebliche Kosten. Das betrifft hohe Nachzahlungen bei den Lizenzgebühren sowie Opportunitätskosten. Diese entstehen, wenn sich Zeitverluste, Rechtsstreitigkeiten und Vertrauensschäden summieren. Besser ist es, Geld für den Erwerb von passenden Nutzungsrechten zu investieren, anstatt im Internet viel Zeit für die Suche nach angeblich kostenlosen Bilderquellen zu verschwenden.

Bildersuche per Suchmaschine

Wo liegen die Ursachen, wenn Bildnutzer in rechtliche Probleme geraten? Ein wichtiger Grund ist die Angebotsfülle an Fotos in Suchmaschinen. Beliebt ist beispielsweise die Google-Bildersuche: Denn über Suchbegriffe öffnen sich gewaltige Fotosammlungen. Dabei bietet Google eine Filterfunktion an, mit der sich nach vermeintlich lizenzfreien Fotos suchen lässt. Schnell wird dann beim passenden Motiv zugegriffen. Allerdings garantiert Google nicht, dass die gefilterten Fotos tatsächlich den gesuchten Kriterien entsprechen.

Genau hier liegt das Risiko für eine Abmahnung. Das Schlagwort "Nutzungsfreigabe" ist wenig aufschlussreich. Es lässt sich damit nicht herleiten, welchen konkreten Nutzungsbedingungen das Foto unterworfen ist und welche Einschränkungen bestehen.

Die Google-Bildersuche eignet sich lediglich zur internen Vorauswahl. Findet man ein passendes Motiv, ist die Recherche nach den dazugehörigen Nutzungsbedingungen unverzichtbar.

Stockfotos beschaffen

Spezialisierte Datenbanken stellen sogenannte Stockfotos bereit. Sie eignen sich, wenn man keine individuell erstellten Aufnahmen benötigt. Die finanzielle Spannbreite reicht von kostenlos über Pauschaltarif bis zu exklusiven Nutzungsrechten für einige Tausend Euro Lizenzgebühr. Fotomaterial aus diesen Agenturangeboten sollten nie einfach heruntergeladen und in die eigene Webpage eingebaut werden. Zuerst sollten Lizenzbedingungen bei Bilddatenbanken geprüft werden.

Produktbilder als Sonderfall

Auch bei Produktbildern tragen die Händler Verantwortung für den Erwerb der Nutzungsrechte. Keineswegs kann ein beliebiges Produktfoto aus dem Internet verwendet werden – auch wenn es um das gleiche Produkt geht. Hersteller bieten registrierten Händlern oft an, entsprechende Produktfotos zu verlinken oder für Onlineshops herunterzuladen. Werden keine weiteren Angaben genannt, dürfen Händler das Foto für das eigene Verkaufsangebot nutzen.

Anders sieht es mit Fotos im eingerichteten Pressebereich aus. Diese Fotos dürfen nicht für Verkaufsangebote eingesetzt werden. Verwenden Händler solche Fotos ohne Rücksprache, gehen sie das Risiko einer Abmahnung ein. Auch beim Produktbild gilt: Der Hersteller muss klären, ob und zu welchen Bedingungen er das Bild verwenden kann.

Nutzungsrechte vertraglich sichern

Eine Nutzungsvereinbarung kann theoretisch auf vielerlei Weise geschlossen werden – zum Beispiel per Handschlag. In der Praxis empfiehlt sich jedoch eine schriftliche Dokumentation per Dokument oder zumindest per E-Mail.

Bilderverletzung – welche Folgen drohen?

Wer mit Nutzungsrechten nachlässig umgeht, riskiert hohe Konsequenzen. Bei Bilddiebstahl hat ein Fotograf viele Ansprüche. Abmahnen kann er jeden, der auf rechtswidrige Art die Fotos nutzt. Will der Nutzer ihn an den Lieferanten verweisen, muss der Fotograf das nicht hinnehmen. Ganz im Gegenteil kann er beide Seiten abmahnen lassen – Unternehmen und Bildlieferanten.

Ist die Fotonutzung illegal, drohen dem Nutzer Auskunfts- und Unterlassungsansprüche, Schadenersatz sowie Anwaltsgebühren. Leider lässt sich der Sachverhalt nicht durch Löschen des Fotos auf der eigenen Webseite bereinigen. Das muss in rechtlicher Hinsicht mit der gleichzeitigen Abgabe einer sogenannten strafbewehrten Unterlassungserklärung verbunden sein. Sonst droht Klage.

Der Autor: Die Tätigkeitsschwerpunkte von Rechtsanwalt Dr. Michael Metzner sind Gewerblicher Rechtsschutz, Medienrecht und Urheberrecht. Seine Kanzlei berät Onlineshop-Betreiber, Onlinehändler sowie eine Vielzahl an Unternehmen im Segment E-Commerce.

Sich im E-Commerce selbständig machen – davon träumen viele Menschen. Zumal der Onlinehandel mit der Corona-Krise und der fortschreitenden Digitalisierung immer weiter an Attraktivität gewinnt. Es wird dabei jedoch unterschätzt, dass es nicht einfach ist, die Eröffnung von Onlineshops rechtssicher, effektiv und nachhaltig zu gestalten.

Ein wesentlicher Schritt ist die Anmeldung einer Marke, um das mühsam aufgebaute Unternehmen zu schützen. Dabei kommt es darauf an, ob man eine Marke für den deutschen Markt, die EU oder weltweit anmelden möchte. Doch das sind nicht die einzigen Details, die bei der Anmeldung der Marke wichtig sind. Im Folgenden liest du, wie man bei der Anmeldung richtig vorgeht und worauf man dringend achten sollte.

Die Markenanmeldung

Es besteht bei der Markenanmeldung grundsätzlich kein Zwang, einen Anwalt zu nehmen. Geht die Anmeldung schief, werden die Kosten vom Amt allerdings nicht erstattet. Zudem können durch Widersprüche oder Abmahnungen durchaus vierstellige Beträge zusammenkommen. Bei der Wahl des Markenamtes sollte man sich zunächst die Frage stellen, wo die Kunden sitzen, die man in den ersten Jahren überwiegend beliefert. Ist das zu 80 Prozent Deutschland, spricht einiges dafür, eine deutsche Marke anzumelden. Für die Schweiz sollte es dagegen eine internationale Registrierung sein.

Wichtig ist auch, ob der E-Commerce nur im eigenen Onlineshop oder zusätzlich auf Plattformen wie Amazon Marketplace erfolgen soll. Im zweiten Fall sollte die Marke für die Amazon Brand Registry geeignet sein – denn dafür verlangt Amazon bestimmte Voraussetzungen.

Der Name des Shops

Man muss sich bei der Anmeldung zudem darüber bewusst sein, dass man zum einen den Namen des Shops und zum anderen die Marken der angebotenen Produkte oder Dienstleistungen schützen kann. Der wohl größte Fehler vor der Anmeldung ist eine unzureichende Recherche nach älteren Marken, Firmennamen oder Unternehmenskennzeichen, die mit der eigenen Anmeldung kollidieren könnten. Denn bei Marken gilt das Prioritätsprinzip. Salopp ausgedrückt: Wer zuerst kommt, mahlt zuerst. Dabei gilt, dass auch ähnliche, verwechslungsfähige Marken neue Anmeldungen verhindern können. Die Verwechslungsfähigkeit ist eine komplizierte Rechtsfrage.

Die Pflege der Marke

Ist die Marke eingetragen, vergessen Onlinehändler*innen oft die nötige Pflege. Bei rund 15.000 monatlichen Anmeldungen allein beim EUIPO ist die Gefahr kollidierender Anmeldungen groß. Passt man nicht auf, rücken konkurrierende Zeichen an die eigene Marke heran und die Marke droht zu verwässern oder wertlos zu werden. Ein konsequentes Vorgehen gegen Markenverletzer*innen ist also angebracht. Im Übrigen verfällt eine Marke, wenn sie innerhalb von fünf Jahren nicht genutzt wird.

Nutzung von Online-Formularen

Die Online-Formulare der Markenämter sind mittlerweile recht nutzerfreundlich und bieten einen günstigen Zugang zur Markenanmeldung. Wer sich auskennt, kann diesen Weg beschreiten. Allerdings darf man nicht vergessen, dass Markenrecht ein sehr spezielles und komplexes Rechtsgebiet ist, bei dem unzählige Fallstricke lauern, die mit erheblichen finanziellen Risiken verbunden sind.

Bei Unsicherheiten oder Zweifeln sollten Gründer*innen von Onlineshops unbedingt erwägen, anwaltliche Hilfe in Anspruch zu nehmen. Die Vereinbarung eines Pauschalpreises ist dabei sicherlich sinnvoll.

Der Autor Dr. Michael Metzner ist Rechtsanwalt ist Rechtsanwalt für Urheber- und Medienrecht sowie für gewerblichen Rechtsschutz und mit der komplexen Thematik für Unternehmen im E-Commerce-Bereich langjährig vertraut.

Arbeitszeitgesetz und Vereinbarungen zur Arbeitszeit

Auch im Homeoffice gelten weiter die Vereinbarungen zur Arbeitszeit und natürlich die Arbeitszeitgesetze. Ist eine Höchstarbeitszeit von beispielsweise acht Stunden vereinbart, darf diese nicht einfach so überschritten werden. Auch Ruhepausen von mindestens 30 Minuten und bei einer Arbeitszeit von mehr als sechs Stunden 45 Minuten müssen eingehalten werden. Auch müssen zwischen Ende des vorherigen Arbeitstages und Beginn des Neuen grundsätzlich 11 Stunden Freizeit sein.

Arbeitszeiterfassung

Ein sehr spezielles Thema ist das der Arbeitszeiterfassung. Der Arbeitgeber ist dazu verpflichtet alle Stunden, die über die Höchstarbeitszeit von acht Stunden hinausgehen, aufzuzeichnen. Diese Pflicht kann jedoch auch an den Arbeitnehmer übertragen werden. Vor Ort haben die meisten großen Unternehmen ein Zeiterfassungssystem, welches im Homeoffice allerdings nicht genutzt werden kann. Kann auf solche Systeme online zugegriffen werden, dann müssen diese auch von Mitarbeiter genutzt werden. Dazu gibt es hilfreiche Tools, wie zum Beispiel die kostenlose Stundenzettel Vorlage von Papershift, womit man eine Arbeitszeiterfassung von überall aus möglich machen kann.

Wann Überwachungsmaßnahmen angebracht sind

Grundsätzlich kann ein Arbeitszeitbetrug zu einer fristlosen Kündigung führen. Nicht jeder Arbeitnehmer geht sorgsam mit diesem Privileg um und geht während der Arbeitszeit anderen Dingen nach oder ist gar nicht erst erreichbar. Wird die notwendige Arbeitsleistung erbracht, kann man das Thema sicherlich locker angehen, wird diese aber nicht mehr ausreichend erbracht, wird es schwierig. Überwachung darf jedoch nur dann stattfinden, wenn ein klarer Anlass besteht. Ein einfacher Verdacht reicht nicht aus, dieser muss auf Tatsachen gestützt werden. Regelmäßige Kommunikation und gute Abstimmung können solche Themen oftmals bereits frühzeitig vom Tisch räumen und Missverständnisse vermeiden.

Arbeits(zeit)schutz

Vor allem hinsichtlich des Arbeitszeitschutzes ist eine genaue Aufzeichnung sehr wichtig. Der Arbeitgeber hat eine Überwachungs- und Fürsorgefunktion und muss sich darum kümmern, dass die gesetzlichen Beschränkungen eingehalten werden. Wird über einen betrieblichen Laptop gearbeitet, kann dieser beispielsweise die Nutzung nur für einen bestimmten Zeitraum freigeben oder aber man arbeitet mit Cloud Lösungen bzw. E-Mail Accounts die nach einer bestimmten Zeit nicht mehr zur Verfügung stehen.

Müssen Mitarbeiter im Homeoffice permanent erreichbar sein?

Nur weil man im Homeoffice arbeitet, heißt das nicht, dass man auch ständig erreichbar sein muss. Vor allem nicht in der Freizeit. Ausnahmen müssen vertraglich festgehalten werden und es gelten die Grundsätze des Arbeitszeitgesetzes. Der Arbeitgeber ist aber auch befugt feste Zeitfenster einzurichten, in denen man erreichbar sein muss oder eben an Telefonkonferenzen teilnimmt.

Flexible Arbeitszeiten

Wann man sich vorher mit dem Arbeitgeber abspricht, dann ist auch eine gewisse Flexibilität im Homeoffice gewährleistet, die dieses ja gerade erst so attraktiv macht. Das beruht allerdings auf Gegenseitigkeit, da die meisten Arbeitnehmer auch deutlich zufriedener sind, wenn sie den Arbeitsalltag selbst gestalten dürfen. Wenn man während der Arbeitszeit mal schnell die Waschmaschine befüllt ist das auch noch nicht gleich ein Verstoß. Vertrauensarbeitszeit ist immer noch das beste Modell, da das Homeoffice auch nach Corona noch eine große Rolle spielen wird und der Arbeitnehmer die erforderlichen Leistungen in der Regel auch von sich aus erbringt.