Aktuelle Events
Mobilitätsbudget – das musst du wissen
Eine Wochenkarte für Bus und Bahn, eine kurze Fahrt mit dem E-Roller oder doch lieber das Car-Sharing-Angebot bei schlechtem Wetter? Unternehmen, die ihren Mitarbeitenden dafür ein Mobilitätsbudget zur Verfügung stellen, sollen bald eine neue Möglichkeit der Pauschalbesteuerung nutzen können. Welche Voraussetzungen dazu erfüllt sein müssen, liest du hier.

Was ist das Mobilitätsbudget?
Das Mobilitätsbudget ist ein Angebot von Unternehmen für ihre Mitarbeitenden, alternative Verkehrsmitteln für privat veranlasste Reisen zu nutzen. Das Unternehmen stellt dafür einen bestimmten Betrag zur Verfügung, die Mitarbeitenden können die Verkehrsangebote je nach aktuellen Bedürfnissen, Verfügbarkeit und persönlichen Präferenzen flexibel miteinander kombinieren. Das Mobilitätsbudget ist damit eine gute Alternative zum privaten Auto oder Dienstwagen.
Was ist jetzt neu?
Im Regierungsentwurf für ein Jahressteuergesetz 2024 wurden die Rahmenbedingungen für ein Mobilitätsbudget definiert und steuerliche Anreize für dessen Nutzung geschaffen. So sollen Unternehmen die Möglichkeit erhalten, den damit verbundenen geldwerten Vorteil für Arbeitnehmende pauschal mit 25 Prozent zu versteuern. Die Regelungen zur Dienstwagenbesteuerung sollen damit nicht verändert werden.
Welche Verkehrsmittel können genutzt werden?
Unternehmen können die Angebotswahl in ihrem Mobilitätsangebot selbst bestimmen. Grundsätzlich können neben ebenfalls steuerlich geförderten Jobtickets auch Budgets für die gelegentliche Inanspruchnahme von Sharing-Angeboten wie E-Roller, Leihräder oder Carsharing-Autos, enthalten sein. Auch Einzelfahrkarten, Zeitkarten und Ermäßigungskarten für den Bus- und Bahnverkehr, also etwa der monatliche Anteil einer BahnCard, können Teil des Mobilitätsbudgets sein.
Was fällt nicht unter das Mobilitätsbudget?
Die dauerhafte und nicht nur gelegentlichen Nutzung von Pkw ist ausgeschlossen. Auf Dauer ausgelegte Mietwagen-, Leasing- oder Abo-Modelle fallen also nicht unter das Mobilitätsbudget. Gleiches gilt für Luftfahrzeuge, Privatwagen der Mitarbeitenden und dauerhaft auch zur privaten Nutzung überlassene Dienstwagen. Wird für die Arbeitnehmenden bereits eine Pauschalbesteuerung für die Fahrten Wohnung-Arbeitsstätte vorgenommen, kann die Pauschalbesteuerung für ein Mobilitätsbudget nicht dafür in Anspruch genommen werden.
Wer muss das Mobilitätsbudget versteuern?
Grundsätzlich müssen die Mitarbeitenden einen solchen geldwerten Vorteil versteuern. Die Betriebe hingegen müssen entsprechende Sozialversicherungsbeiträge abführen. Werden die Pläne der Regierung umgesetzt und entschließen sich Unternehmen dann das Mobilitätsbudget künftig selbst pauschal mit 25 Prozent zu versteuern, ist dieses beitragsfrei.
Was sind die Voraussetzungen für eine Pauschalbesteuerung?
Die pauschale Versteuerung ist nur zulässig, wenn Betriebe das Mobilitätsbudget zusätzlich zum geschuldeten Arbeitslohn gewähren. Zudem ist die Möglichkeit der Pauschalbesteuerung auf einen Höchstbetrag von 2.400 Euro im Kalenderjahr begrenzt und kann nicht für bereits pauschal versteuerte Sachbezüge oder Zuschüsse genutzt werden. Die Regelungen sind also nur alternativ anwendbar.
Tipp: Was solltest du jetzt tun?
- Behalte die geplanten Steuerbegünstigungen im Blick!
- Prüfe, ob deine Belegschaft Interesse an einem Mobilitätsbudget als Benefit hat.
- Sprich mit deinem/deiner Steuerberater*in, um zu klären, welche Vor- und Nachteile eine Pauschbesteuerung für dein Unternehmen hat.
Der Autor Andreas Islinger – LL.M. Sozialrecht, Master of Arts in Taxation – ist Partner, Steuerberater und Leiter Rentenberatung und Lohnzentrum bei ECOVIS in München.
Diese Artikel könnten Sie auch interessieren:
Non-Disclosure Agreement: Wenn‘s geheim sein und bleiben muss
Recht für Gründer*innen: Fünf wichtige Fragen und Antworten zu Geheimhaltungsvereinbarungen, auch Non-Disclosure Agreements (NDAs) genannt.

Geheimhaltungsvereinbarungen, auch bekannt als Non-Disclosure Agreements, dienen dazu, vertrauliche Informationen zu schützen, die zwischen Geschäftspartner*innen ausgetauscht werden. Wie wertvoll eine Geheimhaltungsvereinbarung für die Parteien wirklich ist, kommt allerdings stark auf die Ausführung an – der Teufel steckt auch hier im Detail. Denn Geheimhaltungsvereinbarungen sind meist nur ein Nebenschauplatz bei Verhandlungen größerer Projekte, bisweilen geraten sie in den Hintergrund. Da ist die Versuchung groß, eine Standardvorlage aus dem Internet, aus einem früheren Projekt oder von der Konkurrenz zu übernehmen – fertig ist das NDA.
Was auf den ersten Blick wie eine schnelle, kostensparende Lösung aussieht, kann allerdings im Streitfall erhebliche Probleme verursachen. Denn ist das NDA nicht auf die Situation der Vertragsparteien zugeschnitten, fehlen häufig entscheidende Details. Zumindest diese fünf Fragen sollten sich Unternehmer*innen vor dem Abschluss einer Geheimhaltungsvereinbarung stellen.
1. Wer sind die richtigen Vertragsparteien?
Oft läuft es in der Praxis so: Vertragspartei A sendet ihr NDA-Muster als „Lückentext“ an Partei B. Diese trägt ihren Unternehmensnamen und Firmensitz selbst ein. Ist der Vertragspartner Teil einer Konzernstruktur, wird häufig die Muttergesellschaft genannt. Abgeschlossen wird der Vertrag dann zwischen A und der Konzernmutter B. Legt A der Tochtergesellschaft B, mit der sie die Geschäfte macht, wichtige Informationen offen, ist dies von der geschlossenen Geheimhaltungsvereinbarung nicht gedeckt. Im Streitfall folgt das böse Erwachen für Partei A: Obwohl Tochtergesellschaft B alle Verhandlungen geführt hat, die Firmennamen von Mutter- und Tochtergesellschaft B ähnlich klingen, beide vielleicht sogar denselben Firmensitz haben, ist der Vertrag mit der „falschen“ Gesellschaft geschlossen worden und somit nutzlos. Die offengelegten Informationen sind im Zweifel nicht geschützt.
Teilweise sehen NDA-Muster vor, dass auch verbundene Unternehmen von der Vereinbarung umfasst sind. Dann muss vorab geklärt werden, ob die unterzeichnende Gesellschaft die relevanten Gesellschaften wirksam vertritt. Sonst kann es sein, dass die verbundenen Gesellschaften zwar geschützt, nicht aber selbst zur Verschwiegenheit verpflichtet sind.
Komplexer wird es, wenn weitere Unternehmen beteiligt sind. Ein Beispiel: Partei A, B und C schließen der Einfachheit halber für ein gemeinsames Projekt ein mehrseitiges NDA. Im Grundsatz spricht nichts dagegen, solange genau geregelt ist, welche Partei welche Informationen inwieweit geheim halten muss. Doch gerade, wenn ein zweiseitiges NDA-Muster nur marginal auf diese Situation angepasst wird, fehlen häufig Regelungen, welche Informationen in welcher Beziehung ausgetauscht werden dürfen.
Ein Beispiel: A legt gegenüber B Informationen offen, B muss diese geheim halten. Tauscht B die Informationen mit C aus, ist nicht klar, ob B damit nicht bereits gegen das NDA verstößt und ob C diese Informationen dann überhaupt vertraulich behandeln muss.
2. Welche Informationen sollen geschützt werden?
Geschäftsgeheimnisse sind regelmäßig bereits nach dem Geschäftsgeheimnisgesetz (GeschGehG) geschützt. Voraussetzung ist allerdings ein „Geheimnis“ im Sinne des Gesetzes und dass das Unternehmen Maßnahmen zu dessen Geheimhaltung ergreift. Ratsam ist es daher, sensible Informationen durch entsprechende NDAs abzusichern. Aus dem NDA sollte sich zunächst klar ergeben, ob die Geheimhaltungsvereinbarung die Informationen beider Parteien schützt oder nur eine Partei einseitig zur Geheimhaltung verpflichtet ist.
Dann ist genau festzulegen, welche Informationen geschützt werden sollen – etwa nur bestimmte technische Details oder auch kaufmännische Themen. Soll die Zusammenarbeit selbst vertraulich behandelt werden? Oder soll sie beispielsweise zu Werbezwecken offengelegt werden können? Je konkreter der Umfang der vertraulichen Informationen im NDA definiert ist, umso weniger Anlass für Konflikte gibt es später. Eine sehr konkrete Geheimhaltungsvereinbarung lässt sich in den meisten Fällen nicht automatisch auf andere Projekte übertragen und hilft bei einem Folgeprojekt im Zweifel also wenig.
3. Wie werden Informationen geschützt?
Bei besonders sensiblen Informationen lohnt es sich, zu regeln, welche Personen im Unternehmen davon wissen dürfen und die interne Weitergabe auf Personen mit Need-to-know für die Durchführung des Projekts zu beschränken.
Bevor eine Geheimhaltungsvereinbarung unterzeichnet wird, die die Anfertigung von Kopien und Backups verbietet, sollte geprüft werden, ob technisch überhaupt gewährleistet werden kann, dass keine automatischen Backups auf irgendeinem Server schlummern.
Auch die Laufzeit einer Geheimhaltungsvereinbarung ist oft formularmäßig vorgegeben und nicht an den Einzelfall angepasst. Sollen die Details nach erfolgreicher Durchführung eines Projekts veröffentlicht werden? Oder sind die Informationen derart sensibel, dass sie niemals weitergegeben werden sollen? Zu kurze Fristen, die unabhängig von der tatsächlichen Dauer eines Projekts vereinbart werden, sind gegebenenfalls riskant.
4. Wie schützt man sich für den Fall von Verstößen gegen das NDA?
Vertragsstrafen dienen dazu, Verstöße gegen Geheimhaltungsvereinbarungen zu ahnden – auch ohne, dass ein konkreter Schaden dargelegt werden muss. Wird die Aufnahme einer Vertragsstrafe in das NDA verabsäumt, bleibt nur der Nachweis eines tatsächlichen Schadens, der in der Praxis regelmäßig schwierig bis unmöglich zu erbringen ist.
Geheimhaltungsvereinbarungen sind in den meisten Fällen nach dem Recht über Allgemeine Geschäftsbedingungen (AGB) zu bewerten. In diesen Grenzen muss sich das NDA bewegen und darf im Einzelfall nicht unangemessen sein. Für die Partei, die das NDA-Muster bereitgestellt hat, gelten hier strenge Regeln: Ist beispielsweise in einer beidseitigen Geheimhaltungsvereinbarung eine unangemessen hohe Vertragsstrafe vorgesehen, muss der/die Vertragspartner*in diese im Zweifel nicht zahlen – das Unternehmen, von dem das NDAMuster kam, bei einem eigenen Verstoß allerdings schon.
5. Passen die Schlussbestimmungen?
Schlussbestimmungen – insbesondere zu Gerichtsstand und anwendbarem Recht – werden in Verträgen gerne übersehen. Sie spielen aber auch in Geheimhaltungsvereinbarungen eine nicht unwesentliche Rolle. Sieht das NDA-Muster einen Gerichtsstand am Sitz einer Vertragspartei vor oder regelt hierzu gar nichts, hat die Partei, die eine Verletzung der Vereinbarung rügt, nur die Wahl, einen öffentlichen Rechtsstreit zu führen oder dem Verstoß gar nicht nachzugehen.
Bei internationalen Vertragsbeziehungen kommt hinzu, dass eine Entscheidung auch durchsetzbar sein muss. Hier kann eine Schiedsklausel die sachgerechte Lösung darstellen. Ist nicht die Anwendung deutschen Rechts, sondern eines anderen Landes vereinbart, können die zu beachtenden Punkte ganz anders aussehen. Ob darin ein Nachteil für die Parteien liegt, hängt von den Umständen des Einzelfalls ab.
Fazit
Schweigen muss, wer im NDA zur Verschwiegenheit verpflichtet wurde. Sonst niemand. Die Verschwiegenheitspflicht gilt dabei nur für die Themen, die wirksam als vertraulich erklärt wurden. Dabei ist zu bedenken, dass nicht alle unternehmens- oder projektbezogenen Informationen so schützenswert sind, dass sich viel Aufwand für die Gestaltung einzelner NDAs lohnt. Die Faustregel: je wichtiger die Information, umso wichtiger ist ein guter Vertrag über den Schutz dieser Information.
Kritisch werden die Punkte des NDA erst, wenn ein(e) Vertragspartner*in gegen die Vertraulichkeit verstößt oder ein(e) potenzielle(r) Investor*in prüft, ob die wertvollen Informationen eines Unternehmens auch ausreichend geschützt sind. Beide Szenarien sind denkbar ungünstige Zeitpunkte für die Feststellung, dass wichtige Informationen ungeschützt sind.
Die Autorin Isabelle Hörner ist Rechtsanwältin bei der Kanzlei Menold Bezler in Stuttgart und berät u.a. zum Vertrags-, Handels- und Vertriebsrecht.
Gericht, Verträge, Haftung: Die wichtigsten rechtlichen Grundlagen für Start-ups
Innovation und Unternehmergeist prägen viele junge Firmen, doch rechtliche Themen geraten leicht in den Hintergrund. Dabei können Haftungsrisiken, unklare Verträge oder Streitigkeiten vor Gericht schnell zum Existenzproblem werden. Eine vorausschauende Strategie schafft Vertrauen bei Investor*innen und Geschäftspartner*innen, sichert das Unternehmen gegen unerwartete Gefahren ab und legt die Basis für professionelles Wachstum.

Elementare Schritte zur rechtlichen Absicherung
Eine solide Rechtsstruktur beginnt bereits bei der Wahl der passenden Rechtsform. Ob GmbH, UG oder eine andere Variante, jede Gesellschaftsform hat eigene Haftungs- und Steueraspekte. Wer im Vorfeld klärt, wie Gesellschafter*innen entlohnt werden und welche Kontroll- oder Mitspracherechte bestehen, verhindert spätere Konflikte.
Ebenfalls wichtig ist ein umfassendes Risikomanagement, das mögliche Streitfälle frühzeitig einkalkuliert. Gemeinsam mit juristischen Fachpersonen lassen sich Verträge entwickeln, die Interessen aller Beteiligten klar definieren. Dabei lohnt es sich, den aktuellen Status quo abzubilden und zukünftige Entwicklungen wie Kapitalerhöhungen oder den Einstieg neuer Investorinnen zu berücksichtigen. Fehlende oder lückenhafte Regelungen sorgen im Eifer des Geschäftsalltags sonst für Unsicherheit.
Gerichtsprozesse und mögliche Stolpersteine
Kein junges Unternehmen plant, direkt vor Gericht zu landen. Dennoch entsteht gerade bei innovativen Geschäftsmodellen ein erhöhtes Konfliktpotenzial, beispielsweise durch Patentrechte, Markenstreitigkeiten oder Datenschutzvorwürfe. Ein Gerichtsverfahren bindet finanzielle Mittel und Kapazitäten des gesamten Teams. Somit empfiehlt sich eine klare Strategie für den Fall rechtlicher Auseinandersetzungen.
In diesem Kontext spielen Rechtsmittel wie Berufung oder Beschwerde eine Rolle, wenn ein Urteil nicht akzeptiert wird. Ergänzend besteht in seltenen Fällen die Möglichkeit zur Wiederaufnahme des Verfahrens, etwa bei neu aufgetauchten Beweisen oder gravierenden Verfahrensfehlern. Dieser Schritt wird häufig unterschätzt, da er komplexe Voraussetzungen hat und keineswegs immer zum Erfolg führt. Deshalb wird in den meisten Fällen auf gütliche Einigungen gesetzt oder eine möglichst rasche Beilegung angestrebt, bevor sich die Auseinandersetzung weiter zuspitzt.
Gerade bei Konflikten mit Kund*innen oder Geschäftspartner*innen können alternative Streitbeilegungsmechanismen wie Mediation oder Schiedsverfahren eine sinnvolle Ergänzung sein. Solche Verfahren gelten als schneller und weniger belastend für die Geschäftsbeziehung. Eine entsprechende Klausel in den Verträgen erleichtert später den Zugriff auf diese Methoden.
Vertragliche Grundlagen im Start-up
Grundlegende Dokumente wie Gesellschaftsverträge, Geschäftsordnungen und Investitionsvereinbarungen verdienen besondere Aufmerksamkeit. Jede Passage sollte praxisnah formuliert werden, damit keine Unklarheiten entstehen, etwa zu Stimmrechten oder Gewinnverteilung. Selbst wenn sich Gründer*innen gut kennen oder ein Vertrauensverhältnis zu Investor*innen besteht, ist Verbindlichkeit erforderlich.
Um ungewollte Interpretationsspielräume zu vermeiden, empfiehlt sich eine Dokumentation aller Vereinbarungen in schriftlicher Form. Besonders wichtig ist, bereits vor dem Markteintritt Regelungen zum Schutz geistigen Eigentums zu treffen. Ebenso helfen Geheimhaltungsvereinbarungen (NDAs), sensible Geschäftsdaten zu schützen. Wer standardisierte Vorlagen nutzt, riskiert jedoch, spezifische Risiken zu übersehen. Individuell zugeschnittene Verträge tragen maßgeblich zum Erfolg eines Unternehmens bei und verhindern, dass Ärgernisse erst in der Wachstumsphase auffallen.
Haftung und Risikoanalyse
Nicht nur die Gesellschaft als juristische Person kann in Haftung genommen werden, sondern unter Umständen auch einzelne Geschäftsführer*innen oder Gesellschafter*innen. Zu den häufigsten Problemfeldern zählt die Verletzung von Informations- und Aufklärungspflichten, die zu Schadensersatzansprüchen führt. Darüber hinaus setzt eine mangelhafte Buchführung das Team unkalkulierbaren Risiken aus.
Um Schieflagen vorzubeugen, empfiehlt sich eine gründliche Risikoanalyse, die potenzielle Gefährdungen beleuchtet. Datenschutzverstöße können beispielsweise hohe Bußgelder nach sich ziehen, während fehlerhafte Produktangaben zu Produktrückrufen führen können. Spezifische Branchenanforderungen sind zu beachten, etwa im Gesundheitssektor oder in hoch regulierten Bereichen wie FinTech.
Mit einer D&O-Versicherung lassen sich Schadensersatzansprüche gegen leitende Personen abfedern. Diese Police deckt allerdings nicht jede erdenkliche Situation ab. Im Vorfeld ist zu prüfen, welche Ausschlüsse gelten und in welchen Fällen die Versicherung tatsächlich greift. Auch eine allgemeine Betriebshaftpflicht ist ratsam, um bei Schäden gegenüber Dritten gewappnet zu sein.
Schutz des geistigen Eigentums und Datenschutz
Start-ups basieren oft auf innovativen Ideen, neuen Technologien und kreativen Marken. Daher sind Patente, Urheberrechte und Markenrechte wesentlich, um das eigene geistige Eigentum zu schützen. Die Anmeldung von Patenten oder Marken ist jedoch mit gewissen Kosten und formalen Anforderungen verbunden. Wer frühzeitig in diesen Schutz investiert, kann sich gegebenenfalls gegen Nachahmerinnen wehren und behält eine starke Position im Wettbewerb.
Daneben gewinnt der Datenschutz mit jedem Schritt in Richtung Digitalisierung an Bedeutung. Persönliche Daten von Kund*innen, Mitarbeiter*innen oder Nutzer*innen zu sammeln, ist an strenge Anforderungen gebunden. Bei einem Verstoß drohen empfindliche Strafen durch die Datenschutzaufsichtsbehörden. Zudem schadet schon ein Imageschaden dem Vertrauen der Öffentlichkeit und potenziellen Geschäftspartner*innen. Eine professionelle Datenschutz-Compliance schafft nicht nur Rechtssicherheit, sondern wird zunehmend zum Qualitätsmerkmal am Markt.
Strategische Absicherung und Versicherungen
Neben den bereits genannten Policen für Geschäftsführer*innen und den allgemeinen Betrieb lohnt sich eine Auseinandersetzung mit branchen- oder projektspezifischen Versicherungen. Cyber-Versicherungen etwa gewinnen an Bedeutung, da Angriffe auf IT-Infrastrukturen erhebliche finanzielle Verluste auslösen können. Warenkreditversicherungen werden ebenfalls relevant, wenn mit großen Liefermengen gearbeitet wird und Ausfälle die Liquidität bedrohen.
Eine gründliche Prüfung einzelner Versicherungsprodukte hilft dabei, den jeweils passenden Schutz zu finden. Pauschale Empfehlungen greifen selten, denn Umfang und Kosten variieren stark. Oftmals lässt sich aber ein individuelles Paket zusammenstellen, das zentrale Risikobereiche abdeckt, ohne das Budget über Gebühr zu belasten. Solche Maßnahmen fördern die Stabilität des Geschäftsmodells und signalisieren Stakeholder*innen, dass das Management verantwortungsbewusst handelt.
Praxisnahe Tipps für den Start-up-Alltag
Rechtliche Sorgfalt beginnt nicht erst bei formellen Verträgen oder Gerichtsstreitereien. Der tägliche Umgang mit E-Mails, Geschäftsgeheimnissen oder Kund*innendaten erfordert ebenso Aufmerksamkeit. Eine transparente Unternehmenskultur, in der rechtliche Belange offen diskutiert werden, senkt das Risiko teurer Fehler. Schulungen und Workshops können die Belegschaft für Themen wie Compliance, Geheimhaltung oder Datenschutz sensibilisieren.
Zusätzlich ist sinnvoll, Rechts- und Steuerberatung nicht nur punktuell, sondern als festen Bestandteil in Entscheidungsprozesse einzubinden. Regelmäßige Updates zu Gesetzesänderungen oder neuen Vorschriften verhindern böse Überraschungen. Außerdem entsteht durch enge Zusammenarbeit mit Expert*innen ein Netzwerk, das im Ernstfall rasch weiterhelfen kann. Dieser ganzheitliche Ansatz beschleunigt das Unternehmenswachstum, weil er Raum für strategische Überlegungen freihält und Streitfälle minimiert.
Schlussfolgerung
Zukünftige Erfolgschancen hängen stark von einer soliden und vorausschauenden Rechtsstrategie ab. Zwar sorgen neue Technologien und internationale Märkte für enorme Expansionsmöglichkeiten, bringen jedoch auch weitergehende Verpflichtungen, etwa im Bereich Datenschutz oder E-Commerce. Zusätzlich spielen Kooperationen mit etablierten Unternehmen eine immer größere Rolle, was harmonisierte Verträge und gegenseitiges Vertrauen voraussetzt.
Wer frühzeitig in die Qualität der eigenen Rechtsgrundlagen investiert, schafft damit die Basis für Stabilität und langfristige Chancen. Bei sorgfältiger Planung bleiben Start-ups flexibel, können Innovationen zügig vorantreiben und sind zugleich gewappnet für die Herausforderungen eines sich rasant wandelnden Wirtschaftsumfelds.
Endgültiges Aus für die e-Privacy-Verordnung?
Anfang November hat die Bundesregierung einen Entwurf für eine neue ePrivacy-Verordnung in den Rat der Europäischen Union eingebracht. Da sich der Entwurf nicht als konsensfähig erwiesen hat, droht das Aus der Neuregelung.
Ziel der ePrivacy-Verordnung ist die Neuregelung der Nutzung und Bereitstellung elektronischer Kommunikationsdienste. Eine neue ePrivacy-Verordnung hätte erhebliche Auswirkungen auf digitale Geschäftsmodelle. Da sich der Entwurf der Bundesregierung nicht als konsensfähig erwiesen hat, hat das lange Ringen um eine Neuregelung allerdings vorerst kein Ende. Unternehmen sollten sich darauf einstellen, dass die bisherigen Regelungen womöglich noch etliche Jahre gelten werden.
ePrivacy-Verordnung: Neue Regeln für digitale Geschäftsmodelle
Parallel zur Datenschutzgrundverordnung (DSGVO) sollte am 25. Mai 2018 eigentlich eine weitere europäische Verordnung zum Thema Datenschutz in Kraft treten. Die „Verordnung über Privatsphäre und elektronische Kommunikation“ (kurz: ePrivacy-Verordnung) soll die Privatsphäre der Nutzer im Rahmen elektronischer Kommunikation schützen und die veraltete ePrivacy-Richtlinie ablösen. Als Ergänzung der DSGVO soll die ePrivacy-Verordnung unter anderem die Kommunikation über Messengerdienste und E-Mail regeln. Zudem sollen Anrufe und Nachrichten über internetbasiert Kommunikationsdienste gleichermaßen geschützt werden wie Telefonanrufe und SMS.
Für viele Start-ups ist das Thema ePrivacy relevant, weil die Verordnung neben der Werbung mittels elektronischer Nachrichten (E-Mail, SMS, Messenger) auch das Online-Marketing, einschließlich Tracking, neu regeln soll.
Wirtschaftsverbände warnen bereits seit 2017 vor restriktiven Neuregelungen
Die EU-Kommission und das Europäische Parlament haben bereits im Jahr 2017 eigene Entwürfe für eine ePrivacy-Verordnung vorgelegt. Vor allem der Entwurf des Parlaments fiel vergleichsweise nutzer- und datenschutzfreundlich aus und stieß in der Wirtschaft daher auf heftige Kritik. So sah der Entwurf des Parlaments zum Beispiel eine „Do Not Track“-Einstellung als zwingendes Default-Setting für Browser vor.
Neben den großen Technologie- und Telekommunikationskonzernen warnen auch Verlage und die Werbewirtschaft bereits seit Längerem vor derart restriktiven Neuregelungen. Sie befürchten irreparable Schäden für digitale Geschäftsmodelle – unter anderem weil weitere Einschränkungen beim Tracking die Werbefinanzierung im Internet zerstören könnten. Angesichts der erheblichen Kritik aus der Wirtschaft konnten sich die Mitgliedstaaten im Rat der Europäischen Union bislang nicht auf einen eigenen Entwurf einigen. In diesem Rat sitzen die Fachminister der EU-Mitgliedstaaten. Ein (Gegen-)Entwurf des Rats ist aber erforderlich, damit der Rat mit der EU Kommission und dem Europäischen Parlament in das weitere Gesetzgebungsverfahren eintreten kann (sogenanntes Trilog-Verfahren).
Seit Dezember 2017 hat der Rat unter der Führung von Estland, Bulgarien, Österreich, Rumänien, Finnland und Kroatien im Halbjahresturnus jeweils unterschiedliche Entwurfsfassungen veröffentlicht, von denen allerdings keine konsensfähig war. Wechselseitig wurden die Entwürfe von Beobachtern entweder als zu restriktiv für digitale Geschäftsmodelle oder als zu wirtschaftsfreundlich kritisiert.
Aktueller deutscher Kompromissvorschlag scheitert ebenfalls
Angesichts dieser festgefahrenen Situation hatte sich die seit dem 1. Juli 2020 amtierende deutsche Ratspräsidentschaft vorgenommen, mit ihrem Entwurf vom 4. November 2020 endlich einen zustimmungsfähigen Kompromiss zwischen den unterschiedlichen Interessen von Verbraucherschützern und digitaler Wirtschaft zu finden. Etliche Beobachter bezeichneten den deutschen Entwurf im Vorfeld als letzte Chance für eine Einigung.
Mit seinem Vorschlag wich Deutschland von dem eher wirtschaftsfreundlichen Entwurf der kroatischen Präsidentschaft ab und kam den Bedenken der Verbraucherverbände und Daten-schützer entgegen. Vor allem schlug Deutschland vor, das sogenannte berechtigte Interesse als Rechtsgrundlage für Online-Tracking zu Werbezwecken aus dem Entwurf zu streichen. Dies hätte zur Folge gehabt, dass Tracking und Retargeting – also die gezielte werbliche Wiederansprache der Nutzer in den Online-Angeboten Dritter – auch in Zukunft nur mit einer ausdrücklichen Einwilligung der Nutzer möglich gewesen wären. Eine Ausnahme von dieser Grundregel sollte laut Entwurf lediglich für Presseverlage gelten.
Diverse Verbraucherverbände hatten vor dem Treffen der entscheidungsbefugten Arbeits-gruppe für Telekommunikation signalisiert, mit dem deutschen Vorschlag leben zu können. Bei den Vertretern der Werbe-, Verlags- und Technologie-Unternehmen stieß der Entwurf – und insbesondere die Streichung des berechtigten Interesses als Rechtsgrundlage für Tracking zu Werbezwecken – dagegen auf wenig Gegenliebe. Diese Kritik fand in einigen Mitgliedstaaten Gehör. Und so gelang es letztlich auch der deutschen Ratspräsidentschaft nicht, die so gegensätzlichen Interessen miteinander zu versöhnen.
Unternehmen sollten sich auf Fortgeltung der aktuellen Regeln einstellen
Nach dem Scheitern des deutschen Entwurfs liegt der sprichwörtliche Ball ab dem 1. Januar 2021 bei der neuen portugiesischen Ratspräsidentschaft. Dass noch ein Kompromiss zwischen den Mitgliedstaaten erzielt werden kann, erscheint allerdings fraglich. Derzeit ist nicht ersichtlich, warum den Portugiesen gelingen sollte, woran bereits ein gutes Dutzend anderer Länder gescheitert ist. Selbst wenn der Rat unter der portugiesischen Präsidentschaft einen gemeinsamen Entwurf verabschieden sollte, bedarf es zudem viel Fantasie, um sich einen sowohl für das Parlament als auch für den Rat zustimmungsfähigen Gesamtkompromiss auszumalen. Die Zeichen sprechen also eher für ein endgültiges Aus der ePrivacy-Verordnung.
Welche Folgen hätte ein solches Scheitern für digitale Unternehmen?
Ohne Neuregelung würden bis auf Weiteres die aktuellen Bestimmungen der ePrivacy-Richtlinie anwendbar bleiben. Diese sind in Deutschland vor allem im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt. Danach ist das Setzen und Auslesen von Cookies zu Werbezwecken ohnehin nur mit vorheriger Einwilligung der Nutzer zulässig. Dies hat der Bundesgerichtshof vor Kurzem bestätigt. Dasselbe gilt, nach Auffassung der Datenschutzbehörden, auch für den Einsatz bekannter Analysetools wie Google Analytics.
Aus Unternehmenssicht ist das Scheitern der ePrivacy-Verordnung daher nicht nur Anlass zur Freude. Es bestand zumindest die Hoffnung, das vergleichsweise starre aktuelle Regelungskorsett durch einen progressiven Entwurf stärker an die Bedürfnisse der digitalen Wirtschaft anpassen zu können. Diese Hoffnung hat sich nun zerschlagen. Anderseits kann die Werbewirtschaft nach der flächendeckenden Implementierung der bekannten Cookie-Banner mit dem Status quo sicher deutlich besser leben als mit den restriktiven Vorschlägen des Europäischen Parlaments. Insofern bleibt der Trost, dass der Rat der Europäischen Union bis auf Weiteres größeres Unheil verhindert hat.
Der Autor, Dr. Lukas Stelten, ist Rechtsanwalt bei der Wirtschaftskanzlei CMS in Deutschland. Er berät deutsche und internationale Unternehmen zu sämtlichen datenschutzrechtlichen Fragestellungen, einschließlich internationalen Datentransfers, der Verwendung von Beschäftigten- und Sozialdaten sowie der Nutzung von Kundendaten.
EU-U.S. Privacy Shield ist ungültig - und nun?
Aus für Google, Facebook & Co. nach dem EuGH-Urteil „Schrems II“? Welche Auswirkungen das EuGH-Urteil auf die Nutzung von US-Tools und die Gestaltung deiner Online-Angebote wirklich hat.
In einer viel beachteten Entscheidung hat der Europäische Gerichtshof am 16. Juli 2020 das sog. EU-U.S. Privacy Shield für ungültig erklärt. Was bedeutet das in der Praxis? Nach manchen Äußerungen der Datenschutzaufsichtsbehörden müssen jetzt alle Übermittlungen personenbezogener Daten in die USA gestoppt werden. Sofort. Das wäre das Ende für die Einbindung von Google Tools, die unternehmerische Nutzung von Facebook oder auch von Service Tools wie Salesforce, Monday u.v.m. Aber ist die Lage wirklich so ernst?
Im Unternehmensalltag sind die helfenden digitalen Tools kaum noch wegzudenken, das CRM-System bis hin zur Reisebuchung oder Projektmanagement ist selbstredend digital. In den unternehmerischen Online-Angeboten sind etliche Tools von Drittanbietern eingebunden, Google analysiert die Website-Nutzung, der Facebook-Zählpixel hilft bei passgenauer Werbung und Vimeo garantiert das optimale Bewegtbild-Erlebnis.
Etliche dieser Tools werden dabei von US-Unternehmen bereitgestellt. Auf alle diese Tools hat das EuGH-Urteil vom 16. Juli 2020 daher ganz erhebliche Auswirkungen.
Warum?
Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss es sicherstellen, dass das datenschutzkonform erfolgt. Dafür braucht es auf erster Stufe zunächst eine Erlaubnis, diese Daten überhaupt zu verarbeiten. Wenn die Daten den Europäischen Wirtschaftsraum verlassen (also etwa auf Servern gespeichert werden, die in den USA stehen), muss das Unternehmen auf zweiter Stufe zusätzlich noch absichern, dass in dem Zielland auch ein angemessenes Datenschutzniveau herrscht. Um diese zweite Stufe dreht sich das EuGH-Urteil.
Bisher nämlich war für die USA auf zweiter Stufe ein angemessenes Datenschutzniveau einfach nachzuweisen, wenn sich der Vertragspartner in den USA unter dem EU-U.S. Privacy Shield zertifiziert hatte. Die meisten großen Unternehmen hatten das erledigt und so konnten wir hier in der EU sehr einfach Daten auch in die USA schicken. Das geht jetzt nicht mehr so einfach. Das EU-U.S. Privacy Shield ist nach der EuGH-Entscheidung nämlich unwirksam. Es ist schlicht und einfach „weg“.
Was tun?
Unternehmen müssen auf die Suche nach einer anderen Möglichkeit gehen, ein angemessenes Datenschutzniveau auf der zweiten Stufe abzusichern (oder die Datenübermittlung sofort stoppen). Das heißt konkret:
1. Analyse: Du musst in deinem Unternehmen auf die Suche gehen, wo personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden. Das kann bei Einsatz von digitalen Tools schnell der Fall sein, wenn die Server weltweit platziert sind.
2. Prüfe dann, wie dafür das angemessene Datenschutzniveau abgesichert ist. Typische Mittel dafür sind sog. Angemessenheitsbeschlüsse der EU-Kommission wie früher das EU-U.S. Privacy Shield für die USA oder auch sog. Standardvertragsklauseln (standard contractual clauses – SCC), die von der EU-Kommission veröffentlicht wurden und oft in Data Processing Agreements einbezogen werden.
3. Bei allen Übermittlungen, die sich auf das EU-U.S. Privacy Shield stützen, musst du sofort handeln: Gibt es eine alternative Lösung für ein angemessenes Datenschutzniveau? Oft können dies Standardvertragsklauseln sein.
4. Bei allen Übermittlungen, die sich auf Standardvertragsklauseln stützen, besteht angesichts des EuGH-Urteils jetzt auch akuter Handlungsbedarf (auch außerhalb der USA):
- Die Standardvertragsklauseln müssen 1:1, so wie sie von der EU-Kommission veröffentlicht wurden, vereinbart werden.
- Du musst überprüfen, ob dein Vertragspartner die Standardvertragsklauseln auch tatsächlich einhalten kann und einhält. Diese Prüfpflicht ist so klar vom EuGH jetzt ganz neu formuliert worden und gerade für die USA wichtig: Kann dein Vertragspartner überhaupt ausschließen, dass der US-Geheimdienst auch deine Daten einsieht? Du musst hier aktiv werden und deinen Vertragspartner dokumentiert danach fragen. Notwendig wird eine kleine Due Diligence (die du auf Nachfrage auch der Aufsichtsbehörde zeigen musst).
- Ob US-Unternehmen, die elektronische Kommunikationsdienste anbieten, den Zugriff von US-Geheimdiensten unterbinden können, ist gerade ziemlich fraglich. Wenn nicht, dann können auch die Standardvertragsklauseln die Übertragung in die USA nicht retten. Helfen könnte dann im Einzelfall etwa noch eine wirksame Verschlüsselung der übertragenen Daten.
5. Denkbar sind auch noch andere Mittel, um ein angemessenes Datenschutzniveau sicherzustellen. So kann eine Verschlüsselung in Kombination mit den Standardvertragsklauseln helfen, im Einzelfall können auch Einwilligungen der Betroffenen eine taugliche Grundlage sein.
6. Findet sich kein anderes, gutes Mittel, muss die Datenübermittlung gestoppt werden und die Daten abroad müssen zurückgeholt werden. Geschieht dies nicht, drohen Beschwerden, Klagen und gar schmerzhafte Bußgelder. Die Datenschutzaufsichtsbehörden legen gerade ihren Fokus auf dieses Thema und greifen zunehmend auch zu schmerzhaft hohen Bußgeldern.
Und was bedeutet dies nun ganz konkret?
Du musst aktiv werden, US-Transfers identifizieren und entweder stoppen oder mit den US-Unternehmen gemeinsam nach alternativen Absicherungen suchen. Das höchste Bußgeldrisiko für dein Unternehmen entsteht, wenn du trotz des EuGH-Urteils „Schrems II“ und US-Datentransfers jetzt gar nichts tust.
Die Autorin Dr. Kristina Schreiber ist auf die rechtliche Begleitung von Digitalisierungsprojekten spezialisiert und Partnerin bei Loschelder Rechtsanwälte
Werbe-E-Mails rechtssicher versenden
Wer potenzielle Kunden per E-Mail anspricht, sollte die Rechtslage kennen. In bestimmten Fällen ist der Versand von Werbe-E-Mails nämlich nur bedingt erlaubt oder sogar verboten.
Wenn Unternehmen Kunden akquirieren und Kontakt zu diesen aufnehmen, nutzen sie dafür oft das Internet, um an die entsprechenden Daten - vorzugsweise E-Mail-Adressen - zu gelangen. Doch statt einen Marketing- oder Vertriebsmitarbeiter einzusetzen, der sich um professionelle Kundenakquise kümmert und dafür ein bestimmtes Budget benötigt, werden in vielen Fällen selbst Adressdaten recherchiert und potenzielle Kunden mittels Werbe-E-Mails angeschrieben.
Diese kurzsichtige Vorgehensweise ist aus rechtlicher Sicht gefährlich, denn wann solche E-Mails überhaupt versendet werden dürfen, wann nur bedingt und in welchen Fällen überhaupt nicht, wissen in der Regel nur die wenigsten Unternehmen beziehungsweise deren Marketing-Abteilungen. Die Problematik dabei: Werbe-E-Mails können in bestimmten Fällen unzulässige Werbung sein.
Wann Werbe-E-Mails erlaubt sind
Folgende Voraussetzungen müssen für den rechtmäßigen Versand von Werbe-E-Mails vorliegen:
Der Empfänger hat dem Empfang von Werbe-E-Mails zugestimmt und der Inhalt der Werbe-E-Mail passt zur Produktkategorie, für die er Werbung erhalten möchte. Handelt es sich um einen Newsletter, muss dafür eine Anmeldung vorliegen. Der Empfänger hat seine E-Mail-Adresse per Double-Opt-In-Verfahren über ein Anmeldeformular auf der Webseite des Unternehmens bestätigt. Um die Einwilligung zu beweisen, müssen dem Unternehmen sowohl die Einwilligung (Text und Klick auf "Bestätigen") als auch die positive Bestätigung der E-Mail-Adresse im Double-Opt-In-Verfahren vorliegen (jeweils Datum und Uhrzeit in der Datenbank).
Werbung im Internet und Vertragsabschluss
Viele halten das Internet für einen rechtsfreien Raum. Dieser Irrtum kann teuer werden. Hier erfahren Sie, was Sie beachten sollten, wenn Sie eine Internet-Präsenz aufbauen und betreiben wollen.
Betreiber geschäftlicher Internetpräsenzen werden immer wieder zu Adressaten kostspieliger Abmahnungen und einstweiliger Verfügungen, veranlasst durch Konkurrenten und Dritte. Denn viele Anbieter von Homepages und Webshops sind aufgrund der vergleichbar jungen Materie „Internetrecht“ verunsichert, wenn es um die rechtliche Bewertung ihres eigenen Handelns im Netz geht. Hier bringen wir Licht ins Dunkel.
Werbung im Internet
Wer zu geschäftlichen Zwecken eine Homepage oder einen Webshop betreibt, möchte auch durch Werbung im Internet auf seine Angebote aufmerksam machen. Vorsicht ist hier geboten, da ansonsten rechtliche Konsequenzen drohen können. Weit verbreitet ist etwa das Versenden von Werbemails. Diese Form der Werbung erscheint besonders vorteilhaft, da E-Mails sich für die massenhafte Versendung von Werbebotschaften gut eignen. E-Mail-Werbung ist kostengünstiger, arbeitssparender, schneller und gezielter einsetzbar als andere Werbemittel.
Bereits im Jahr 2004 hat sich der Bundesgerichtshof (BGH) mit der Zulässigkeit unverlangter E-Mail-Werbung auseinandergesetzt und entschieden, dass die Zusendung solcher E-Mails grundsätzlich gegen die guten Sitten im Wettbewerb verstößt und nur ausnahmsweise zulässig ist. Und zwar dann, wenn der Empfänger ausdrücklich oder konkludent (d.h. ohne ausdrückliche Willenserklärung, aber dennoch rechtlich relevant) sein Einverständnis erklärt hat bzw. wenn bei Gewerbetreibenden ein sachliches Interesse des Empfängers vermutet werden kann.
Unverlangte E-Mail-Werbung ist gerichtlich verfolgbar und kann für den Versender teuer werden. Verschärft wurde dieser Umstand auch durch eine Änderung im Gesetz gegen den unlauteren Wettbewerb (UWG), das in § 7 Abs. 2 Nr. 3 dieses Verbot jetzt ausdrücklich regelt und gleichzeitig die Rechtsprechung des BGH insofern verschärft, als eine vorherige ausdrückliche Einwilligung (nicht mehr nur die sog. konkludente Einwilligung) des Adressaten vorliegen muss.
Privatvermögen schützen
Was bedeutet Inhaber-Haftung, und in welchem Ausmaß kommt sie in der Praxis zum Tragen? Und wie können Sie Ihr Privatvermögen als Unternehmer trotz gesetzlicher Haftung bestmöglich schützen? Hier finden Sie die Antworten.
Persönliche Haftung bedeutet, dass der Unternehmer mit seinem gesamten Privatvermögen für alle seine geschäftlichen Entscheidungen haftet. Zum Privatvermögen gehören nicht nur angespartes Geld, Autos, Wertpapiere, private wie geschäftliche Ausstattung und sonstige bewegliche Gegenstände, sondern auch Immobilien, die auf seinen Namen im Grundbuch eingetragen sind, ebenso wie Forderungen gegen Dritte, Anwartschaften und sonstige geldwerte Rechtspositionen. In alle diese Vermögenswerte dürfen Gläubiger vollstrecken, wenn sie einen rechtskräftigen Titel, also im Regelfall ein rechtskräftiges Urteil gegen den Unternehmer vor Gericht erstritten haben. Die persönliche Haftung bedeutet daher eine erhebliche Bedrohung für den Unternehmer und seine Angehörigen.
Wer haftet, wer nicht?
Die Haftung mit dem Privatvermögen trifft kraft Gesetzes jede Privatperson und jeden Geschäftsmann, wenn derjenige nicht durch gesetzliche Bestimmungen im Rahmen einer Gesellschaft geschützt ist, eine eintrittspflichtige Versicherung abgeschlossen hat oder im Einzelfall mit seinen Kunden oder Gläubigern eine wirksame Regelung zur Haftungsbeschränkung oder zum Haftungsausschluss getroffen hat. Gesellschaftsrechtsformen, die das Privatvermögen der Inhaber explizit schützen, sind die GmbH, die Unternehmergesellschaft (haftungsbeschränkt) sowie die Aktiengesellschaft (AG).
Wird keine dieser Gesellschaftsrechtsformen gegründet, tritt der Unternehmer als Einzelunternehmer oder Einzelanbieter am Markt auf. Haben sich mindestens zwei Personen zusammengeschlossen, die ihre Waren oder Dienstleistungen gemeinsam anbieten, liegt eine Gesellschaft des bürgerlichen Rechts (GbR) in Sinne der §§ 705 ff Bürgerliches Gesetzbuch (BGB) vor.
Typische Gesellschaften des bürgerlichen Rechts sind Zusammenschlüsse von Freiberuflern wie Ärzten, Anwälten, Übersetzern, aber auch Beratern aller Art oder von sonstigen Anbietern. Ist Zweck der Gesellschaft der Betrieb eines Handelsgewerbes unter einer gemeinsamen Firma, so liegt eine offene Handelsgesellschaft (oHG) in Sinne der §§ 105 ff. Handelsgesetzbuch (HGB) vor, die im Handelsregister einzutragen ist. Auf die oHG findet, soweit im Handelsgesetzbuch keine Spezialregelungen enthalten sind, ersatzweise das Recht der Gesellschaft des bürgerlichen Rechts Anwendung.
Schutz vor Piraten und Raubrittern
Wer sich gegen Nachahmer schützen will, sollte überlegen, sein Produkt als Marke zu registrieren. Lesen Sie, was man bei der Markenanmeldung zu beachten hat.
Das hätte er wohl nicht geglaubt. Im Jahr 1886 erfand John Pemberton ein zuckerhaltiges Wohlfühl-Getränk gegen Depression. Pemberton verfeinerte es mit Wein, Sodawasser und Stoffen der Koka-Pflanze. Ein unvergleichlicher Aufstieg begann. Unter dem Namen Coca-Cola kennt heute fast jeder die braune Brause. Es ist die bekannteste Marke weltweit. Mit einem geschätzten Wert von 67 Milliarden US-Dollar verweist Coca-Cola Unternehmen wie Microsoft, Daimler-Chrysler oder Google auf die Plätze. Großunternehmen wie Coca-Cola, aber ebenso auch viele Existenzgründer und Mittelständler leben von der Vermarktung ihrer Ideen und Erfindungen. Damit erobern sie Märkte und erzielen Gewinne.
Der Staat hilft dabei, indem er kreative und einmalige Kennzeichen, Produkte und Verfahren schützt. Zum Beispiel mit Hilfe eines Patents oder einer Marke. Der Inhaber einer Marke erhält das exklusive Recht, ein bestimmtes Zeichen im Geschäftsverkehr zu nutzen. Wie zum Beispiel Coca-Cola. Bereits im Jahr 1887 beantragte dessen Erfinder John Pemberton in Amerika den Schutz des Schriftzuges. In Deutschland wurde Coca-Cola im Jahr 1926 als Marke angemeldet. Heute verdient der gleichnamige Getränkekonzern Milliarden. Nachahmer und Raubritter haben keine Chance. Im Folgenden zeigen wir anhand von Beispielen, was eine Marke ist, wie ein Kennzeichen geschützt werden kann und was dabei zu beachten ist.
Beispiel Möbel-Marke
Als Werbekauffrau weiß Laura Faltz, was ankommt. Die 30-Jährige ist Geschäftsführerin der ecomoebel GmbH. Das Unternehmen vertreibt individuell gestaltete Möbel, die ganz pder teilweise aus Altmöbeln produziert werden. Die alten Stücke werden sogar auf Schadstoffe getestet, bevor sie nach Wunsch „aufgemöbelt“ werden.
Jeder Kunde erhält sein ganz persönliches Möbel, das gesundheitlich unbedenklich ist. Bestätigt wird das mit dem ecomoebel-Zertifikat. Aus Betten werden Bänke, aus Fenstern Vitrinen, oder es wird Schränken einfach ein neuer Anstrich verpasst. Seit August 2003 ist ecomoebel als Marke registriert und geschützt. Nur die Dortmunder Firma und die mit Lizenzen ausgestatteten Partner dürfen das Möbel-Zeichen benutzen. Der Wert der Firma ist damit bis heute weiter gestiegen.
Für eine Handvoll Euro
Wenn Streitigkeiten mit Geschäftspartnern oder Kunden drohen, bietet die Mediation eine sinnvolle und günstige Alternative zum teuren Rechtsstreit.
Wenn man Gründer fragt, worauf sie besonders stolz sind, dann sprechen sie vielleicht über den ersten großen Auftrag, über die reibungslose Finanzierung durch die Bank oder sie erzählen von der super Stimmung im Gründer-Team. A. Meier und H. Habermehl (Namen von der Redaktion geändert), seit Juli 2010 Inhaber einer eigenen Firma, verweisen hingegen auf einen Passus in ihrem Gesellschaftervertrag. Auf diesen Passus sind sie stolz, denn er beugt vor, falls die beiden Geschäftsführer und Gesellschafter sich einmal nicht mehr so gut verstehen.
Wenn sie sich einmal nicht einigen können oder gar Streit entsteht. Dann, so steht in dem Papier, werde man keinesfalls direkt vor den Kadi ziehen, sondern erst einmal einen unparteiischen Dritten, einen sogenannten Mediator, zu Rate ziehen.„Wir halten beide 50 Prozent der Gesellschafteranteile, da kann es nun einmal zu Patt-Situationen kommen“, erklärt Meier. Und weil solche Situationen der Firma bzw. der Unternehmung nicht schaden sollen, musste das Gründerduo eine Lösung finden – die Mediation.
Killerfaktor Dauerstreit
Bei der Mediation handelt es sich um ein alternatives Konfliktlösungsverfahren, das auf vermittelnden Gesprächen basiert. So soll etwa der Gang vor den Kadi und die damit verbundenen negativen Begleiterscheinungen abgewendet werden. Zumal Rechtsstreitigkeiten in der Regel lange, oft zu lange dauern. Denn während die Streithähne ihre Energie vor Gericht verpulvern, kocht das Unternehmen auf Sparflamme, wichtige Entscheidungen unterbleiben. Außerdem zerrt ein Prozess derart an den Nerven der Beteiligten, dass das angeknackste Verhältnis zwischen den Streithähnen am Ende meist ganz zerrüttet ist. Auch das zieht negative Konsequenzen für die Firma nach sich, etwa wenn sich ein einst funktionierendes Geschäftsführerduo trennt oder ein wichtiger Geschäftspartner abspringt. Zu dem wirtschaftlichen Schaden kommt hinzu, dass der Ruf ruiniert wird. Am Ende wenden sich Kunden und Mitarbeiter ab. Wenn es richtig schlecht läuft, kann die Firma nach dem Prozess einpacken.
Dieses Risiko können Unternehmen mit Hilfe der Mediation vermeiden. Schließlich geht es hierbei – anders als beim Gerichtsverfahren – nicht darum, um jeden Preis Recht zu bekommen, sondern ganz im Gegenteil darum, zu kooperieren. „Es ist wie mit den Kindern und der Orange“, erklärt Volker Schlehe, Leiter des IHK-MediationsZentrums München die Arbeitsweise: Wenn sich zwei Kinder um eine Orange streiten, würde ein Richter jedem Kind die Hälfte der Frucht zuteilen. Der Mediator aber fragt, was die Kinder mit der Orange machen wollen. „Und dann kommt vielleicht heraus, dass ein Kind den Saft will und das andere die Schale.“
Spar-Tipp: gebrauchte Software-Lizenzen
Der Bundesgerichtshof (BGH) hat dem Handel mit gebrauchten Software-Lizenzen grünes Licht gegeben. Hersteller können nun auch den Download ihrer Software übers Internet nicht mehr verhindern. Was Sie bei der Anschaffung und Nutzung gebrauchter Software rechtlich beachten sollten.
Nicht jedes Unternehmen kann es sich leisten, seine Rechner alle paar Jahre mit der neuesten Software, wie beispielsweise CRM-Systemen oder Datenverarbeitungsprogrammen, auszustatten. Dann stellt sich die Frage, ob es nicht auch gebrauchte Software tut. Dies kann eine lohnende Alternative sein, da oftmals auch ältere Programme den angestrebten Zweck erfüllen.
Wegweisendes Urteil des Europäischen Gerichtshofs (EuGH)

Gebrauchte Software-Lizenzen stammen meist aus Umstrukturierungsmaßnahmen in Unternehmen, Insolvenzen oder Geschäftsaufgaben. Aufgrund schneller werdender Datenverbindungen im Internet werden mittlerweile auch komplexe Softwaresysteme immer häufiger als Download vertrieben. Die klassische Kopie auf physischen Datenträgern tritt damit immer stärker in den Hintergrund. Klingt nach einer einfachen und vor allem kostengünstigen Lösung.
Die Frage, ob der Handel mit gebrauchter Software zulässig ist oder nicht, beschäftigt deutsche und europäische Gerichte schon seit Jahren. Berechtigte ökonomische Interessen der Softwarehersteller, einen Markt für gebrauchte Software zu verhindern, stehen denen von Softwarehändlern gegenüber. Ein erstes wegweisendes Urteil fällte 2012 der EuGH, als er zahlreiche bis dahin offene Fragen des Handels mit gebrauchten Softwarelizenzen beantwortete.
2013 entschied der BGH über die Klage des Softwareherstellers Oracle gegen Händler für Gebrauchtsoftware UsedSoft. Hintergrund: UsedSoft hatte zahlreiche Lizenzen von Oracle-Software gekauft und weiterveräußert. Das Unternehmen rief seine Kunden dazu auf, die entsprechende Software von der Webseite des Herstellers herunterzuladen. Daraufhin klagte Oracle mit dem Argument der unzulässigen Vervielfältigung und Verbreitung seiner Programme.
EXIST und Hochschul-IP
Recht für Gründer*innen: Wer ein EXIST-Gründungsstipendium in Aussicht hat, sollte sich rechtzeitig mit den Themen geistiges Eigentum (IP) und Lizensierung von Hochschul-IP auseinandersetzen. Wir klären auf.

Alljährlich werden über 100 EXIST-Gründungsstipendien (im Folgenden nur „Stipendien“) zur Förderung innovativer Spinn-offs aus Hochschulen und anderen wissenschaftlichen Einrichtungen (im Folgenden nur „Hochschulen“) vergeben. In der aktuellen Förderrichtlinie des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) vom 18. April 2023 wird von den Hochschulen auch die Überlassung von IP an die Unternehmensgründungen erwartet. „IP“ – kurz für Intellectual Property (geistiges Eigentum) – umfasst Immaterialgüter wie z.B. Erfindungen, Software und Designs sowie die für diese erhältlichen Schutzrechte, z.B. Patente, Urheberrechte und Gemeinschaftsgeschmacksmuster.
Warum IP-Abgrenzung gegenüber Hochschulen?
Konkret sollen die Hochschulen während der Projektlaufzeiten u.a. „der Unternehmensgründung einen Zugriff auf das notwendige geistige Eigentum zu marktüblichen Konditionen gewähren“. Marktübliche Konditionen beinhalten oft Lizenzgebühren. Die Aussicht auf Lizenzeinnahmen kann bei Hochschulen Begehrlichkeiten wecken und dazu führen, auch IP für sich zu beanspruchen, das originär den EXIST-Stipendiat*innen (im Folgenden nur „Stipendiat*innen“) zusteht. Daher sollten Stipendiat*innen ihre IP-Position kennen. Diese ist stark und wird im Folgenden zusammengefasst.
Hintergrund: EXIST-Stipendien
Die EXIST-Programme des BMWK fördern innovative Gründungsprojekte aus der Wissenschaft in deren Frühphase. Förderfähige Mitglieder eines Gründungsteams können insbesondere Absolvent*innen, Wissenschaftler*innen und Studierende sein, die im Rahmen von Vorarbeiten bereits Grundlagen des Gründungsprojekts erarbeitet haben. Um die Förderung zu erhalten, muss noch kein Businessplan ausgearbeitet sein und es darf weder eine Geschäftstätigkeit aufgenommen noch eine Kapitalgesellschaft gegründet worden sein.
Die Stipendien werden auf Antrag von Hochschulen gewährt. Diese müssen die Gründungsteams während der Projektlaufzeit unter anderem durch Mentoring und Bereitstellung von Arbeitsmöglichkeiten (z.B. Laboreinrichtungen) unterstützen und die Fördermittel verwalten. Die Fördermittel umfassen nicht nur die zur Finanzierung der Stipendien erforderlichen Beträge – abhängig von der jeweiligen Qualifikation je Teammitglieder ein Jahr lang zwischen 1000 und 3000 Euro monatlich zuzüglich Zuschläge für unterhaltsberechtigte Kinder. Auf Antrag der Hochschulen kommen bis zu 30.000 Euro für Sachmittel und 5000 Euro für Coaching/Beratung des Gründungsteams hinzu. Zur Umsetzung schließen die Hochschulen mit den Mitgliedern der Gründungsteams Stipendiatenverträge. IP-rechtlich besonders relevant ist dabei:
Dass Hochschulen Arbeitsplätze zur Verfügung stellen und Geld an die Stipendiat*innen auszahlen, macht die Stipendiat*innen nicht zu Arbeitnehmer*innen der Hochschulen. Stipendiat*innen sind keine Arbeitnehmer*innen, sondern „Begünstigte“. Sie müssen nicht für die Hochschule arbeiten, sondern nur für sich selbst. Das wird von Hochschulverwaltungen gelegentlich missverstanden. Aber für die IP-Zuordnung ist dieser Status der Stipendiat*innen entscheidend.
Basics der IP-Zuordnung: Schutzfähiges gehört den Kreativen
Sowohl im deutschen als auch im EU-Recht gilt ein wichtiger Grundsatz: Die schutzfähigen Ergebnisse kreativer menschlicher Tätigkeiten stehen grundsätzlich der/dem Kreativen zu, also der/dem Schöpfer*in, Urheber*in, Entwerfer*in, Erfinder*in oder Züchter*in. Dies folgt unmittelbar aus den jeweiligen gesetzlichen Bestimmungen in §§ 7, 15 Urheberrechtsgesetz (UrhG), § 7 Abs. 1 Satz 1 Designgesetz (DesignG), § 6 Patentgesetz (PatG), § 13 Abs. 3 Gebrauchsmustergesetz (GebrMG), § 8 Abs. 1 Satz 1 Sortenschutzgesetz (SortSchG), § 2 Abs. 1 Satz 1 Halbleiterschutzgesetz (HalblSchG) und §§ 4, 14 Markengesetz sowie aus Art. 14 Abs. 1 EU-Gemeinschaftsgeschmacksmuster-VO (GGV) und Art. 11 Abs. 1 EU-Sortenschutz-VO (siehe dazu auch die Tabelle „IP-Zuordnung“).
Keine Geltung arbeitsrechtlicher Bestimmungen für Stipendiat*innen
Ausnahmen von diesem Grundsatz gelten in Arbeitsverhältnissen und bei Herstellung von Software auch im Rahmen sonstiger Dienstverhältnisse. Entwickeln Arbeitnehmer*innen in Erfüllung ihres Arbeitsvertrags schutzfähige Immaterialgüter, z.B. eine neue technische Lehre (Erfindung) oder eine Software, dann stehen diese der/dem Arbeitgeber*in zu. Dies folgt aus § 2 Abs. 2 HalblSchG, § 7 Abs. 2 DesignG, 43, § 69b UrhG (in Abs. 2 auch für sonstige Dienstverhältnisse), Art. 14 Abs. 3 GGV, Art. 11 Abs. 3 EU-Sortenschutz-VO und aus dem Arbeitnehmererfindungsgesetz (ArbnErfG). Da Stipendiat*innen als solche aber gerade keine Arbeitnehmer*innen sind, wird das IP, das sie im Rahmen ihrer Gründungsvorbereitungen generieren, nicht von diesen Regelungen erfasst. Deshalb erwerben Stipendiat*innen, die
- technische Lehren (Erfindungen), Topografien oder Designs entwickeln,
- Sorten züchten,
- Datenbanken erstellen,
- Software oder andere Werke (z.B. Filmwerke) herstellen,
- Marken mit Unterscheidungskraft entwickeln sowie anmelden und/oder
- Geschäftsgeheimnisse entwickeln und kontrollieren, unmittelbar selbst die Rechte an diesen Immaterialgütern.
Diese können die Stipendiat*innen ohne Mitspracherechte und Lizenzansprüche der Hochschule nutzen. Die Stipendiat*innen können auch allein entscheiden, ob dafür Schutzrechte beantragt werden sollen (Urheberrechts- und kurzfristiger EU-Geschmacksmusterschutz entsteht auch ohne Antrag automatisch). Wichtig ist, dass den Stipendiat*innen bewusst ist, dass ihnen nach den gesetzlichen Bestimmungen das IP zusteht, das sie während des EXIST-Förderzeitraums als Stipendiat*innen generieren. Denn vor diesem Hintergrund bleibt oft kein oder zumindest nur wenig IP übrig, für das sie eine Lizenz der Hochschule benötigen.
Welches Hochschul-IP bleibt relevant?
Die IP- und Transfer-Strategien deutscher Hochschulen sind primär auf Wissens- und Technologietransfer sowie die Verwertung von Erfindungen ausgerichtet. Deshalb verfügen die wenigsten Hochschulen über Design-, Marken- oder Softwareportfolios, die für Gründer*innen interessant sind. In der Praxis verengt sich das für Stipendiat*innen relevante Hochschul-IP daher im Wesentlichen auf folgende zwei Gruppen:
- Erfindungen, für die die Hochschule ein Patent hält oder beanspruchen kann (sowie, in seltenen Fällen, von Hochschulen geschützte Sorten);
- IP, das Stipendiat*innen bereits vor Beginn der Förderung noch als Arbeitnehmer*innen der Hochschule in Erfüllung ihrer Dienstpflichten generiert haben und nunmehr selbst unternehmerisch nutzen wollen. Denn solches IP steht der Hochschule als (zu diesem Zeitpunkt noch) Arbeitgeberin zu (siehe oben) – wobei für Diensterfindungen gemäß § 42 ArbnErfG bestimmte Besonderheiten gelten.
Die Schnittmenge der beiden Gruppen bilden von Hochschulen nach dem ArbnErfG in Anspruch genommene Diensterfindungen, die Mitglieder eines Gründungsteams zuvor (noch) als Hochschulbeschäftigte gemacht haben und anschließend EXIST-gefördert auf eigene Rechnung verwerten wollen. Wenn Stipendiat*innen ihre IP-Position vor diesem Hintergrund optimieren wollen, sollten sie Folgendes nicht vergessen:
Woran Stipendiat*innen bei Lizensierung von Hochschul-IP denken sollten
Wenn Hochschulen entsprechend der Förderrichtlinie Lizenzgebühren für die Nutzung von Hochschul-IP verlangen, sollten die Stipendiat*innen versuchen, absatzabhängige Lizenzgebühren auszuhandeln. Auch absatzabhängige Lizenzgebühren sind marktüblich. Diese fallen aber nur dann an, wenn das Start-up durch die Nutzung des Hochschul-IP auch tatsächlich selbst Einnahmen erzielt. Das ist für die Stipendiat*innen liquiditätsschonend und risikoärmer.
Und wenn Stipendiat*innen Lizenzgebühren für eine frühere Diensterfindung (Schnittmenge oben) eines Mitglieds ihres Gründungsteams an die Hochschule zahlen, gilt § 42 Nr. 4 ArbnErfG. Danach muss die Hochschule 30 Prozent der vereinnahmten Lizenzgebühren direkt wieder an dasjenige Mitglied des Gründungsteams auskehren, das die Diensterfindung gemacht hat.
Der Autor Prof. Dr. Nicolai Schädel ist Professor für Wirtschaftsrecht an der Hochschule der Medien Stuttgart (HdM) und of Counsel bei der Rechtsanwaltssozietät Kurz Pfitzer Wolf & Partner (KPW) in Stuttgart
Darknet Deals: Identitätshandel im Darknet
Datenkriminalität im Schatten: Wie ein Anruf zu Identitätshandel im Darknet führt.

Die Sicherheit und der Schutz von sensiblen Daten sind in einer wachsenden digitalen Welt von größter Bedeutung. Denn leider sind Betrüger*innen ständig auf der Suche nach Möglichkeiten, an diese persönlichen Informationen zu gelangen. Dabei hat sich das Darknet zu einer der Hauptschnittstellen für den illegalen Handel mit gestohlenen Daten etabliert. Auch die Methoden der Betrüger zur Datenbeschaffung werden immer dreister und ausgeklügelter. Im Folgenden erfährst du, wie unsere Daten ins Darknet gelangen und wie sich Besorgte davor schützen können.
Die dunkle Seite des Internets und kriminellen Handlungen
Das Darknet ist ein abgeschotteter Bereich im Internet, der nicht über herkömmliche Suchmaschinen zugänglich ist. Hier können Nutzende ihre Identität verschleiern und anonym kommunizieren. Es wird für verschiedenste Zwecke genutzt, darunter illegale Aktivitäten wie der Austausch gestohlener Daten. Normalerweise gibt es verantwortliche Stellen bzw. spezielle Aufsichtsbehörden, die kontaktiert werden können, um gegen Datenschutzverletzungen im World Wide Web vorzugehen. Doch in diesem abgeschirmten Bereich des Internets wird alles dafür getan, um vor den entsprechenden Zuständigkeiten ungesehen zu bleiben. So befinden sich die Betreiber*innen der Server in der Regel außerhalb Europas, was es für Strafverfolgungsbehörden äußerst schwierig macht, einmal gestohlene Daten zu löschen oder Täter zur Rechenschaft zu ziehen. Erst im Darknet veröffentlicht, können solche Datensätze mehrfach betrügerisch genutzt oder verkauft werden, was die Sicherheit und Privatsphäre der Betroffenen langfristig gefährdet. Auch können die Personen schwerer ausfindig gemacht werden, da sie die entwendeten Informationen nicht selbst nutzen und ihre rechtswidrigen Aktivitäten schwer auf sie zurückzuführen sind. Auf dem digitalen Schwarzmarkt zahlen Käufer*innen für solche gestohlene Daten und damit verbundene Dienstleistungen in Kryptowährungen wie Bitcoin. Diese Währungen führen auch dazu, dass die Bezahlvorgänge kaum nachvollziehbar sind.
Von Phishing bis Europol-Masche: Wie Betrüger*innen an die Daten kommen
Zu den bekanntesten Methoden, um an die begehrten Informationen zu kommen, zählt Phishing. Diese Masche ist vor allem für ihre Spam-Mails bekannt, bei denen die Betroffenen dazu verleitet werden, auf einen Link zu klicken und vertrauliche Daten preiszugeben. Jedoch findet diese Methode inzwischen auch über das Telefon statt. Die Betrüger*innen tarnen sich beispielsweise als Europol-Mitarbeitende und fordern ihre Gesprächspartner*innen dazu auf, ihre IBAN-Nummer zu nennen. Mittlerweile ist selbst die Suche nach einer Wohnung oder einem Job nicht mehr sicher. So verwenden Trickser gefälschte Angebote und stellen ein vorgetäuschtes Identitätsverfahren vor, um Suchende dazu zu bringen, Fotos ihrer Ausweise zu übermitteln.
Eine weitere dreiste Masche besteht darin, Leidtragende während eines Gesprächs schnell zu einem eindeutigen „Ja“ zu animieren. Wenn die Person zum Beispiel zustimmt, dass das Telefonat aufgezeichnet wird, haben die Betrüger bereits fast alles erreicht, was sie wollten. Danach stellen sie einige harmlose Fragen, und schon haben sie genug Material gesammelt, um das Gespräch beliebig zusammenschneiden zu können. Dann scheint es, als hätten die Betroffenen mit ihrem „Ja“ einem Kaufvertrag oder einem Abonnement zugestimmt.
Finanzielle Ausbeute: So viel bis du wert
Im Darknet existiert bereits ein florierender Handel mit gestohlenen Identitäten, die es Käufer*innen ermöglichen, verschiedene kriminelle Aktivitäten durchzuführen. Doch wie viel Gewinn können die Betrüger*innen damit überhaupt erreichen? Im Report des auf Antiviren-Programme spezialisierten Herstellers Bitdefender wird deutlich, dass eine gestohlene Identität in Form eines biometrischen EU-Passes auf dem Schwarzmarkt bis zu 4.500 Euro bringen kann. Die McAfee-Studie „The Hidden Data Economy“ von 2018 enthüllte wiederum, dass Darknet-Händler*innen in der Europäischen Union bis zu 40 Euro für vollständige Kreditkartendaten verlangen können. Auch Konten von Online-Zahlungsdiensten werden hier gehandelt. Dabei ist jedoch der Preis abhängig vom Guthaben des gehackten Kontos und variiert zwischen 20 und 300 Euro. Um also Betrüger*innen nicht auf den Leim zu gehen und sich den Ärger mit geklauten Daten zu ersparen, ist der Datenschutz im digitalen Zeitalter auch für Privatpersonen wichtiger denn je!
Praktische Maßnahmen: Wie entgehe ich der Täuschung?
Identitätsklau per Telefon ist nach wie vor eine weitverbreitete Methode für Datenhändler*innen, über die jede(r) informiert sein sollte. Um die persönlichen Daten zu schützen, ist es wichtig, bei der Weitergabe sensibler Informationen generell vorsichtig zu sein. Hier sind einige wichtige Maßnahmen, die ergriffen werden können, um einem möglichen Betrugsversuch vorzubeugen: Wenn ein Anruf verdächtig erscheint oder eine unbekannte Person Geld verlangt, handelt es sich in den meisten Fällen um einen Schwindel. Die größte Sicherheit besteht darin, das Gespräch sofort zu beenden. Um Datenverluste und finanzielle Schäden zu vermeiden, sollten niemals persönliche Informationen wie Anschrift, E-Mail-Adresse, Geburtstag, Passwörter oder Bankdaten an Fremde weitergegeben werden. Seriöse Behörden oder Unternehmen werden am Telefon unter keinen Umständen nach solchen Angaben fragen.
Ist der Schaden bereits entstanden und die Daten wurden preisgegeben, sollte die Bundesnetzagentur eingeschaltet werden. Auch die Polizei sollte unter der Rufnummer 110 kontaktiert werden. Wurde beispielsweise Geld illegal vom eigenen Konto abgebucht, kann die Bank dieses innerhalb von vier Wochen zurückholen. Hier gilt es jedoch zu beachten, dass dies nur funktioniert, wenn die Überweisung nicht von der betroffenen Person selbst getätigt wurde. Daher sollten niemals Zahlungen an eine unbekannte Person getätigt werden. Häufig kommen betrügerische Anrufe aus dem Ausland. Daher ist besondere Vorsicht bei folgenden Vorwahlen geboten: +88 (Globales Navigationssatellitensystem), +225 (Elfenbeinküste), +231 (Liberia), +252 (Somalia), +257 (Burundi), +261 (Madagaskar) oder +370 (Litauen). Schließlich kann es auch helfen, sich regelmäßig über die neuesten Betrugsmaschen zu informieren und somit im Falle eines entsprechenden Anrufs sensibilisiert zu sein.
Der Autor Thomas Wrobel ist Spam-Schutz-Experte, CTO der Müller Medien-Tochter validio und Gründer von Clever Dialer. Die App liefert verlässliche Anrufinformationen und schützt Verbraucher*innen vor Spam-Telefonaten.
Alle wollen grenzenloses Remote-Arbeiten, außer die Regierungen der meisten Länder
Fernarbeit beweist, dass die Welt noch nicht global ist. Von überall aus zu arbeiten ist der einfache Teil; sich mit Arbeitsgenehmigungen, Versand-Fragen, Zahlungen, Steuern und Versicherungen in der ganzen Welt zu befassen, ist der schwierige Teil – und zwar sowohl auf Seite der Arbeitgebenden als auch der Arbeitnehmenden. Doch trotz der Probleme lohnt sich das Recruiting über die Grenzen hinaus. Aber: Überwiegen die Vorteile den Nachteilen? Und wie kann man den Herausforderungen der internationalen Gesetze effektiv begegnen?

Nicht zuletzt die Covid-19 Pandemie hat gezeigt, dass sich der Arbeitsmarkt verändert. Zeit- und ortsunabhängiges Arbeiten wird mehr gefordert denn je – sei es von Arbeitnehmenden oder Arbeitgebenden. Die tatsächliche Umsetzung von Remote Work über Ländergrenzen hinweg ist jedoch auf dem Papier leichter als in der Arbeitswelt. Während Prozesse und Strukturen vergleichsweise unkompliziert angepasst werden können, stellen komplexe, rechtliche Anforderungen in den jeweiligen Ländern die größere Herausforderung dar. Konkret lohnt sich für Unternehmen daher zunächst die Frage: Welche Compliance Aspekte gibt es zu beachten?
Andere Länder, andere Sitten
Angefangen bei Arbeitserlaubnissen, müssen Unternehmen die rechtlichen Gegebenheiten individuell für jedes Land prüfen. Sobald die Arbeitsgenehmigung vorhanden ist, warten aber weitere Herausforderungen, die viel Bürokratie und wenig Gestaltungsfreiraum mitbringen. Steuervorgaben, Sozialversicherungen und Arbeitsschutzregelungen unterscheiden sich oft von Land zu Land, insbesondere außerhalb der EU. Bevor also ein Arbeitsverhältnis zwischen Unternehmen und Mitarbeitende aus dem Ausland eingegangen wird, müssen beide Parteien sich mit Fragen zu Probezeiten, verpflichtenden Sozialleistungen und Mindesturlaub auseinandersetzen oder – bestenfalls – bereits auseinandergesetzt haben.
Da die Anforderungen und Informationen zu internationalen Arbeitsbedingungen sehr vielfältig und komplex oder zum Teil auch schwer zugänglich sind, empfiehlt sich eine Employer of Record-Lösung. Diese ermöglicht Unternehmen, Mitarbeitende weltweit einzustellen, ohne dafür Niederlassungen oder Tochtergesellschaften zu gründen und verantwortet zudem Personalprozesse. Ab einer gewissen Größe können EOR-Lösungen jedoch sehr kostspielig werden. Deshalb müssen Unternehmen abwägen, inwiefern sich der Einsatz der finanziellen Ressourcen für den grenzübergreifenden Zugang zu qualifizierten Mitarbeitenden lohnt. Und erst, wenn sichergestellt wurde, dass alle rechtlichen Bedingungen erfüllt werden können, folgt der nächste Punkt auf der Agenda: Mitarbeitende weltweit mit dem richtigen aber auch sicherem Equipment ausstatten.
Einheitliches Equipment überall – aber bitte nur mit sicheren Daten
Um ihrer Tätigkeit – zumindest technisch – überhaupt erst nachgehen zu können, benötigen Arbeitnehmende die nötige Ausstattung. Laptops, Smartphones und alle weiteren erforderlichen Endgeräte müssen dementsprechend an Orte auf der ganzen Welt verschickt werden. Als weniger problematisch erweisen sich dabei Lieferungen in die USA, EU oder UK. Der Versand in Drittstaaten hingegen ist aufgrund von hohen Zöllen und damit verbundenen Auflagen oft mit hohem logistischem Aufwand verbunden. Um Lieferungen auf globaler Ebene zu vereinfachen und zu automatisieren, bieten sich auf dem Markt verschiedene Software-Lösungen an.
Als weitere Herausforderung kommt die Sicherheit der Daten hinzu, mit denen Arbeitnehmende und Arbeitgebende von überall aus arbeiten. Anders als bei einem festen Bürostandort mit stationären Computern, lassen sich Daten in remote-first Unternehmen nur schwer überwachen. Um die Datensicherheit trotzdem zu gewährleisten, setzen an dieser Stelle Mobile-Device-Management-Systeme an. Damit werden Computerdaten unabhängig von Zeit und Ort sicher verwaltet – auch bei Offboarding-Prozessen. Sind die Mitarbeitenden erst einmal ausgestattet, die Daten gesichert und die Arbeit erledigt, stehen Gehaltszahlungen an.
Die nächste Herausforderung: Währungen weltweit
Sobald Arbeitnehmende von unterschiedlichen Ländern aus arbeiten, bedeutet das für Unternehmen häufig, die Gehälter in lokalen Währungen auszuzahlen. Damit sind gleichzeitig Wechselkursrisiken und hohe Spesen verbunden. Ein Lösungsansatz, um Spesen zu reduzieren, stellt die aktive Zusammenarbeit mit Banken dar. Insbesondere moderne Online-Banken wie Revolut, Wise, n24 bieten den zusätzlichen Vorteil, Überweisungen mit verringerten Wechselkursrisiken zu tätigen. Doch neben der rechtmäßigen Bezahlung von Gehältern sehen sich viele Unternehmen mit einer weiteren Schwierigkeit konfrontiert: Alle Mitarbeitenden gleich zu behandeln.
Gleichbehandlung vs. Gesetze
Arbeitskräfte in der ganzen Welt einzustellen, hat zur Folge, dass für diese unterschiedliche Gesetze gelten. Auch wenn Unternehmen den Anspruch haben, alle Mitarbeitenden gleich zu behandeln, stoßen sie spätestens bei dem Thema Urlaubs- und Feiertage an ihre Grenzen. Die Anzahl der gesetzlichen Urlaubstage ist in jedem Land individuell festgelegt. Auch die gesetzlichen Feiertage unterscheiden sich von Land zu Land. Hinzu kommen Ausnahmen, in denen Länder zu besonderem Anlass zusätzliche Feiertage vergeben, wie beispielsweise am Todestag von Queen Elizabeth in den UK. Außerdem werden Feiertage, die auf einen Sonntag fallen, in manchen Ländern laut Gesetz mit einem Urlaubstag ausgeglichen oder sogenannte ‘Floating Holidays’ vergeben, an die sich gehalten werden muss. Und Zuschläge, zum Beispiel für Nacht- oder Wochenendarbeit, variieren ebenfalls. Da nicht alle Länder einheitliche Regelungen haben, sind Unternehmen also gezwungen, eine gerechte Lösung unter Einhaltung aller Gesetze zu finden. Ein Lösungsansatz hierfür sind beispielsweise individuelle Benefits für alle Mitarbeitende, damit ungleiche Gesetze kompensiert werden. Und obwohl eine Reihe von Schwierigkeiten auf remote-first Unternehmen zukommen, weist Fernarbeit trotzdem zentrale Vorteile auf.
Wo Herausforderungen liegen, warten auch Chancen
In Zeiten von Fachkräftemangel ermöglicht es Remote Work, qualifizierte Mitarbeitende auf der ganzen Welt zu finden. Die Suche nach Personal muss nicht mehr nur auf ein Land oder eine Stadt, in der Unternehmen sitzen, beschränkt werden, sondern kann international ausgedehnt werden. Auf der anderen Seite haben Arbeitnehmende, die aufgrund ihrer familiären Situation oder anderer Ursachen ortsgebunden sind, genauso die Möglichkeit, ein passendes Unternehmen zu finden.
Zudem wirkt sich ein internationales Team vor allem auf global agierende Unternehmen positiv aus. Multikulturelle Teams, die unterschiedliche Zeitzonen abdecken und verschiedene Sprachen sprechen, können wegen ihrer unterschiedlichen Hintergründe wertvollen Input liefern, da sie selbst unterschiedliche Zielgruppen darstellen – und davon profitieren Unternehmen auf wirtschaftlicher sowie Mitarbeitende auf persönlicher Ebene.
Da das Thema Work-Life-Balance innerhalb des aktuellen gesellschaftlichen Wandels immer mehr an Bedeutung gewinnt, schafft Fernarbeit einen weiteren Vorteil: Flexibles Arbeiten unabhängig von Zeit und Ort. Mitarbeitende sparen sich beispielsweise den Weg zur Arbeit und können sich Arbeitszeiten selbst einteilen. Und Unternehmen gewinnen an Attraktivität, während sie geeignetes Personal weltweit finden können.
Fazit: Nicht alles auf einmal und schon ist Remote Work möglich
Auch wenn internationale Länder und Gesetze viele Hürden für Remote-Arbeit darstellen, liegen darin große Chancen, mit denen sich Unternehmen Wettbewerbsvorteile verschaffen können. Dabei können durchaus Kompromisse eingegangen werden, indem das Recruiting zunächst in spezifische Länder oder Ländergruppen, wie zum Beispiel innerhalb der EU, erweitert wird. Wichtig ist letzten Endes, eine Balance zwischen eingesetzten Ressourcen und daraus resultierenden Benefits zu finden – sodass letztendlich das “friendly” in remote-friendly in den Vordergrund rückt und das Unternehmen noch attraktiver macht.
Die Autorin Lydia Kothmeier ist VP of Operations bei Storyblok, Anbieter eines Headless Content Management System (Headless CMS). Mit Hintergrund- und Fachwissen aus M&A, Financial Planning & Analysis, People Management sowie Erfahrung als Business Consultant und als Prokuristin, kann Lydia heute umso mehr Kenntnisse in ihrer Tätigkeit anwenden.
Datenschutz: Was 2023 auf Unternehmen zukommt
Das Jahr 2023 hält einiges in Sachen Datenschutz bereit – und dafür sollten sich Unternehmer*innen jetzt rüsten.

Elektronische Transaktionen und Daten, die von Endgeräten und anderen Quellen stammen, bilden die Grundlage für die Geschäftsmodelle einige der größten Unternehmen der Welt. Doch der jahrzehntelange Wildwuchs in der Datenspeicherung sorgte für Misstrauen der Verbraucher*innen und verlangte nach gesetzgeberischen und regulatorischen Maßnahmen.
Auch das Jahr 2023 wird einige neue Regelungen und Maßnahmen bringen, auf die sich die Unternehmen vorbereiten müssen. Hier vier Prognosen:
1. Internationale Datenübermittlungen
Bis Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU. Dies änderte sich jedoch, als der Österreicher Max Schrems mit seiner Klage in der Sache „Schrems II“ vor dem Europäischen Gerichtshof (EuGH) Erfolg hatte.
Am 16. Juli 2020 erklärte der EuGH das bis dahin geltende Privacy Shield für ungültig (Rechtssache C-311/18, Schrems II). Seitdem gelten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Firmen bedeutend komplizierter gestaltete. Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA ist inzwischen eines der komplexesten und zeitaufwendigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.
Nun kommt Bewegung in die Sache: Die EU-Kommission hat Mitte Dezember 2022 ihren Entwurf für den bevorstehenden Angemessenheitsbeschluss veröffentlicht, die Arbeiten am neuen EU-U.S.-Data-Privacy-Framework laufen auf Hochtouren.
Bis zum Erlass, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage. Bis dahin werden die anderen möglichen Übermittlungsinstrumente des Art. 46 DSGVO – insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR) – sowie die Ausnahmetatbestände des Art. 49 DSGVO (speziell die Einwilligung der betroffenen Personen) genutzt werden, und zwar mit allen bekannten Herausforderungen und Nachteilen.
2. EU-Dateninitiativen werden verabschiedet
Neue EU-Dateninitiativen werden verabschiedet oder in Kraft treten. Sie beeinflussen, wie Daten mit anderen geteilt werden dürfen und zwingen Organisationen, die einen Wert aus personenbezogenen Daten ziehen, dazu, die Modalitäten für die Weitergabe, den Schutz und den Zugriff auf diese Informationen zu ändern. Besonders folgende:
- Digital Services Act (DSA): Der DSA wird die veraltete E-Commerce-Richtlinie aus dem Jahr 2000 ablösen. Sein extraterritorialer Geltungsbereich betrifft die derzeitigen Geschäftsmodelle vieler datengesteuerter Organisationen, darunter Internetdienst- und Cloud-Anbieter, soziale Medien und Online-Plattformen, Marktplätze und Suchmaschinen. So werden unter anderem zusätzliche Transparenzanforderungen für Online-Werbung, ein Verbot von „Dark Patterns“ und Einschränkungen für Werbung auf der Grundlage sensibler Daten erlassen.
- Data Act: Das Datengesetz soll harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten schaffen. Es stellt sicher, dass ein breiteres Spektrum von Akteuren die Kontrolle über ihre Daten erhält. Es sollen mehr Informationen für innovative Zwecke zur Verfügung stehen, während gleichzeitig Anreize für Investitionen in die Datengenerierung erhalten bleiben. Das soll schließlich zu einem maximalen Wert der Daten für Wirtschaft und Gesellschaft führen.
- Europäischer Raum für Gesundheitsdaten: Befasst sich mit den gesundheitsspezifischen Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten, der gemeinsamen Nutzung und der Gestaltung eines gemeinsamen Raums, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Zudem soll er es Forschern und politischen Entscheidungsträgern ermöglichen, diese elektronischen Gesundheitsdaten in einer vertrauenswürdigen und sicheren Weise zu nutzen, bei der die Privatsphäre gewahrt bleibt.
- Artificial Intelligence Act: Viele Umfragen zeigen, dass sich Verbraucher über die Verwendung ihrer personenbezogenen Daten in KI-Anwendungen Sorgen machen. Der Vorschlag für eine Verordnung mit harmonisierten Regeln für künstliche Intelligenz soll diese Bedenken ausräumen und die ethische Nutzung von KI gewährleisten. Flankiert wird er von den außervertraglichen, zivilrechtlichen Haftungsregeln für künstliche Intelligenz. Diese sollen dafür sorgen, dass Betroffene die gleichen Schutzstandards genießen, falls ihnen unter anderen Umständen durch KI-Produkte oder -Dienste ein Schaden entstehen sollte.
3. Umstellung auf neue Standardvertragsklauseln (SCC)
Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln (SCC), die seit dem 27. September 2021 für alle neuen Verträge gelten. Diese neuen SCC sind modular aufgebaut und decken alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.
In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. Laut diversen deutschen Datenschutzbehörden soll es keine weitere Fristverlängerung geben, sie wollen also kein Auge mehr zudrücken. Daher müssen Firmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen.
4. Vormarsch neuer Instrumente der Rechtsdurchsetzung
Reine Kontrollmaßnahmen der Aufsichtsbehörden werden 2023 nicht mehr allein im Vordergrund stehen. Der Trend geht vielmehr zur zivilrechtlichen Durchsetzung der Beendigung datenschutzwidriger Verarbeitungen und der Entschädigung von Datenschutzverstößen. Dies zeigte sich bereits 2022 im Fall von Google Fonts.
Hunderte von Organisationen in Deutschland und Österreich sahen sich im Sommer und Herbst 2022 mit Abmahnungen und Unterlassungserklärungen wegen Google Fonts konfrontiert. Solche Trittbrettfahrer werden in Zukunft voraussichtlich vermehrt einzelne Gerichtsentscheidungen nutzen, um mit derartigen Massenverfahren gegen angebliche Datenschutzverstöße auf breiter Front vorzugehen. Davon dürften insbesondere Websites und Apps betroffen sein, da sich datenschutzwidrige Konfigurationen und nicht autorisierte Tools mit geringem Aufwand schnell und eindeutig nachweisen lassen. Dass sich solche Massenabmahnungen zumindest in einer Grauzone bewegen und die Schwelle zur Missbräuchlichkeit leicht überschritten werden dürfte, zeigen die ersten Gerichtsverfahren gegen die abmahnenden Anwälte.
Natürlich werden auch die Aufsichtsbehörden weiterhin die DSGVO durchsetzen, doch auch diese dürften in Zukunft Neuland betreten. Es ist nur eine Frage der Zeit, bis sie zunehmend die ihnen nach Artikel 58 DSGVO zur Verfügung stehenden Instrumente nutzen, um die Datenverarbeitung (vorübergehend) zu untersagen und die Löschung von Daten anzuordnen. Da die Wirkung dieser Maßnahmen sofort eintritt, sind die Auswirkungen und die Intensität der Intervention am größten. Aufgrund der rechtlichen Brisanz solcher Entscheidungen haben die Behörden bisher jedoch nur selten von ihnen Gebrauch gemacht. Doch ändert sich bald. So könnten in Fällen wie bei Google Analytics im Jahre 2022 zukünftig nicht nur eine Feststellung der Datenschutzwidrigkeit seitens Behörden erfolgen, sondern zusätzlich eine Untersagung der Übermittlung.
Die größte und wesentlichste Veränderung bei der Rechtsdurchsetzung dürfte jedoch das verstärkte Eingreifen von NGOs und anderen Verbraucherschutzverbänden darstellen. Organisationen wie NOYB haben bei verschiedenen europäischen Aufsichtsbehörden Hunderte von Beschwerden über Cookie-Banner und Websites eingereicht, die gegen Datenschutzgesetze verstoßen. Artikel 80 der DSGVO ermöglicht es NGOs und Verbraucherverbänden, Beschwerden bei den Behörden einzureichen und im Namen der betroffenen Personen Schadenersatz zu fordern. Diese Möglichkeit kannten bisher nur wenige, deswegen wurde sie kaum wahrgenommen. Allerdings dürfte es zu einer verstärkten Aktivität solcher Organisationen kommen, speziell nach dem Grundsatzurteil des EuGH über die Rechtsstellung von Verbraucherschutz-Organisationen im Mai 2022.
Der Europäische Verbraucherverband hat bereits angekündigt, dass seine Mitglieder ihre Befugnisse im Rahmen der DSGVO nutzen wollen, um den Verbraucherdatenschutz zu verbessern.
Der Autor Dr. Frank Schemmel (Practice Lead International Privacy & Compliance) ist seit 2018 bei DataGuard - der All-in-one-Plattform in Sachen Compliance-Anforderungen, Informationssicherheit und Datenschutz – tätig.