Es gibt immer ein paar Aspekte im Laufe eines unternehmerischen Projektes, die oft ungern angegangen werden und die sicher nicht Teil eines spannenden Pitchs oder eines kreativen Brainstormings sind. Dazu gehören auch die Anfertigung und Implementierung von AGBs und DSB auf einer Website, für eine (Medizin-)App oder ein anderes Produkt. Viele Unternehmer und Projektverantwortliche dürften sich kurz vor dem Launch von Website oder App die Frage stellen, ob diese beiden Punkte überhaupt verpflichtend sind und es für das Projekt gewinnbringend sein kann, dafür eine professionelle Beratungsagentur oder Rechtsanwaltskanzlei hinzuzuziehen.

Die kurze Antwort lautet: DSB sind Pflicht. Sie müssen implementiert werden. Ansonsten drohen Abmahnungen und Bußgelder. AGB sind theoretisch entbehrlich, sollten im Interesse des Unternehmens aber unbedingt eingesetzt werden.

DSB

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. Man spricht hier rechtstechnisch von einem Verbot mit Erlaubnisvorbehalt.

Personenbezogene Daten sind in Art. 4 Nr. 1 der DSGVO definiert. Gemeint sind solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind neben den Stammdaten der Person (Name, Anschrift, Telefonnummer usw.) auch z.B. eine gespeicherte IP-Adresse, weil sich diese einem bestimmten Anschluss und damit einer bestimmten Person zuordnen lässt.

Nahezu jede Website und jede (Medizin-)App verarbeiteten personenbezogene Daten. Nun ist zu unterscheiden, ob der Betroffene der Datenverarbeitung über diese Vorgänge nur informiert werden oder aktiv eine Einwilligung erteilen muss. Hier gilt: solange die Datenverarbeitung nur in genau dem Maße erfolgt, die aus technischer Sicht erforderlich ist, um eine Leistung nutzen zu können (Aufruf einer Website, Bestellung im Shop als Gast, Nutzung einer App ohne Registrierung) muss der Besucher/Nutzer lediglich über diese Datenverarbeitung informiert werden. Doch schon hierfür sind entsprechende Datenschutzbestimmungen zu entwerfen und dem Betroffenen leicht zugänglich zu machen. Das folgt aus den Informationspflichten der DSGVO (Art. 13, 14)

Sollen die Daten bei dem Anbieter gespeichert werden – z.B. für eine Nutzerregistrierung und das Anlegen eines Accounts oder Profils – geht dies über die unmittelbar notwendige Datenverarbeitung hinaus und der Nutzer muss dafür aktiv einwilligen. Das gilt umso mehr, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen. Die Einwilligung kann durch das technische Setzen eines Häkchens erfolgen. Wichtig ist, dass der Anbieter diese Einwilligung im Zweifel nachweisen kann, was durch entsprechende dokumentierte technische Lösungen gelingt.

In jedem Fall wird also für eine Website, eine App oder einen anderen technischen Dienst eine korrekte und rechtssichere DSB benötigt. Entweder zur Information des Betroffenen oder als notwendige Grundlage einer obligatorischen Einwilligung.

Das Fehlen einer DSB ist ein „Klassiker“ der Abmahnungsfälle und zieht wettbewerbsrechtliche Verfahren nach sich, die so ärgerlich wie unnötig sind. Doch auch bei vorhandenen DSB ist genau zu schauen, dass diese inhaltlich alle relevanten technischen Vorgänge (Cookies, Analyse-Tools usw.) und Informationspflichten der DSGVO erfassen und transparent abbilden. Dieser individuelle Evaluations- und Anfertigungsprozess von DSB erfordert eine professionelle und spezialisierte Unterstützung mit dem notwendigen Know-How.

AGB

Allgemeine Geschäftsbedingungen sind keine Pflicht. Fehlen sie, gelten die allgemeinen gesetzlichen Bestimmungen, z.B. nach dem Kaufvertragsrecht des BGB. Im Sinne des Anbieters können diese Rechtsgrundsätze aber durch AGB modifiziert und optimiert werden. So sind passgenaue AGB immer eine sehr gute und dringende Empfehlung für den Anbieter einer Website, einer App oder eines anderen technischen und rechtlichen Dienstes. Sowohl die Haftung des Anbieters kann in den AGB begrenzt als auch der rechtliche Leistungsrahmen beschrieben werden.

Werden AGB erst einmal implementiert, müssen diese wiederum rechtmäßig sein. Fehlerhafte AGB können abgemahnt werden. Ebenfalls ist darauf zu achten, dass AGB innerhalb der Anwendung oder Website leicht zu finden sind.

Im Bereich der innovativen und digitalen Medizin bietet sich hier für die Anbieter die unbedingte Chance, den Rechtsrahmen ihrer Leistungen innerhalb der AGB zu erläutern und festzulegen. Die AGB sind daher oft auch erste „Anlaufstelle“ für Behörden, Wettbewerbsverbände und berufsrechtliche Organisationen, wenn es darum geht, sich einen Eindruck und eine Bewertung von einem Angebot zu machen. Das Vorliegen guter und passgenauer AGB kann daher nicht selten den Unterschied machen, ob eine Ärztekammer wegen berufsrechtlicher Bedenken gegen eine Medizin-Plattform vorgeht, oder ob eine Aufsichtsbehörde die Risikoklassifizierung eines Medizinproduktes hinterfragt.