Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt

  • Wann brauchst du einen Datenschutzbeauftragten?

    17.08.2025

    Du fragst dich, ob dein Unternehmen einen Datenschutzbeauftragten braucht? Diese Frage stellen sich viele Geschäftsführer und Unternehmer. Die gute Nachricht: Es gibt klare Regeln, die dir dabei helfen, diese Entscheidung zu treffen.

    Die Datenschutzkonferenz (DSK), die unabhängigen Datenschutzbehörden von Bund und Ländern, hat ein Kurzpapier veröffentlicht, das als erste Orientierungshilfe dient. Es richtet sich besonders an Organisationen außerhalb des öffentlichen Sektors und erläutert, wann nach Ansicht der DSK ein Datenschutzbeauftragter (DSB) erforderlich ist. Gleichzeitig zeigt es, welche Regeln dabei sowohl für Verantwortliche als auch für Auftragsverarbeiter gelten.

    Schreib uns eine Email an [email protected] und erhalte eine Checkliste „Braucht mein Unternehmen einen Datenschutzbeauftragten?“

    Die drei wichtigsten Situationen, in denen du handeln musst

    In Deutschland gibt es drei konkrete Fälle, in denen du einen Datenschutzbeauftragten ernennen musst – unabhängig davon, was die EU-Datenschutzgrundverordnung (DSGVO) vorschreibt:

    1. Du hast mindestens 20 Mitarbeiter mit Datenzugriff

    Sobald du regelmäßig 20 oder mehr Personen beschäftigst, die automatisiert mit personenbezogenen Daten arbeiten, wird ein Datenschutzbeauftragter zur Pflicht.

    Wichtig zu wissen: Der Begriff „Personen“ ist dabei sehr weit gefasst. Es zählen nicht nur deine Vollzeitangestellten, sondern auch:

    • Teilzeitkräfte
    • Leiharbeiter
    • Freie Mitarbeiter
    • Auszubildende

    Deine Geschäftsführung zählst du allerdings nicht mit – diese Personen sind ja nicht „beschäftigt“ im eigentlichen Sinne, sondern leiten das Unternehmen.

    Was bedeutet „automatisierte Verarbeitung“? Das ist einfacher erreicht, als viele denken. Schon wenn deine Mitarbeiter geschäftliche E-Mails schreiben, arbeiten sie mit personenbezogenen Daten. Das betrifft typischerweise Bereiche wie:

    • Kundenbetreuung und Vertrieb
    • IT-Abteilung
    • Personalabteilung
    • Buchhaltung

    2. Du führst riskante Datenverarbeitungen durch

    Wenn dein Unternehmen Datenverarbeitungen durchführt, die eine Datenschutz-Folgenabschätzung erfordern, brauchst du ebenfalls einen Datenschutzbeauftragten. Das kann schon bei einer einzigen solchen Verarbeitung der Fall sein.

    Eine Datenschutz-Folgenabschätzung wird nötig, wenn deine Datenverarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt. Das passiert besonders häufig in diesen Bereichen:

    Automatisierte Bewertungen und Profile Wenn du systematisch Profile von Personen erstellst oder sie automatisch bewertest – zum Beispiel durch Scoring-Systeme oder automatisierte Entscheidungen über Kreditvergaben oder Jobauswahl.

    Umfangreiche Verarbeitung sensibler Daten Hierzu gehören besonders schützenswerte Informationen wie:

    • Gesundheitsdaten
    • Informationen zur ethnischen Herkunft
    • Religiöse oder politische Überzeugungen
    • Daten zu Straftaten oder Verurteilungen

    Systematische Überwachung öffentlicher Bereiche Video- oder Tonüberwachung in öffentlich zugänglichen Bereichen fällt in diese Kategorie. Auch der Einsatz von Sensoren, die ihre Umgebung systematisch beobachten, kann dazugehören.

    3. Du handelst geschäftsmäßig mit Daten

    Wenn du personenbezogene Daten geschäftsmäßig verarbeitest, um sie zu übertragen, anonym zu übermitteln oder für Markt- und Meinungsforschung zu nutzen, benötigst du einen Datenschutzbeauftragten.

    Wann wird es besonders kritisch?

    Die Wahrscheinlichkeit, dass du eine Datenschutz-Folgenabschätzung durchführen musst (und damit einen Datenschutzbeauftragten brauchst), steigt erheblich, wenn deine Datenverarbeitung mindestens zwei dieser Kriterien erfüllt:

    1. Du bewertest oder stufst Personen ein
    2. Du triffst automatisierte Entscheidungen mit rechtlichen Folgen
    3. Du überwachst systematisch
    4. Du verarbeitest besonders vertrauliche oder persönliche Daten
    5. Du verarbeitest Daten in großem Umfang
    6. Du führst verschiedene Datensätze zusammen
    7. Du verarbeitest Daten von besonders schutzbedürftigen Personen (z.B. Kindern)
    8. Du nutzt innovative oder neue Technologien
    9. Deine Verarbeitung hindert Betroffene daran, ihre Rechte auszuüben oder Dienstleistungen zu nutzen

    Du bist dir nicht sicher, ob Du einen DSB brauchst? Kontaktiere uns und wir ermitteln gemeinsam, ob Du und Dein Unternehmen unter diese Pflicht fallen.

    Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe

    kostenlose 30-minütige Erstberatung sichern

    Fazit

    Die Entscheidung, ob du einen Datenschutzbeauftragten brauchst, ist in den meisten Fällen ziemlich eindeutig. Prüfe einfach, ob eine der drei Hauptsituationen auf dein Unternehmen zutrifft. Im Zweifel ist es besser, einen Experten zu konsultieren – denn die Bußgelder bei Verstößen können empfindlich sein.

    Denk daran: Ein Datenschutzbeauftragter ist nicht nur eine Pflichterfüllung, sondern kann dir dabei helfen, Datenschutzrisiken zu minimieren und das Vertrauen deiner Kunden zu stärken.

  • Die KI kann mithören aber DU musst mitdenken

    06.08.2025

    Der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Transkription von Besprechungen wird in Unternehmen und Organisationen immer häufiger genutzt – vor allem zur Steigerung der Effizienz und zur besseren Dokumentation. Dabei wandeln KI-Systeme die gesprochenen Inhalte eines Meetings entweder in Echtzeit oder im Nachhinein in schriftliche Form um.

    Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.

    In diesem Beitrag erhältst Du einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.

    Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe. Wende Dich direkt an uns

    kostenlose 30-minütige Erstberatung sichern

    Transkription als Verarbeitung personenbezogener Daten

    Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt, stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Denn sobald eine Identifizierbarkeit von Personen möglich ist – egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden – fließen personenbezogene Daten.

    Typische Beispiele:

    • In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.
    • Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.
    • Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.
    • In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.

    Rechtsgrundlage für die Verarbeitung

    Egal ob Du ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzt: Sobald Du Sprache in Text verwandelst und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.

    Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:

    • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
    • Tipp: Keine stillschweigende Zustimmung!
      Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.
    • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.

    Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um:

    • bestimmte Meetings pauschal freizugeben,
    • Bedingungen und Grenzen definieren,
    • die angewendeten Tools freizugeben,
    • die Einwilligungspflicht entfallen lassen.

    Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein.

    Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den Sprechenden überhaupt auffällt.

    Transparenz: Information ist Pflicht!

    Niemand mag böse Überraschungen – schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert.

    Was muss also rein in den Datenschutzhinweis?

    • Wer ist verantwortlich?
    • Warum wird transkribiert?
    • Welche Tools kommen zum Einsatz?
    • Wie lange wird gespeichert?
    • Welche Rechte haben die Teilnehmenden?

    Best Practice: Klare Information z. B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung. Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.

    KI-Dienstleister? Nur mit Vertrag!

    Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!

    Du brauchst:

    • Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
    • Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)
    • Transparenz über Serverstandorte und Sicherheitsstandards

    Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!

    Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:

    • Zugriffsbeschränkungen auf Transkripte
    • Verschlüsselung bei Übertragung und Speicherung
    • Löschfristen und automatisierte Löschmechanismen
    • Auditierung und Protokollierung der Zugriffe

    Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten.

    Auskunftsrecht: Beschäftigte dürfen Transkripte sehen

    Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen – vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.

    Das kann bedeuten:

    • Gespräche mit Vorgesetzten werden herausverlangt.
    • Auch andere Gesprächsteilnehmer sind betroffen.
    • Geschäftsgeheimnisse müssen ggf. geschwärzt werden.

    Verzeichnis von Verarbeitungstätigkeiten

    KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden – einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.

    KI-Verordnung: Mehr als nur Datenschutz

    Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Du KI-Systeme zur Aufzeichnung und/oder Transkription nutzt, gelten folgende Anforderungen:

    Verbotene Praktiken (Art. 5 KI-VO)
    Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.

    Hochrisiko-KI (Art. 6 Abs. 2 KI-VO)
    Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann Dein Transkriptionssystem als Hochrisiko-KI eingestuft werden – mit deutlich höheren Anforderungen an:

    • Risikobewertung
    • Dokumentation
    • menschliche Aufsicht
    • Transparenzpflichten

    In jedem Fall musst Du dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie

    Best Practices: So setzt Du KI-Transkription sauber um

    • Vorab prüfen, ob wirklich eine Transkription nötig ist – nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)
    • Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten
    • KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“
    • Keine Emotionserkennung einsetzen: Diese Funktion birgt hohes Risiko unter der KI-VO
    • Rollen und Zugriffsrechte klar regeln: Wer darf Transkripte einsehen, ändern oder löschen?
    • Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht
    • Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen – inklusive Vertrag, TOMs und Transparenz zur Datenverarbeitung
    • Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie

    Fazit: KI kann mitschreiben, aber sie braucht klare Regeln

    KI-Transkription ist ein echter Gamechanger – wenn Du sie verantwortungsvoll einsetzt. Datenschutz ist kein Blocker, sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil.

  • Privacy-First Analytics: Datenschutzfreundliche Webanalyse – aber wie echt ist das Versprechen?

    29.06.2025

    Die Art und Weise, wie Websites heute analysiert werden, steht zunehmend unter Druck. Klassische Werkzeuge wie Google Analytics geraten durch strengere Datenschutzgesetze wie die DSGVO, neue Browser-Technologien und ein wachsendes Bewusstsein der Nutzer für Privatsphäre immer mehr in die Kritik. Gleichzeitig setzen viele Website-Betreiber auf sogenannte Privacy-First-Analytics-Tools, die versprechen, ganz ohne Cookies oder personenbezogene Daten auszukommen. Doch halten diese Lösungen wirklich, was sie versprechen?

    Neue Generation von Webanalyse-Tools

    Die neue Generation von Webanalyse-Tools möchte den Spagat zwischen datenschutzkonformer Analyse und praxisnaher Auswertung schaffen. Anbieter wie Plausible, Fathom, Simple Analytics oder Matomo bewerben sich als Alternativen zu den bekannten großen Plattformen. Sie verzichten nach eigenen Angaben auf Tracking-Cookies, speichern keine IP-Adressen dauerhaft und setzen auf serverseitige oder anonymisierte Auswertung. Oft werden diese Tools auch innerhalb der EU gehostet, was zusätzliche Sicherheit verspricht. Dabei sind für viele Websites, insb. für kleinere Unternehmen und private Projekte, die gebotenen Grundfunktionen wie Seitenaufrufe, Besucherverhalten oder Geräteinformationen vollkommen ausreichend.

    Datensparsam – nicht anonym

    Allerdings zeigt ein genauer Blick auf die technischen Abläufe, dass viele dieser Tools zwar datensparsam arbeiten, aber nicht immer vollständig auf personenbezogene Daten verzichten. In vielen Fällen wird die IP-Adresse beispielsweise zumindest kurzfristig verarbeitet, etwa um das Herkunftsland zu ermitteln, bevor sie anonymisiert wird. Doch bereits diese Erhebung fällt gem. DSGVO unter die Verarbeitung personenbezogener Daten und kann unter Umständen eine Einwilligungspflicht auslösen. Das bedeutet, dass auch sogenannte datenschutzfreundliche Tools nicht automatisch ohne Cookie-Banner oder andere Zustimmungsmechanismen eingesetzt werden dürfen. Entscheidend ist nicht das Werbeversprechen des Anbieters, sondern die tatsächliche technische Umsetzung im konkreten Fall.

    Was die Funktionalität betrifft, decken diese Tools meist grundlegende Kennzahlen ab, reichen jedoch nicht an den Analyseumfang klassischer Lösungen wie Google Analytics heran. Komplexe Nutzeranalysen über mehrere Sessions hinweg, detaillierte Segmentierungen oder eine Integration in Werbenetzwerke sind in der Regel nicht vorgesehen. Das ist für viele Websites auch gar nicht notwendig – für datensensitive Organisationen oder Projekte mit begrenzten Analyseanforderungen können diese Tools eine sehr gute Lösung darstellen.

    Technische Umsetzung ist wichtig – nicht das Werbeversprechen des Anbieters

    Wer sich für ein Privacy-First-Tool entscheidet, sollte unbedingt prüfen, welche Daten das Tool technisch tatsächlich erfasst und ob während des Prozesses auch nur kurzfristig personenbezogene Daten verarbeitet werden. Ebenso muss die Datenschutzerklärung entsprechend angepasst werden, und im Zweifelsfall ist auch ein Einwilligungsmechanismus notwendig. Nur wenn absolut keine personenbezogenen Daten verarbeitet werden, kann auf einen Cookie-Banner verzichtet werden.

    Privacy-First-Analytics ist ein begrüßenswerter Fortschritt in Richtung datenschutzkonformer Webanalyse. Die Versprechen der Anbieter sind oft ernst gemeint und technisch solide umgesetzt, dürfen aber nicht blind übernommen werden. Erst eine fundierte technische und rechtliche Prüfung zeigt, ob das jeweilige Tool wirklich ohne Risiken genutzt werden kann. Wer auf Nummer sicher gehen möchte, sollte das ausgewählte Tool sorgfältig konfigurieren, die Datenschutzhinweise anpassen und bei Bedarf juristischen oder technischen Rat einholen.

    Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du morderne Datenschutzberatung und Web-Compliance auf Augenhöhe. Wende Dich direkt an uns:

    kostenlose 30-minütige Erstberatung sichern

  • Rechtstipps für den Onlinehandel

    27.02.2025

    Rechtstipps für den Onlinehandel

    Wer Produkte oder Dienstleistungen im Internet anbietet, muss gesetzliche Vorschriften einhalten. Diese sollen Verbraucher schützen und sicherstellen, dass Kunden alle relevanten Informationen erhalten. Fehlende Angaben können teuer werden, denn Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände sind möglich.

    Pflichtinformationen für deine Kunden

    Deine Kunden müssen über alle Bedingungen informiert werden, die für den Einkauf in deinem Onlineshop gelten. Dazu gehören insbesondere folgende Angaben:

    1. Produkt- und Vertragsdetails

    Die Grundlage jedes rechtssicheren Onlineshops bildet die umfassende Information über deine Produkte und Dienstleistungen. Kunden müssen bereits vor dem Kauf alle wesentlichen Details kennen, die für ihre Kaufentscheidung relevant sind.

    • Wesentliche Merkmale der Ware oder Dienstleistung
    • Informationen zum Vertragsabschluss
    • Mindestlaufzeit bei langfristigen Verträgen
    • Klare Angaben zur Lieferzeit (z. B. „3 bis 5 Tage“; unklare Angaben wie „bald verfügbar“ sind nicht erlaubt)
    • Eventuelle Liefervorbehalte oder Ersatzlieferungen in gleicher Qualität und zum gleichen Preis

    2. Preise und Zusatzkosten

    Die korrekte Preisdarstellung ist ein zentraler Baustein rechtssicherer Onlineshops. Kunden haben das Recht, alle anfallenden Kosten bereits vor dem Kauf zu kennen.

    • Gesamtpreis inkl. aller Steuern und Gebühren – der Gesamtpreis muss alle Steuern und Gebühren enthalten und deutlich sichtbar sein. Eine separate Ausweisung der Mehrwertsteuer ist bei B2C-Geschäften optional, bei B2B-Geschäften hingegen üblich. Wichtig ist, dass der Endpreis, den der Kunde tatsächlich zahlen muss, unmissverständlich erkennbar ist.
    • Versandkosten (bei Speditionsware gesondert anzugeben) – Bei Standardversand genügt eine pauschale Angabe, bei Speditionsware oder besonderen Versandarten sind detailliertere Informationen erforderlich. Kostenloser Versand ab einem bestimmten Bestellwert ist ein beliebtes Marketinginstrument, muss aber klar kommuniziert werden.
    • Zusätzliche Kosten oder Steuern, die nicht über den Anbieter abgeführt werden. Dies betrifft beispielsweise Zollgebühren bei internationalen Lieferungen oder spezielle Entsorgungsgebühren.

    3. Zahlung, Lieferung und Widerruf

    Die Information über Zahlungs- und Lieferbedingungen sowie Widerrufsrechte ist besonders wichtig, da sie die Rechte und Pflichten beider Vertragsparteien definiert.

    • Akzeptierte Zahlungsmethoden und Versandarten – Kunden müssen wissen, welche Optionen ihnen zur Verfügung stehen und ob eventuell zusätzliche Gebühren anfallen. Bei neuen oder ungewöhnlichen Zahlungsmethoden sind erklärende Hinweise hilfreich.
    • Bestehen oder Nichtbestehen eines Widerrufsrechts, inklusive Fristen und Bedingungen
    • Bereitstellung der Widerrufsbelehrung und des Widerrufsformulars (z. B. per E-Mail oder als Ausdruck mit der Lieferung) – Die Widerrufsbelehrung muss in verständlicher Sprache verfasst sein und kann per E-Mail versandt oder der Lieferung beigelegt werden. Ein Widerrufsformular vereinfacht den Prozess für Kunden, auch wenn dessen Verwendung nicht verpflichtend ist.

    4. Zusätzliche Angaben

    Vollständigkeit zahlt sich aus – verschiedene weitere Informationen runden das Pflichtprogramm ab und tragen zur Rechtssicherheit bei.

    • Mehrkosten für spezielle Kommunikationswege (z. B. gebührenpflichtige Hotlines)
    • Gültigkeitsdauer befristeter Angebote
    • Technische Schritte bis zum Vertragsschluss
    • Speicherung des Vertragstextes und Zugänglichkeit für den Kunden
    • Vertragsabschluss in verfügbaren Sprachen
    • Bestehende Herstellergarantien
    • Falls dein Shop bestimmten Verhaltenskodizes folgt, entsprechende Informationen dazu
    • Link zur Online-Streitbeilegung: EU-Online-Streitbeilegung
    • Angabe, ob dein Unternehmen an einer Verbraucherschlichtung teilnimmt

    5. Datenschutzhinweise

    Die DSGVO verlangt umfassende Informationen über die Verarbeitung personenbezogener Daten. Diese Informationen müssen leicht verständlich und jederzeit zugänglich sein.

    • Arten der erhobenen Daten
    • Zweck und Rechtsgrundlage der Datenverarbeitung
    • Empfänger der Daten und Verarbeitung in Drittländern
    • Rechte der Betroffenen
    • Kontaktdaten eines Datenschutzbeauftragten oder einer zuständigen Person im Unternehmen

    B2B oder B2C? Klare Kennzeichnung ist Pflicht!

    Betreibst du einen Onlineshop nur für Gewerbetreibende (B2B), muss dies klar und deutlich gekennzeichnet sein. Der Hinweis muss sofort ersichtlich sein und darf nicht nur in den AGB stehen.

    Falls ein Shop als reiner B2B-Shop anerkannt werden soll, gelten folgende Voraussetzungen:

    • Ein gut sichtbarer Hinweis, dass nur gewerbliche Kunden bestellen dürfen
    • Dieser Hinweis muss auf jeder Seite des Shops erscheinen
    • Die gewerbliche Eigenschaft des Kunden sollte vor dem Kauf durch eine Checkbox bestätigt werden (nahe beim Bestellbutton)

    Andernfalls könnten Verbraucher annehmen, dass dein Shop auch für sie gilt, und sich auf ihre Rechte, wie das Widerrufsrecht, berufen.

    Wer gilt als Onlinehändler?

    Folgende Anbieter gelten als Onlinehändler:

    • Betreiber von Onlineshops und Auktionsplattformen
    • Anbieter von Webseiten mit direkter Bestellmöglichkeit

    Nicht als Onlinehändler gelten Anbieter, die ihre Produkte nur online präsentieren, den Kauf aber telefonisch oder per E-Mail abwickeln. Dennoch haben auch sie spezielle Informationspflichten.

    Widerrufsrecht: Was gilt für Onlinekäufe?

    Kauft ein Verbraucher online, per Telefon, E-Mail oder Fax, hat er in der Regel ein 14-tägiges Widerrufsrecht. Das gilt für Waren und Dienstleistungen.

    • Die Frist beginnt mit Erhalt der Ware. Bei Teillieferungen startet sie mit der letzten Lieferung.
    • Bei Dienstleistungen beginnt die Frist mit Vertragsschluss.
    • Die 14-tägige Frist kann verlängert, aber nicht verkürzt werden.

    Bestimmte Artikel, wie individuell angefertigte Ware oder Hygieneartikel, können vom Widerrufsrecht ausgeschlossen sein. Kunden müssen darüber vor der Bestellung informiert werden.

    Widerrufsbelehrung und -formular Onlinehändler müssen eine korrekte Widerrufsbelehrung und ein Widerrufsformular bereitstellen. Dafür gibt es gesetzliche Muster, die nicht verändert werden sollten. Fehler oder veraltete Texte können zu Abmahnungen führen.

    Achtung: Fehlt die Belehrung oder ist sie fehlerhaft, läuft die Widerrufsfrist nicht. Verbraucher können dann bis zu 12 Monate und 14 Tage später widerrufen.

    Ein Widerruf ist formlos möglich. Der Kunde muss lediglich eindeutig erklären, dass er den Vertrag rückgängig machen will.

    Widerrufsrecht für gewerbliche Kunden? Gewerbliche Kunden haben kein Widerrufsrecht. Falls dein Shop sowohl für Verbraucher als auch für Gewerbetreibende offen ist, könnten letztere dennoch ein Widerrufsrecht geltend machen. Falls du dies vermeiden willst, solltest du in den AGB ausdrücklich festhalten, dass das Widerrufsrecht nur für Verbraucher gilt.

    Rücksendekosten bei Widerruf

    Falls in den AGB festgelegt, trägt der Kunde die Kosten für die Rücksendung. Die Hinsendekosten müssen dem Kunden erstattet werden.

    Häufig gestellte Fragen

    Wo fange ich bei der Erstellung eines Verfahrensverzeichnisses an?

    Liste deine Datenverarbeitungen auf, indem du

    1. ermittelst, welche Daten du verarbeitest
    2. warum du diese verarbeitest
    3. wie du diese verarbeitest

    Wann muss ich die Daten löschen?

    Folgende Schritte können dir dabei helfen, die richtige Speicherdauer zu finden:

    1. finde heraus, welche Daten du hast
    2. liste die Gründe auf, warum du sie brauchst
    3. prüfe oder lass @legallivinghub für dich prüfen, ob du gesetzlich zur Aufbewahrung verpflichtet bist
    4. wenn die Daten zu mehreren Zwecken benötigt werden und du hier unterschiedliche Löschfristen hast, nimm die längste Speicherdauer (hier gibts noch ein paar Punkte zu beachten)
    5. lege ein entsprechendes Löschmechanismus fest

    Was muss ich bei einer Newsletter-Einwilligung beachten?

    Es gibt rechtliche Anforderungen, wie eine Newsletter-Einwilligung formuliert werden soll. Hier sind die wichtigsten Punkte:

    • Freiwillig (also kein Opt-out)
    • Klar und verständlich
    • Enthält alle Informationen (wer,bekommt welche Daten und wofür)
    • Widerruf Möglichkeit
    • Link zu Datenschutzhinweisen

    Aber es ist noch nicht alles! Im technischen Hintergrund sollten weitere Schritte vorgenommen werden, wie Speicherung der Einwilligung, Verifizierung der Daten etc.

    Melde dich bei LLH, wenn du Unterstützung bei der Gestaltung deiner Newsletter-Prozesse brauchst!

    Kann ich meine Rechtstexte selbst erstellen?

    Du kannst deine eigenen AGB erstellen!

    Es gibt keine gesetzliche Pflicht zur Nutzung von AGB oder dazu, sie professionell erstellen zu lassen.  Wenn du deine vorgefertigten Vertragsbedingungen selbst gestalten möchtest, können dir Generatoren für AGB oder AGB-Muster weiterhelfen. 

    So beginnst du: 

    1.  Recherche: Informiere dich über die rechtlichen Anforderungen und Bestandteile von AGB.

    2.  Generator nutzen: Verwende einen Online-Generator für AGB oder lade ein AGB-Muster herunter.

    3.  Anpassung: Passe die generierten AGB an dein spezielles Geschäft und deine individuellen Anforderungen an. 

    Was gehört unter die Produktbeschreibung?

    MUSS: Detaillierte Infos zum Produkt, Materialien, Größe, Gewicht, Anwendungshinweise.

    TABU: Irreführende Angaben, übertriebene Versprechungen, fehlende gesetzliche Pflichtangaben, Selbstverständlichkeiten

    Wie sollten die Links in die Rechtstexte eingebunden werden?

    Links sollen immer aktiv sein, anklickbar und als externe deutlich gekennzeichnet, damit die KundInnen wissen, dass sie deine Webseite verlassen.

    Manche Webseiten verwenden eine Weiterleitung-Unterseite, auf der die KundInnen eindeutig informiert werden „Achtung du wirst auf eine externe Seite weitergeleitet“.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.