avalex – deine Datenschutzerklärung einfach installiert und immer aktuell!

Hallo Niklas, bitte stell dich doch einmal vor und verrate uns, wie du zu der Idee, avalex zu gründen, gekommen bist. 

Ja, mein Name ist Niklas Plutte und ich bin Rechtsanwalt und Fachanwalt für Gewerblichen Rechtsschutz. Ich betreibe seit fast zehn Jahren eine eigene Kanzlei in Mainz, die ausschließlich im Onlinerecht tätig ist. Bei avalex bin ich für die IT sowie das Marketing verantwortlich. Ich habe avalex zusammen mit meinem Partner Gero Wilke gegründet, der ebenfalls Rechtsanwalt sowie Partner einer Freiburger Wirtschaftskanzlei ist. Gero ist Fachanwalt für IT-Recht und ebenfalls für Gewerblichen Rechtsschutz sowie zertifizierter Datenschutzbeauftragter. Er ist bei uns für das Recht, also für die Rechtstexte sowie für die Finanzen zuständig.

Wie bin ich zu avalex gekommen: Vor ca. einem Jahr ist mir bewusst geworden, dass das Thema DSGVO immer wichtiger wird. Die ursprüngliche Idee war es, nur ein kostenloses Fragetool anzubieten. Doch dann bin ich auf die Frage gestoßen, die die meisten Unternehmen und Websitebetreiber nicht beantworten können, nämlich „Wie sieht es mit den Webservices aus, die auf Ihrer Seite laufen?“.

So kam ich auf den Gedanken, einen Scanner zu bauen, der eben diese Frage beantworten kann. Anschließend habe ich sechs Monate lang jede Nacht per Regex, also Regular Expressions, Tausende von Internetseiten gescannt und einen eigenen Regex-Code gebaut. Jetzt sind wir bei über 300 Diensten, die ziemlich verlässlich erkannt werden. Dann haben wir uns gedacht, dass wir solch einen Dienst nicht mehr nur kostenfrei anbieten können und haben eine Lösung gebaut, die sich zentral in einem Admin-Backend verwalten lässt. Dort sind die Rechtstexte eingepflegt, die dann alle paar Stunden auf der Kundenseite aktualisiert werden. So können wir sogar für einen großen Teil der Inhalte Abmahnkostenschutz übernehmen. Das war unsere Idee, die wir letztendlich auch umgesetzt haben. 

Niklas Plutte, Gründer und Geschäftsführer von avalex. 

Das klingt schon sehr interessant und aufregend! Wie du anfangs schon erzählt hast, seid ihr zu zweit. Plant ihr denn noch Personal einzustellen? 

Na ja, bislang hat es nicht mehr Personal gebraucht – mit dem jetzigen Stand ist avalex so gebaut, dass wir keinen Kundenservice oder Ähnliches benötigen. Wir haben ja die Technik und das Marketing, wofür ich zuständig bin und eben die rechtliche Seite sowie die Finanzen, was beides Gero abdeckt.
Für die Weiterentwicklung würden aber schon Entwickler gebraucht, die avalex weiterentwickeln und auch Servicekräfte, die für die Kundenberatung zuständig wären. 

Okay, jetzt hört sich das aber auch nach viel Arbeit an – seid ihr denn dann überhaupt noch als Anwälte tätig oder habt ihr euch komplett für avalex entschieden? 

Nein, also wie anfangs kurz erläutert, sind wir beide auch sehr gerne noch als Anwälte für unsere Kanzleien tätig. Jedoch machen wir – wie schon richtig erkannt – auch viel für avalex, schließlich sind wir noch ein Start-up, wo einiges für das entstehende Grundgerüst getan werden muss. Da muss man schauen, dass man einen guten Spagat hinbekommt, sodass die Arbeit in der Kanzlei darunter nicht leidet. 

Kommen wir zu avalex selbst: Wie läuft es ab, was macht avalex und was bietet ihr?

Also im Prinzip läuft es so: Du, als Websitebetreiber, gehst auf unsere Seite avalex.de und gibst dort deine url ein. Wir scannen diese dann und anschließend wird dir eine Ergebnisseite angezeigt, auf der die Dienste, die wir gefunden haben, in Form einer Farbampel – also grün, gelb und rot – aufgelistet sind. 
Grün bedeutet: Wir stellen einen Datenschutzerklärungstext zur Verfügung und wir haften für die Rechtskonformität. Wer also wegen eines Fehlers in diesem Text abgemahnt wird, dem ersetzen wir alle entstehenden Kosten z. B. Gerichts- und Abmahnkosten (nach RVG, dem Rechtsanwaltsvergütungsgesetz).

Gelb ist bei uns leider noch sehr viel angemarkert, was aber nicht an avalex liegt – wie viele meinen. Das bedeutet im Prinzip, dass es Dienste sind, die sich noch nicht konkret DSGVO-konform aufgestellt haben. Bei denen fragen wir aber auch aktiv nach, ob und wann sie es denn tun oder ob es neue Infos gibt. Alles, was wir dabei erfahren, setzen wir direkt in den Datenschutzerklärungen unserer Kunden ein und aktualisieren diese, und wenn wir das für uns als vertretbar erachten, dann markieren wir es auch grün, sodass auch da unser Abmahnschutz gilt.

Der Aspekt, dass wir die Datenschutzerklärungen laufend aktualisieren, das ist das Besondere. Denn normalerweise besorgt man sich eine Datenschutzerklärung und erhält einmalig den Text, diesen fügt man dann auf seiner Internetseite ein und fertig.
Doch bei uns ist die Situation ganz anders: Man installiert ein Plugin z.B. für WordPress und gibt den zur Verfügung gestellten API-Key ein und ab diesem Moment spielen wir auf der Seite eine individuelle Datenschutzerklärung für das individuelle Unternehmen ein und diese halten wir dauerhaft rechtsicher und passen sie stetig an. Sollte also ein neues Urteil rauskommen, dann würden wir den Text anpassen und man hätte mit einer maximalen Verzögerung von sechs Stunden die angepasste Version auf seiner Internetseite – ohne, dass der Websitebetreiber aktiv etwas dafür machen muss. Das ist der Kernservice von avalex und als Goodie gibt es für die „grünen Dienste“ den Abmahnschutz von uns.

Bei den gelben Diensten stellen wir zwar auch Datenschutztexte zur Verfügung, die kann der Kunde auch per Klick in seine Datenschutzerklärung mit aufnehmen und anzeigen lassen. Auch diese Texte aktualisieren wir für unsere Kunden. Allerdings können wir hierfür wie gerade schon erläutert keine Haftung übernehmen, weil diese Dienste nach unserer Einschätzung noch nicht DSGVO-konform aufgestellt sind.

Ja und bei den rot markierten Diensten ist es so, dass wir denken, in der aktuellen Gestaltung ist dieser Dienst überhaupt nicht DSGVO konform und auch nicht nutzbar. In dem Sinne raten wir von der Nutzung ab. Wer dennoch einen Dienst nutzt, der rot geflaggt ist, der muss mit einem erhöhten Abmahnrisiko rechnen. 

Wie du schon erwähnt hast, schreibt ihr ja über euer Plugin direkt in die Datenbank der Kundenwebsite rein. Bedeutet das auch, dass der Websitebetreiber einen AV-Vertrag mit euch schließen muss? Habt ihr Zugriff auf personenbezogene Daten, die innerhalb der Datenbank auf der Kundenwebsite gespeichert sind?

Nein, haben wir nicht, der Kunde muss auch keinen AV-Vertrag mit uns schließen. Technisch gesehen sieht es so aus: Der Betreiber schließt mit uns einen normalen Vertrag, da er bei uns Kunde wird, und stimmt somit unseren AGBs zu. Danach installiert er das Plugin auf seine Seite und dieses fragt dann alle vier Stunden – unabhängig von den Besuchern, die gerade auf der Seite sind – die avalex API an, ob es eine neue Version der Datenschutzerklärung gibt. Ist das der Fall, lädt das Plugin die neue Version herunter, speichert sie in der Datenbank des Kunden und spielt sie dem nächsten Besucher, der die „Datenschutz“-Seite auf der Kundenwebsite aufruft, aus. Aber die Daten des Besuchers, beispielsweise die IP-Adresse, werden in keiner Weise bei avalex gespeichert. 

Okay. Sollte ich mich also für avalex entscheiden, brauche ich dann noch eine Rechtsberatung in Hinsicht auf die Datenschutzerklärung für meine Website?

Wichtig zu wissen ist, dass wir nur den Datenschutzerklärungstext bieten. Das heißt, wir bieten keine Gesamtabsicherung der Internetseite, es gibt bei uns keine Gesamtlösung rund um das Thema Datenschutz.
Nehmen wir das Beispiel Google Analytics: Du hast den Dienst bei dir installiert, dann wird der von uns erkannt und du erhältst eine rechtssichere Datenschutzerklärung für Google Analytics von uns. Damit du Google Analytics aber datenschutzkonform nutzen kannst, hast du weitere Pflichten wie z. B. die IP-Adresse zu anonymisieren und einen AV-Vertrag mit Google Analytics abzuschließen – diese Pflichten können wir dir gar nicht abnehmen und dies gehört auch nicht zum Leistungsspektrum von avalex.

Somit kann ich sagen, im Hinblick auf die Datenschutzerklärung bräuchtest du keine Beratung – sofern du Dienste nutzt, die wir in der Datenbank haben – aber wenn du eine gesamte Rechtsüberprüfung deiner Website haben willst, dann solltest du dir auf jeden Fall bei einem Anwalt eine Beratung einholen.

Gut, kommen wir zu den letzten beiden Fragen :) 

Meine erste ist: Was kann man machen, wenn man einen Dienst nutzt, den ihr noch nicht in eurer Datenbank habt, kann man diesen dennoch von euch prüfen lassen?

Ja, das ist möglich – das geschieht auch nicht gegen einen Aufpreis und wir freuen uns über jeden Hinweis auf noch fehlende Dienste. Man muss einfach ein Formularfeld ausfüllen, in dem man angibt, dass avalex den Dienst noch nicht in der Datenbank hat. Daraufhin werden wir dieses zeitnah prüfen und uns bemühen, den Dienst ganz allgemein in unsere Datenschutzerklärung mit dem entsprechendem Flagging aufzunehmen – hier ist natürlich vorausgesetzt, dass der Dienst uns die Informationen zur Verfügung stellt.

Alles klar, gut zu wissen. Die letzte Frage: Shops deckt ihr aktuell ja noch nicht ab, woran liegt es und habt ihr es denn in Planung?

Ja, das ist richtig. Das liegt daran, dass wenn man die avalex Datenschutzerklärung bestellt, man zunächst Fragen beantworten muss. Diese Abfragefelder sind bislang schlicht und einfach noch nicht auf Onlineshops ausgerichtet, deshalb können wir es auch noch nicht anbieten. Denn dafür müssen einfach zusätzliche datenschutzrelevante Fragen gestellt werden .

Wir arbeiten aktuell mit Hochdruck an der rechtlichen und technischen Umsetzung und sind zuversichtlich, unseren Service noch vor der der Umsetzung der DSGVO auch für Onlineshop-Betreiber anbieten zu können.

Das hört sich doch alles sehr vielversprechend an! Vielen Dank für das informative Interview!