Get Adobe Flash player

Datenschutz

Widerrufsbelehrung online: Abrufbarkeit im Web allein genügt nicht

Wird bei einer Anmeldung mittels eines online-Formulars die Widerrufsbelehrung lediglich verlinkt und per Checkbox-Pflichtfeld vom Teilnehmer-/von der Teilnehmerin bestätigt, so gelten diese nach dem Urteil des Bundesgerichtshofes (BGH) als nicht übermittelt. Dies ist wichtig, denn „die in § 355 Abs. 2 BGB bestimmte Widerrufsfrist beginnt gemäß § 355 Abs. 3 Satz 1 BGB erst dann, wenn dem Verbraucher eine den Anforderungen des § 360 Abs. 1 BGB entsprechende Belehrung über sein Widerrufsrecht in Textvform mitgeteilt wird“.

Nach der Auffassung des BGH  (BGH, Urteil vom 15. Mai 2014 – III ZR 368/13) entspricht eine Widerrufsbelehrung, die der Verbraucher nicht gänzlich in seinem festen Besitz und jederzeit sicher abrufbar zur Verfügung hat, diesen Voraussetzungen nicht.

Im gegenständlichen Fall hatte eine Verbraucherin einen Widerruf mehr als 14 Tage nach Teilnahme auf der Website der Klägerin durchgeführt und demzufolge nur 10% der Kosten beglichen. Die Forderung der Klägerin nach Ausgleich des restlichen Betrages wurde vom BGH abgewiesen.

Es stellt sich allerdings hierbei die Frage, wie angemessene Anpassungen von Betreibern betroffener online-Portale aussehen soll. Eine postalische Nachsendung von Widerrufsbelehrungen in Papierform ist aus Kostengründen unrealistisch. In der Ausführung des Urteils wird darauf verwiesen, dass eine denkbar gültige Lösung eine solche wäre, die sicherstellt, dass der/die Verbraucher(in) den Text der Widerrufsbelehrung bei sich abspeichert oder aber dieser in der Form automatisch abgespeichert wird, dass der/die Betroffene mit seinen Logindaten diesen in der für ihn/sie geltenden Version jederzeit abrufen kann.
Hier bleibt einerseits offen, wie sichergestellt sein soll, dass der/die Teilnehmer(in) in den dauerhaften Besitz der Zugangsdaten kommen soll und auch nicht vergessen darf, wo diese abgerufen werden können. Sollte hier davon ausgegangen werden, dass dies in der Verantwortung der Betroffenen liegt, so sehe ich m.E. keinen Unterschied zu der Erwartung, der gegenständliche Text könne auch im Rahmen der Teilnahme unter Eigeninitiative abgespeichert oder ausgedruckt werden.
Andererseits wird auch grundlegend nicht weiter spezifiziert, wie technisch sichergestellt werden soll, dass eine Speicherung des Textes und eine dauerhaft wirkende Inkenntnissetzung der betroffenen Person gegeben sein soll.

Aus meiner Sicht bleibt hier viel Praxisbezug offen und es gilt abzuwarten, ob hier klärende Vorgaben noch nachgereicht werden.

Entscheidungsvolltext via Medien Internet und Recht

Datenschutz – endgültig ein Traum?

Wir alle machen uns spätestens seit den freundlichen Aufdeckungen von Edward Snowden mehr Gedanken darum, wie wir unsere Daten sicher halten.

Mit „wir“ meine ich nicht nur uns User, die wir zu Hause an unseren PCs oder Notebooks sitzen oder unterwegs mit dem Smartphone oder einem Tablet durch die Welt reisen, sondern auch diejenigen, von denen wir einen Einsatz für unsere Datensicherheit erwarten: Internet Service Provider (ISP) wie etwa die Telekom, 1und1, Web.de, GMX und all die vielen anderen auch sowie Politiker, die auf der staatlichen Ebene nach Lösungen suchen, um hier einen Stand zu erreichen, der uns wieder Vertrauen schöpfen lässt.

Viel interessanter aber: was ist mit „sicher halten“ gemeint? Da hat wahrscheinlich jeder so seine eigenen Vorstellungen. Dass wir wünschen, unsere Logindaten zum Online-Portal unserer Bank würden nicht abgegriffen werden, haben wir wohl alle gemeinsam. Wie steht es mit unserem E-Mail-Verkehr? Wie viel Energie sind wir hier bereit einzusetzen um Verschlüsselungstechniken einzusetzen? Ich glaube, dass die Einsatzbereitschaft (oder -fähigkeit?) stark sinkt, sobald wir unseren Komfort, den wir in den letzten Jahren durch das Internet dazu gewonnen haben, wieder einschränken müssten. Denn so eine E-Mail-Verschlüsselung übersteigt meines Erachtens schon die technischen Fähigkeiten der meisten User. Darüber hinaus müssen auch die Empfänger der E-Mails mitspielen, es müssen Schlüsselpaare ausgetauscht werden. Das ist alles schon sehr aufwändig.

Nun also gut, vielleicht machen es viele wie ich und entscheiden sich daher gegen die E-Mail-Verschlüsselung.
Was ist also nun mit dem Anspruch des „sicher haltens“? Geht es um das, was ich in den sozialen Netzwerken veröffentliche? Ich hoffe, niemanden mehr unter euch denkt, das dort gepostete sei ausschließlich für euch und die Personenkreise sichtbar, denen ihr es freigegeben habt.
Wo denn also nun, wo wollen wir sicheren Datentransfer haben? Bei unserem Surfverhalten? Nun ja, auch dazu müssten wir einiges beachten. Befindet sich unser Browser ständig im aktiven Loginstatus unserer Konten bei Google, Facebook, Twitter, Youtube etc.? Dann wird das schwierig mit der Verheimlichung. Doch selbst wenn wir uns beim Verlassen aller Portale ausloggen, so bleibt doch noch weitere Möglichkeiten, die uns identifizierbar macht. Ich habe beispielsweise mal über den unique browser geschrieben. Wenn etwa Google Werbung platzieren möchte, die unseren Interessen entspricht, so kann Google mit dieser Technik herausfinden, wo wir uns im Netz bewegen und danach Präferenzen dingfest machen und dann eben die entsprechenden Anzeigen schalten. Wie wir heißen oder auch sonstige personenbezogene Daten sind hier zunächst einmal irrelevant. Aber auch diese können zu diesem Browserstempel hinzugefügt werden, spätestens wenn wir uns auf einer Google-Seite einloggen.

Ok, kleines Zwischenfazit:

Diese angestrebte Sicherheit bröckelt schon da, wo wir selbst nicht mehr gewillt sind, Einschnitte in unserem so angenehm einfach gewordenen Cyberleben hinzunehmen. Weiterhin haben wir teilweise gar nicht die Möglichkeit uns ganz ohne Identifikationsspur durch das Netz zu bewegen.

Gehen wir trotzdem einen Schritt weiter und nehmen wir an, wir sind tatsächlich so versiert und gewillt, dass wir unsere E-Mails verschlüsseln, dass wir unseren Browser dazu bringen, keine IP zu senden und wir nehmen Abstand von allen sozialen Netzwerken.

Abgesehen davon, dass wir dann in einigen Belangen hinten dran sind und die nächste Generation des Web vielleicht verpassen, sehe ich uns auch hier großen Problemen gegenüber, die uns diese angestrebte Sicherheit vermiesen.
Die NSA liest ja – so wissen wir durch Snowden – bei einigen Verschlüsselungstechniken mit. Interessant auch, dass sie bei der Entwicklung des Verschlüsselungsalgorithmus SHA, dessen Nachvolger SHA-2 heute noch in weit verbreitetem Einsatz ist, mitgewirkt hat.
Oder sie macht es ganz anders: sie besucht unseren Rechner und zeichnet auf, was wir über die Tastatur eingeben, bevor überhaupt irgendeine Verschleierungsmethode greifen kann. Das Programm, das hinter dieser Vorgehensweise steckt, heißt Turbine.

Weiterhin sind wir aber auch in so fern ausgeliefert, dass wir auf die Achtsamkeit anderer angewiesen sind. Stephan Hansen-Oest, Rechtsanwalt für IT-Recht und Datenschutz, hat in seinem letzten Podcast herrlich dargestellt, wieso etwa Betreiber von Webseiten Tools und Widgets nutzen, die unsere Daten weitergeben und so Daten über uns gesammelt werden, wovon wir gar nichts wissen. Nimmt es jemand mit seinen Datenschutzhinweisen sehr genau, dann kann es sein, dass wir dort davon erfahren. Aber dazu müssen wir erst einmal auf die Seit gelangen und damit schon einiges von uns preis geben.

Ich glaube, es ist vergeblich, einen Zustand anstreben zu wollen, in dem wir mit unseren Daten in privater Zweisamkeit oder mit 100%iger Kontrolle zusammen surfen können. Ich gehe sogar so weit, dass ich behaupte: sobald wir mit dem Internet verbunden sind, wird es nicht möglich sein, eigene Daten nicht preiszugeben. Wir sind noch immer nicht am Ende angelangt auf dem Weg, den unser Bewusstsein gehen muss: auch wenn wir in unseren vier Wänden sitzen und uns niemand sieht und hört, so sind wir von Billionen von elektrischen Impulsen umgeben, die unser Zimmer betreten und verlassen und die verschiedenste Informationen nach außen tragen. In die ganze Welt, ohne Grenzen. Was die da draußen mit diesen Informationen anstellen, das werden wir niemals unter unsere Kontrolle bringen können, das ist Utopie.

Vielleicht ist es einfach nur wichtig, dies im Kopf zu haben und dann ganz bewusst die neuen Technologien so zu nutzen, dass wir uns damit einverstanden fühlen, diese zu unserem Vorteil einsetzen und sie genießen können. Ab einer Grenze, die uns das Gefühl gibt, dass es einen Schritt zu nah an unsere Privatsphäre geht, haben wir meistens immer noch die Freiheit, den Weg am Internet vorbei zu gehen. Wenn nicht, dann ist es nun mal unsere freie Entscheidung, einen Internetdienst trotzdem zu nutzen, oder auf diesen Vorteil zu verzichten.

Datenschutz auf Smartphones: User-Awareness fokussiert vom Bayerischen Landesamt für Datenschutz

Wir haben viel kritisiert in letzter Zeit, wir tun es immer noch. Gegen die anderen sind wir, gegen die Geheimdienste, wir kritisieren das Vorgehen der Regierung, fühlen uns als Bürger nicht gut vertreten, erwarten, dass sich mehr um uns gekümmert wird. Wir haben Angst vor der fortschrittlichen Technik, die wir gefühlt erst dann kontrollieren können, wenn sie bereits wieder veraltet ist.  Vieles davon ist sicher gerechtfertigt, aber bei der ganzen Kritik und Sorge über das Vorgehen der anderen, vermisse ich vielerorts die Bemühungen der Politik, ihre Bürger an die Hand zu nehmen. Sie durch diese Schwierigkeiten zu führen und ihnen zu sagen, wie sie ihre Situation durch ihr eigenes Verhalten so beeinflussen können, dass sie zufrieden sind.

Es genügt in meinen Augen nicht, nur die anderen zu kritisieren. In Sachen Datenschutz, dem Schutz unserer eigenen Daten, da sind auch wir selbst, jede einzelne/jeder einzelne von uns gefragt. Auf dieser Grundlage – und eigentlich wollte ich nur darauf hinweisen – finde ich es einen schönen Schritt, dass das Bayerische Landesamt für Datenschutzaufsicht zwei Flyer veröffentlicht hat, die auf ein paar Grundlagen im Umgang mit dem eigenen Smartphone hinweisen. Auf diesen beiden Flyern (einer für iOs und einer für Android) sind Datenschutztipps gesammelt, die jeder zumindest kennen sollte.

 

Prefilling – gängiger Praxis fehlt oft der kritische Blick

Im E-Mail-Marketing, oder direkter gesagt im Bereich des Newsletterversandes, da hat das Prefilling eine lange Tradition.

Als Prefilling wird das Vor-Ausfüllen von Formularfeldern auf der Landingpage des beworbenen Produktes durch die Übermittlung von Parametern aus einem Newsletter heraus bezeichnet.

Es werden also die Daten, die die versendende Firma in ihren Listen gespeichert haben, verwendet, um auf der Seite des beworbenen Produktes Formularfelder automatisch mit den Daten des Nutzers zu befüllen. So muss er sich zur Registrierung dort nicht mehr die Mühe machen, Anrede, Vorname, Nachname, E-Mail-Adresse, Straße, Hausnummer, Postleitzahl, Ort, Land, Geburtsdatum oder was sonst noch gefordert ist, manuell einzutippen.

Dieses Beispiel bezieht sich auf den Versuch einer Kaltakquise und nicht darauf, dass eine Firma eigene Kunden mit einem eigenen Angebot beschicken will. Hier wäre die Ausgangssituation eine andere.

Über ein solches Prefilling, so kann man es sehen, freuen sich drei Parteien:

  1. Der User selbst über seinen verringerten Aufwand
  2. Der Eigentüber des beworbenen Produktes, denn die Conversion-Rate (das Verhältnis von Registrierungen zu Besuchern) steigt, da die Hemmschwelle zur Teilnahme abgesenkt wurde
  3. Der Listeigner, der den Newsletter im Auftrag des Produkteigners verschickt hat: er liefert bessere Performanceraten, muss weniger Volumen versenden, schont seinen Verteiler und wird gerne wieder gebucht

Win-win-win – was will man mehr!?

Aber da gibt es mehr. Das Recht jedes Einzelnen darauf, dass mit seinen personenbezogenen Daten schutzwürdig umgegangen wird, wird hierbei verletzt. Dieser Vorgang ist zweifellos als eine Verarbeitung von personenbezogenen Daten ohne Einwilligung zu sehen. Denn als Verarbeitung ist gemäß § 3 Absatz 4 Satz 2 Nr. 3 und Nr. 3a BDSG bereits das Übermitteln der Daten in der einfachen Form des Bekanntgebens der Daten.

In dem geschilderten Fall hat der Betroffene nicht eingewilligt, dass seine Daten an den Produkteigner, also die dritte Firma, weitergegeben werden dürfen. Wäre dem so, dann bräuchte ein solche Kampagne nicht durchgeführt werden. Denn es ist ja eben das Ziel des Produkteigners, die Daten (im Einzelfall betrachtet) dieses noch unbekannten Users berechtigter Weise in seinen eigenen Datenbestand aufnehmen zu dürfen.

Also halten wir fest: dieses Prefilling, das Alltagspraxis in diesem Werbebereich ist, ist datenschutzrechtlich unzulässig.

 Doch welche Alternativlösungen gibt es hierfür?

Nun ja, die einfachste und bitterste ist, das Prefilling einfach zu unterlassen. Wirtschaftlich gesehen wäre damit ein Schaden für diese Branche verbunden.
Des weiteren wäre es wohl einen Versuch wert, ob die Methode einer gerichtlichen Prüfung standhalten kann, wenn nahe bei dem Klick-Button, der auf die Landingpage des beworbenen Produktes deutlich hervorgehoben vermerkt wird, dass die persönlichen Daten des Nutzers durch den Klick zum Zwecke der Vor-Ausfüllung der Formulare an die Zielseite übermittelt werden.

Bleibt zu hoffen, dass sich eine Lösung etabliert, die den teilnahmewilligen User nicht von seinem Ziel abhält. Sonst stünden wir vor einer loose-loose-loose-Situation.