Ein Blog von Rechtsanwalt Christos Paloubis

Schlagwort: Datenschutz

Opt-Out & co.: E-Mail-Werbung auch ohne ausdrückliche Einwilligung zulässig?

Der Versand von E-Mail-Werbung wirft immer wieder rechtliche Fragen auf. Viele Händler sind unsicher, wann eine Einwilligung des Kunden erforderlich ist bzw. welche Formalien gegebenenfalls zu beachten sind. Oft geht es dabei um die Frage, ob eine Einwilligung auch im Wege einer vorangekreuzten Checkbox (sogenanntes „Opt-Out-Verfahren“) oder mittels einer Klausel in den Allgemeinen Geschäftsbedingungen (AGB) wirksam eingeholt werden kann. Mit dieser Thematik beschäftigte sich kürzlich das OLG Thüringen und konkretisierte in einer Entscheidung die geltenden Vorgaben (OLG Thüringen, Urteil vom 21.04.2010, Az. 2 U 88/10; das Shopbetreiber-Blog berichtet).

Grundsätzlich gilt: Die Nutzung personenbezogener Daten, zu denen auch die E-Mail-Adresse gehört, steht unter dem Einwilligungsvorbehalt des Betroffenen, es sei denn das Gesetz sieht eine Ausnahme vor. Im Bereich der postalischen Werbung ist eine solche Ausnahme beispielsweise in § 28 Abs. 3 Satz 2 BDSG zu finden (sogenanntes „Listenprivileg“). Im Bereich der E-Mail-Werbung ist das Listenprivileg hingegen nicht anwendbar. Hier enthält § 7 Abs. 3 UWG eine Ausnahme. Danach darf E-Mail-Werbung ohne ausdrückliche Einwilligung des Betroffenen versandt werden, wenn

Fake-Abmahnungen wegen angeblicher Speicherung von IP-Adressen im Umlauf

Webmaster berichten seit kurzem verstärkt von dubiosen Abmahnungen per E-Mail wegen einer angeblichen Speicherung von IP-Adressen. Auch vom Beginn einer neuen Abmahnwelle ist bereits die Rede. Bei diesen Mails handelt es sich allerdings um Scheinabmahnungen, die keiner weiteren Reaktion bedürfen. Davon abgesehen werfen diese Mails einmal mehr die Frage auf, ob IP-Adressen personenbezogene Daten sind und ob Verstöße gegen Datenschutzrecht überhaupt abmahnfähig sind.

In den E-Mails wird pauschal behauptet, der Empfänger habe auf seiner Website IP-Adressen der Benutzer gespeichert. Eine solche Speicherung stelle einen Verstoß gegen das „Datenschutzgesetz“ dar und sei „laut Rechtslage ungültig“, weshalb die Zahlung eines Betrags in Höhe von 128,50 Euro innerhalb einer kurzen Frist von drei Tagen sowie die Abgabe einer Unterlassungserklärung gefordert wird, andernfalls drohe eine Klage.

Bei diesen in schlechtem Deutsch abgefassten und auch sonst wenig professionell wirkenden Mails handelt es sich offensichtlich um den durchsichtigen Versuch, den Empfänger durch den Anschein einer Abmahnung einzuschüchtern und durch den vergleichsweise niedrig angesetzten Betrag zur Zahlung zu bewegen. Die dort aufgebaute Drohkulisse und der schräg formulierte Verweis auf die angebliche Unzulässigkeit der Speicherung von IP-Adressen wirkt jedoch wenig überzeugend. Einen Beleg, dass tatsächlich IP-Adressen gespeichert wurden, kann eine in Massen verschickte E-Mail naturgemäß nicht liefern.

Verbesserter Datenschutz bei Google Analytics

Im vergangenen November hatten Deutschlands oberste Datenschutz-Aufsichtsbehörden in einer gemeinsamen Erklärung den Einsatz von Google Analytics als weitgehend unzulässig eingestuft (siehe auch hier). Die Einsatzmöglichkeiten des Webanalyse-Tools reduzierten sich dadurch faktisch auf Null. Nun stellt Google für Website-Betreiber erstmals die technische Möglichkeit zur Verfügung, IP-Adressen zu pseudonymisieren, wie es das geltende Datenschutzrecht explizit fordert. Parallel dazu stellt Google ein Browser-Addon zur Verfügung, um das Datensammeln durch Google Analytics zu unterbinden. Der Einsatz von Google Analytics dürfte nach alldem in Deutschland wieder zulässig sein.

Der wesentliche Kritikpunkt der Datenschützer ist die Speicherung von IP-Adressen durch Google Analytics in nicht pseudonymer Form. Datenschutzrechtlich ist dies allenfalls mit ausdrücklicher Einwilligung des Betroffenen zulässig, was jedoch im Hinblick auf Google Analytics praktisch kaum umsetzbar ist. Die neue Funktion mit der Bezeichnung „_anonymizeIp()“ ermöglicht nun die Pseudonymisierung: Die IP-Adresse wird unkenntlich gemacht, indem vor jeder weiteren Verarbeitung die letzten acht Bit gelöscht werden. Eine Identifizierung des Benutzers ist somit ausgeschlossen, eine grobe Lokalisierung bleibt hingegen weiterhin möglich. Dem Erfordernis einer pseudonymen Speicherung dürfte damit Genüge getan sein. Das Konkurrenz-Tool etracker verfährt bereits seit längerem auf diese Weise.

Cookies bald vor dem Aus? Welche Änderungen bringt die neue Datenschutzrichtlinie der EU?

Mit einer neuen Datenschutzrichtlinie (Richtlinie 2009/136/EG) will die EU für mehr Sicherheit und Transparenz bei der Datenkommunikation sorgen. Von der Datenschutz-Änderung sind auch Cookies betroffen. Diese sollen zukünftig nicht mehr ohne Wissen und Willen des Nutzers auf dessen Rechner gespeichert werden können.

Cookies sind vor allem für den Online-Handel und für die Online-Werbung von erheblicher Bedeutung. Nicht nur, dass der Seitenbetreiber seine Nutzer so wieder identifizieren kann. Er kann noch viele nützliche weitere Informationen in den Cookies speichern und herauslesen, die ihm helfen die „richtige“ Werbung zu platzieren oder Produkte zu verkaufen. Cookies sind aber vor allem für die Affiliate-Publisher von existentieller Bedeutung, weil die Zuordnung einer erfolgreichen Vermittlung (Click, Lead, Sale) beim Merchant oftmals nur über Cookies erfolgen kann.

Generation Facebook entwickelt Datenschutzbewusstsein

Kaum zu glauben, aber „sie wissen doch, was sie tun“ …  Experten stellen fest, dass die Generation Facebook, also die Jugendlichen, die mit Facebook, SchülerVZ etc gross geworden sind, durchaus in der Lage ist, die in den Netzwerken verbreiteten Informationen bewusst zu steuern.

Sind soziale Netzwerke wie Facebook und StudiVZ gefährlich? Datenschützer warnen jedenfalls, zu viel Privates preiszugeben. Wissenschaftler beobachten allerdings auch, dass immer mehr Jüngere genau steuern, was sie von sich offenbaren. Im Gegensatz zu älteren Surfern.

In einem Artikel bei stern.de kommen verschiedene Experten zu Wort, die einen Bewusstseinswandel bei der Zielgruppe erkennen, die bislang wegen ihres allzu sorglosen Umgangs mit privaten, persönlichen und oft auch intimen Informationen Kopfschütteln bei der Generation Volkszählung hervorriefen.

Während Datenschützer und Verbraucherschutz-Ministerin Ilse Aigner (CSU) vor Online-Netzwerken warnen, wissen viele Nutzer inzwischen ganz genau, was sie von sich mitteilen wollen, wem sie ihre Daten zugänglich machen – und wie sie sich bestmöglich vor Freunden und Kollegen in Szene setzen. Facebook, StudiVZ und Co. sind auch Selbstdarstellungs-Plattformen.

Allerdings rückt eine neue Zielgruppe in den Focus der Datenschützer: Die Zielgruppe 50 +, also eben die Genration Volkszählung, die das Grundrecht auf informationelle Selbstbestimmung geschaffen hat.

– die älteren Herrschaften, von denen spätestens seit vergangenem Jahr immer mehr auf die Plattformen drängen. „Bei den Älteren ist das Datenschutzbewusstsein sehr groß – aber das technische absolut unzureichend

ACTA-Abkommen: Offizieller Entwurf veröffentlicht

Der offizielle Entwurf zum ACTA-Abkommen (Anti-Counterfeiting Trade Agreement) wurde nun veröffentlicht. Drei Jahre dauerten die geheimen Verhandlungen der Unterhändler, an denen unter anderem die USA und die EU beteiligt waren. Immer wieder waren inoffiziell Informationen (wir berichteten) durchgesickert und sorgten weltweit für Aufsehen.

Anders als bei einem durchgesickerten Dokument, das die französische Bürgerrechtsorganisation La Quadrature du Net im März veröffentlicht hatte, gehen die Positionen der einzelnen Delegationen nicht aus dem Dokument hervor. Bei der ersten Durchsicht wird schnell klar, dass in dem Abkommen noch zahlreiche Punkte umstritten sind, schließlich dürfte es nicht einfach sein, die Interessen und Rechtsauffassungen von Ländern wie den USA, Mexiko oder der Schweiz in Übereinstimmung zu bringen.

Quelle: ORF

Speziell das Kapitel Internet soll stark umstritten sein.

Neues Datenschutzrecht zu Auskunfteien und Scoring ab 01.04.2010

Zum 01.04.2010 tritt eine weitere Stufe der Novelle des Bundesdatenschutzgesetzes (BDSG) in Kraft. Gegenstand der Neuregelungen sind unter anderem die Datenübermittlung an Auskunfteien (etwa die Schufa oder die Creditreform), die Regulierung des Scorings sowie die Betroffenenauskunft. Durch die Neuerungen soll im Ergebnis mehr Transparenz und Rechtssicherheit geschaffen werden.

Erstmals ist mit Inkrafttreten der Novelle die Übermittlung von Negativdaten an Auskunfteien ausdrücklich gesetzlich geregelt. Sie findet sich im neuen § 28a BDSG und ist nur noch unter den dort genannten Voraussetzungen möglich. So setzt die Übermittlung personenbezogener Daten über eine Forderung künftig neben weiteren in § 28 a Abs. 1 BDSG genannten Voraussetzungen stets Fälligkeit voraus, zudem muss die Übermittlung erforderlich sein, um berechtigte Interessen der verantwortlichen Stelle oder eines Dritten zu wahren. Darüber hinaus sollten Onlinehändler, die Negativdaten an Auskunfteien übermitteln, in ihrer Datenschutzerklärung auf diesen Umstand hinweisen.

Neu sind auch die Regeln zum Scoring-Verfahren. Die Voraussetzungen zur Zulässigkeit sind im neuen § 28 b BDSG geregelt. Für die Berechnung des Score-Wertes muss künftig ein Verfahren gewählt werden, welchem eine wissenschaftlich anerkannte mathematisch-statistische Methode zugrunde liegt. Die zur Berechnung des Score-Wertes herangezogenen Daten müssen dafür nachweisbar erheblich sein. Allein auf die Adressdaten darf bei der Berechnung nicht mehr abgestellt werden. Werden Adressdaten genutzt, so ist der Betroffene darüber zu unterrichten.

Stiftung Warentest: mangelhafte Datensicherheit bei Social Networks

Die Stiftung Warentest hat verschiedene soziale Netzwerke getestet, unter anderem auf Datensicherheit. Dabei mussten die Tester jedoch erhebliche Mängel feststellen, allen voran bei Facebook, Myspace und LinkedIn. Bei letzteren wurden insbesondere die AGB kritisiert, mittels derer sich das jeweilige Netzwerk weitreichende Rechte einräumt, vor allem bei der Weitergabe der Daten an Dritte, ohne den Zweck der Datenweitergabe offenzulegen. SchülerVZ und StudiVZ hingegen erhielten für den Umgang mit den privaten Daten und den Verwertungsrechten der Nutzer gute Bewertungen.

Mehr zum Thema lesen Sie bei Spiegel Online.

Die Testergebnisse sind abrufbar auf den Seiten der Stiftung Warentest.

Skript „Internetrecht“ von Thomas Hoeren aktualisiert – neues Skript „IT-Recht“ verfügbar

Die neue Fassung (Februar 2010) des beliebten kostenlosen Skripts „Internetrecht“ von Professor Dr. Thomas Hoeren aus Münster ist nun verfügbar. In seinem Skript informiert Hoeren umfassend zu Rechtsthemen mit Bezug zum Internet aus verschiedenen Rechtsgebieten, insbesondere Domainrecht, Urheberrecht, Patentrecht, Online-Marketing, E-Commerce, Datenschutzrecht und vieles mehr. Das Skript berücksichtigt auch die relevante aktuelle Rechtsprechung.

Zeitgleich mit der Neuauflage des Internetrecht-Skripts hat Hoeren erstmalig ein zweites Skript zum Download bereitgestellt. Dieses trägt den Titel „IT-Recht“ und ist ebenfalls kostenlos. Dieses behandelt schwerpunktmäßig den Rechtsschutz von EDV-Produkten und das IT-Vertragsrecht (Softwareüberlassungsverträge, Softwareerstellungsverträge, Softwareleasing und vieles mehr). Abschließend finden sich einige Musterverträge.

Download der Skripten (PDF): Internetrecht
IT-Recht

Lesenswert: Internetpolitik in SPON

Eine wirklich gelungene Zusammenfassung der derzeit – möglichrweise konfusen – Aktivitäten (oder Ankündigungen) der Regierungskoalition zu verschiedenen Fragen der Netzpolitik findet sich unter dem Titel

Schwarz-Gelb verheddert sich im Netz

aktuell auf SPON.

Wirrwarr ums World Wide Web: In der Merkel-Regierung reden auf einmal alle über das Internet, doch die Linie fehlt. Ministerin Aigner prangert Facebook und Google an, die Kanzlerin sieht die Nutzer beim Datenschutz selbst in der Pflicht – und der Innenminister entdeckt Verbindungen zum Chaos Computer Club.

Ob diese diffusen Aktivitäten wohl mit dem Beginn der Cebit zu tun haben?

OLG Köln: Personensuchmaschinen dürfen auf Fotos aus Facebook-Profilen zugreifen

Wer in Social Networks wie Facebook sein Foto einstellt, willigt dadurch konkludent ein, dass auch Personensuchmaschinen wie 123people.de oder yasni.de das Bild veröffentlichen dürfen. Das geht aus einer Entscheidung des OLG Köln vom 09.02.2010 hervor (Az.: 15 U 107/09).

Bilder, die in Facebook-Profilen hochgeladen werden, werden regelmäßig von Personensuchmaschinen ausgelesen und dort angezeigt, sofern der Nutzer die Bilder für die Allgemeinheit freigegeben hat. Ein Nutzer sah diesen Vorgang als unzulässig an und klagte auf Unterlassung.

Das Datenbrief-Konzept: CCC fordert Paradigma-Umkehr im Datenschutz

Der Chaos Computer Club (CCC) fordert zur Stärkung der informationellen Selbstbestimmung des Bürgers die Einführung eines Datenbriefes. Nach diesem Konzept sollen Unternehmen, Behörden oder Institutionen, die personenbezogene Daten erheben, den Betroffenen in regelmäßigen Abständen über die Speicherung informieren. Der Datenbrief soll so dem Einzelnen die Möglichkeit geben, die Verarbeitung eigener Daten besser zu überblicken und zu kontrollieren.

Der Datenbrief soll grundsätzlich alle gespeicherten Daten des Betroffenen enthalten. Ebenso muss über die Weitergabe der Daten an Dritte informiert werden. Die erstmalige Versendung soll unmittelbar nach Beginn der Erhebung, Verarbeitung oder des Empfangs der Daten erfolgen. Danach schlägt der CCC eine jährliche Versendung vor. Um die Erhebung zusätzlicher Daten zum Zweck der Versendung zu vermeiden, soll die Versendung stets auf dem Weg erfolgen, auf dem der Betroffene ohnehin erreichbar ist. Der Datenbrief gibt dem Betroffenen so die Möglichkeit, die Richtigkeit der Daten zu überprüfen und erforderlichenfalls eine Korrektur zu veranlassen bzw. der Datenerhebung zu widersprechen. Besonders im Zusammenhang mit Scoring oder der Schufa-Auskünften ist Transparenz bei der Datenerhebung von besonderer Bedeutung.

Ein Recht auf Auskunft sieht das Bundesdatenschutzgesetz (BDSG) in den §§ 19, 34 bereits heute vor. Dieses Recht bewertet der CCC allerdings als unzureichend: Um von seinem Auskunftsrecht Gebrauch machen zu können, muss der Betroffene zunächst wissen, wer überhaupt dessen Daten erhebt. Daneben muss der Betroffene die verantwortliche Stelle identifizieren und gegenüber dieser nachweisen, dass er der tatsächlich Betroffene ist. Das Konzept des Datenbriefs geht den umgekehrten Weg. Damit will der CCC nun eine Paradigma-Umkehr in Gang setzen und erreichen, dass sich die verantwortlichen Stellen ihrer Verantwortung bewusst werden.

Die Forderung nach Einführung eines Datenbriefs dürfte allerdings nur schwer umsetzbar sein. Unternehmen und öffentliche Stellen werden einwenden, dass sie bereits jetzt im Rahmen ihrer Datenschutzerklärungen umfassend über Erhebung, Speicherung und Verarbeitung von Daten informieren müssen und dass der individuelle Versand eines Datenbriefs einen unzumutbaren bürokratischen Mehraufwand mit sich bringen wird. Ebenso bleibt fraglich, ob dem Bürger mit einer Überflutung mit zahllosen Pflichtinformationen gedient ist.

Dennoch ist es den Computerexperten gelungen, eine Debatte über die Verbesserung des individuellen Datenschutzes anzustoßen. Der angestrebte Paradigmenwechsel – weg vom Bürger als Bittsteller gegenüber der speichernden Stelle hin zum verantwortungsbewussten und kritischen Umgang – könnte kommende Gesetzgebungsverfahren im Bereich Datenschutz erheblich beeinflussen. Der Datenbrief sollte daher als Denkanstoß verstanden werden, unabhängig von seiner politischen Realisierbarkeit.

Der CCC lädt dazu ein, Kommentare und Vorschläge zum Datenbrief an datenbrief(at)ccc.de zu senden.

Datenschutz: Käufer von Adressdaten müssen Einwilligungen überprüfen

Das OLG Düsseldorf hat sich in einer aktuellen Entscheidung (Az. I-20 U 137/09) mit der Rechtmäßigkeit der Verwendung von gekauften E-Mail-Adressen zu Werbezwecken auseinandergesetzt. Nach Ansicht des Gerichts haben Unternehmen, die solche E-Mail-Adressen erwerben, sicherzustellen, dass E-Mails ausschließlich an diejenigen Personen versandt werden, von denen eine ausdrückliche Einwilligung vorliegt. Auf eine einfache Zusicherung des Verkäufers dürfe sich das werbende Unternehmen nicht verlassen.

Nach Auffassung des Gerichts sind seitens des Käufers konkrete Maßnahmen erforderlich gewesen, um die Adresssätze auf das Vorliegen von Einwilligungen hin zu überprüfen. Dazu sei es nicht erforderlich, dass die Adressdaten einzeln telefonisch auf Einwilligungen überprüft werden. Vielmehr sei eine Überprüfung der gespeicherten Daten des jeweiligen Kunden ausreichend. Dies dürfte bei Datensätzen mit ordnungsgemäßen Einwilligungen auch machbar sein, zumal eine Einwilligung gemäß § 7 Abs.2 Nr.3 UWG stets ausdrücklich zu erfolgen hat, was in aller Regel in irgendeiner Weise dokumentiert wird.

Wer zu Werbezwecken E-Mail-Adressen kauft, sollte deshalb noch vor deren Verwendung eigenhändig prüfen, ob für jede einzelne E-Mail-Adresse die erforderliche Einwilligung des Betroffenen vorliegt. Bei Verstößen muss mit Bußgeldern oder Abmahnungen gerechnet werden.

Google Analytics – Einsatz in Deutschland unzulässig?

Google Analytics wird mittlerweile auf Millionen von Seiten eingesetzt. Das kostenlose Webanalyse-Tool zur Messung des für Websitebetreiber wichtigen Surf-Verhaltens ist kostenlos und einfach zu bedienen. Datenschutzrechtlich ist der Einsatz dieses Dienstes allerdings problematisch. Seit einiger Zeit wird deshalb kontrovers diskutiert, ob dessen Benutzung überhaupt zulässig ist. Der Düsseldorfer Kreis, ein Zusammenschluss von Datenschutz-Aufsichtsbehörden, hat nun festgestellt, dass Google Analytics nach deutschem Recht nur mit erheblichen Einschränkungen genutzt werden darf.

Der Düsseldorfer Kreis hat auf seiner Konferenz am 27.11.2009 einen Katalog von datenschutzrechtlichen Vorgaben aufstellt, denen Webanalysetools entsprechen müssen. Diese Kriterien erfüllt Google Analytics nicht. Das datenschutzrechtliche Problem bei Google Analytics besteht darin, dass durch dessen Einsatz Nutzungsprofile unter der Verwendung von IP-Adressen erstellt und gespeichert werden. Eine Speicherung ist nach dem Telemediengesetz (TMG) allerdings nur in pseudonymer Form zulässig, also wenn keine personenbezogenen Daten des Nutzers erfasst werden. Andernfalls bedarf es einer ausdrücklichen Einwilligung durch den Betroffenen.

Die Zulässigkeit von Google Analytics hängt also von der seit längerem höchst umstrittenen Frage ab, ob IP-Adressen personenbezogene Daten sind (siehe auch hier). Geht man von einer Personenbezogenheit aus, hätte dies zur Folge, dass der Verwender von Google Analytics die Einwilligung seiner Seitenbesucher einholen müsste, um Google Analytics überhaupt verwenden zu dürfen. Nach Auffassung der Datenschützer vom Düsseldorfer Kreis sind IP-Adressen auf jeden Fall personenbezogene Daten. Folglich sind IP-Adressen auch keine Pseudonyme im Sinne des TMG bzw. BDSG.

Der Beschluss des Düsseldorfer Kreises dürfte die Verwendung von Google Analytics erheblich einschränken. Zulässig wäre demnach nur ein Einsatz nach vorheriger Einwilligung der Websitebesucher (opt-in), was gerade beim Angebot kostenloser Dienste wie beispielsweise Nachrichten-Sites praktisch unmöglich sein dürfte, aber auch im Onlinehandel mit erheblichen Schwierigkeiten verbunden ist. Auch wenn dieser Beschluss keine Rechtsbindung entfaltet, ist er besonders vor dem Hintergrund brisant, dass einzelne Datenschutzbehörden bereits angekündigt haben, den Einsatz von Google Analytics gezielt zu unterbinden. Schlimmstenfalls drohen Bußgelder.

Wer rechtlich auf der sicheren Seite sein möchte, sollte sich nach Alternativen wie beispielsweise etracker oder Econda Monitor umsehen, die entweder die IP-Adressen verkürzen (anonymisieren) oder ganz ohne deren Speicherung auskommen.

Die Vorgaben finden Sie im Einzelnen im Beschluss des Düsseldorfer Kreises.

Datenschutz im Internet – Informationen zur Auftragsdatenverarbeitung

Das Thema Datenschutz im Internet wird von den Beteiligten leider noch immer zu stark vernachlässigt. Besonders die seit der Datenschutznovelle zum 1. September 2009 wesentlich verschärfte Auftragsdatenverarbeitung findet bei Onlineshops, Onlineplattformen, Portalen, IT-Dienstleistern, Programmierern und Webdesignern regelmäßig zu wenig Beachtung. Dies ist deshalb gefährlich, da die Missachtung dieser strengen Vorschriften empfindliche Bußgelder nach sich ziehen kann.

Wer personenbezogene Daten aus seinem Unternehmen durch einen externen Auftragnehmer erheben, verarbeiten oder nutzen lässt, muss die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung erfüllen. Zusätzlich zum bestehenden Auftrag, meist ein Dienst- oder Werkvertrag, muss schriftlich eine Datenschutzvereinbarung geschlossen werden. Diese muss die in § 11 des Bundesdatenschutzgesetzes (BDSG) genannten 10 Punkte regeln. Zusätzlich muss die Zuverlässigkeit des Auftragnehmers geprüft werden. Die gesetzlichen Anforderungen der Auftragsdatenverarbeitung werden in der Praxis jedoch häufig übergangen: Viele kennen die entsprechenden Regelungen nicht einmal oder unterliegen dem Irrtum, dass diese Vorschriften für sie nicht gelten.

Um bei diesem komplizierten Thema eine Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich dargestellt. Die Autoren erklären, wer von den Regeln unter welchen Voraussetzungen betroffen ist, was unter personenbezogenen Daten zu verstehen ist, warum es gerade nicht ausreiht, sich auf den Auftragnehmer zu verlassen und warum bei Musterverträgen Vorsicht geboten ist. Da gerade Onlinehändler häufiger von diesen Regeln betroffen sind als ihnen das möglicherweise bewusst sein mag, lohnt sich das Lesen allemal.

Skript „Internetrecht“ von Thomas Hoeren (09/2009) verfügbar

Professor Dr. Thomas Hoeren aus Münster hat sein Skript „Internetrecht“ erneut aktualisiert. Das kostenlose Skript in der Fassung vom September 2009 umfasst 556 Seiten und informiert sehr ausführlich über die Themen Domainrecht, Immaterialgüterrecht (Urheberrecht, Patentrecht), Online-Marketing, E-Commerce, Datenschutzrecht und vieles mehr. Dabei geht der Autor auch auf aktuelle Entwicklungen wie beispielsweise die Zulässigkeit von Google AdSense oder das Thema Forenhaftung ein. Kurzum: Ein sehr informatives Skript, das dem interessierten Leser eine bedeutende Hilfestellung in allen Bereichen des Internetrechts bieten wird.

Das aktuelle Skript (Stand: September 2009) steht auf den Seiten des Lehrstuhls von Professor Dr. Hoeren zum Download bereit.

Bundesdatenschutzgesetz: Novelle light!

Endlich wurde sie beschlossen, die lange erwartete Novelle des Bundesdatenschutzgesetzes (BDSG). Ob sich das lange Warten jedoch gelohnt hat, sollte durchaus kritisch hinterfragt werden. Von den viel diskutierten Verschärfungen ist am Ende nur noch wenig übrig geblieben.

In der Sprache derer, die personenbezogene Daten gewerblich nutzen heisst das:

Der Verband Deutscher Zeitschriftenverleger (VDZ) „begrüßt, dass der Bundestag bei den Beratungen der Datenschutznovelle um einen auch für die Wirtschaft akzeptablen Kompromiss gerungen hat“.

Quelle: SPON

Dementsprechend enttäuscht sind auch die Befürworter eines strengeren Datenschutzes:

Auch aus Sicht der Grünen hat die Koalition den „ambitionierten“ Vorstoß der Regierung derart „verwässert“, dass der Datenschutz darin nur noch in „homöopathischer Dosierung“ erkennbar sei.

Quelle: heise.de

Was ist dann aber beschlossen worden? Zunächst einmal ist das viel diskutierte Opt-In-Verfahren nicht beschlossen worden. Das eigentlich anachronistische und deshalb dem Untergang geweihte Listenprivileg hat (mal wieder) überlebt. Der Datenschutzaudit ist zum Pilotprojekt verkümmert. Ansonsten viele unbestimmte Absichtsbekundungen und unbestimmte Rechtsbegriffe.

Zu den einzelnen (Nicht-)Änderungen werde ich sicherlich noch den einen oder anderen Kommentar verfassen.  Im Ergebnis steht jedoch fest, dass die jetzige Änderung nicht der von vielen Datenschützern lange geforderten Grundreform des Datenschutzes in Deutschland entspricht. Ein Jahr nach den großen Datenskandalen (Bahn, Lidl, Telekom etc.) ist in der Hochphase des Wahlkampfes kein Platz für ehrgeizige Vorhaben. Zu wichtig sind Wählerstimmen und Wirtschaftsinteressen gleichermassen.

BMJ – IP-Adressen sind personenbezogene Daten

In der laufenden Diskussion über die Zulässigkeit der Speicherung von IP-Adressen von Webseiten-Besuchern hat das Bundesministerium der Justiz nun in einer aktuellen Stellungnahme bestätigt

dass Betreiber von Internetportalen die Kennungen (IP-Adressen) der Besucher „nicht über den Zeitraum der Inanspruchnahme (Besuch der Webseite) hinaus“ speichern dürfen. IP-Adresse und Nutzungszeitpunkt stellten personenbezogene Nutzungsdaten dar, die dem Telemediengesetz unterliegen

Quelle: Daten-Speicherung.de

Der Bericht des BMJ befasst sich inhaltlich vor allem mit der Frage, ob IP-Adressen zum Zwecke der präventiven Strafverfolgung aufgezeichnet und ausgewertet werden dürfen. Eine entsprechende Praxis pflegt beispielsweise das BKA.

Ungeachtet dessen hält die Bundesregierung an ihrem geplanten Entwurf zur Legalisierung der Speicherung der IP-Adressen fest.

Bundesdatenschutzbeauftragter sieht Umsetzung der BDSG-Novelle gefährdet

Anlässlich seines turnusmässigen Berichts warnte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, davor, die in den letzten Monaten auf den Weg gebrachten Änderungen zum Schutz personenbezogener Daten und für mehr Transparenz (unser Bericht vom 09.03.2009), noch weiter zu verzögern.

Sollte das bis zum Ende der Legislaturperiode nicht mehr gelingen, befürchtet er negative Auswirkungen „im Hinblick auf die Glaubwürdigkeit demokratisch organisierter Politik“. Die Bürger erwarteten zu Recht, „dass es nicht bei Ankündigungen bleibt, sondern dass der Datenschutz tatsächlich verbessert wird“. Das Gesetz zur Änderung datenschutzrechtlicher Vorschriften hatte die Bundesregierung Mitte Dezember auf den Weg gebracht. Doch inzwischen hätten sich „die Lobbyisten der Werbewirtschaft, des Adresshandels, aber auch die Profiteure des illegalen Datenhandels massiv eingeschaltet“, erklärte Schaar in Berlin. Er befürchte nun, „dass der Gesetzentwurf scheitert“.

(Quelle: Heise.de)

Dabei erinnerte Peter Schaar in seinem 22. Tätigkeitsbericht , dass der Datenschutz in Deutschland ohnehin einer Runderneuerung bedürfe. Im Zeitalter des „Ubiquitous Computing“ bewegen sich die Bürger im neuen Spannungsfeld zwischen Facebook, nutzerbezogener individueller Werbung (Behavioral Targeting) und Datenmissbrauch (Spitzelaffären etc.). Die althergebrachten Begriffe und Instititute des Datenschutzes beschreiben und erfassen nur noch einen Teil des Feldes.

Während das Datenschutzgesetz in den 80er Jahren den „gläsernen Bürger“ schützen wollte und damit vor allem Behörden zur sensiblen Datennutzung ermahnte, sind heute die intimsten Daten der Nutzer über Google & Co für nahzu jedermann frei zugänglich. Einerseits geben viele gerade jugendliche Nutzer heute jegliche Privatsphäre auf, indem sie nahezu alle persönlichen Daten im Internet öffentlich stellen. Andererseits fühlen sich die Bürger angesichts der Spitzel- und sonstiger Datenaffären von Konzernen wie Telekom, Lidl und Bahn völlig verunsichert, welche Daten heute überhaupt noch sicher sind.

Ein reformiertes Datenschutzgesetz sollte deshalb nicht lediglich einzelne Probleme bekämpfen, sondern Konzepte für  neue Begriffe der Privatsphäre, informationeller Selbstbestimmung und Datenschutz anbieten.

Hohe Hürden für die Zulässigkeit von Telefonwerbung

Telefonwerbung ohne die vorherige Zustimmung des Verbrauchers ist bereits seit 2004 ausdrücklich gesetzlich verboten (§ 7 Absatz 2 UWG). An dieses Verbot hat sich bislang kaum jemand gehalten. Da vor allem abschreckende Sanktionen fehlten, ging die telefonische Belästigung der Verbraucher munter weiter. Insbesondere marktunerfahrene Teilnehmer, Senioren, Jugendliche und Ausländer werden per Telefon regelmässig zu meist völlig unnützen und teuren Verträgen überredet.

In Zukunft soll mit dieser Unsitte nach dem Willen der Rechtssprechung und des Gesetzgebers Schluss sein.

Mit dem „Gesetz zur Bekämpfung unerlaubter Telefonwerbung und zur Verbesserung des Verbraucherschutzes bei besonderen Vertriebsformen“ will die Bundesregierung die Voraussetzungen für Telefonwerbung strenger regeln. Gleichzeitig sollen für Verstösse empfindliche Strafen verhängt werden.

Damit sich die Neuerungen nicht als stumpfes Schwert erweisen, stuft der Gesetzgeber Verstöße gegen die Einwilligungspflicht bei Cold Calls und gegen das Verbot der Rufnummernunterdrückung zukünftig als Ordnungswidrigkeiten ein.

Im Fall einer fehlenden Einwilligung bei Cold Calls kann eine Geldbuße bis zu 50.000,- EUR verhängt werden. Verletzungen hinsichtlich der Rufnummernunterdrückung werden mit einer Geldbuße bis zu 10.000,- EUR geahndet.

(Quelle: mit ausführlicher Übersicht zu den Änderungen, www.adresshandel-und-recht.de)

Gleichzeitig wurden die Voraussetzungen für eine  „ausdrückliche und vorherige Zustimmung“ des Verbrauchers in den vergangenen Jahren in der Rechtssprechung entsprechend erschwert. So ist nach mittlerweile ständiger Rechtssprechung die Einwilligunserklärung innerhalb von AGB unzulässig.

Das OLG Köln hat entschieden, dass eine vorformulierte Einwilligung für Telefonwerbung in AGB unzulässig ist. Nutzt ein Händler dennoch eine solche Klausel, kann er nicht nur von anderen Händlern auf Unterlassung in Anspruch genommen werden. Auch das LG Dortmund erklärte einige AGB-Klausel bezüglich der Weitergabe personenbezogenen Daten für Unzulässig.

(Quelle: www.shopbetreiber-blog.de)


Speicherung von IP-Adressen könnte bald zulässig sein

Betreibern von Internetseiten soll nach einer geplanten Änderung des Telemediengesetzes (TMG) künftig erlaubt sein, die IP-Adressen der Seitenbesucher zu speichern. Nachdem verschiedene Gerichte die Frage nach der Zulässigkeit solcher Maßnahmen in der Vergangenheit unterschiedlich beantworteten (wir berichteten), soll die Gesetzesänderung nun für Klarheit sorgen.

Bereits heute speichern viele Webseitenbetreiber die IP-Adressen ihrer Besucher, hauptsächlich um ihre Seite vor Manipulationen wie beispielsweise Hackerangriffen zu schützen. Darüber hinaus werden die IP-Adressen an so genannte Adserver weitergeleitet, mit deren Hilfe auf der jeweiligen Website Werbung eingeblendet wird. Über diese Werbung finanzieren sich die meisten Online-Dienste. Datenschützer hingegen befürchten eine ausufernde Überwachung des Surfverhaltens sowie eine Zweckentfremdung duch Sicherheitsbehörden (Stichwort: Vorratsdatenspeicherung). Hierzu führt die taz Folgendes aus:

Unter dem Vorwand, dass Störungen abgewehrt werden sollen, könnten Firmen wie Google und Amazon das Surfverhalten auf ihren Seiten dauerhaft speichern. Außerdem könnten Sicherheitsbehörden auf diesen Datenfundus zugreifen. „Nur nicht erfasste Informationen sind sichere Informationen.“ Die Konferenz der Datenschutzbeauftragten von Bund und Ländern kritisieren den „weit auslegbaren“ Gesetzentwurf ebenfalls.

Quelle: taz

Ein Kompromiss könnte, wie vom Bundesrat vorgeschlagen, getroffen werden, indem eine Zweckbindung sowie die Pflicht zur unverzüglichen Löschung der gespeicherten Daten im Gesetz festgeschrieben wird.

Fazit: Das neue Gesetz soll die IP-Adressspeicherung legalisieren, nicht jedoch dazu verpflichten. Damit kommt der Gesetzgeber den Webseitenbetreibern zweifelsfrei einen großen Schritt entgegen. Die Kunst wird darin bestehen, das Spannungsfeld zwischen Datenschutz und den Interessen der Onlinewirtschaft aufzulösen.

Novelle des Bundesdatenschutzgesetzes: 1. Entwurf vorgelegt

Der lange erwartete (gefürchtete) Entwurf zur Novellierung des Bundesdatenschutzgesetzes ist da. Mit den geplanten Änderungen soll eine Verbesserung des Datenschutzes erreicht werden. Damit reagiert die Bundesregierung vor allem auf die in letzter Zeit häufigen Datenskandale und die höhere Sensibiliserung der Bundesbürger beim Thema Datenschutz.

Die wichtigsten Neuregelungen bzw. Änderungen sind die Einführung eines sogenannten Datenschutz-Audits (DASG) und die Einführung des für Online-Dienste ohnehin bereits existierende Koppelungsverbots. Weiter soll das sogenannte Listenprivileg gestrichen werden.

Durch das Listenprivileg dürfen bestimmte personenbezogene Daten, wenn sie listenmäßig oder sonst zusammengefasst sind, ohne Einwilligung des Betroffenen zu Werbezwecken oder zur Markt- und Meinungsforschung übermittelt und genutzt werden. Dieser Erlaubnistatbestand hat sich jedoch nach Ansicht der Regierung in der Praxis als besonders nachteilig erwiesen:

„Die praktische Anwendung  dieser Vorschrift hat dazu geführt, dass personenenbezogene Daten der Bürgerinnen und Bürger weitläufig zum Erwerb oder zur Nutzung angeboten werden, (…) Personenbezogene Daten werden ohne Beachtung der Zweckbindung verarbeitet und mit weiteren Daten verknüpft und weiter übermittelt.“

Weiterhin zulässig soll hingegen die Verwendung listenmäßig zusammengefasster Daten zu eigenen Werbezwecken oder zur eigenen Markt- oder Meinungsforschung bleiben, wenn die Daten vom Werbenden selbst im Rahmen einer Vertragsbeziehung erhoben wurden.

Quelle: Shopbetreiber-Blog

Das für Onlinedienste bereits seit langem geltende Koppelungsverbot soll nun auch auf „marktbeherrschende Unternehmen“ ausgeweitet werden. Nicht nachvollziehbar ist zunächst, weshalb lediglich marktbeherrschende Unternehmen vom Koppelungsverbot erfasst werden sollen, während im Internet  jeder noch so kleine Online-Dienst die Erbringung seiner Dienste nicht von der Erfassung von Kunden-Daten zu Werbezwecken abhängig machen darf.

Entsprechend ist der Entwurf auch bereits vom Bunderat kritisiert worden, der der Änderung schliesslich zustimmen muss. Welche der geplanten Änderungen letztlich in welcher Form umgesetzt werden, bleibt demnach abzuwarten.

Bereits jetzt stehen die geplanten Änderungen in der Kritik. So fordern die großen Verlegerverbände, das Listenprivileg beizubehalten:

„Die Wirtschaft braucht den Weg zum Verbraucher. Das geplante Bundesdatenschutzgesetz unterbindet jedoch mögliche Schritte zum potenziellen neuen Leser und Abonnenten“, erklär­ten dazu die Verle­ger. Hier werde das operative Geschäft per Gesetz ge­blockt. Konjunktur­programme würden auf diese Weise konterkariert.

Nach Aufruhr um AGB: Facebook rudert zurück

Für viel Wirbel sorgte kürzlich eine Ankündigung der Social-Networking-Plattform Facebook, neue AGB einzuführen, mittels derer sich das Unternehmen von Marc Zuckerberg nahezu uneingeschränkte Nutzungsrechte an Benutzerdaten und –inhalten sichern wollte. Dies löste unter den Nutzern einen Sturm der Entrüstung aus. Nun lenkt Faceook ein und belässt es bei den alten AGB. Doch auch deren Zulässigkeit steht in Frage.

Inhalt der neuen Bedingungen war unter anderem das Recht, Benutzerdaten unbegrenzt zu speichern sowie von Nutzern generierte Inhalte nahezu uneingeschränkt zu verwerten. Dagegen protestierten zahlreiche Benutzer, gründeten interne Protestgruppen oder drohten gar mit Löschung ihrer Accounts. Nachdem Zuckerberg die Änderungen zunächst im Facebook-Blog noch als Vereinfachung der Benutzung der Community verteidigte, folgte nur wenig später der Rückzieher: Man werde es zunächst bei den alten AGB belassen. Gleichzeitig kündigte Zuckerberg eine Überarbeitung an. In diesem Prozess sollen auch die Nutzer eingebunden werden.

Doch die bisherigen, derzeit noch gültigen AGB weisen erhebliche Fehler auf und dürfen den deutschen AGB-rechtlichen Vorgaben kaum standhalten. Insbesondere der Mix aus deutscher und englischer Sprache ist dem Nutzer kaum zuzumuten. Damit die Regelungen hierzulande wirksam sind, müsste Facebook sie einheitlich auf Deutsch bereitstellen und den hiesigen Vorgaben anpassen.

Der Konflikt um die Facebook-AGB erinnert stark an die Diskussion um die AGB des deutschen Netzwerks StudiVZ von vor ca. einem Jahr. Damals hatte das zum Holtzbrinck-Verlag gehörende Unternehmen den Unmut vieler Nutzer auf sich gezogen, als es ankündigte, zielgruppenorientierte Werbung, so genanntes Targeting, einzuführen. In Blogs und Foren machten Nutzer und Datenschützer, ähnlich wie im aktuellen Streit um Facebook, ihrer Verärgerung Luft. Die Konsequenz war, dass viele Mitglieder StudiVZ für ihren Alleingang abstraften und ihre Accounts kurzerhand löschten.

Damit Facebook nicht das Gleiche wie seinem deutschen Konkurrenten widerfährt, sollte man dort ihren Ankündigungen Taten folgen lassen, die neuen AGB transparent gestalten und die datenschutzrechtlichen Bedenken seiner Nutzer ernst nehmen.

Affiliate-Systeme rechtssicher nutzen

In vermeintlich wirtschaftlich schwierigen Zeiten steigt das Bedürfnis der Marketing-Verantwortlichen nach effizienteren Werbeinstrumenten. Hierzu zählt Online Werbung im Allgemeinen und innerhalb der Online Werbung performance basierte Programme wie etwa Affiliatenetze oder Behavioral Targeting (BT) im Besonderen. Im Jahr 2008 konnte das Volumen an Werbung im Internet um 29% gesteigert werden, wobei innerhalb der Online Werbung Keyword- und Affiliate-Marketing die höchsten Zuwachsraten vorweisen konnten. Dieser Trend bestätigt auch die zunehmende Bedeutung von Affiliate-Systemen. Affiliate-Programme bieten Onlinehändlern die Möglichkeit, virtuelle Netzwerke aufzubauen, um ihre Produkte noch effizienter zu vermarkten.  Die IT-Recht-Kanzlei aus München erklärt in einem interessanten Aufsatz, wie Affiliate-Systeme funktionieren und welche rechtlichen Gefahren sie bergen.

Bei Affiliate-Systemen handelt es sich um Partnerprogramme. Dabei stellt ein Onlinehändler, der so genannte Merchant, seine Werbemittel (z.B. Banner) einem Geschäftspartner (Publisher) zur Verfügung, der mit diesen dann in seinem Internetauftritt oder anderweitig (bspw. durch Keyword Advertising) Werbung für den Händler betreibt. Die Vergütung des Affiliate erfolgt meist erfolgsabhängig. Affiliate-Programme eignen sich damit hervorragend für kleinere Online-Shops, da sie mit verhältnismäßig kleinem Werbebudget Werbung betreiben können.

Aber diese Einnahmequelle ist nicht ohne juristische Gefahren. Besondere rechtliche Risiken liegen in den Bereichen Wettbewerbs-, Marken-, Urheberrecht sowie Datenschutz.  Wird beispielsweise eine fremde Marke zu Werbezwecken benutzt oder eine fremde Unternehensbezeichnung bei Google Adwords eingetragen, kann dies zur Rechtswidrigkeit der Werbemaßnahme führen. Adressat der Haftung ist in erster Linie der Händler, doch auch den Affiliate können gewisse Pflichten treffen, beispielsweise rechtswidrige Werbung von seinen Seiten zu entfernen.

Fazit der Kollegen aus München: Wenn sich alle Beteiligten an die Spielregeln halten, sind Affiliate-Systeme eine „Win-Win“-Situation, bei der jeder profitiert.

IP-Adressen im Visier der Datenschützer

„MY IP IS MY CASTLE“

Für einige Verwirrung sorgte diese Woche ein Artikel in der FAZ.net zum Thema Datenschutz und IP-Adressen. Nach Auffassung des Autors sollte sich (nach der Weltwirtschaft) nun auch die Internetwerbewirtschaft gehörige Sorge um ihre Zukunft machen. Zur Begründung führt der Autor ein Urteil des AG Berlin aus 2007 (!) an, sowie einige nicht datierte Meinungen von Verbänden, Datenschützern und vermeintlichen Experten. Hiernach sind IP-Adressen als personenbezogene Daten im Sinne des TMG und des BDSG zu verstehen. Die Speicherung, Verarbeitung und erst recht die Weitergabe dieser Daten an Dritte ist aber anscheinend nur mit ausdrücklicher Einwilligung des Betroffenen gestattet. Ohne diese Einwilligung ist also die Weitergabe der IP-Adresse weder an einen AdServer gestattet noch die Verwendung von fremden JavaScripts noch sonstigen IP-fressenden Diensten (wie z.B. Google Analytics). Die Internetwerbewirtschaft ist angeblich schockiert, wörtlich

Online-Vermarkter fürchten die Folgen einer Rechtsauffassung zum Datenschutz„.

Tatsächlich erreichten mich in der Folge dieses Artikels einige verängstigte Anrufe verschiedener  Teilnehmer der Internetwerbewirtschaft. Ob denn nun alles zu Ende sei, wurde ich gefragt.

Wir sehen also, wie man mit wenig Recherche unheimlich viel Wirkung erzielen kann. (Mein ausdrücklicher Dank geht hier an den Verfasser des Artikels, der mir zwei neue Mandate eingebracht hat). Der Artikel ist deshalb ein hervorrragendes Beispiel für die heutige journalistische Qualität.

Die angebliche Diskussion zum Thema Speicherung von IP-Adressen ist keineswegs neu. Auch gab es, zumindest bis zu diesem Artikel, keine „besorgten Vermarkter“. Der Artikel reflektiert weder die aktuelle Rechtssprechung  (z.B. AG München) noch die aktuelle Diskussion zu dem Thema.

Jetzt darf man von einem juristisch nicht vorgebildeten Journalisten möglicherweise keinen geschulten Sachverstand erwarten. Aber eine gründliche Recherche sollte schon drin sein.

Fünf Minuten Recherche in der blogoshpere hätten genügt, sich ein echtes und umfassendes Bild über den akutellen Stand der Diskussion zu verschaffen. Wenigstens das Hauptargument der Gegenseite, dass nämlich die blosse Kenntnis einer IP-Adresse noch keine sonstigen Rückschlüsse auf die Person des Verwenders zulässt, hätte doch erwähnt werden können. Oder die Tatsache, dass es noch keinerlei höchstrichterliche, ergo relevante, Rechtssprechung gibt.

Naja, wie dem auch sei. Vielleicht handelt es sich bei dem Artikel ja nur um den ersten Teil einer Reihe und nächsten Dienstag erfahren wir mehr zu dem Thema. Also ich jedenfalls bin gespannt. In diesem Sinne:  weiter so, FAZ.

Blog zum Thema Datenschutz

Ein hervorragender Blog zum Thema Datenschutz ist unter Datenschutzbeauftragte Online zu finden. Der Kollege referiert regelmässig und gründlich zu den wesentlichen Fragen im Thema Datenschutz und Privatsphäre.

Wir werden den Blog-Feed jedenfalls abonnieren.

Bundesregierung plant Regulierung des Scorings

Laut einem Gesetzentwurf der Bundesregierung sollen die Rechte der Betroffenen im Datenschutz künftig deutlich erweitert werden. Auf Händler im elektronischen Geschäftsverkehr sollen künftig mehr Verpflichtungen zukommen, insbesondere im Scoringverfahren.

Beim Scoring handelt es sich um ein automatisiertes Verfahren zur Ermittlung der Kreditwürdigkeit von Kunden. Anhand verschiedener Kriterien (Beruf, Wohnort etc.) werden Punkte vergeben, die über die Kreditwürdigkeit des Kunden entscheiden. Dieses für den Verbraucher oft undurchsichtige Verfahren soll nun durch Erweiterung der Informations- und Auskunftsrechte für den Verbraucher transparenter gestaltet werden. Beispielsweise soll der Kunde künftig nachvollziehen können, aufgrund welcher Daten der Scorewert ermittelt wurde, sodass er etwaigen Missverständnissen künftig besser begegnen kann. Der Bundesrat verlangt zudem, dass Kreditgeschäfte im Internet transparenter gestaltet werden. Beispielsweise sollen Kreditinstitute künftig Gründe angeben, wenn sie Interessenten schlechtere Konditionen anbieten, nachdem sie das Scoring durchlaufen haben.

Sollte die Gesetzesänderung wie dargestellt in Kraft treten, wäre damit erstmals ein klarer rechtlicher Rahmen für das Scoring und damit mehr Rechtssicherheit geschaffen.

BGH: „Opt-out“-Klauseln für elektronische Werbung sind unwirksam

Die Nutzung von Kundendaten zum Zwecke des elektronischen Marketings per E-Mail und SMS ist unzulässig, sofern der Adressat der Nutzung seiner Daten nicht ausdrücklich zustimmt. So entschied der Bundesgerichtshof in seinem Urteil vom 16. Juli 2008 (VIII ZR 348/06). Mit dieser Entscheidung kippt der BGH die so genannten „Opt-out“-Lösungen, bei denen der Kunde der Verwendung seiner Daten gesondert widersprechen muss, um keine elektronische Werbung per E-Mail oder SMS zu erhalten. Nach § 7 Abs. 2 Nr. 3 UWG muss jedoch eine Einwilligung des Adressaten zur Nutzung seiner Daten für elektronische Werbung vorliegen. Diese muss nach Ansicht des BGH ausdrücklich erteilt worden sein, beispielsweise im Wege des „Opt-in“-Verfahrens.

Unberührt bleibt diese Regelung jedoch für Fälle der Werbung per Briefpost. Diese unterliegt lediglich den allgemeinen datenschutzrechtlichen Regelungen, nach denen die Zustimmung zur Nutzung der Daten auch zusammen mit anderen Vertragserklärungen abgegeben werden darf, sofern sie besonders hervorgehoben wird.

Ebenso bleibt die Nutzung des Opt-out-Verfahrens für Bestandskunden unter engen Voraussetzungen auch im Bereich der elektronischen Werbung weiterhin möglich. Wer Risiken vermeiden möchte, dem ist jedoch ausdrücklich die Verwendung der Opt-in-Lösung zu empfehlen, nach der der Kunde in die Nutzung seiner Daten ausdrücklich einwilligen muss, beispielsweise durch eine Checkbox.

Seite 2 von 2

Präsentiert von WordPress & Theme erstellt von Anders Norén