Das Datenschutzportal

Get Adobe Flash player

Widerrufsbelehrung online: Abrufbarkeit im Web allein genügt nicht

Wird bei einer Anmeldung mittels eines online-Formulars die Widerrufsbelehrung lediglich verlinkt und per Checkbox-Pflichtfeld vom Teilnehmer-/von der Teilnehmerin bestätigt, so gelten diese nach dem Urteil des Bundesgerichtshofes (BGH) als nicht übermittelt. Dies ist wichtig, denn „die in § 355 Abs. 2 BGB bestimmte Widerrufsfrist beginnt gemäß § 355 Abs. 3 Satz 1 BGB erst dann, wenn dem Verbraucher eine den Anforderungen des § 360 Abs. 1 BGB entsprechende Belehrung über sein Widerrufsrecht in Textvform mitgeteilt wird“.

Nach der Auffassung des BGH  (BGH, Urteil vom 15. Mai 2014 – III ZR 368/13) entspricht eine Widerrufsbelehrung, die der Verbraucher nicht gänzlich in seinem festen Besitz und jederzeit sicher abrufbar zur Verfügung hat, diesen Voraussetzungen nicht.

Im gegenständlichen Fall hatte eine Verbraucherin einen Widerruf mehr als 14 Tage nach Teilnahme auf der Website der Klägerin durchgeführt und demzufolge nur 10% der Kosten beglichen. Die Forderung der Klägerin nach Ausgleich des restlichen Betrages wurde vom BGH abgewiesen.

Es stellt sich allerdings hierbei die Frage, wie angemessene Anpassungen von Betreibern betroffener online-Portale aussehen soll. Eine postalische Nachsendung von Widerrufsbelehrungen in Papierform ist aus Kostengründen unrealistisch. In der Ausführung des Urteils wird darauf verwiesen, dass eine denkbar gültige Lösung eine solche wäre, die sicherstellt, dass der/die Verbraucher(in) den Text der Widerrufsbelehrung bei sich abspeichert oder aber dieser in der Form automatisch abgespeichert wird, dass der/die Betroffene mit seinen Logindaten diesen in der für ihn/sie geltenden Version jederzeit abrufen kann.
Hier bleibt einerseits offen, wie sichergestellt sein soll, dass der/die Teilnehmer(in) in den dauerhaften Besitz der Zugangsdaten kommen soll und auch nicht vergessen darf, wo diese abgerufen werden können. Sollte hier davon ausgegangen werden, dass dies in der Verantwortung der Betroffenen liegt, so sehe ich m.E. keinen Unterschied zu der Erwartung, der gegenständliche Text könne auch im Rahmen der Teilnahme unter Eigeninitiative abgespeichert oder ausgedruckt werden.
Andererseits wird auch grundlegend nicht weiter spezifiziert, wie technisch sichergestellt werden soll, dass eine Speicherung des Textes und eine dauerhaft wirkende Inkenntnissetzung der betroffenen Person gegeben sein soll.

Aus meiner Sicht bleibt hier viel Praxisbezug offen und es gilt abzuwarten, ob hier klärende Vorgaben noch nachgereicht werden.

Entscheidungsvolltext via Medien Internet und Recht

Staatliche Internetüberwachung: Verantwortung und Inkompetenz der Politik

Der Innenminister von Mecklenburg-Vorpommern, Lorenz Caffier, schrieb am 17.06.2014 einen Gastbeitrag in der ZEIT in welchem er erklärt, warum er dagegen ist, Edward Snowden zum Ehrendoktor der Rostocker Universität ernennen zu lassen.

Ich möchte mich nicht in diese Diskussion an sich einschalten. Was aber in diesem Beitrag an Informationen zu der grundlegenden Einschätzung der Gesamtsituation der Netzüberwachung sowie zu der Bedeutung .

Insbesondere möchte ich den folgenden Absatz des Artikels des Innenministers in den Fokus rücken:

Ich bin seit 2006 Innenminister von Mecklenburg-Vorpommern. Seit meinem Amtsantritt predige ich, vorsichtig im Umgang mit der Technik zu sein. Wer seinen Rechner einschaltet, muss sich bewusst sein, dass er von dem Moment an nicht mehr allein ist. Egal, wer sich da gerade reinhackt, ob das die Chinesen oder die Amerikaner oder die Russen sind. Es ist doch nichts Neues, dass all diese Länder Daten einsammeln. Die Geheimdienste aus Frankreich oder England interessieren sich nicht nur für unsere Bummi-Bücher. Ich finde: Man sollte sich im Internet nicht komplett entblößen, dann geht es einem auch besser. Das war aber, wie gesagt, schon vor Snowden klar.

Den Hinweis, dass man sich an seinem Computer sitzend (und fast immer sind wir dabei ja mit dem Internet verbunden) nicht alleine in seinen vier Wänden wähnen soll, kann vielleicht noch als kleiner Ansatz verstanden werden, Bewusstsein bei der Bevölkerung zu schaffen. Das muss aber in einem anderen Rahmen stattfinden und anders ausgeführt werden, als hier.

Es sei doch ganz normal, dass ‚diese Länder‘ Daten einsammeln. Weiter oben schreibt Herr Caffier:

Diejenigen Bürger, die sich intensiver mit IT und Datenschutz beschäftigen, wissen das, was wir angeblich von Snowden erfahren haben, doch schon lange.

Er sagt also etwas umformuliert, wir sollen alle doch nicht so tun, als wäre durch Snowdens Enthüllungen jetzt etwas relevantes geschehen sei. Nichts neues, alles bereits bekannt. Zumindest denjenigen, die sich mit dem Thema IT und Datenschutz intensiver auseinandersetzen. Ihm muss es ja nach diesen Worten auch schon bekannt gewesen sein.

Diese Aussage zeichnet ein abschreckendes Bild unserer Politiker. Nun gut, ich will nicht verallgemeinern, zumindest sich selbst degradiert Herr Caffier in meinem Ansehen.

Denn wieso bitteschön wird ein solches Wissen nicht an die Bürger weitergegeben? Wenn er doch selbst sagt, die Überwachungssituation sei bekannt gewesen und zumindest technisch versierte Menschen wüssten das. Wie kann man von der anderen Masse denn erwarten, sich korrekt zu verhalten, wenn dieses Wissen nicht verbreitet wird? Diese Information wäre von elementarer Wichtigkeit gewesen.

Wenn aber nicht nur den Bürgern diese Information vorenthalten wurde, sondern offensichtlich die Politik auch nicht reagiert hat, ist das dann ein Zeichen für Hilfs- und Ahnungslosigkeit? Wir sehen ja auch jetzt nach dem Snowden-Aufschrei, dass keine wirksamen Mittel ergriffen oder Wege gegangen werden, die auf politischer Ebene dieser Staatsüberwachung entgegenwirken könnten.

Die Aussage, man solle sich im Internet nicht komplett entblößen, dann ginge es einem besser, lässt mich befürchten, dass das eigentliche Problem noch gar nicht erkannt wurde. Das klingt danach, als wären die sozialen Netzwerke die einzig problematischen Portale der Überwachung. Halte dich hier zurück, eröffne Facebook & Co nicht alle Details aus deinem Privatleben, und alles ist ok. Das ist eine total falsche Info die er hier verbreitet wird und zeigt, dass wichtige Positionen in der Politik mit noch recht schwach-kompetenten Personen besetzt sind was das Wissen um diese Thematik angeht. Es geht um das Tracken schlichten Surfverhaltens, das Mitlesen normaler E-Mails sowie auch darum, dass staatliche Behörden auf Rechner zugreifen können, die am Netz sind und all das mit Algorithmen zu einem Profil eines einzelnen zusammengeführt werden kann (Stichwort Big Data). Damit sind nur ein paar Stichworte genannt.

Schlimm auch, wenn die Politik ob ihrer Unfähigkeit mit diesem Problem umzugehen, die Pflicht ganz von sich in die Hand seiner Bürger legt. Hat der werte Innenminister von Mecklenburg-Vorpommern hier vergessen, dass das Bundesverfassungsgericht 2008 das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (auch Grundrecht auf digitale Intimsphäre) neu formuliert hat? Dieses entspricht einer Erweiterung u. a.  des seit langem geltenden Grundrecht auf informationelle Selbstbestimmung. Die Richter haben 2008 erkannt, dass ein Weiterdenken in Richtung der Anforderungen der Netzwelt nötig ist und haben dementsprechend reagiert. Der Chaos Computer Club allerdings hat damals schon die wichtige und eine Vorahnung zeigende Hoffnung geäußert, dass die Politik bitte nicht ein weiteres viertel Jahrhundert brauchen soll, bis sie dieses neu formulierte Grundrecht verinnerlicht. Wie es aussieht war die Sorge mehr als berechtigt.

Herr Caffier, verstehen Sie doch endlich, dass der Staat hier eine Verantwortung gegenüber seinen Bürgern wahrzunehmen hat! Ja mag sein, dass ein Teil dieser Verantwortung darin besteht, Bewusstsein für möglichst sicheres Verhalten im Internet zu schaffen. Aber glauben Sie doch bitte nicht, dass ein Durchschnittsuser sich alleine ohne Arbeit auf politischer Ebene vor Zugriffen von staatlichen Geheimdiensten effektiv schützen kann.

E-Mail-Marketing. Absendername, Betreff und Irreführung

…mit besonderem Blick auf die Situation von Wiedervermarktern…

Im E-Mail-Marketing sind der Absendername und die Betreffzeile besonders zu beachten, da diese beiden den ersten Eindruck darstellen, der den Leser erreicht. Dieser erste Eindruck ist entscheidend für die Chance, die der Newsletter im Einzelnen und damit auch die Kampagne als ganzes hat, die Erwartungen zu erfüllen. Denn anhand dieser beiden Angaben entscheidet der Empfänger, ob diese Mail es wert ist, geöffnet zu werden. Dieser Moment beeinflusst also logischer Weise nicht nur die Öffnungsrate sondern auch alles, was danach kommt: Klickrate, Leads, Conversionrate.

So ist es nur naheliegend, dass Marketer sich viele Gedanken machen, wie sie Absendernamen und Betreff so gestalten, dass der Empfänger die E-Mail auch wirklich öffnet. Es gibt hier auch viele Mittel, wie dies erreicht werden kann, auf die ich an dieser Stelle gar nicht erschöpfend eingehen möchte. Allerdings will ich eine bestimmte Methode beleuchten und diese sowohl bezüglich ihrer Auswirkung auf den Erfolg von Kampagnen als auch auf die gesetzliche Relevanz betrachten.

Starten wir mit dem Stichwort Irreführung. Es hat sich gezeigt, dass provokante Betreffzeilen User verstärkt zum Öffnen verleiten. Angaben wie „Ihr Kreditantrag wurde freigegeben“, „Letzte Mahnung“, „Ihr Gewinn“, „Re: Bestellung“ oder „Michaela wartet auf dich“ sind nur einige Extrembeispiele, die ich nicht erfunden sondern gesammelt habe. Prinzipiell gleiches gilt für den Absendernamen. Hier werden teilweise echt klingende allerdings doch nur fiktive Namen verwendet oder Bezeichner wie etwa „Letze Chance“, „Ihr Aktionsvorteil“ oder „kostet nichts“.

Der angestrebte Vorteil liegt auf der Hand: mehr Öffner, bessere Öffnungsrate und damit auf den ersten Blick bessere Qualität, die – insbesondere bei Wiedervermarktern – Kunden als solche verkauft wird.

Bleiben wir ein wenig bei Wiedervermarktern, also Versendern, die im Auftrag von Kunden deren Newslettertemplates versenden, also sog. 3rd party content vertreiben. Hier steckt schon in der Konstellation eine Falle in die man treten und die Qualität des eigenen Verteilers verschlechtern sowie auch den Erfolg für den Kunden beeinträchtigen kann. Denn der Versender mag seine Pflicht gerne erfüllt sehen, wenn er eine ordentliche Öffnungsrate hinbekommen hat. Das Newsletter-Template (auch Werbemittel oder Creative genannt), das der User dann zu sehen bekommt, ist ja dasjenige des Kunden. Ob dies den Betrachter dann zum zielführenden und ersehnten Klick führt, das obliegt also nicht mehr der Macht des Versenders, bis auf die Tatsache natürlich, dass es technisch fehlerfrei umgesetzt ist und so aussieht, wie es sich der Kunde wünscht, aber davon gehen wir an dieser Stelle einfach aus. Der Versender hat seine Pflicht wie gesagt mit der Öffnung durch den User erfüllt. Denn er hat nicht nur für die Öffnung gesorgt, sondern auch dafür, dass die E-Mail überhaupt angekommen ist und nicht vom E-Mail-Provider des Empfängers in den Spam-Ordner eingeordnet wurde. Zustellbarkeit zu gewährleisten ist auch die Aufgabe des Versenders.

Aber zurück zum Moment der Öffnung durch den Empfänger und der Krux in der Aufgabenvertetilung Versender zu Kunde. Das Problem hierbei ist, dass nicht der Weg des Newsletter-Empfängers von A-Z konzipiert ist und keiner die Verantwortung für den kompletten Weg übernimmt. Wenn also der Versender den Empfänger durch geschickten und möglicherweise auch trickhaften, also irreführenden Absendernamen und Betreff zur Öffnung bringt, dann trifft beim Empfänger geschürte Erwartung auf realen Inhalt. Dies stimmt häufig nicht überein.

Nehmen wir uns eines der Extrembeispiele oben zur Veranschaulichung. Wenn eine E-Mail mit dem Absendernamen „Ihre Bank“ und dem Betreff „Ihr Kreditantrag wurde freigegeben“ im Posteingang zu sehen ist, dann öffnet der Empfänger entweder, weil er zufällig gerade wirklich einen Kreditantrag laufen hat und sich freut oder weil er verwirrt ist. Viele löschen derartige E-Mails nicht sofort, weil sie sich sorgen, bei der Bank sei ein Fehler passiert und es soll keinesfalle ein Kredit gewährt werden. Egal mit welcher der Erwartungshaltungen der User diese Mail öffnet, er wird verärgert sein, wenn er dann nur die Werbung eines Kreditinstituts sieht mit Link auf deren Website.

Zugegeben, das ist ein sehr negatives Beispiel und zum Glück nicht häufig in der Newsletter-Welt zu finden. Aber es diente ja auch nur der Veranschaulichung dessen, was auch mit viel harmloser erscheinenden Absender-Betreff-Kombinationen passiert, sofern diese auch nur kleine Irritations-Tricks anwenden. Der User fühlt sich veräppelt und meldet sich bestenfalls nur vom Newsletter ab oder aber klickt auf den schmerzhaften Spambutton. Das Engagement des Users ist in einem solchen Fall für den Versender mangelhaft.

Das kurzfristige Ziel der Öffnung wurde erreicht, der Versand kann gut verkauft werden, aber die Zustellbarkeit bei künftigen Newslettern leidet und der Verteiler schrumpft. Beides sind Phänomene, die es zu möglichst vermeiden gilt.

Der Absendername sollte daher so gewählt werden, dass er Aufschluss über den Versender gibt und die Betreffzeile sollte unbedingt ankündigen, mit welchem Inhalt der User zu rechnen hat. Das ist der eigentliche und ursprüngliche Sinn dieser beiden Angaben und sollte daher gewahrt werden.

Das sieht auch der Gesetzgeber so und hat daher im Telemediengesetz (TMG) diese Vorgaben verankert. Dort ist in § 6 Absatz 2 zu lesen:

Werden kommerzielle Kommunikationen per elektronischer Post versandt, darf in der Kopf- und Betreffzeile weder der Absender noch der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden. Ein Verschleiern oder Verheimlichen liegt dann vor, wenn die Kopf- und Betreffzeile absichtlich so gestaltet sind, dass der Empfänger vor Einsichtnahme in den Inhalt der Kommunikation keine oder irreführende Informationen über die tatsächliche Identität des Absenders oder den kommerziellen Charakter der Nachricht erhält.

In § 16 Abs.1 TMG ist festgehalten, dass ein Zuwiderhandeln gegen den § 6 Abs. 2 Satz 1 eine Ordnungswidrigkeit darstellt.

Die Vorgabe, der Absender solle erkennbar sein, seine tatsächliche Identität dürfe nicht verschleiert werden, ist hier klar herauszulesen. Anders allerdings sieht es mit den Auslegegrenzen bezüglich des Betreffs aus. Hier liegt ein Verschleiern oder Verheimlichen vor, wenn vor Öffnen der Mail „keine oder irreführende Informationen über … den kommerziellen Charakter der Nachricht“ vorliegen. Gesetzlich ist also nicht festgelegt, dass der Betreff den eigentlichen Inhalt der Mail anzeigen soll, er darf nur nicht verschleiern, dass es sich um einen werbetragenden Newsletter handelt. Da bleibt also doch ein wenig Spielraum offen.

Ich kenne kein Urteil zu genau diesem Punkt und es bleibt abzuwarten, wie Richter dies im Streitfall auslegen. Unabhängig davon bleibt es jedoch im auf Langfristigkeit ausgerichteten Zustellbarkeitsgedanken dabei: umso klarer und eindeutiger auf den Inhalt der Mail hingeführt wird, umso weniger Beschwerden wird es geben. So wird der Verteiler geschont und ein Negativmerkmal für die so sensible und wichtige Zustellbarkeit wird vermieden.

Datenschutz – endgültig ein Traum?

Wir alle machen uns spätestens seit den freundlichen Aufdeckungen von Edward Snowden mehr Gedanken darum, wie wir unsere Daten sicher halten.

Mit „wir“ meine ich nicht nur uns User, die wir zu Hause an unseren PCs oder Notebooks sitzen oder unterwegs mit dem Smartphone oder einem Tablet durch die Welt reisen, sondern auch diejenigen, von denen wir einen Einsatz für unsere Datensicherheit erwarten: Internet Service Provider (ISP) wie etwa die Telekom, 1und1, Web.de, GMX und all die vielen anderen auch sowie Politiker, die auf der staatlichen Ebene nach Lösungen suchen, um hier einen Stand zu erreichen, der uns wieder Vertrauen schöpfen lässt.

Viel interessanter aber: was ist mit „sicher halten“ gemeint? Da hat wahrscheinlich jeder so seine eigenen Vorstellungen. Dass wir wünschen, unsere Logindaten zum Online-Portal unserer Bank würden nicht abgegriffen werden, haben wir wohl alle gemeinsam. Wie steht es mit unserem E-Mail-Verkehr? Wie viel Energie sind wir hier bereit einzusetzen um Verschlüsselungstechniken einzusetzen? Ich glaube, dass die Einsatzbereitschaft (oder -fähigkeit?) stark sinkt, sobald wir unseren Komfort, den wir in den letzten Jahren durch das Internet dazu gewonnen haben, wieder einschränken müssten. Denn so eine E-Mail-Verschlüsselung übersteigt meines Erachtens schon die technischen Fähigkeiten der meisten User. Darüber hinaus müssen auch die Empfänger der E-Mails mitspielen, es müssen Schlüsselpaare ausgetauscht werden. Das ist alles schon sehr aufwändig.

Nun also gut, vielleicht machen es viele wie ich und entscheiden sich daher gegen die E-Mail-Verschlüsselung.
Was ist also nun mit dem Anspruch des „sicher haltens“? Geht es um das, was ich in den sozialen Netzwerken veröffentliche? Ich hoffe, niemanden mehr unter euch denkt, das dort gepostete sei ausschließlich für euch und die Personenkreise sichtbar, denen ihr es freigegeben habt.
Wo denn also nun, wo wollen wir sicheren Datentransfer haben? Bei unserem Surfverhalten? Nun ja, auch dazu müssten wir einiges beachten. Befindet sich unser Browser ständig im aktiven Loginstatus unserer Konten bei Google, Facebook, Twitter, Youtube etc.? Dann wird das schwierig mit der Verheimlichung. Doch selbst wenn wir uns beim Verlassen aller Portale ausloggen, so bleibt doch noch weitere Möglichkeiten, die uns identifizierbar macht. Ich habe beispielsweise mal über den unique browser geschrieben. Wenn etwa Google Werbung platzieren möchte, die unseren Interessen entspricht, so kann Google mit dieser Technik herausfinden, wo wir uns im Netz bewegen und danach Präferenzen dingfest machen und dann eben die entsprechenden Anzeigen schalten. Wie wir heißen oder auch sonstige personenbezogene Daten sind hier zunächst einmal irrelevant. Aber auch diese können zu diesem Browserstempel hinzugefügt werden, spätestens wenn wir uns auf einer Google-Seite einloggen.

Ok, kleines Zwischenfazit:

Diese angestrebte Sicherheit bröckelt schon da, wo wir selbst nicht mehr gewillt sind, Einschnitte in unserem so angenehm einfach gewordenen Cyberleben hinzunehmen. Weiterhin haben wir teilweise gar nicht die Möglichkeit uns ganz ohne Identifikationsspur durch das Netz zu bewegen.

Gehen wir trotzdem einen Schritt weiter und nehmen wir an, wir sind tatsächlich so versiert und gewillt, dass wir unsere E-Mails verschlüsseln, dass wir unseren Browser dazu bringen, keine IP zu senden und wir nehmen Abstand von allen sozialen Netzwerken.

Abgesehen davon, dass wir dann in einigen Belangen hinten dran sind und die nächste Generation des Web vielleicht verpassen, sehe ich uns auch hier großen Problemen gegenüber, die uns diese angestrebte Sicherheit vermiesen.
Die NSA liest ja – so wissen wir durch Snowden – bei einigen Verschlüsselungstechniken mit. Interessant auch, dass sie bei der Entwicklung des Verschlüsselungsalgorithmus SHA, dessen Nachvolger SHA-2 heute noch in weit verbreitetem Einsatz ist, mitgewirkt hat.
Oder sie macht es ganz anders: sie besucht unseren Rechner und zeichnet auf, was wir über die Tastatur eingeben, bevor überhaupt irgendeine Verschleierungsmethode greifen kann. Das Programm, das hinter dieser Vorgehensweise steckt, heißt Turbine.

Weiterhin sind wir aber auch in so fern ausgeliefert, dass wir auf die Achtsamkeit anderer angewiesen sind. Stephan Hansen-Oest, Rechtsanwalt für IT-Recht und Datenschutz, hat in seinem letzten Podcast herrlich dargestellt, wieso etwa Betreiber von Webseiten Tools und Widgets nutzen, die unsere Daten weitergeben und so Daten über uns gesammelt werden, wovon wir gar nichts wissen. Nimmt es jemand mit seinen Datenschutzhinweisen sehr genau, dann kann es sein, dass wir dort davon erfahren. Aber dazu müssen wir erst einmal auf die Seit gelangen und damit schon einiges von uns preis geben.

Ich glaube, es ist vergeblich, einen Zustand anstreben zu wollen, in dem wir mit unseren Daten in privater Zweisamkeit oder mit 100%iger Kontrolle zusammen surfen können. Ich gehe sogar so weit, dass ich behaupte: sobald wir mit dem Internet verbunden sind, wird es nicht möglich sein, eigene Daten nicht preiszugeben. Wir sind noch immer nicht am Ende angelangt auf dem Weg, den unser Bewusstsein gehen muss: auch wenn wir in unseren vier Wänden sitzen und uns niemand sieht und hört, so sind wir von Billionen von elektrischen Impulsen umgeben, die unser Zimmer betreten und verlassen und die verschiedenste Informationen nach außen tragen. In die ganze Welt, ohne Grenzen. Was die da draußen mit diesen Informationen anstellen, das werden wir niemals unter unsere Kontrolle bringen können, das ist Utopie.

Vielleicht ist es einfach nur wichtig, dies im Kopf zu haben und dann ganz bewusst die neuen Technologien so zu nutzen, dass wir uns damit einverstanden fühlen, diese zu unserem Vorteil einsetzen und sie genießen können. Ab einer Grenze, die uns das Gefühl gibt, dass es einen Schritt zu nah an unsere Privatsphäre geht, haben wir meistens immer noch die Freiheit, den Weg am Internet vorbei zu gehen. Wenn nicht, dann ist es nun mal unsere freie Entscheidung, einen Internetdienst trotzdem zu nutzen, oder auf diesen Vorteil zu verzichten.

1 2 3 5