Bei der Belästigung und Bedrohung von Verbrauchern bzw. Bürgern wegen unbestellter Waren nehmen die Beschwerden zu, aber die Behörden scheinen das bisher nicht zu sehen. Gewerbliche Betrüger freuen sich. Der Hessische Datenschutzbeauftragte, der für die Datenschutzaufsicht von hessischen Unternehmen zuständig ist, scheint hier weniger den Datenschutz von Bürgern im Auge zu haben als vielmehr deren Abwiegelung, um Unternehmen darin zu unterstützen, die sich gern im illegalen Datenhandel eine goldene Nase verdienen wollen.
Wie komme ich zu dieser drastischen Meinung?
U.a. ein aktueller Fall eines betroffenen Verbrauchers, den ich auf dem Tisch habe:
In einer schriftlichen mir vorliegenden Stellungnahme lehnt es ein Sachbearbeiter des Hessischen Datenschutzbeauftragten ab, einen „Online-Dienstleister“ wegen Datenschutzverletzungen zu verfolgen, der ohne Einwilligung oder sonstige Veranlassung eines Bürgers an diesen per e-mail Rechnungen, Mahnungen und die Androhung von negativen Schufa Einträgen versendet. Dies auch, wenn wie hier kein plausibler Grund vom Unternehmen vorgelegt wird, warum die Anmeldung von dem betroffenen Bürger stammen soll, sondern es allein die Eingabe in ein frei zugängliches Online-Bestellformular ausreichen läßt. D.h. das Unternehmen sammelt Daten für einen diffusen unklaren Zweck und muß nach Ansicht des Hessischen Datenschutzbeauftragten nichts von der Hessischen Datenschutzaufsicht befürchten. Der Hessische Datenschutzbeauftragte ist jedoch für hessische Unternehmen nach § 38 BDSG dafür zuständig und nach pflichtgemäßem Ermessen dazu verpflichtet, auf die Einhaltung der Datenschutzgesetze hinzuwirken und dabei notfalls auch Bußgelder zu verhängen.
Zwar ist ein Double-opt-in Verfahren nicht für den e-commerce vorgeschrieben, wird jedoch allgemein u.a. auch vom Hessischen Datenschutzbeauftragten spätestens seit 2003 dringend empfohlen, da es dort, wo keine Vorauszahlung erfolgt, kaum andere Möglichkeiten der Verifikation des Nutzers bestehen und damit ansonsten die Einwilligung des Betroffenen vom Unternehmen im Streitfall nicht nachgewiesen werden kann. Ohne Einwilligung des Betroffenen ist aber die Nutzung von persönlichen Daten wie etwa eine e-mail adresse nicht erlaubt – im BDSG und TMG herrscht der Grundsatz, alles verboten, wenn nicht gesetzlich erlaubt und damit kommen für die Zusendung von Rechnungen nur Kundenbeziehungen (wohlgemerkt) mit dem richtigen Kunden und nicht irgendwelchen vermeintlichen e-mail Adressen von angeblichen Kunden in Betracht.
Es dürfte allgemein anerkannt sein und dem aktuellen Stand der Technik entsprechen, dass vor der Registrierung zu einer kostenpflichtigen Datenbank irgendeine Verifizierung der Identität des Anmelders erfolgt und falls nichts hierzu unternommen wird zumindest die – wohl falschen Daten- unverzüglich gelöscht und die falschen Rechnungen storniert werden. Bei seriösen Unternehmen dürfte dies auch im eigenen Interesse liegen, solche Irrtümer zu vermeiden. Bei illegalen Datenhändlern, Spammern und Betrügern besteht dieses eigene Interesse jedoch gerade nicht. Jedenfalls gehört es – da nicht aufwendig – zu den zumutbaren technischen und organisatorischen Maßnahmen, die nach §§ 3, 4, 9 BDSG i.V.m. Anlage zu § 9 sowie § 13 TMG für den Datenschutz bei Erhebung und Nutzung persönlicher Daten vorgeschrieben sind und daher nach dem Zweck der Vorschriften derzeit verpflichtend sind. Es ist in der Praxis auch üblich, bei Online-Registrierungen oder Online-Bestellungen eines Newsletters zumindest im Wege eines sog. Double-opt-in Verfahrens sicherzustellen, dass der Empfänger einer E-mail die Bestellung bestätigt, indem er den automatisch zugesendeten Aktivierungslink betätigt. Unternehmen, die etwa ohne ein Double-opt-in-Verfahren Newsletter versenden und auch keinen anderen Nachweis für die Bestellung des betroffenen e-mail-Inhabers haben, von teuren Abmahnungen seitens Wettbewerbern oder Verbänden wegen Spam nach § 7 UWG oder Abwehrabmahnungen der Betroffenen nach §§ 823 I, 1004 analog BGB bedroht sind. Je nach Grad der Belästigung sind hier durchaus Streitwerte von 600-12.000 € von den Gerichten angesetzt worden mit entsprechend hohen Anwalts- und Gerichtskosten.
Nach Ansicht des Hessischen Datenschutzbeauftragten sei also eine Verifizierungspflicht oder übeerhaupt irgendwelche Prüfpflichten zu Identität des Nutzers, der bestellt hat, nicht zumutbar und so wörtlich „Der Empfänger hat durch die Zusendung nicht bestellter Waren oder das Angebot nicht bestellter Dienstleistungen zwar Unannehmlichkeiten, die jedoch nicht sein Recht auf informationelle Selbstbestimmung berühren. Würde man im Online-Handel un d bei der e-mail Kommunikation immer eine Identifizierungspflicht des Kunden verlangen, würde dies die beiden Bereiche weitgehend zum Erliegen bringen…“.
Diese Auffassung ist völlig unverständlich und würde, wenn sie richtig wäre, Datenschutzvorschriften im e-commerce dann weitgehend obsolet machen.
Hintergrund ist offenbar, dass die Behörde immer noch der Landesregierung unterstellt ist, die den Datenschutz als wichtiges Instrument zum Schutz der Bürger und im Kampf gegen Mißbrauch von persönlichen Daten, Identitätsklau, gewerblichem Betrug usw. nicht sieht oder jedenfalls die Zuständigkeit allein bei den Strafverfolgungsbehörden und Verbraucherschutzverbänden sowie Zivilgerichten sieht, die die Betroffenen zur Klärung der Angelegenheit anrufen können.
Unglaublich! Da werden sich die illegalen Datenhändler ja freuen und ihren Sitz gerne nach Hessen verlegen! Denn von Seiten der Datenschutzbehörde in Hessen haben Verbraucher in solchen Fällen daher offenbar keine Hilfe gegen die unbefugte Speicherung und Nutzung ihrer Daten durch Online-Dienste zu erwarten. Das halte ich für bedenklich.
Betroffenen wird geraten, unverzüglich gegen solche Rechnungen und Mahnungen auf unbestellte Waren oder Dienstleistungen Widerspruch zu erheben und die Einstellung des Inkassoverfahrens zu verlangen. Falls das Unternehmen dem nicht nachkommt, sollte alles dokumentiert und dann Beschwerde bei den zuständigen Behörden eingelegt werden und falls diese untätig bleiben dann auch notfalls gerichtlich die Rechtsverletzungen durch die Untätigkeit der Behörden zu verfolgen. Daneben ist auch die zivilrechtliche anwaltliche Abmahnung mit Übersendung der Kostennote an das Unternehmen für die Anwaltskosten erstattung und Durchsetzung eines Unterlassungstitels gegen das Unternehmen möglich. In erster Linie sind jedoch gerade auch wegen der Möglichkeit der Betrüger, das Vermögen ins Ausland zu transferieren, dieser zivilrechtlichen Verfolgung praktische Risiken entgegenzuhalten. In erster Linie sind daher an sich die Behörden zum Schutz der Bürger gefragt.
Da ich diesen Reformstau unserer Bundesregierung aus CDU und FDP sowie diese Untätigkeit im Bereich Daten- und Verbraucherschutz für sehr gefährlich halte, bin ich hier gerne anwaltlich behilflich, um dagegen Druck zu machen.