Hier am aktuellen Beispiel zur #Datenpanne bei #Mastercard Priceless Specials vom August 2019. Jetzt nehmen die Schadenersatzverfahren Fahrt auf, weil das Programm endgültig eingestellt wurde.
Ca. 90.000 Teilnehmer des Mastercard Priceless Specials Programms waren im Sommer 2019 betroffen von einer Datenpanne, weil die Datenbank offen mit Namen, Anschrift, Mobilfunknummer, E-mail, Geburtsdatum und Kreditkartendaten im Internet abrufbar waren. Mastercard hatte die Datenpanne unweigerlich offiziell bestätigen müssen und sich entschuldigt, die Plattform mit Bonusprogramm “vorläufig” und inzwischen endgültig deaktiviert, aber eine Verantwortlichkeit für die Datenpanne pauschal abgestritten. Die Aufsichtsbehörden in Hessen (HBDI) – hier die Pressemitteilung des HBDI vom 23.08.2019 mit den späteren updates – und die federführende Aufsichtsbehörde des datenschutzrechtlichen Untersuchungsverfahrens in Belgien DPA in Brüssel – https://www.dataprotectionauthority.be/contact-us -erhielten zahlreiche Beschwerden Betroffener über unzureichende Auskünfte. Aber bis heute hat Mastercard nicht viel zur Aufklärung über die Verantwortlichkeit beigetragen, obwohl die Datenpanne nach Art. 82 III DSGVO indiziert, dass Mastercard für den Datenschutz verantwortlich ist oder ihn ermöglicht hat, wenn und soweit Mastercard als Verantwortliche nicht nachweist, in keiner Weise für den massiven Verstoß durch diesen Datenpanne ein Verschulden zu tragen. Das ist bisher nicht geschehen und offenbar ist Mastercard weder in der Lage noch gewillt, dass Programm wie bisher angekündigt, wieder datenschutzkonform zu aktivieren. Priceless ist gekündigt und wurde zum 4.7.2020 endgültig beendet. Der Schadenersatz nach Art. 82 I DSGVO umfasst anders als nach früherem Datenschutzrecht nunmehr neben den Vermögensschäden auch immaterielle Schäden, die Betroffene durch den Datenschutzverstoß erleiden, den Mastercard – dafür sprechen einige Indizien – mitverschuldet haben dürfte. Wenn die Plattform nicht wieder aktiviert werden kann, spricht das für fundamentale Sicherheitsmängel des Bonusprogramms und der beteiligten Systeme, die einen Verstoß gegen die Pflichten nach Art. 5, 24 und 32 DSGVO durch Mastercard wahrscheinlich machen.
Am 4.6.2020 schließlich kündigte Mastercard seinen Kunden den Vertrag über das Bonusprogramm mit Wirkung zum 4.7.2020 auf und kündigte Infos an, wie die gesammelten Coins dann nun eingelöst werden können. Diese liegen bisher nach meinen Informationen noch nicht vor.
Derzeit laufen einige Auskunfts- und Schadenersatzverfahren Betroffener gegen Mastercard beim zuständigen Amts- bzw. Landgericht (je nach geforderter Summe und Streitwert). Neben den entgangenen Coins hatten einige Betroffene weitere Schäden wie gesperrte Kreditkarten, Kreditkartenbetrug, nicht blockierbare Spamanrufe mit gefakten Rufnummern, belästigende Spamnachrichten auf das Mobiltelefon oder Spammails, Identitätsdiebstahl d.h. z.B. das Erstellen von Fakeshops mit der Identität der illegal veröffentlichten Daten der Teilnehmer, Inkassorechnungen und Mahnungen von getäuschten Onlinehändlern, bei denen mit der gestohlenen Identität eingekauft wurde und weitere Folgeschäden, insbesondere auch der sog. Emotional Distress, den Opfer von solchen massiven Datenschutzverstößen erleiden. Die Betroffenen haben in vielen Fällen auch Beschwerden bei der Aufsichtsbehörde eingelegt, aber die Hessische Aufsichtsbehörde hat mit Verweis auf die anhängigen Schadenersatzklagen in den mir vorliegenden Fällen das Verfahren ausgesetzt und verweist auf die belgische federführende Aufsichtsbehörde, obwohl fast nur deutsche Kunden betroffen sind und daher die Schadenersatzklagen hier nach § 44 I BDSG am Gerichtsstand der deutschen Niederlassung in Frankfurt am Main geführt werden und hinsichtlich der Feststellung der Datenschutzverstöße und Ahndung der Verletzung u.a. der Auskunftsansprüche der Betroffenen der Hessische Datenschutzbeauftragte zuständig ist. Nach dem One-Stop-Prinzip der DSGVO für grenzüberschreitende Datenpannen hat hier die Belgische Datenaufsichtsbehörde die Federführung übernommen – vgl. deren Pressemitteilung zur Datenpanne von Mastercard Priceless Specials. Es kommt daher auch eine Untätigkeitsbeschwerde nach 3 Monaten Untätigkeit gegen die Datenschutz-Aufsichtsbehörde nach Art. 78 II DSGVO in Betracht. Wir werden in Belgien zum Stand des Verfahrens nachfragen und unseren Mandanten, die wir betreuen, berichten. Aber unklar ist, ob unter diesen Umständen diese Aussetzung des Beschwerdeverfahrens bis zum rechtskräftigem Abschluss des gegenständlichen zivilgerichtlichen Gerichtsverfahren und Verweisung auf die belgische Aufsichtsbehörde DSGVO konform ist. Der HBDI verweist auf Nachfrage als Rechtsgrundlage auf § 17 GVG analog – aber zum einen geht die DSGVO vor und ausserdem ist fraglich, ob das sinnvoll ist. Nach Art. 78 DSGVO soll nämlich unbeschadet von anderen Rechtsmitteln vor den Gerichten auch gerade verhindert werden, dass Betroffene auf ausländische Behörden und Gerichte verwiesen werden, um ihre Betroffenenrechte effektiv sowohl über Beschwerdeverfahren bei den Aufsichtsbehörden als auch Zivilklagen vor den Gerichten verfolgen zu können.
Man kann gespannt sein, ob die Betroffenen die Kündigung von Mastercard ohne Entschädigung für den Schaden so hinnehmen werden oder erfolgreich ihre Ansprüche vor den Gerichten durchsetzen können. Anders als früher sind nach der DSGVO die Bußgelder und Schadenersatzbeträge viel höher, denn nach Erwägungsgrund 146 müssen sie abschreckend und wirksam sein und müssen bei den Verbraucherrechten Wertungswidersprüche vermieden werden – so auch zuletzt der BGH mit Urteil vom 6.6.2019 – I ZR 216/17 – zu unbegründeten Zahlungsaufforderungen aufgrund unbestellten Waren wegen Identitätsdiebstahls. Allein für die Verletzung der Auskunftspflichten hatte kürzlich das Arbeitsgericht Düsseldorf den Arbeitgeber bereits 5.000 Euro Schadenersatz verurteilt. Das Urteil ist zwar nicht rechtskräftig, weil das Berufungsverfahren anhängig ist, aber die Tendenz ist klar: Die Schadenersatzklagen werden von den Unternehmen ernst zu nehmen sein. Unternehmen sollten daher DSGVO-Auskunftsanfragen pflichtgemäß beantworten und sich bei der Digitalisierung auch nachhaltig um die Einhaltung der Pflichten zur rechtmäßigen sicheren Datenverarbeitung nach der DSGVO kümmern. Nur wenn die Unternehmen das proaktiv fortlaufend tun, sind wir alle vor den massiven Schäden geschützt, die Datenpannen für Betroffene und beteiligte Unternehmen auslösen. Wertungswidersprüche würden auch zu den Bussgeldern entstehen, die die DSGVO in Höhe von bis zu 4 % des weltweiten Umsatzes der unternehmensgruppe ansetzt – diese Grundsätze und ein DSGVO Verstoß bei 500 Gewinnspielteilnehmern haben nach einer Pressemitteilung der Behörde zuletzt z.B. bei der AOK zu einem Bußgeldbescheid des Landesdatenschutzbeauftragten von Baden-Württemberg von 1.240.000 Euro geführt.
Interessant und bisher ungeklärt ist auch die Frage, ob Schadenersatzansprüche nur die betroffenen Kunden des Mastercard Priceless Specials Programm haben oder auch die in Mitleidenschaft gezogenen Händler, bei denen dann mit gefälschten Kreditkarten und Identitäten eingekauft und geliefert wurde. In Artikel 82 heißt es nämlich, dass jedermann, der durch den Datenschutzverstoß des Verantwortlichen einen Schaden erleidet, Anspruch auf Ersatz des materiellen und immateriellen Schaden gegen den Verantwortlichen hat. Dessen Verschulden ist dabei nach Art. 82 III DSGVO indiziert. Nach Erwägungsgrund 146 heißt es dazu: ….Satz 3: “Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. 4Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. 5Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. 6Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. 7Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. 8Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. 9Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.”
Es spricht also auch der Wortlaut und der europarechtlich geltende Effektivitätsgrundsatz dafür, dass auch die geschädigten Händler Schadenersatzansprüche gegen Mastercard haben (vgl. z.B. so auch Paal in MMR 2020, 14f.).
Zur Höhe des Schadenersatzes für die immateriellen Schäden bei einem Datenbreach spricht nach vorherrschender Ansicht der Datenschutzexperten, dass dieser analog etwa der Faktorrechtsprechung bei Verletzung von Urheberrechten durch Filesharing (Beispiel OLG Frankfurt Az. 11 U 44/19: 50facher Wert des Einzelpreises der „Downloadversion“ des Computerspiels betrug fast 1.950 Euro und führte zu einem Schadenersatzurteil über 2.100 Euro) abhängig von der Dauer und dem Ausmaß der Datenpanne ein Vielfaches des Wertes der Daten als eine fiktive Lizenzgebühr als Schadenersatz zuzuerkennen ist. Gerade das unkontrollierbare der einfachen anonymen Weiterverbreitung über Filehoster und die enorme Ersparnis des Zeitaufwandes für die gewerblichen Betrüger durch offen im Internet erhältliche illegale Datenbanken führen ja zu den gezielten massenweisen Verwertung durch Hacking-, Erpressungs- und Betrugsattacken der Straftäter. Es ist also wichtig, daß diese Ansprüche effektiv verfolgt werden können und möglichst alle Betroffenen entschädigt werden.
Schlagwort: Verbraucherschutz
Das OLG Frankfurt untersagt WinSim (Drillisch Online AG) aus Maintal eine Praxis, mit der Kunden im Anhang an eine E-Mail /SMS eine versteckte Preiserhöhung erhielten, der lediglich einen betitelt war mit „Neue Informationen in Ihrem WinSim-Online-Postfach“.
Anbieter versuchen teilweise mit unlauteren Mitteln Preiserhöhungen oder Vertragsverlängerungen gegenüber ihren Kunden durchzusetzen. So hat aktuell das Oberlandesgericht Frankfurt einem Unterlassungsantrag gegen Winsim stattgegeben. Winsim –eine Marke der Drillisch Online GmbH im Verbund von Telefonica – hatte versucht eine Preiserhöhung durchzusetzen, indem sie per E-Mail und SMS lediglich auf „Neue Informationen in Ihrem Postfach“ hingewiesen hatten und aufgefordert diese im Online-Bereich abzurufen. Tatsächlich verbarg sich dahinter eine versteckte Preiserhöung für die Mobilfunktleistungen, die dann nach den AGB von WinSIm wirksam werden sollte, wenn nicht innerhalb einer kurzen Frist der Kunde widerspricht. Da dies aber keine wirksame „Mitteilung“ der Preiserhöhung ist, so bescheinigten auch die Richter des Oberlandesgerichts, war sie nicht wirksam und die gleichwohl berechneten höheren Entgelte irreführende unlautere geschäftliche Handlungen.
Natürlich setzte WinSim darauf, dass die meisten Kunden die auf diese Weise versteckte Preiserhöhung übersehen oder sich jedenfalls nicht wehren.
Hauptleistungspflichten wie der Preis dürfen aber nicht in AGB versteckt werden, sonst handelt es sich nicht um eine überraschende und damit unwirksame Regelung.
Betroffene Kunden können daher die Gutschrift der zuviel abgebuchten Beträge verlangen. Das Urteil des OLG Frankfurt vom 19.10.2017 – 6 U 110/17 ist rechtskräftig und unlautere Methoden dieser Art sollten sich die Kunden nicht gefallen lassen. Leider sind Fälle dieser Art kein Einzelfall.
Wenn Sie anwaltliche Hilfe in Fällen dieser Art benötigen, kontaktieren Sie mich.
Die anfallenden Kosten langfristiger Mobilfunkverträge werden nicht oder nicht in allen Vertriebskanälen immer mit der erforderlichen Klarheit und Transparenz kommuniziert. Das führt bei den Kunden natürlich mitunter zu Ärger, der nicht immer außergerichtlich gütlich geklärt werden kann.
In einem aktuellen Fall stritten Vodafone und eine Verbraucherin bei einem Mobilfunkvertrag mit Handykauf im Ladengeschäft über den abgeschlossenen Tarif. Lastschriften wegen der aus Sicht der Kundin überhöhten Rechnungen gingen zurück und schließlich kündigte der Provider fristlos wegen des (angeblichen) Verzugs und machte Schadenersatz in Höhe von rund 2.000 € für den von Vodafne berechneten Businesstarif mit Restlaufzeit von 15 Monaten geltend. Nachdem ich die verklagte Verbraucherin gegen die Schadenersatzklage von Vodafone in der mündlichen Verhandlung vor dem Amtsgericht Bad Homburg v.d.H. vertreten habe, fielen der Klägerin dann mehrere schlechte Nachrichten “auf die Füsse”: Nicht nur, dass die ehemalige Kundin einen schriftlich von der Verkäuferin im Vodafone-Shop ausgefüllten “Tarifcheck” vorlegen konnte, der den Basistarifpreis von 29,99 € monatlichen Kosten bestätgte und die Klägerin spätestens jetzt erfahren mußte, dass die Beklagte ohne Einkommen und Vermögen ist. Auch daß sie nun eine Rechtsanwältin im Wege der Prozesskostenhilfe beigeordnet bekam, die hilfsweise auch den Wideruf des Vertrages in der mündlichen Verhandlung erklärte, senkte die Erfolgsaussichten der Klage ganz erheblich.
Widerrufsrecht bei Handy mit Vertrag als Finanzierungshilfe. Denn wird über die monatlichen Kosten bei 2 Jahre Laufzeit auch der Handykauf finanziert, dürfte es sich aufgrund der in die monatlichen Kosten eingepreisten Finanzierungshilfe um einen verbundenen gemischten Dienstleistungs-, Verbraucherdarlehens- und Kaufvertrag handeln, bei dem der Verbraucher nach §§ 499 Abs. 2, 506, 495, 355 BGB ein Widerrufsrecht hat. Dies ist immer noch wenig bekannt, wurde aber ebenso bereits in 2010 vom AG Dortmund, Urteil vom 13.10.2010, Az. 417 C 3787/10 und vom Landgericht Lüneburg, mit Hinweisbeschluss vom 13.01.2011 Az. 2 S 86/10; AG Münster, 26.05.2014 – 140 C 1740/13
so entschieden (nach alter Fassung des Gesetzes war das Widerrufsrecht sogar fast grenzenlos, wenn nicht richtig belehrt wurde). Bei Widerruf des Vertrages wird dabei der Vertrag rückwirkend aufgelöst mit der Folge, dass auch von den bezahlten Vergütungsanteilen sich der Anbieter dasjenige anrechnen lassen muss, was er bei Gültigkeit des Vertrages verdient hätte und nur die nackten Kosten (eine Nutzungsentschädigung) für die Zeit bis zur Erklärung des Widerrufs. Das wollte die Klägerin wohl nicht riskieren und hat daher lieber die Klage “aus prozessökonomischen Gründen” zurückgenommen.
Merke:
1. Bei Streit im Zusammenhang mit Handykauf mit Mobilfunkvertrag als Kunde prüfen lassen, ob vielleicht einfach ein Widerruf des Vertrages das Problem löst.
2. Vor Gericht besser nicht ohne Anwalt. Denn: Richter dürfen aus Gründen der Unparteilichkeit eine Partei auf Möglichkeiten wie Einrede der Verjährung oder Gestaltungsrechte wie ein Widerrufsrecht nicht hinweisen. Andernfalls könnte der Gegner sofort mittels Befangenheitsantrag gegen den Richter vorgehen. Wäre also die persönlich geladene Beklagte hier alleine ohne anwaltlichen Beistand erschienen, wäre es so gelaufen, wie der Richter es eingangs vorschlug und wie es meistens vor Gericht läuft: mit einem Vergleich und dann hätte die mittellose Beklagte einige hundert Euro nachzahlen müssen, obwohl sie den Laden doch nur betreten hatte in der Absicht, einen Basismobilfunkvertrag mit Handy zu bekommen zu einem möglichst kleinen Basistarif für Wenigtelefonierer.
3. Schriftel ist giftel. Lassen Sie sich wichtige Vertragsangaben wie die einmaligen und monatlichen Kosten immer schriftlich, notfalls eben in einem unterzeichneten “Tarifcheck” klar und deutlich geben, bevor sie kaufen oder bestellen, denn die Verträge der Anbieter sind leider nicht immer so klar wie es an sich vorgeschrieben ist und sie sind nur dann auf der sicheren Seite. Telekommunikationsanbieter, Banken und Versorgungsanbieter für Strom, Wasser, Gas fügen teilweise ihren Verträgen keine klaren Preisangaben bei, sondern verweisen auf versteckte Preisaushänge und AGB im Laden oder Internet. Hier sollte man sich als Kunde den individuellen “Tarif” eben schriftlich bestätigen lassen.
Fazit: Mobilfunkverträge mit Vertrag dürften wahrscheinlich auch dann 2 Wochen lang für den Verbraucher widerruflich sein, wenn Handy und Mobilfunkvertrag im Ladengeschäft abgeschlossen wurden. Allerdings fehlt noch höchstrichterliche Rechtssprechung dazu. Kein Wunder, wenn die Anbieter die Klage zurücknehmen. Wenn wie im vorliegenden Fall nicht über das Widerrufsrecht belehrt wird oder wenn nicht richtig belehrt wird, dann besteht nach neuer Rechtslage seit 13.6.2013 das Widerrufsrecht über 1 Jahr und 2 Wochen ab Vertragsschluss fort. Für die Beklagte ist es nochmal gut ausgegangen, da sie einen schriftlichen Tarifcheck vorlegen konnte und sich gerade noch rechtzeitig qualifizierter anwaltlicher Hilfe bedient hat. Sonst wäre das teuer für sie geworden, da Vodafone ihr einen teuren Businesstarif berechnete, den sie gar nicht haben wollte und schließlich doch noch eine Schadenersatzklage über 2.000 Euro abgewendet werden konnte.
Update 26.11.2013: Das erfreuliche Urteil ist inzwischen rechtskräftig.
Das OLG Frankfurt hat mit Urteil vom 30.09.2013 Az. 1 U 314/12 entschieden, dass die IContent GmbH als damalige Betreiberin der Abofalle outlets.de (inzwischen Webtains GmbH) bei einem untergeschobenen Vertrag verpflichtet ist, es zu unterlassen, einen vermeintlichen Kunden per e-mail zu kontaktieren, insbesondere ihn zu mahnen und einen negativen Schufa-Eintrag in Aussicht zu stellen, ohne den Vertragsschluss verifiziert zu haben. Damit hat der betroffene Verbraucher mit seiner Widerklage schließlich Erfolg gehabt. Ein Gegenangriff ist in solchen Fällen also die beste Verteidigung! Lassen Sie Unternehmer abmahnen, wenn Sie die Bestellung bzw. „Anmeldung“ nicht zu verantworten haben und trotzdem per e-mail mit untergeschobenen Verträgen und Zahlungsaufforderungen belästigt werden! Wehren Sie sich so, dass Sie den Spiess umdrehen und lassen Sie anwaltlich das Unternehmen abmahnen, wenn es seine Pflichten nicht erfüllt und Ihnen unzulässigerweise Stress macht!
Die Unternehmen dürfen Verbraucher oder andere Gewerbetreibende nicht mit Rechnungen und Mahnungen oder sogar der Inaussichtstellung eines negativen Schufa-Eintrags belästigen und bedrohen, wenn die Online-Bestellung nicht verifiziert ist oder wenigstens der Aktivierungslink in der automatischen Mail für die Bestätigung der Bestellung nicht betätigt wurde. Hierbei enstehen nach anwaltlicher Abmahnung dem Unternehmen, das trotzdem Rechnungen versendet dann allein aufgrund der anwaltlichen Abmahnung bereits Kosten nach dem Rechtsanwaltsvergütungsgesetz aus einem Unterlassungsstreitwert von 3.000 €! (Bei neuen Aufträgen nach dem 1.8.2013 sind das inzwischen nach der neuen Rechtsanwaltsvergütungsverordnung dann 334,75 €).
Das interessante Urteil ist hier im Volltext verfügbar: OLG Frankfurt Urteil vom 30-09-2013 Unterlassung e-mails
Bei der Belästigung und Bedrohung von Verbrauchern bzw. Bürgern wegen unbestellter Waren nehmen die Beschwerden zu, aber die Behörden scheinen das bisher nicht zu sehen. Gewerbliche Betrüger freuen sich. Der Hessische Datenschutzbeauftragte, der für die Datenschutzaufsicht von hessischen Unternehmen zuständig ist, scheint hier weniger den Datenschutz von Bürgern im Auge zu haben als vielmehr deren Abwiegelung, um Unternehmen darin zu unterstützen, die sich gern im illegalen Datenhandel eine goldene Nase verdienen wollen.
Wie komme ich zu dieser drastischen Meinung?
U.a. ein aktueller Fall eines betroffenen Verbrauchers, den ich auf dem Tisch habe:
In einer schriftlichen mir vorliegenden Stellungnahme lehnt es ein Sachbearbeiter des Hessischen Datenschutzbeauftragten ab, einen “Online-Dienstleister” wegen Datenschutzverletzungen zu verfolgen, der ohne Einwilligung oder sonstige Veranlassung eines Bürgers an diesen per e-mail Rechnungen, Mahnungen und die Androhung von negativen Schufa Einträgen versendet. Dies auch, wenn wie hier kein plausibler Grund vom Unternehmen vorgelegt wird, warum die Anmeldung von dem betroffenen Bürger stammen soll, sondern es allein die Eingabe in ein frei zugängliches Online-Bestellformular ausreichen läßt. D.h. das Unternehmen sammelt Daten für einen diffusen unklaren Zweck und muß nach Ansicht des Hessischen Datenschutzbeauftragten nichts von der Hessischen Datenschutzaufsicht befürchten. Der Hessische Datenschutzbeauftragte ist jedoch für hessische Unternehmen nach § 38 BDSG dafür zuständig und nach pflichtgemäßem Ermessen dazu verpflichtet, auf die Einhaltung der Datenschutzgesetze hinzuwirken und dabei notfalls auch Bußgelder zu verhängen.
Zwar ist ein Double-opt-in Verfahren nicht für den e-commerce vorgeschrieben, wird jedoch allgemein u.a. auch vom Hessischen Datenschutzbeauftragten spätestens seit 2003 dringend empfohlen, da es dort, wo keine Vorauszahlung erfolgt, kaum andere Möglichkeiten der Verifikation des Nutzers bestehen und damit ansonsten die Einwilligung des Betroffenen vom Unternehmen im Streitfall nicht nachgewiesen werden kann. Ohne Einwilligung des Betroffenen ist aber die Nutzung von persönlichen Daten wie etwa eine e-mail adresse nicht erlaubt – im BDSG und TMG herrscht der Grundsatz, alles verboten, wenn nicht gesetzlich erlaubt und damit kommen für die Zusendung von Rechnungen nur Kundenbeziehungen (wohlgemerkt) mit dem richtigen Kunden und nicht irgendwelchen vermeintlichen e-mail Adressen von angeblichen Kunden in Betracht.
Es dürfte allgemein anerkannt sein und dem aktuellen Stand der Technik entsprechen, dass vor der Registrierung zu einer kostenpflichtigen Datenbank irgendeine Verifizierung der Identität des Anmelders erfolgt und falls nichts hierzu unternommen wird zumindest die – wohl falschen Daten- unverzüglich gelöscht und die falschen Rechnungen storniert werden. Bei seriösen Unternehmen dürfte dies auch im eigenen Interesse liegen, solche Irrtümer zu vermeiden. Bei illegalen Datenhändlern, Spammern und Betrügern besteht dieses eigene Interesse jedoch gerade nicht. Jedenfalls gehört es – da nicht aufwendig – zu den zumutbaren technischen und organisatorischen Maßnahmen, die nach §§ 3, 4, 9 BDSG i.V.m. Anlage zu § 9 sowie § 13 TMG für den Datenschutz bei Erhebung und Nutzung persönlicher Daten vorgeschrieben sind und daher nach dem Zweck der Vorschriften derzeit verpflichtend sind. Es ist in der Praxis auch üblich, bei Online-Registrierungen oder Online-Bestellungen eines Newsletters zumindest im Wege eines sog. Double-opt-in Verfahrens sicherzustellen, dass der Empfänger einer E-mail die Bestellung bestätigt, indem er den automatisch zugesendeten Aktivierungslink betätigt. Unternehmen, die etwa ohne ein Double-opt-in-Verfahren Newsletter versenden und auch keinen anderen Nachweis für die Bestellung des betroffenen e-mail-Inhabers haben, von teuren Abmahnungen seitens Wettbewerbern oder Verbänden wegen Spam nach § 7 UWG oder Abwehrabmahnungen der Betroffenen nach §§ 823 I, 1004 analog BGB bedroht sind. Je nach Grad der Belästigung sind hier durchaus Streitwerte von 600-12.000 € von den Gerichten angesetzt worden mit entsprechend hohen Anwalts- und Gerichtskosten.
Nach Ansicht des Hessischen Datenschutzbeauftragten sei also eine Verifizierungspflicht oder übeerhaupt irgendwelche Prüfpflichten zu Identität des Nutzers, der bestellt hat, nicht zumutbar und so wörtlich “Der Empfänger hat durch die Zusendung nicht bestellter Waren oder das Angebot nicht bestellter Dienstleistungen zwar Unannehmlichkeiten, die jedoch nicht sein Recht auf informationelle Selbstbestimmung berühren. Würde man im Online-Handel un d bei der e-mail Kommunikation immer eine Identifizierungspflicht des Kunden verlangen, würde dies die beiden Bereiche weitgehend zum Erliegen bringen…”.
Diese Auffassung ist völlig unverständlich und würde, wenn sie richtig wäre, Datenschutzvorschriften im e-commerce dann weitgehend obsolet machen.
Hintergrund ist offenbar, dass die Behörde immer noch der Landesregierung unterstellt ist, die den Datenschutz als wichtiges Instrument zum Schutz der Bürger und im Kampf gegen Mißbrauch von persönlichen Daten, Identitätsklau, gewerblichem Betrug usw. nicht sieht oder jedenfalls die Zuständigkeit allein bei den Strafverfolgungsbehörden und Verbraucherschutzverbänden sowie Zivilgerichten sieht, die die Betroffenen zur Klärung der Angelegenheit anrufen können.
Unglaublich! Da werden sich die illegalen Datenhändler ja freuen und ihren Sitz gerne nach Hessen verlegen! Denn von Seiten der Datenschutzbehörde in Hessen haben Verbraucher in solchen Fällen daher offenbar keine Hilfe gegen die unbefugte Speicherung und Nutzung ihrer Daten durch Online-Dienste zu erwarten. Das halte ich für bedenklich.
Betroffenen wird geraten, unverzüglich gegen solche Rechnungen und Mahnungen auf unbestellte Waren oder Dienstleistungen Widerspruch zu erheben und die Einstellung des Inkassoverfahrens zu verlangen. Falls das Unternehmen dem nicht nachkommt, sollte alles dokumentiert und dann Beschwerde bei den zuständigen Behörden eingelegt werden und falls diese untätig bleiben dann auch notfalls gerichtlich die Rechtsverletzungen durch die Untätigkeit der Behörden zu verfolgen. Daneben ist auch die zivilrechtliche anwaltliche Abmahnung mit Übersendung der Kostennote an das Unternehmen für die Anwaltskosten erstattung und Durchsetzung eines Unterlassungstitels gegen das Unternehmen möglich. In erster Linie sind jedoch gerade auch wegen der Möglichkeit der Betrüger, das Vermögen ins Ausland zu transferieren, dieser zivilrechtlichen Verfolgung praktische Risiken entgegenzuhalten. In erster Linie sind daher an sich die Behörden zum Schutz der Bürger gefragt.
Da ich diesen Reformstau unserer Bundesregierung aus CDU und FDP sowie diese Untätigkeit im Bereich Daten- und Verbraucherschutz für sehr gefährlich halte, bin ich hier gerne anwaltlich behilflich, um dagegen Druck zu machen.
Der BGH hat mit Urteil vom 19. Juli 2012 – III ZR 71/12 – klargestellt, dass der Telefonprovider bei ungewöhnlich teurem Nutzerverhalten eine Hinweispflicht hat, wenn hierdurch eine astronomische Rechnung droht. Der Telekommunikationsanbieter muss dann den Kunden unverzüglich warnen. Im entschiedenen Fall hatte ein Router sich analog ständig erneut ins Internet eingewählt und mangels Internetflatrate auf diese Weise ungewöhnlich hohe Kosten verursacht. Der Kunde erfuhr hiervon erst nach Erhalt der Rechnung. Der BGH bestätigte, dass in diesem Fall der Provider den Kunden vorher hätte informieren müssen und daher der Kunde den Schaden nicht zahlen muss. Er hätte nach Information durch seinen Provider über plötzliche Explosion der Kosten sich um den Router kümmern können.
Wenn jedoch nach Erhalt einer Rechnung mit ungewollten Gebühren der Kunde sich nicht um das Problem kümmert, darf der Provider davon ausgehen, dass der Kunde dies billigt und kann sich dann später der Kunde nicht mehr auf eine Verletzung der Warnpflichten berufen.
update: Am 01.08.2012 tritt eine neue Kennzeichnungspflicht (sog. Button-Lösung) in Kraft für den Online-Handel und Service-Portale, die über das Internet Bestellungen oder sonstige zahlungspflichtigen Dienste anbieten.
Was ist zu beachten?
Online-Shops und Internetdienstleister müssen bis dahin ihre Bestell- bzw. Anmeldeseiten dergestalt angepasst haben, daß der Kunde über eine Schaltfläche die Bestellung abschließen und vom Nutzer angeklickt werden muß, der dem Kunden klar auf die Kostenpflicht hinweist. Dies kann mit den Wörtern “zahlungspflichtig bestellen” oder ähnlichen Formulierungen auf dem Bestellbutton geschehen.
Unternehmen, die ihre Webseiten nicht rechtzeitig und richtig anpassen, droht dann eine neue Abmahngefahr sowie Zahlungsausfälle. Denn Verbraucher, die nicht in dieser Weise hinreichend klar auf die Kostenpflicht hingewiesen wurden, können sich nach der Neuregelung auf die Unwirksamkeit des Vertrags berufen. Das zur Bekämpfung von sog. Internet-Vertragsfallen gewerbsmäßiger Betrüger vom Gesetzgeber beschlossene Gesetz soll Verbraucher davor schützen, wenn sie in eine Vertragsfalle unbemerkt geraten sind. Sie erhalten mehr Rechtssicherheit und können nunmehr (noch beruhigter als bisher bereits) Mahnungen des Betreibers solcher Vertragsfallen ignorieren, die diese Kennzeichnungspflicht mißachtet haben.
Ob dies Verbrauchern effektiv helfen wird und sie besser davor schützen wird, unbeabsichtigt in Kostenfallen im Internet zu geraten, bleibt zu hoffen. Denn die Betreiber der Vertragsfallen waren immer erfinderisch. Jedenfalls gilt diese Pflicht auch für den seriösen Handel und sollte rechtzeitig umgesetzt werden, damit Online-Shopbetreiber und Portalbetreiber nicht als die nächsten Opfer der gewerblichen Nutzlosbranche zum Opfer fallen.
Wer es genau wissen will:
Nach dem Gesetzestext wird im Fernabsatzrecht unter § 312g BGB wie folgt ergänzt:
(2) Bei einem Vertrag im elektronischen Geschäftsverkehr zwischen einem Unternehmer und einem Verbraucher, der eine entgeltliche Leistung des Unternehmers zum Gegenstand hat, muss der Unternehmer dem Verbraucher die Informationen gemäß Artikel 246 § 1 Absatz 1 Nummer 4 erster Halbsatz und Nummer 5, 7 und 8 des Einführungsgesetzes zum Bürgerlichen Gesetzbuche, unmittelbar bevor der Verbraucher seine Bestellung abgibt, klar und verständlich zur Verfügung stellen. Diese Pflicht gilt nicht für Verträge über die in § 312b Absatz 1 Satz 2 genannten Finanzdienstleistungen.
(3) Der Unternehmer hat die Bestellsituation bei einem Vertrag nach Absatz 2 Satz 1 so zu gestalten, dass der Verbraucher mit seiner Bestellung ausdrücklich bestätigt, dass er sich zu einer Zahlung verpflichtet. Erfolgt die Bestellung über eine Schaltfläche, ist die Pflicht des Unternehmers aus Satz 1 nur erfüllt, wenn diese Schaltfläche gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet ist.
(4) Die Erfüllung der Pflicht aus Absatz 3 ist Voraussetzung für das Zustandekommen eines Vertrages nach Absatz 2 Satz 1.