Amiando 2.0 gestartet

Sehe heute morgen, dass die neue Version des “Einladungsdienstleisters” Amiando gestern (oder heute?) gelauncht wurde (hier die entsprechende Meldung im Amiando-Blog). Nach dem Vorinformationen in dem letzten Interview mit Gründerszene durfte man gespannt sein. Ich fand dieses ganzes Amiando-Ding bislang nicht sonderlich spannend. Aufgefallen ist es erstmals in der breiten Masse durch den Einsatz für die Sinner-Schrader next07-Konferenz. Die neue Version geht allerdings weit darüber hinaus und bietet ein Ticket-Marketing-Feature, das ganz erhebliches Potential bietet. Ich glaube, man kann jetzt schon sagen, dass gerade die Möglichkeit, ein einfaches Payment für Veranstaltung durchzuführen, ein absolutes Killerfeature ist.

Das ganze Modell bietet gerade für Business-Anwendungen ein komplettes Setup, mit dem man z.B. Veranstaltungen oder Schulungen (gerade für mich interessant) von der Einladung über das Anmeldemanagement bis zur Bezahlung über das Internet alles komplett ohne großen Aufwand abwickeln kann. Sehr feine Idee. Wenn man das – wie ich als Anwalt und Sachverständiger im Bereich Datenschutzrecht – ordnungsgemäß nutzen möchte, sind allerdings einige Dinge zu beachten. Also warum nicht anmelden und mal schauen, ob das Ganze für künftige Veranstaltungen in Betracht kommt.

Für die Anmeldung ist die Angabe von Vorname, Nachname und E-Mail-Adresse zwingend erforderlich. Das ist rechtlich unproblematisch, da diese Daten für die Erbringung der Leistungen durch Amiando erforderlich sind. Auch ein Passwort muss angegeben werden. Hier gibt es allerdings einen ersten (leichten) Kritikpunkt. Erforderlich ist eine Mindestpasswortlänge von 5 Zeichen. Das entspricht nicht dem Anforderungsstand aus Datensicherheitssicht. Hier sind regelmäßig mindestens 8 Zeichen gefordert. Stört mich aber auch nicht, da ich ja selbst dafür sorgen kann, dass mein Passwort mindestens 8 Zeichen hat. Noch feiner wäre aus meiner Sicht die Einbindung von OpenID gewesen.

Nach der Anmeldung erhält man eine Aktivierungs-E-Mail, mit der die Korrektheit der aktuellen E-Mail-Adresse verifiziert wird. Ein kurzer Klick auf den Aktivierungslink und die Anmeldung ist abgeschlossen. Soweit so gut. Natürlich mussten die AGB (Zeitpunkt meiner Anmeldung, 15.06.2007) akzeptiert werden. Die sind nicht weiter schlimm, enthalten aber einige unwirksame Klauseln. Es werden u.a. wieder einmal die typischen Fehler gemacht (vgl. eine ähnliche Problematik, die ich hier beschrieben habe). Liebes Amiando-Team bzw. wer auch immer die AGB erstellt hat….man kann nach ganz herrschender Meinung keine datenschutzrechtliche Einwilligung durch Abhaken von AGB vornehmen. Auch wenn ein Gericht aus Süddeutschland das einmal in einer sehr fragwürdigen Entscheidung anders beurteilt hat. Ihr braucht doch auch gar keine Einwilligung, also warum macht man es sich so schwer. Auch wenn die eine oder andere Aufsichtsbehörde für den Datenschutz es ggf. anders sehen mag, braucht ihr für keine der in Ziff. 9 der AGB beabsichtigten Verarbeitung und Nutzung der Daten eine Einwilligung des Kunden. Und selbst wenn, habt ihr durch die AGB eben keine einwirksame Einwilligung eingeholt, so dass auch dann die Datenverarbeitung unzulässig wäre. Durch die Verwendung des Einwilligungsbegriffs beim Abschnitt “Datenschutz” in den AGB, riskiert man, dass die Klausel intransparent, widersprüchlich und damit ggf. unwirksam wird. Aber gut – dramatisch ist das alles nicht. Die AGB sind ansonsten ohne weitere großen kritischen Punkte.

Okay…weiter im Programm….dann testweise eine Veranstaltung kreiert, bei der ich natürlich den Ticketshop nutzen will. Dafür muss ich nochmals gesonderte AGB für Veranstalter akzeptieren, die allerdings keine Klauseln enthalten, die für bei mir für Unbehagen sorgen würden. Ohne das Billing/Payment jetzt konkret ausprobiert zu haben, muss ich sagen, dass der ganze Ablauf bzw. der Workflow wirklich sehr einfach ist. Neudeutsch gesprochen ist das Ganze super-slick und aus Usability-Gesichtspunkten wirklich ganz groß. Sehr verständlich. Fehler werden freundlich und korrekt angezeigt. Wirklich ganz schön gemacht. Kann mich noch gut daran erinnern, als 37signals noch eine Dienstleistungsbude in Sachen Design/UI-Design waren, und zahlreiche Seiten getestet und für schlecht bzw. gut befunden haben. Amiando hätte nach meiner Einschätzung eine sehr gute Kritik bekommen, da das ganze im Sinne von “Defensive Design for the Web” erstellt worden ist. Mag sein, dass hier und da noch Bugs sind, mir sind bei grober Durchsicht keine aufgefallen. Gefällt mir jedenfalls sehr gut.

Kommen wir zum Schluss. Kann ich Amiando denn nun guten Gewissens rechtlich sauber nutzen? Ich meine ja. Zivilrechtlich bestehen keine gravierenden Einwände. Und auch datenschutzrechtlich spricht nichts grundsätzlich gegen das Amiando-Verfahren. Mir war vorher nicht genau klar, ob Amiando nun als mein Auftragsdatenverarbeiter (i.S.v. § 11 BDSG) tätig wird oder ob eine sog. Funktionsübertragung erfolgt. Letzeres ist nach meinem Dafürhalten recht offensichtlich der Fall, da Amiando zwar nach meinen Vorgaben Ticketerstellung und -abrechnung durchführt, dabei aber doch eine gewisse Freiheit hat, die für eine Funktionsübertragung spricht. Ich muss dann zwar dafür Sorge tragen, dass ich z.B. die E-Mail-Adressen und Namen von Personen, die ich an Amiando für Einladungen übermittele, auch wirklich an Amiando übermitteln darf (richtet sich nach § 28 Abs. 1 Nr. 1 und 2 BDSG), das ist aber dann mein Problem und nicht das von Amiando. Wenn man zu der Auffassung gelangt, dass Amiando als Auftragsdatenverarbeiter tätig würde, hätte Amiando ein Problem. Denn es fehlt dann an den nach § 11 BDSG erforderlichen schriftlichen Weisungen. Ferner müsste ich, da ich nicht davon ausgehe, dass Amiando das Payment (z.B. Kreditkarte) selbst macht (die werden wohl auch einen Payment-Anbieter dafür nutzen), Informationen über den Sub-Auftragsdatenverarbeiter bekommen, da zudem die Inanspruchnahme nur nach vorheriger Zustimmung meinerseits zulässig wäre (so zumindest die wohl h.M. der Aufsichtsbehörden).

Ein paar kleine Punkte noch. Das Impressum ist nicht ganz ordnungsgemäß. Dort finden sich noch Hinweise zum TDG und zum MDStV, die beide nicht mehr einschlägig bzw. existent sind. Einschlägig ist das Telemediengesetz (TMG). Ich kann auch nicht glauben, dass ihr keine USt.-Identifikationsnummer habt. Die wäre nämlich noch in der Anbieterkennzeichnung (Impressum) anzugeben. Und es ist natürlich nicht schädlich in den Hinweisen zum Datenschutz anzumerken, dass man europäische Datenschutzvorgaben einhält. Allerdings gibt es für euren Bereich m.W. keine unmittelbar geltenden europäischen Datenschutzvorgaben, und europäische Richtlinien gelten grundsätzlich nicht unmittelbar in den Mitgliedsstaaten, sondern sind erst in nationales Recht umzusetzen. Soviel zur juristischen “Klugscheißerei” – ist alles halb so wild.

Wie dem auch sei, ich bin sehr positiv angetan. Und die Ankündigung, dass Amiando das “Spreadshirt” für den Ticket-Markt wird, glaube ich mittlerweilse sogar. Ganz dicker Daumen hoch nach München. Jungs (& ggf. Mädels) – das wird was!

[kleiner Nachtrag]: Die automatisierte Verarbeitung der personenbezogenen Daten, die ihr im Rahmen der Erbringung der Dienstleistung durchführt, unterliegt m.E. zudem der sog. Vorabkontrolle nach § 4d Abs. 5 BDSG. Es würde in diesem Zusammenhang nicht unbedingt schaden, den Datenschutzbeauftragten zu benennen bzw. eine entsprechende Kontaktmöglichkeit zu bieten. Falls ihr noch keinen Datenschutzbeauftragten habt und einen externen Beauftragten such….dann kann hier, hier und natürlich hier (ja…ich bin bundesweit tätig) geschaut werden.