Auch die “Großen” machen Fehler. Das Thema hatten wir ja jüngst schon mal. Die Deutsche Telekom AG (DTAG) verfügt über eine ziemlich gute Datenschutzabteilung. Das mag der eine oder andere Verbraucher im Einzelfall anders sehen. Die dort arbeitenden Datenschutz-Juristen sind aber schon seit Jahren gut, wie ich finde und z.T. aus eigener Erfahrung (die allerdings schon ein paar Jahre her ist) bestätigen kann. Auch wenn T-Mobile nicht die DTAG ist, so besteht dennoch eine “Verbandelung”, was in dem gleich von mir geschilderten Fall dadurch bekräftigt wird, dass eine Werbung für das betreffende Produkt und die Seite mit den Formularfeldern auch auf den DTAG-Seiten zu finden ist. Also worum geht’s: Mein wohl nächstes Mobilfunktelefon, das iPhone, kommt ja bekanntlich am 9. November in Deutschland auf dem Markt und wird exklusiv von T-Mobile vertrieben.

Die nachfolgenden Ausführungen stellen meine persönliche Meinung dar und basieren auf dem Stand der betreffenden Seite vom 25.10.2007 (09:00 Uhr):
Auf der Seite der DTAG sowie auf Seiten von T-Mobile wird auf eine “Teaser-Seite” verlinkt, unter der man sich für Informationen “vormerken” lassen kann.

Es geht hier - wohlgemerkt - offensichtlich nur darum, per E-Mail über den Start und nähere Details zum iPhone informiert zu werden. Was ist für eine solche Information erforderlich? Genau - eigentlich nur meine E-Mail-Adresse. Wenn man sich die Formularfelder ansieht, wird dort abgefragt:

• Anrede
• Vorname
• Nachname
• E-Mail-Adresse

Es werden im Vorwege keine Informationen angeben, aus denen ich entnehmen könnte, dass hier Pflichtfelder anzugeben sind. Und insbesondere erhalte ich auf konkret dieser Seite keine Informationen über Zweck, Art und Umfang der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten. Genau genommen befindet sich dort nicht mal ein Link zu etwaigen Datenschutzhinweisen. Ich kann mich aber nicht für den Bezug der Informationen anmelden, ohne alle Pflichtfelder anzugeben (s. Screenshot).

Wie ist dies datenschutzrechtlich zu werten? IMHO handelt es sich bei dem Angebot, seine Daten anzugeben, um Informationen über ein Produkt per E-Mail erhalten zu können, um einen Telemediendienst, bei dem das Telemediengesetz (TMG) zur Anwendung kommt (sofern man die Auffassung vertreten möchte, dass die Erhebung sich nach dem BDSG richtet, gilt aber, da auch dort die Erforderlichkeit zu berücksichtigen ist, grundsätzlich nichts anderes). Erhoben werden in dem Formular sog. Bestandsdaten von mir. Die Zulässigkeit der Verarbeitung von Bestandsdaten richtet sich grundsätzlich nach § 14 TMG. Dort heißt es in Absatz 1:

Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Der Anbieter darf also nur die Daten erheben, die für die Begründung eines Vertragsverhältnisses erforderlich sind (btw: hier merkt man schon wieder, dass der Gesetzgeber besser das Wort Nutzungsverhältnis statt Vertragsverhältnis oder besser noch beide Begriffe bzw. die geläufigen Begriffe Vertragsverhältnis und vertragsähnliches Vertrauensverhältnis hätte verwenden sollen). Dabei ist unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung zu berücksichtigen, dass der Begriff der “Erforderlichkeit” restriktiv auszulegen ist. Das heißt, dass wirklich nur das zur Vertragsdurchführung Erforderliche erhoben werden darf. Das ist im konkreten Fall aber nur meine E-Mail-Adresse, alles andere eben nicht.

Um die übrigen “Pflichtfelder” sind eben nicht erforderlich. Nun ist es im Datenschutzrecht natürlich nicht so, dass ich stets nur die für Vertragsdurchführung erforderlichen Daten erheben darf. Wenn ich mehr Daten von dem Betroffenen erheben, speichern (oder sonstwie verarbeiten und/oder nutzen) möchte, benötige ich jedoch eine Einwilligung des Betroffenen. Im Telemedienrecht kann eine Einwilligung elektronisch eingeholt werden. Damit diese wirksam ist, müssen aber die Voraussetzungen des § 13 Abs. 2 TMG vorliegen. Dort heißt es:

Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Natürlich könnte man jetzt vertreten, dass ich meine Einwilligung bewusst abgebe, wenn ich Pflichtfelder ausfülle. Unter Berücksichtigung der Rechtsprechung zu generellen Anforderungen an Einwilligungserklärungen und die einschlägige rechtswissenschaftliche Literatur, wäre eine solche stillschweigende (konkludente) Einwilligung jedoch wohl unwirksam. Gefordert wird vielmehr eine eindeutige und bewusste Handlung des Betroffenen, die z.B. durch ein “Abhaken” eines Hinweistextes (z.B. “Ja, ich bin einverstanden, dass …..”) erfolgen kann. All das haben wir bei der Anmeldung zu iPhone-Informationen nicht.

Und dann fehlt sogar noch die nach § 13 Abs. 1 TMG in diesem Zusammenhang definitiv erforderliche Datenschutzinformation.

Dieses Beispiel, das ich von T-Mobile nun nicht erwartet hätte, ist ein vermeidbarer Fehler, aus dem vielleicht auch das eine oder andere anderen Web-/Techunternehmen lernen kann, wie man es vielleicht nicht oder zumindest besser machen kann.