Es gibt lt. deutsche-startups.de einen Dienstleister, der individuelle Rap-Titel anbietet, die Nutzer über dessen Website ordern können. Die Idee finde ich witzig und gut. Die Seite selbst ist jedoch optisch schon schwer zu ertragen. Und außerdem sollte der Anbieter der Seiten im eigenen Interesse mal bei nächster Gelegenheit das Fernabsatzrecht näher in Augenschein nehmen. Die gewählte Vertragsschlussvariante in den AGB beißt sich mit dem gleichzeitigen Ausschluss des Widerrufsrechts. Das geht so nicht. Kleiner Tipp: ist eine ähnliche Problematik wie bei den eBay-Abmahnungen wg. fehlerhafter Widerrufsbelehrungen. Wegen des Abmahnrisikos nenne ich den URL der Seite mal lieber nicht

Auch wenn das Thema hier schon häufiger behandelt wurde (z.B hier m.w.N.), wollte ich doch aus “Stickyness”-Gründen mal wieder ein Beispiel bringen, bei dem ein Startup es gut meint und z.B. in der Datenschutzerklärung (schon mal positiv, dass es überhaupt eine gibt – ist ja auch nicht die Regel) angibt, wer Datenschutzbeauftragte des Unternehmens sind. So gibt Beeings minidienste.de in seiner Datenschutzerklärung, die ungünstigerweise nur im PDF-Format (Stand: 31.03.08) vorliegt (was trotz der Verbreitung des PDF-Standards ein Problem sein kann), folgende Information an:

Betrieblicher Beauftragter für den Datenschutz
Andreas Jakob, Daniel Stosch

Beim Datenschutzbeauftragten gilt jedoch eigentlich das “Highlander”-Prinzip: es kann nur Einen geben! Zwei Personen zu benennen, ist daher – sagen wir mal – etwas “unüblich”.

Unzulässig wird das Ganze dann jedoch, wenn man gleichzeitig folgende Informationen zur Firma und vor allem den Geschäfsführern in derselben Datenschutzerklärung ansieht:

Verantwortliche Stelle im Sinne des BDSG:
Beeings Internet GmbH
Karl-Heine-Str. 99
04229 Leipzig

Geschäftsführer: 
Andreas Jakob, Daniel Stosch

Es ist nämlich als Fall der sog. verbotenen In-Sich-Kontrolle unzulässig, dass ein Geschäftsführer oder Mitglied der Geschäftsführung zugleich auch Datenschutzbeauftragter des Unternehmens ist. Es fehlt dem Geschäftsführer nämlich zumindest an der nach § 4f Abs. 2 BDSG erforderlichen Zuverlässigkeit, die in einem Fall einer solchen Interessenkollision nicht gegeben ist. So darf z.B. auch ein IT-Leiter nicht zum Datenschutzbeauftragten bestellt werden.

Minidienste.de sollte vielleicht eher prüfen, ob überhaupt ein Datenschutzbeauftragter bestellt werden muss (was allerdings schon in Anbetracht des Vorteils, dass die Meldepflichten für den Einsatz von automatisierten Verfahren bei der zuständigen Aufsichtsbehörde für den Dtenschutz im Falle einer Bestellung eines Datenschutzbeauftragten entfallen, gut abgewogen werden sollte) oder eben – noch besser – eine andere Person oder einen externen Datenschutzbeauftragten bestellen. Wichtig: zum Datenschutzbeauftragten darf nur eine Person bestellt werde, die über die erforderliche Fachkunde verfügt. Die liegt ohne umfangreiche Schulung eher selten vor. Häufig bietet sich daher gerade für kleinere Unternehmen an, einen externen Datenschutzbeauftragten zu bestellen, was auch nicht unbedingt teuer sein muss, wenn die IT und die Prozesse ansonsten gut aufgestellt sind.

[Update]: Hinzuweisen ist noch darauf, dass es sich hierbei um keinen Fehler handelt, der dazu führt, dass Nutzer einen Nachteil hätten. Auch abmahnfähig ist der Fehler nicht. 

[Update2]: Der Fehler ist behoben worden, soweit ich es sehen kann.

Bei deutsche startups bin ich gestern über den Launch von ZLIO in Deutschland gestolpert. Bei meiner “üblichen” Durchsicht von AGB, Datenschutz etc. auf zlio.de ist mir schon gestern Abend negativ aufgefallen, dass ein Teil der Dokumente auf dem iPhone nicht angezeigt werden, da offenbar Flash (?!) für die Anzeige benötigt wird. Was für ein Unsinn und riskant dazu, da ein Teil der Verbraucherinformationen (z.B. Hinweise zum Bestehen oder Nichtbestehen von Widerrufsrechten) “in einer dem eingesetzten Fernkommunikationsmittel entsprechenden Weise” erbracht werden und z.T. “unmittelbar erreichbar” sein müssen….und es gibt berechtigte Zweifel daran, dass man diese Anforderungen erfüllt, wenn man ein Flash-Plugin voraussetzt. Ich sehe auch beim besten Willen keinen Sinn darin, die Dokumente nicht im HTML-Format vorzusehen, da alle Formatierungen auch so dargestellt werden könnten.

Heute schaue ich mir die Seite dann noch mal auf dem Rechner an und komme aus dem Schmunzeln nicht ganz heraus. Wer bitte schön hat diese Nutzungsbedingungen gemacht? Okay….man muss natürlich berücksichtigen, dass auch ZLIO.de von der französischen ZLIO Media LLC betrieben wird und für den Dienst nach dem Herkunftslandprinzip erst einmal französisches Recht gilt. Allerdings ist unabhängig davon zwingend auch deutsches Verbraucherschutzrecht einzuhalten (vgl. § 3 Abs. 5 TMG). Und wie es häufig so ist, sind die rechtlichen Gepflogenheiten im Hinblick auf die Darstellung von Selbstverständlichkeiten häufig noch komplexer als in Deutschland. Die Lektüre der Nutzungsbedingungen ist meiner Meinung nach kaum zu ertragen. Laut lachen musste ich jedoch über den Datenschutz-Part in den Nutzungsbedingungen. Dort wird (Stand: 27.03.2008) das Mitglied höchst förmlich über seine Betroffenenrechte auf Auskunft, Berichtigung etc. informiert. Soweit so gut….allerdings macht ZLIO dann den Anfängerfehler im Datenschutzrecht schlechthin. Man verweist auf Paragraphen im Bundesdatenschutzgesetz (BDSG) (hier z.B. § 18 und § 20 BDSG), die nur für deutsche Behörden, nicht aber für Unternehmen gelten. Das kommt in der Praxis häufiger vor und ist immer peinlich, weil es zeigt, dass man es ganz besonders toll machen wollte, in dem man den User sogar auf die konkreten rechtlichen Regelungen hinweist, man gleichwohl aber für den Kenner deutlich zum Ausdruck bringt, dass man von (deutschem) Datenschutzrecht gar keine Ahnung hat.

Wichtig: der Nutzer hat durch diese Fehler keinen Nachteil. Es ist also kein schlimmer Fehler. Aber ist absolut vermeidbar und zeigt mal wieder, dass man beim Rollout von Webservices in andere Länder besser auch fachkundigen Rat vor Ort in Anspruch nimmt. Wobei ich nicht einmal ausschließen kann, dass ZLIO sich ggf. durch eine deutsche bzw. internationale Kanzlei hat beraten lassen. Datenschutzrecht ist aber eine absolute Nischenmaterie und wird auch von nicht allzuvielen Anwälten richtig beherrscht. Sofern ein deutscher Anwalt den Datenschutzpart in den ZLIO-Nutzungsbedingungen zu verantworten hat, dann kann dieser allerdings meiner Meinung nach kein Kenner der Materie sein.

Ich meine außerdem, dass ZLIO-Nutzern ein Widerrufsrecht zusteht, welches zwar ggf. nach § 312d Abs. 3 Nr. 2 BGB vorzeitig erlischt; gleichwohl müsste dann aber darauf hingewiesen werden.

Das Konzept von ZLIO mag gut und sicher auch erfolgreich sein. Daran möchte ich auch keinerlei Kritik üben. Aber der rechtliche “Rollout” ist verbesserungswürdig.

Update: Till Achinger hat prompt reagiert. Die Datenschutzerklärung war wohl schon lange fertig, nur noch nicht implementiert, wie er mir mitgeteilt hat. Sie ist jetzt “live”. Und die von mir “angekreideten” Klauseln in den AGB sind verändert und damit verbessert worden. Wieder einmal Hut ab vor der schnellen Reaktion. Davon könnten sich viele Unternehmen eine Scheibe abschneiden.

Als ich das erste Mal vor ein paar Tagen mir “sonntagmorgen” angesehen habe, deren Konzept natürlich an mymuesli (zu denen ich mich ja auch schon einmal hier geäußert habe) erinnert, dachte ich bei grober Durchsicht der AGB, dass dies mal ein Beispiel dafür wäre, wie man es als Startup mit seiner Website ohne Fehler richtig macht – von Anfang an.

Heute wollte ich nun das Positivbeispiel in Abgrenzung zur Reihe “Vermeidbare Fehler” in einem Artikel beschreiben und siehe da….ich finde doch noch Fehler. Schade….aber auch nicht schlimm. Lässt sich ja alles beheben. Auch diese nachfolgenden Ausführungen stellen mal wieder nur meine persönliche Auffassung dar. Man mag juristisch durchaus andere Auffassungen vertreten:

“sonntagmorgen” bietet individuell zusammenstellbare Kaffeeröstmischungen (ist das Wort korrekt? Bin zwar Kaffeetrinker, aber nicht -kenner). Und ich finde die Seite kommt einfach charmant und mit einem richtigen Kaffeefeeling daher. Sehr angenehm und passende Optik. Dann noch ein einfaches und überschaubares Shopsystem.

Es werden nur die Kundendaten erhoben, die man für die Durchführung der Bestellung benötigt (vorbildlich), und die Kundendaten werden SSL-verschlüsselt übertragen.

Es fehlt leider mal wieder die nach § 13 Abs. 1 TMG erforderliche Datenschutzerklärung bzw. Hinweise zum Datenschutz, aber daran ist man ja inzwischen leider gewöhnt. [Das ist behoben worden.] Es wird auch Google Analytics verwendet, was in der EU aufgrund der leidigen IP-Adressen-Problematik und Google’s Handling damit derzeit rechtlich bedenklich ist. Aber Google Analytics ist ein absolut performantes und gutes Stats-Tool. Ich kann zumindest nachvollziehen, wenn man es einsetzt. Rechtlich dazu raten kann man jedoch leider nicht.

Die AGB von “sonntagmorgen” sind übersichtlich und wirken insgesamt angemessen. Hier und da wären IMHO juristisch exaktere Formulierungen möglich. Ich dachte zunächst – wie gesagt – dass ich keine erheblichen Fehler finde. Leider bin ich dann aber doch fündig geworden. Es gibt sogar zwei Fehler, einen in § 3 und den anderen in § 6 der AGB. [ist behoben, s.o.]

Wichtig ist der Fehler in § 6. Dort wird geregelt, dass die Versendung der Ware immer auf Gefahr des Käufers erfolgt (würde also der Kaffee beim Versand beschädigt werden, wäre das nicht im Verantwortungsbereich von “sonntagmorgen”). [ist behoben, s.o.]
Das macht man häufig als Unternehmer gerne so, weil es natürlich Vorteile bringt. Allerdings funktioniert diese Regel nicht beim sog. Verbrauchsgüterkauf, also im B2C-Geschäft. Denn es ist in diesem Bereich gesetzlich ausgeschlossen, dass die Gefahr der Versendung auf den Verbraucher überwälzt wird. Die Anwendung des für Unternehmer günstigen § 447 BGB wird nämlich im B2C-Geschäft durch § 474 BGB unmöglich gemacht. Die Folge? Die Klausel ist unwirksam. Gleiches dürfte für die Beanstandungsklausel in § 6 gelten. Im Ergebnis kippt meiner Meinung nach der gesamte § 6 in die Unwirksamkeit. [ist behoben, s.o.]

Gleiches gilt übrigens für einen Teil von § 3. Ähnliche Problematik, allerdings nicht so drastisch. “sonntagmorgen” möchte aus nachvollziehbaren Gründen den Erfüllungsort immer dahingehend bestimmen, dass dies der Sitz des Unternehmens ist. [ist behoben, s.o.] Funktioniert nach der Rechtsprechung des BGH aber nicht beim Versendungskauf, da der Ort der Leistung (und damit der Erfüllungsort) in den Fällen der Ort des Schuldners (also Käufers) ist. Was ist die Folge? Die Klausel ist IMHO unwirksam. [ist behoben, s.o.]
Leider gibt es da noch ein unschönes älteres Urteil des LG Bad Kreuznach (Urteil vom 13.11.2002, Az.: 3 O 202/02), das allerdings in der Literatur umstritten ist, aus der sich die Abmahnfähigkeit einer solchen Klausel ergeben würde. Sollte man daher vorsorglich fixen, auch wenn ich das Urteil für nicht überzeugend halte.

Ansonsten kann ich keine groben Fehler in den AGB von “sonntagmorgen” erkennen. Was das nicht vorhandene Rückgaberecht angeht, mag es sein, dass es zumindest bei den Fertigmischungen Probleme geben kann (s. dazu meinen Beitrag zu mymuesli, aus dem die Problematik klar wird), aber bei frisch gerösteten Kaffee wird man gut argumentieren können, dass das Widerrufs-/Rückgaberecht ausgeschlossen werden kann.

Und wenn ich ein etwas passionierterer Kaffeetrinker wäre, würde ich da sofort und ruhigen Gewissens bestellen. Ich finde die Website eben auch einfach sympathisch. Und den Blog auch. Also von dieser Seite viel Erfolg für Till und Tamer!

Update2: Die kritischen Probleme sind in bemerkenswerter Geschwindigkeit von Shopito behoben worden. Lob von dieser Seite! So wird dann aus “vermeidbaren Fehlern” binnen weniger Stunden ein ordentliches Resultat. So muss es sein. An kleinen Schrauben kann und sollte man noch drehen, aber das Wesentliche stimmt jetzt. Die verbleibenden Kleinigkeiten kann man beizeiten in Ruhe beheben.

Update: die festgestellten “Probleme” sind z.T. jetzt schon behoben. Am Rest arbeitet man nach eigenen Angaben.

Exiting Commerce berichtet über den Start von Shopito, einem Schmuck-Snäppchen-Shop, der nach dem “Woot-Prinzip” – also vereinfacht formuliert: jeden Tag wird nur ein Produkt zu einem besonderen Preis verkauft -  funktioniert. Da ich gebeten wurde, die Reihe “Vermeidbare Fehler” beizeiten mal wieder fortzuführen, musste jetzt leider Shopito dafür herhalten (Sorry). Auch dieser Beitrag stellt eine Meinungsäußerung von mir dar. Bekanntlich gibt es gerade im juristischen Bereich eine beachtliche Meinungsvielfalt bei konkreten Fragestellungen:

Was alle Anbieter beachten müssen, die nach dem Woot-Prinzip verkaufen, ist zunächst die wettbewerbsrechtliche Vorgabe, dass die Ware, die angeboten wird, auch tatsächlich verfügbar und vor allem auch im Verhältnis zur erwarteten Nachfrage angemessenen Menge verfügbar ist (vgl. § 5 Abs. 5 UWG). Ob Shopito das einhält, kann ich naturgemäß nicht beurteilen.

Kritisiert wurde Shopito aufgrund des eingesetzten Shop-Systems Magento Commerce, das sich derzeit noch in der Beta-Phase befindet und nach Meinung einiger Personen noch nicht “reif” für den Live-Betrieb ist. Beim Umgang mit Kundendaten ist ja besondere Obacht geboten. Begründete erhebliche Zweifel am Einsatz von Magento Commerce kann ich jedoch nicht erkennen. Von daher kann ich diesen Punkt nicht kritisieren.

Was man kritisieren kann und weswegen der Shopito-Betreiber bereits Abhilfe versprochen hat, ist, dass Kundendaten im Registrierungsprozess nicht SSL-verschlüsselt übertragen werden. Auch das ist bei den vielen Beta-Shopseiten, die so im Netz hochbloppen, nicht mehr unüblich, ist aber IMHO ein einfaches No-Go! Ein SSL-Zertifikat gibt es für 150 € im Jahr. Günstiger kriege ich ggf. sogar ein Shared-Zertifikat, das ja notfalls auch noch ausreicht. Wer die Kosten für das SSL-Zertifikat mit dem Shop nicht erwirtschaften kann, soll den Shop nicht aufmachen.

Beim ersten Anblick fand ich, dass die Seite vielleicht noch etwas “stilvoller” hätte gestaltet werden können, aber das ist Geschmackssache. Der Gesamteindruck ist aber eigentlich “okay”. Ein erster Blick zeigt, dass es mal wieder an der nach § 13 Abs. 1 TMG erforderlichen Datenschutzerklärung bzw. Hinweisen zum Datenschutz fehlt. Gut…auch das wird von vielen als Kavaliersdelikt gesehen und es stellt in dieser Form zumindest keinen wettbewerbsrechtlichen Verstoß dar. Ist jedenfalls kein Drama.

Zumindest gibt es ein Impressum, dass die erforderlichen Informationen für eine Anbieterkennzeichnung zur Verfügung stellt. Das reicht aus, um die Anforderungen an § 5 TMG zu erfüllen, wobei es richtigerweise nicht “Inhaber” einer GbR, sondern vertretungsberechtigter Gesellschafter heißen müsste. Aber das ist eine Bagatelle. [ist behoben]

Ferner wird auch im Footer der Seite ein Link zu AGB bereit gestellt, die ich mir angesehen habe. Die sind meiner Vermutung nach irgendwo abgeschrieben und ggf. angepasst worden, was ja üblich (aber eben nicht unbedingt zu empfehlen ist) ist, aber nicht immer etwas Schlechtes sein muss. Die AGB sind jedoch aus Sicht von Shopito optimierungsfähig. Man hätte hier noch Einiges eleganter regeln können. Auch macht es keinen unbedingt guten Eindruck, wenn man im Kapitel Datenschutz Rechtsnormen angibt, die man einhält, die es gar nicht mehr gibt (“TDDSG”- ich sage nur “TDDSG is dead.”).

Im nächsten Schritt habe ich mir den Bestellablauf angesehen. Ich muss mich für die Bestellung als Kunde registrieren. Das ist üblich (wenn auch nicht zwingend, wie andere E-Commerce-Anbieter erfolgreich zeigen) und völlig in Ordnung. Ach nochwas: Ich würde aufgrund der jüngsten Rechtsprechung des BGH (Urteil vom 04.10.2007, Az.: I ZR 143/04) jedoch bei der Produktdarstellung auf der Startseite dazu raten, etwas deutlicher auf Versandkosten hinzuweisen. Der Sternhinweis mag noch okay sein, aber der Hinweis selbst ist vielleicht etwas klein [ist mittlerweile behoben]. Der BGH macht die Entscheidung, ob die Ausgestaltung den Vorgaben der PreisangabenVO entspricht, vom Einzelfall abhängig. Und hier ist Vorsicht sicher die Mutter der Porzellankiste, da es ein Abmahnrisiko darstellt.

Die Kundenregistrierung ist technisch zwar schön “ajaxy”, datenschutzrechtlich aber leider suboptimal, um es einmal schmeichelhaft auszudrücken. Es werden Pflichtfelder gefordert, deren Erforderlichkeit für die Vertragsdurchführung überhaupt nicht erkennbar ist. Wofür muss ich eine Telefonnummer angeben? Warum muss ich ein Bundesland angeben?

Nun gut….was soll’s – weiter im Programm. Versandkosten, die derzeit immer “flat” 5,90 € betragen (zumindest für Versand in Deutschland) werden bestätigt, und dann kommt der Abschlussscreen mit der Zusammenstellung und dem Button “Bestellung bestätigen”. Ooops!!! Im gesamten Bestellprozess gibt es keinen Hinweis zum Widerrufsrecht? [Das Problem ist behoben worden.]

Dem Kunden steht ein Widerrufs- bzw. Rückgaberecht nach § 312 d BGB zu, da es sich zweifelsohne um einen Fernabsatzvertrag handelt. Selbst wenn, was hier nicht der Fall ist, kein Widerrufsrecht bestehen würde, müsste nach § 1 Abs. 1 Nr. 10 der BGB-InfoV auf diesen Umstand hingewiesen werden. Die Unterrichtung über das Widerrufs-/Rückgaberecht muss zudem rechtzeitig vor Abgabe der Vertragserklärung des Kunden in einer dem eingesetzten Fernkommunikationsmittel entsprechenden Weise klar und verständlichen Weise erfolgen. Tut das Shopito derzeit (Stand: 19.03.08, 06:17 Uhr)? Nein – nicht in der nach der Rechtsprechung geforderten Weise.

Man muss Shopito eingestehen, dass sie das Widerrufsrecht nicht vergessen haben. Denn in den FAQ wird darauf hingewiesen:

Wie sieht es bei Euch mit Service aus (Gewährleistung, Garantie, Rücknahme, Versandversicherung etc.)?

Selbstverständlich haben Sie bei SHOPITO das Recht, ihre auf den Abschluss des Vertrages gerichtete Willenserklärung innerhalb von einem Monat zu widerrufen. Einfach die unbenutzte Ware an uns zurücksenden. Der Betrag wird dann umgehend zurückerstattet. Näheres entnehmen Sie bitte unserer Belehrung über das Widerrufsrecht Selbstverständlich erhalten Sie 2 Jahre Gewährleistung auf unsere Produkte. Wir versenden unsere Schmuck Schnäppchen ausschließlich versichert.

Die dort angekündigte Belehrung über das Widerrufsrecht fehlte aber zum Zeitpunkt meiner “Inaugenscheinnahme”. Der Link führte zum Impressum und dort war keine Widerrufsbelehrung enthalten. [Das Problem ist behoben worden.]

Das Ganze hätte aber auch nicht ausgereicht, um den Verbraucher ordnungsgemäß über das Widerrufs-/Rückgaberecht zu belehren. [Das Problem ist behoben worden.]

Und was ist das Ergebnis? Ein solch fehlende bzw. fehlerhafte Belehrung über das Widerrufs-/Rückgaberecht ist eine Verletzung verbraucherschützender Normen und als solche eine Verletzung von §§ 3, 4 UWG und als Wettbewerbsverstoß kostenpflichtig abmahnbar. [Das Problem ist behoben worden.]

Also liebe Shopping-Anbieter…..man sollte besser vor dem Start, insbesondere, wenn von diesem öffentlich in prominenten Blogs wie Exiting Commerce berichtet wird, rechtlich prüfen lassen, ob zumindest die Grundanforderungen in rechtlicher Hinsicht eingehalten sind. Das biete ich z.B. im Zusammenhang mit meinem Beratungspaket “Quick” (mehr Info: SAY-HO! / PDF / Blogbeitrag), das wohl für jeden Gründer noch “erschwinglich” sein dürfte.

Wer seinen Shop, seine AGB etc. optimal an seine Bedürfnisse ausgerichtet haben möchte (z.B. muss man bei entsprechender AGB-Gestaltung und angepassten technischen Bestellabläufen, nicht zwingend 1 Monat Widerrufsfrist anbieten, sondern kann die Widerrufsfrist auf 14 Tage beschränken.), bekommt diese rechtliche Beratung mit meinem Beratungspaket “Start” (mehr Info: SAY-HO! / PDF / Blogbeitrag).

Ich wünschen den Jungs (und ggf. natürlich auch Mädels) von Shopito dennoch viel Erfolg bei dem Live-Shopping-Experiment. Die gröbsten Fehler können ja ohne viel Aufwand schnell behoben werden, und dann ist Shopito schnell eine runde Sache!

Wieder einmal ein Beitrag in der Rubrik “Vermeidbare Fehler“. Es ist unschwer erkennbar, dass der Anlass hierfür häufig bei der Besichtigung neuer Websites von Startups oder sonstigen Web-/Tech-Unternehmen entsteht. Liebe betroffene Startups: Bitte nehmt die Kritik nicht persönlich. Und durch Fehler lernt man ja auch. Außerdem habe ich natürlich auch nicht immer Recht, oder es gibt zumindest verschiedene vertretbare rechtliche Auffassungen. In der Regel mache ich das dann jedoch auch deutlich. Also fühlt euch bitte nicht auf den Schlips getreten, wenn ich meine Meinung zu kleineren rechtlichen Kritikpunkte äußere, die im Vergleich zu einer sonst tollen Website vielleicht nicht von Bedeutung sind. Die Besprechungen über andere eurer Leistungen erhaltet ihr ja aber regelmäßig schon an anderer Stelle.

In den einschlägigen Blogs ist DocInsider ja schon besprochen worden. Und vorab gesagt. Mir gefällt die Seite. Ich mag das “Look & Feel” der Seiten. Außerdem finde ich es gut, wenn man sich mutig auf gefährliches Terrain bewegt. Und es dürfte nur wenige gefährlichere Terrains geben als die Bewertung von Freiberuflern wie z.B. Ärzten. Nun gut – wer sich mit einer ähnlichen Dienstleistung für die Bewertung von Anwälten versuchen sollte, dürfte sein blaues Wunder erleben Das kann ich nicht empfehlen bei der Abmahn- und Klagfreudigkeit einiger Kollegen.

Die Betreiber von DocInsider haben sich ja offensichtlich Gedanken um Vieles gemacht. Aber im Hinblick auf einige rechtliche Punkte besteht noch Optimierungsbedarf. Wie viele andere (ich erspare mir die Links auf meine früheren Beiträge zum Thema TDDSG/MDStV) macht DocInsider im Impressum einen falschen Hinweis auf ein nicht mehr bestehenden Mediendienste-Staatsvertrag (MDStV). Also noch einmal. Der MDStV ist seit dem 01.03.2007 außer Kraft. Entsprechende neue Regelungen finden sich in § 5 TMG und soweit man journalistisch-redaktionelle Inhalte vorhält ggf. auch in § 55 RStV.

Die AGB habe ich mir nicht näher angesehen. Allerdings fehlten mir, da auf der Seite heute (Stand: 30.10.2007, 14:40 Uhr) keine Datenschutzerklärung i.S.d. § 13 Abs. 1 TMG zu finden war, Hinweise zum Datenschutz, die ich vielleicht in den AGB vermutete. Dort gab es aber auch keine näheren Hinweise. Nun gut….kann ja mal vorkommen. Vielleicht ein Versehen.

Man sollte diese Fehler jedoch vermeiden. Genauso wie ein Hinweis in der Registrierungsmaske, die auf Datenschutzbestimmungen verweist (s. Screenshot [Auszug aus der Registrierungsmaske], Hervorhebung durch mich), die es dann aber gar nicht gibt.

Hier sollte nachgebessert werden. Ansonsten wünche ich DocInsider viel Erfolg!

Auch die “Großen” machen Fehler. Das Thema hatten wir ja jüngst schon mal. Die Deutsche Telekom AG (DTAG) verfügt über eine ziemlich gute Datenschutzabteilung. Das mag der eine oder andere Verbraucher im Einzelfall anders sehen. Die dort arbeitenden Datenschutz-Juristen sind aber schon seit Jahren gut, wie ich finde und z.T. aus eigener Erfahrung (die allerdings schon ein paar Jahre her ist) bestätigen kann. Auch wenn T-Mobile nicht die DTAG ist, so besteht dennoch eine “Verbandelung”, was in dem gleich von mir geschilderten Fall dadurch bekräftigt wird, dass eine Werbung für das betreffende Produkt und die Seite mit den Formularfeldern auch auf den DTAG-Seiten zu finden ist. Also worum geht’s: Mein wohl nächstes Mobilfunktelefon, das iPhone, kommt ja bekanntlich am 9. November in Deutschland auf dem Markt und wird exklusiv von T-Mobile vertrieben.

Die nachfolgenden Ausführungen stellen meine persönliche Meinung dar und basieren auf dem Stand der betreffenden Seite vom 25.10.2007 (09:00 Uhr):
Auf der Seite der DTAG sowie auf Seiten von T-Mobile wird auf eine “Teaser-Seite” verlinkt, unter der man sich für Informationen “vormerken” lassen kann.

Es geht hier – wohlgemerkt – offensichtlich nur darum, per E-Mail über den Start und nähere Details zum iPhone informiert zu werden. Was ist für eine solche Information erforderlich? Genau – eigentlich nur meine E-Mail-Adresse. Wenn man sich die Formularfelder ansieht, wird dort abgefragt:

• Anrede
• Vorname
• Nachname
• E-Mail-Adresse

Es werden im Vorwege keine Informationen angeben, aus denen ich entnehmen könnte, dass hier Pflichtfelder anzugeben sind. Und insbesondere erhalte ich auf konkret dieser Seite keine Informationen über Zweck, Art und Umfang der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten. Genau genommen befindet sich dort nicht mal ein Link zu etwaigen Datenschutzhinweisen. Ich kann mich aber nicht für den Bezug der Informationen anmelden, ohne alle Pflichtfelder anzugeben (s. Screenshot).

Wie ist dies datenschutzrechtlich zu werten? IMHO handelt es sich bei dem Angebot, seine Daten anzugeben, um Informationen über ein Produkt per E-Mail erhalten zu können, um einen Telemediendienst, bei dem das Telemediengesetz (TMG) zur Anwendung kommt (sofern man die Auffassung vertreten möchte, dass die Erhebung sich nach dem BDSG richtet, gilt aber, da auch dort die Erforderlichkeit zu berücksichtigen ist, grundsätzlich nichts anderes). Erhoben werden in dem Formular sog. Bestandsdaten von mir. Die Zulässigkeit der Verarbeitung von Bestandsdaten richtet sich grundsätzlich nach § 14 TMG. Dort heißt es in Absatz 1:

Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Der Anbieter darf also nur die Daten erheben, die für die Begründung eines Vertragsverhältnisses erforderlich sind (btw: hier merkt man schon wieder, dass der Gesetzgeber besser das Wort Nutzungsverhältnis statt Vertragsverhältnis oder besser noch beide Begriffe bzw. die geläufigen Begriffe Vertragsverhältnis und vertragsähnliches Vertrauensverhältnis hätte verwenden sollen). Dabei ist unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung zu berücksichtigen, dass der Begriff der “Erforderlichkeit” restriktiv auszulegen ist. Das heißt, dass wirklich nur das zur Vertragsdurchführung Erforderliche erhoben werden darf. Das ist im konkreten Fall aber nur meine E-Mail-Adresse, alles andere eben nicht.

Um die übrigen “Pflichtfelder” sind eben nicht erforderlich. Nun ist es im Datenschutzrecht natürlich nicht so, dass ich stets nur die für Vertragsdurchführung erforderlichen Daten erheben darf. Wenn ich mehr Daten von dem Betroffenen erheben, speichern (oder sonstwie verarbeiten und/oder nutzen) möchte, benötige ich jedoch eine Einwilligung des Betroffenen. Im Telemedienrecht kann eine Einwilligung elektronisch eingeholt werden. Damit diese wirksam ist, müssen aber die Voraussetzungen des § 13 Abs. 2 TMG vorliegen. Dort heißt es:

Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Natürlich könnte man jetzt vertreten, dass ich meine Einwilligung bewusst abgebe, wenn ich Pflichtfelder ausfülle. Unter Berücksichtigung der Rechtsprechung zu generellen Anforderungen an Einwilligungserklärungen und die einschlägige rechtswissenschaftliche Literatur, wäre eine solche stillschweigende (konkludente) Einwilligung jedoch wohl unwirksam. Gefordert wird vielmehr eine eindeutige und bewusste Handlung des Betroffenen, die z.B. durch ein “Abhaken” eines Hinweistextes (z.B. “Ja, ich bin einverstanden, dass …..”) erfolgen kann. All das haben wir bei der Anmeldung zu iPhone-Informationen nicht.

Und dann fehlt sogar noch die nach § 13 Abs. 1 TMG in diesem Zusammenhang definitiv erforderliche Datenschutzinformation.

Dieses Beispiel, das ich von T-Mobile nun nicht erwartet hätte, ist ein vermeidbarer Fehler, aus dem vielleicht auch das eine oder andere anderen Web-/Techunternehmen lernen kann, wie man es vielleicht nicht oder zumindest besser machen kann.

Im Zuge einer anderen Recherche bin ich gerade über die Nutzungsvereinbarung für die Registrierung für die Diskussionsforen auf heise online gestolpert. Und was muss ich da sehen?

“….die Diskussionsforen auf heise online bieten Ihnen Gelegenheit, zusätzliche Informationen, Kommentare und kritische Anmerkungen zu unseren Berichten zu veröffentlichen. Bevor Sie starten, lesen Sie sich bitte die folgende Unterrichtung vollständig durch. Die Unterrichtung ist nach § 18 Abs. 1 Mediendienstestaatsvertrag (MdStV) vorgeschrieben; sie soll Sie in die Lage versetzen, die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Forum zu verstehen. Sie sollen wissend entscheiden können, ob Sie mit den Nutzungsbedingungen einverstanden sind.” (Hervorhebung vom Verfasser dieser Nachricht)

Genau wie das TDG und das TDDSG (siehe hier) gibt es auch den MDStV seit dem 01.03.2007 nicht mehr. Das wird “heise online” bei dem sehr großen Web-Angebot sicher nur übersehen haben. Da aus dem Hinweis keine nachteiligen Rechtsfolgen entstehen, ist das auch inhaltlich kein Problem. Vielleicht sollte das aber beizeiten mal behoben werden, da es IMHO eben nicht vorbildlich ist. Aber was soll’s – es gibt Wichtigeres.

Wie das OLG Frankfurt jüngst entschieden hat, ist es unzulässig über das Widerrufsrecht in einem nur kleinen Textfenster zu belehren, durch das man sich lange “scrollen” muss, um den Text zur Kenntnis nehmen zu können. Auch sind auf diese Art und Weise dargestellte AGB unwirksam und werden nicht wirksam in einen Vertrag einbezogen.

Es ist also keine gute Idee, einen Scrollkasten für die Darstellung von AGB vorzusehen, wie ich dies heute bei Cumonian gesehen habe:

Das soll jetzt allerdings keine Cumonian-Kritik sein, denn die verlinken ordnungsgemäß auf die AGB in lesbarer Form. Allerdings haben die AGB ein paar andere Schwachstellen, die hier jedoch nicht näher dargestellt werden sollen (kleiner Tipp: wenn ich den Dienst auch für Unternehmen öffne, was hier der Fall ist [Stand: 18.09.2007], dann könnte es Schwierigkeiten mit dem reinen Rechnungsversand per E-Mail geben. Kann, muss aber nicht. Und die salvatorische Klausel hat das übliche Problem mit der geltungserhaltenden Reduktion. Und dann sind da noch ein paar Dinge…es fehlt die nach § 13 Abs. 1 TMG erforderliche Datenschutzerklärung, der Haftungsausschluss ist obsolet, da wohl unwirsam etc…).

Aber kommen wir zurück zum eigentlichen Thema. Aufgrund der inhaltlich nachvollziehbaren Entscheidung des OLG Frankfurt (s.o.) sollte man jedenfalls davon absehen, AGB, Widerrufshinweise oder sonstige rechtlich bedeutsame Erklärungen in kleinen Scrollfeldern vorzusehen. Aus gleichen Gründen ist es auch ratsam, die entsprechenden Hinweise “accessible” zu halten, also nach Möglichkeit so, dass kein besonderes Plug-In vorhanden oder Java-Script aktiviert sein muss, um die Hinweise zur Kenntnis nehmen zu können.

Bei “gefühlten” 50% aller Web-Sites von Startups, die über Datenschutzerklärungen oder entsprechende Hinweise in den AGB verfügen, finden sich Aussagen dahingehend, dass man die oder bestimmte Regelungen des “TDDSG” beachte. Das Teledienstedatenschutzgesetz a.k.a. TDDSG ist seit 01.03.2007 nicht mehr in Kraft, d.h. es gibt es gar nicht mehr. Die entsprechenden Regelungen finden sich seit dem 01.03.2007 im Telemediengesetz a.k.a. TMG.

Es ist nicht unbedingt juristisch professionell, wenn man nach dem 01.03.2007 mit Datenschutzhinweisen oder AGB startet, die schon nach dem Stand der Gesetzgebung veraltet sind. Das Ganze kommt IMHO offensichtlich dadurch zustande, dass jeder von jedem abschreibt. So ist beispielsweise eine in Passagen weitgehend wortgleiche (aber eben veraltete) Datenschutzerklärung im Umlauf, die sich z.B. an diesen Stellen wiederfindet:

• BeatJoe – Datenschutz
• Simfy 2.0 – Datenschutz
• shelfmates – Datenschutzerklärung
• und z.B. auch bei der Datenschutzerklärtung von “my.FDP”

Ist ja egal, wer hier von wem abschreibt, entscheidend ist, dass dies offenbar unkontrolliert erfolgt. Im Falle von Datenschutzerklärungen ist das finanzielle Risiko von solchen Abschreibaktionen ja noch gering, bei AGB-Klauseln kann das ganz anders aussehen. Mal sollte zumindest, wenn man dann offiziell “live” geht, vielleicht mal einen Juristen drüber gucken lassen. So teuer ist das einfache “Drübergucken” ja nicht.

Was das eigentlich nicht mehr existente TDDSG und die Hinweise in Datenschutzerklärungen angeht, können sich nachfolgende Sites aber auch nicht mit Ruhm bekleckern (Stand: 02.09.2007):

• verwandt.de – Datenschutzerklärung
• Dealjaeger.de – Datenschutzerklärung (wenig überraschend, stecken ja die gleichen Leute wie bei verwandt.de dahinter)
• ElitePartner.de – ist nicht unbedingt ein Startup, hat aber trotzdem veraltete Datenschutzhinweise mit einem Verweis auf das nicht mehr existente TDDSG. Allerdings auch nur an einer Stelle. Auffallend außerdem, dass die Links auf die Datenschutzbestimmungen offenbar nur zugänglich sind, wenn man Javascript aktiviert hat. Kein gravierendes rechtliches Problem, aber eben auch nicht im Sinne des Erfinders solcher Erklärungen.
• frazr – Datenschutzhinweise in AGB – hier in Ziff. 5 der Hinweis auf das TDDSG zu finden. Dass die Klauseln schon ganz alt bzw. schon von anderen alten Klauseln abgeschrieben wurden, lässt sich daraus ersehen, dass ein Hinweis auf die “§§ 85 ff. TKG” erfolgt. Kenner des TK-Rechts wissen jedoch, dass die wohl gemeinten Bestimmungen (Fernmeldegeheimnis) schon seit 22.6.2004 in den “§§ 88 ff. TKG” zu finden sind. Auch nicht wirklich juristisch professionell.
• sportlet.de – Datenschutz
• blauarbeit.de: Datenschutz – okay, auch nicht mehr wirklich ein Startup, aber bemerkenswert, denn die verweisen sogar noch auf die TDSV, die erstens gar nicht einschlägig und zweitens auch schon seit Mitte 2004 nicht mehr gibt. Auch nicht schlecht….
• dialo.de – Datenschutzerklärung
• helpster.de – Datenschutzerklärung
• ichbinpapa.de – Datenschutz
• Invyte – Datenschutzbestimmungen
• Joinr – Datenschutz
• MEINNACHBAR.NET – AGB (Ziff. 4 – auch mit dem veralteten und nicht passenden Hinweis auf die §§ 85 ff. TKG, s.o.)

Und das ist nur das Ergebnis eines kleinen Streifzuges durch die Web-Gemeinde. Liebe Gründer, merkt euch: TDDSG is dead! Es ist doch nicht so schwer…..;-)