"Nur in Deutschland gibt es Stress mit Cookies!"

Jan-Bernd Meyer betreut als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" ist Meyer zuständig. Inhaltlich betreut er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.   
In den guten alten Zeiten postalischer Zusendungen reichte der deutliche Hinweis "Bitte keine Werbung", sich bei Strafe PR-Massenwaren vom Leib zu halten. Seit ein florierender Handel mit E-Mail-Adressen begonnen hat, sind die rechtlichen Bestimmungen nicht mehr so klar.

Wer schwermütig ist, greift vielleicht zu Stimulanzien. Die helfen, das Gemüt zumindest zeitweise aufzuhellen. Wer das Antidepressivum "Prozac" des US-amerikanischen Pharmakonzerns Eli Lilly and Company aus Indianapolis schluckte, der wurde spätestens am 27. Juni 2001 so richtig depressiv. An diesem Tag verschickte das Unternehmen an mehr als 600 Prozac-Patienten eine E-Mail. Darin teilte Eli Lilly seinen Kunden mit, es werde künftig nicht mehr per elektronische Post an die rechtzeitige Einnahme des Medikaments erinnern.

Dass der Mahnruf zur Medikation wegfallen würde, dürfte kaum zu Verstimmungen geführt haben. Dass in der E-Mail-Massensendung aus Versehen sämtliche Namen der Prozac-Schlucker im Klartext samt E-Mail-Adresse aufgeführt wurden, schon eher. Da half es auch nichts, dass die Unternehmenssprecherin Laura Miller den unfreiwilligen Namensabgleich mit einem bedauerlichen Programmierfehler zu entschuldigen versuchte. Umgehend rief die American Civil Liberties Union die Federal Trade Commission (FTC) auf den Plan. Die US-Wettbewerbsbehörde solle prüfen, ob Lilly gegen seine Privacy-Policy-Verpflichtungen oder gar gegen geltendes Recht zum Schutz von Kundeninformationen verstoßen habe.

Genau diese beiden Themen - Privacy-Policy und Schutz von Kundeninformationen - sind auch hierzulande ein heiß diskutiertes Thema. Wann sind E-Mail-Marketing-Aktionen juristisch wasserdicht? Welche Rechte besitzt der Internet-Surfer, dessen digitale Adresse ohne sein Wissen weitergegeben wird? Welche rechtliche Handhabe können Privatpersonen gegen Unternehmen anführen, die juristische Grauzonen für ihre Werbeaktionen zum Nachteil der Surfer nutzen? Die Antwort: Rechtlich liegt vieles noch im Argen. Nicht erst, seit Unternehmen wie der Stuttgarter Adressenvermarkter Schober.com Adressen auf CDs pressen und an jeden verkaufen, ist das Problem evident. Und auch nicht erst, seit die in der schwäbischen Kleinstadt Ditzingen ansässige Schober-Tochter Lifestyle Consumer AG in großformatigen Anzeigen E-Mail-Adressen von Hunderttausenden Kunden feilbot, wie unter anderem auch in der Publikation "E-Marketing" im Juni 2001 nachzulesen

war.

Angeblich handelte es sich bei diesen Türöffnern in die Privatsphäre deutscher Konsumenten um so genannte Permission-E-Mail-Adressen. Also um digitale Anschriften, die mit ausdrücklicher Erlaubnis der Bürger zur Weitergabe herausgerückt wurden. Ulrich Schober, Geschäftsführer der Schober.com, betont gegenüber der CW zwar, dass auf der von seinem Unternehmen vertriebenen CD nur E-Mail-Adressen von Unternehmen verewigt sind. Allerdings werden auf den CDs im Klartext auch die Namen von Ansprechpartnern und Entscheidungsträgern, von Werbe- und Marketing-Leitern genannt sowie gezielt Firmendaten abgefragt. "Namen von Privatpersonen haben wir generell nicht genutzt. Wir haben auch keine anderen Adressen-Pools in unsere eingefügt", sagt Schober. Die verkauften Adressen gewann Schober.com laut seinem Chef ausschließlich über den Fragebogen "Business Questionnaire" auf der Homepage Schober.com.

Die Lifestyle Consumer AG hingegen erfragt über den Postweg und seit kurzem auch über das Internet Konsumentendaten im Double-opt-in-Verfahren. Hierbei gibt der Adressat per Rück-Mail seine Einwilligung zur Nutzung seiner Daten. Die AZ Bertelsmann Direct GmbH erhebt dagegen keine eigenen Daten. Sie arbeitet vielmehr, so Stephan Raithel, Verantwortlicher für das Online-Direkt-Marketing bei der AZ Bertelsmann Direct GmbH, für ausgesuchte Unternehmen als Vertriebspartner und Makler ihrer Datenbestände. In Hannover hat die Gesellschaft zum Schutz privater Daten in Informations- und Kommunikationsdiensten (GSDI) nun Ernst gemacht und über 30 Unternehmen per Abmahnung aufgefordert, ihre Praxis der Datenerhebung bei Interessenten von Newslettern an die Gesetzeslage anzupassen. Vorwurf: Für ein Abonnement der Informationsschriften sei eine E-Mail-Adresse völlig ausreichend. Trotzdem hätten viele Newsletter-Anbieter als

Voraussetzung für den Bezug der Schriften ausgiebig die Privatdaten potenzieller Kunden erforscht.

E-Mail-Marketing-Fachmann Torsten Schwarz rügte auf den Deutschen Mailingtagen in Nürnberg Anfang Juli im Sinne der GSDI, dass Internet-Dienste "laut Gesetzgeber auch anonym zu nutzen sein" müssen. Dirk Felsmann, Vorsitzender der GSDI mit Internet-Präsenz (Webrobin.de), sagt, zu den Adressaten der Abstrafaktion hätten ein großer Nahrungsmittelkonzern ebenso gezählt wie Medienhäuser oder öffentlich-rechtliche Rundfunkanstalten. "Sogar das Bundesministerium für Wirtschaft und Technologie und das Innenministerium machen das bei ihrem Newsletter auf der Internet-Seite falsch, weil die zwingend nach dem Namen fragen, obwohl der für diesen Service nicht nötig ist." Fast bedauernd schiebt der 36-Jährige nach, die Ministerien  ständen in keinem Wettbewerb, könnten dementsprechend auch nicht abgemahnt werden.

Viele Gesetze - wenig Klarheit

Ob die großflächig angesetzte Abmahnaktion rechtskonform ist, darüber streiten sich Juristen unter anderem auch deshalb, weil gleich mehrere Rechtsvorschriften mit unterschiedlichen Auslegungen miteinander konkurrieren. "Die GSDI hat, als sie die Anbieter von Newslettern abmahnte, offensichtlich nicht sauber zwischen verschiedenen Rechtsvorschriften im Datenschutzrecht getrennt", sagt die auf Internet-Recht spezialisierte Frankfurter Rechtsanwältin Petra Marwitz. Das "rechtlich relativ komplizierte Gebilde" erlaubt in einem Gesetz, was im anderen verboten ist. Je nachdem, ob das am 23. Mai 2001 in seiner novellierten Form verabschiedete Bundesdatenschutzgesetz (BDSG), das Teledienstedatenschutzgesetz (TDDSG), der Mediendienstestaatsvertrag oder das Telekommunikationsrecht mit ihren jeweiligen datenschutzrechtlichen Vorschriften zur Anwendung kommen, ist manches erlaubt – oder eben nicht. Erschwerend kommt hinzu, dass die - schönstes Juristendeutsch -

"Erlaubnistatbestände" nicht nur unterschiedlich, sondern auch teilweise ganz neu gefasst worden sind, sagt Marwitz.

Kein Wunder, dass weder der juristisch unbedarfte Internet-Surfer noch Unternehmen sich im Paragraphendschungel auskennen und oft nicht wissen, ob das, was sie tun, vor dem Gesetz noch erlaubt ist. Das könnte auch der GSDI zum Verhängnis geworden sein. Sie ist im Augenblick nicht klagebefugt, wie Vorstand Felsmann der CW bestätigt. Zwar ist die GSDI in den Listen von Verbraucherschutzvereinen beim Bundesverwaltungsamt in Köln eingetragen und damit zur Aussprechung von Abmahnungen berechtigt. Im Zuge von Streitigkeiten mit von der GSDI abgemahnten Unternehmen beantragte die Berliner Anwaltskanzlei JBB-Rechtsanwälte beim Bundesverwaltungsamt jedoch einen Sperrvermerk, dem stattgegeben wurde. Jetzt müssen die Gerichte entscheiden, ob die GSDI weiter abmahnberechtigt ist.

Beim Deutschen Multimedia Verband (DMMV) bewertet man das Vorgehen der Hannoveraner zwar "prinzipiell als richtig". Trotzdem scheint man beim Industrieverbund nicht sonderlich gut zu sprechen zu sein auf die GSDI. Klaus Arnold sieht den gemeinnützigen Verein bereits in der Pleite und moniert: "Die Massenabmahnungen sind nicht richtig, auch wenn die grundsätzliche Absicht einen richtigen Weg aufzeigt." Arnold ist Mitinitiator und Leiter der Projektgruppe "E-Mail-Marketing" des DMMV, der gerade erst zusammen mit Vertretern von Ebay, Doubleclick, der Agentur "Die Argonauten", Kirch New Media und Pixelpark Empfehlungen für den korrekten Umgang mit E-Mail-Adressen erarbeitet hat. Deren Double-opt-in-Verfahren soll nun die Bedenken von Surfern beschwichtigen und Unternehmen bei ihrer Datenerhebung rechtlich absichern.

Hierzu trägt sich der Internet-Benutzer auf der Homepage eines Unternehmens in einen E-Mail-Verteiler ein. Sobald er eine Bestätigungs-E-Mail erhält, hat er die Möglichkeit, sich sofort wieder auszutragen (Single-opt-in) oder auf diese E-Mail zur Kontrolle noch einmal zu antworten (Double-opt-in). Diese zusätzliche Bestätigung kann auch erfolgen, indem der User eine bestimmte Website über eine codierte URL aufsucht. Alexander Felsenberg, der Vizepräsident und Geschäftsführer des DMMV, ist der Ansicht, dieses Opt-in-Verfahren per E-Mail sei ein sicherer juristischer Weg, da die ausdrückliche Anforderung eines Newsletters oder sonstiger E-Mail-Informationen durch den User nur so zu beweisen sei.

Ob diese Sicht juristisch unwiderlegbar ist, scheint jedoch strittig. Kritiker monieren, das vom DMMV vorgeschlagene Verfahren erfülle nicht zwingend gesetzliche Vorschriften. Das deutsche Gesetz schreibe vor, dass die Einwilligung protokolliert wird. Unerheblich sei, ob man im Sinne des Double-opt-in-Verfahrens zwei- oder zehnmal antworte. So lange nicht protokolliert werde, was geschieht, und dieses Protokoll vom Surfer nicht eingesehen werden könne, sei das Verfahren rechtlich fragwürdig. Rechtsvertreter sehen das ähnlich. Anwältin Marwitz und ihr ebenfalls auf Internet-Jurisprudenz spezialisierter Hamburger Kollege Ivo Geis zitieren übereinstimmend deutsches Recht, wonach ein Internet-Benutzer vor der Speicherung seiner Daten über Art, Ort, Umfang und Zweck der Speicherung informiert werden muss. Der Benutzer "muss ja schließlich wissen, worauf er sich einlässt", so Geis. Nur wenn der Surfer nach dieser Information seine grundsätzliche Einwilligung

zur weiteren Nutzung seiner Daten erteilt habe, dürften diese an Dritte weitergegeben werden.

Geis optiert angesichts der unübersichtlichen Rechtslage dafür, dass Unternehmen durch eine öffentlich dokumentierte offensive Privacy-Policy das Vertrauen der Internet-Surfer gewinnen, eine Intention, die sich auch der DMMV auf seine Fahnen geschrieben hat. Als positives Beispiel für eine gelungene Internet-Privacy-Verpflichtung nennt Geis die Erklärung, die Nestle auf seiner Homepage abgegeben hat. Selbstverpflichtungen der Unternehmen seien ein richtiger Weg, meint Geis, der hoffnungsvoll Adam Smith und dessen "unsichtbare Hand des Marktes" als ordnende Handlungsaufforderung zitiert. Was mancher E-Mail-Marketier geflissentlich übersieht, ist dabei eine kleine, aber feine Differenzierung in der deutschen Rechtsprechung. Nach dem Bundesdatenschutzgesetz hat ein Bürger nämlich bei der rechtlich nicht einwandfreien Nutzung seiner Daten, die aber nicht über das Internet, sondern auf konventionellem Weg erworben wurden (also offline) nur ein Widerspruchsrecht -

"ein Privileg, das sich die Werbewirtschaft erstritten hat", kommentiert der Hamburger Rechtsanwalt Geis süffisant.

Werden aber Daten im Internet erhoben, gespeichert, genutzt und weiterverarbeitet, ist die jederzeit widerrufliche Einwilligung hierzu nach dem sehr viel rigideren Teledienstedatenschutzgesetz geregelt und unumstößliche Voraussetzung für jede weitere Verwendung der Adressbestände. Rechtlich völlig unklar ist noch die Einordnung von Cookies. Hierbei handelt es sich um Minidateien, die von vielen Web-Inhalte-Anbietern auf die Festplatte eines Surfers geschrieben werden, wenn er sich auf Internet-Seiten bewegt. Fast schon die Regel ist, dass auf jeder Seite eines tief gestaffelten Internet-Angebots solch ein Benutzervermerk gesetzt wird. Ursprünglich waren Cookies als technologisch kreative Möglichkeit gedacht, die Session-Kommunikation zwischen einem Surfer und dem Anbieter einer Internet-Offerte zu erleichtern. Mittlerweile haben sie sich vor allem als probates Mittel erwiesen, das individuelle Surf-Verhalten und damit die Interessen eines Internet-Wanderers

nachzuvollziehen.

Da eine Firma, die beim digitalen Besuch auf ihrer Homepage Cookies auf der Festplatte des Gastes setzt, nicht die Identität des Surfers etwa mit Namen und Anschrift erfährt, sondern nur dessen Internet-Protocol-(IP-)Adresse, wähnen sich die meisten Unternehmen mit ihrer Praxis rechtlich auf der sicheren Seite und machen massenhaft Gebrauch davon. Problematisch an der Datenerhebung via Cookies ist, dass sie im Regelfall verdeckt erfolgt. Die Voreinstellungen der gängigen Browser akzeptieren die Setzung, ohne dass der Benutzer überhaupt davon erfährt. Es bedarf schon weitergehender Kenntnisse über die Browser-Software, um diese Grundeinstellung zu ändern. Das Kreuz mit den Cookies ist aber, dass eine saubere Differenzierung in eine dem Nutzer bekannte und eine verdeckte Datenerhebung in den Gesetzen noch nicht kodifiziert ist. Und genau diese Gesetzeslücke machen sich Unternehmen in der Regel zu Eigen, um das Surf-Verhalten von Benutzern zu erforschen. Die

Dienste von Hotmail etwa kann man nicht nutzen, wenn man die Cookie-Funktion ausgeschaltet hat. Konkurrent Web.de ist in seinem Informationsbedürfnis wesentlich zurückhaltender.

Schlechtes Beispiel - der Autokonzern Volvo

Ein ärgerliches Beispiel ist die Homepage des Autokonzerns Volvo: Wer auf dessen Internet-Seite gelangt und per Browser-Einstellung vor der Setzung eines Cookies jedesmal erst informiert werden möchte („Warn me before accepting a cookie“), erlebt sein blaues Wunder. Bevor der Interessierte auf eine Internet-Seite mit verwertbaren Informationen gelangt, bombardiert Volvo ihn mit Cookies. Wer diese nicht akzeptiert, bleibt draußen und bekommt keinen Zugriff auf irgendeine Volvo-Web-Seite. Eine Firmensprecherin der deutschen Dependance in Köln bestätigte den Sachverhalt. Die Cookies dienten jedoch ausschließlich dazu, Clicks zu zählen. Dies stimmt allerdings nicht. Allein um auf die Ausgangsseite www.volvocars.de zu gelangen, bekommt man zwei Dutzend Cookies gesetzt.

Die Sprecherin sagte, die deutsche Niederlassung sei sich des Problems bewusst und habe auch in der Zentrale angeregt, diese Praxis zu modifizieren. Da die Volvo-Homepage aber in Schweden für die gesamte Internet-Repräsentanz des Unternehmens weltweit programmiert werde, müssten sich hierzulande schon die Gesetze ändern, damit Volvo einlenke. Außer in den USA und Deutschland seien Cookies aber nirgendwo sonst ein Thema, "in Europa ist Deutschland das einzige Land, das wahnsinnig viel Stress mit Cookies macht". Prinzipiell seien Cookies deshalb weniger problematisch, weil Privatanwender – an die sich Volvo wende - durch ihren Internet-Provider jeweils unterschiedliche IP-Adressen zugewiesen bekommen. Dies sei nur anders bei Surfern, die sich aus der Firma ins Internet einloggen würden.

Genau hier liegt aber die Problematik: Da in der Regel Firmenmitglieder über einen Proxy-Server oder eine Firewall ins Internet gelangen, wird deren IP-Adresse an einen Anbieter wie Volvo weitergegeben. Und für diesen dürfte durchaus von Interesse sein, welche Firma besonders häufig Informationsbedarf an Produkten der Schweden anmeldet. Vor Jahren war beispielsweise das Unternehmen Compaq Ziel öffentlichen Gespötts, weil eine Untersuchung ergeben hatte, dass besonders häufig Mitarbeiter des Computerherstellers die Homepage einer Erotikpostille angesteuert hatten. Als das öffentlich wurde, hatten die Compaq-Oberen allen Grund, Gemütsaufheller zu schlucken. Es ist allerdings nicht bekannt, ob einige von ihnen auch auf der Eli-Lilly-E-Mail vom Juni dieses Jahres vermerkt waren.