computerwoche.de

Archiv

Customer-Relationship-Management/Eine Frage des Vertrauens

Rechtliche Aspekte des Internet-Vertriebs

15.03.2002
Durch die Möglichkeiten der computergestützten Kommunikation etablieren sich neue Vertriebsformen. Doch im B-to-C-Bereich scheint ein gegenseitiges Vertrauensverhältnis zwischen Kunden und Unternehmen nicht oder nur zögernd zu entstehen. Für Irritationen beim Customer-Relationship-Management (CRM) sorgen vor allem Fragen zu Verbraucherrechten, zum Datenschutz sowie Neuerungen der Rechtslage. Von Oliver Loock-Wagner*

Erfolgreiches CRM ist mit rechtlich einwandfreien Vertragsabschlüssen zwischen Unternehmen und Kunden verknüpft. Unzureichende oder fehlerhafte allgemeine Geschäftsbedingungen kommen beim Kunden ebenso schlecht an, wie fehlende Kenntnisse im allgemeinen Vertragsrecht. Über das Web abgeschlossene Verträge sind rechtlich grundsätzlich so zu behandeln wie klassische Vertragsabschlüsse. Dies gilt auch für einige Besonderheiten: Ein rechtlich bindendes Angebot kann vom Unternehmer manchmal nicht gewollt sein, wie Katalog-Offerten oder Postwurfsendungen belegen. Im Internet gilt Ähnliches: Angebote auf der Homepage eines Unternehmens sind als nicht bindend anzusehen. Durch das Bestellen von Waren oder Dienstleistungen mittels elektronischer Bestellformulare oder per E-Mail seitens des Kunden kommt ein Vertrag noch nicht zustande. Einzige Ausnahme ist der Bereich der Internet-Auktion. Hier gilt die Freischaltung einer Angebotsseite als ein rechtsverbindliches Angebot.

Bedeutsam sind die Fälle der durch technisches Versagen fehlerhaft übermittelten Willenserklärungen. Grundsätzlich sind auch falsch übertragene Willenserklärungen dem Absender zurechenbar, allerdings besteht für diesen die Möglichkeit der Anfechtung. Eingabefehler fallen in den Risikobereich des jeweiligen Nutzers.

Ein besonderes Augenmerk muss auch auf die Verwendung von Allgemeinen Geschäftsbedingungen als wesentlicher Bestandteil eines Vertragsabschlusses gelegt werden. Die vorformulierten Vertragsbedingungen müssen wirksam in den Vertrag einbezogen, also Bestandteil des Vertrages geworden sein. Dies setzt voraus, dass der Anbieter seine Kunden ausdrücklich auf die AGB hinweist und ihnen ermöglicht, diese einzusehen. Ausreichend ist es, im unmittelbaren Zusammenhang mit der Angebots- und Bestellseite einen gut sichtbaren AGB-Link auf der Homepage zu platzieren. Schädlich ist beispielsweise im B-to-C-Bereich ein nicht belegter Link. Selbstverständlich dürfen mit AGB nicht beliebige Rechtsfolgen zum Vertragsgegenstand gemacht werden. Das Gesetz zu den allgemeinen Geschäftsbedingungen (AGBG) regelt in mehreren Normen, welche Klauseln möglich und welche unzulässig sind.

Seit dem 1. Januar 2002 sind diese Regelungen in das Bürgerliche Gesetzbuch integriert (§ 305 ff. BGB) und halten ebenfalls beachtliche Neuerungen bereit. Hinzugekommen ist beispielsweise, dass nicht klar und verständlich gefasste AGB-Bestimmungen bereits unwirksam und daher nicht Vertragsbestandteil sind.

Der Missbrauch von Zugangsdaten durch Unberechtigte muss weiterhin einkalkuliert werden. Technisch wird der Schutz der Vertragspartei hinsichtlich seiner Identität und dem Inhalt der Willenserklärung nunmehr durch die im Signaturgesetz verankerten Möglichkeiten gestärkt. Zugangs- und Identifizierungskontrollen werden verbessert. So ist davon auszugehen, dass biometrische Verfahren wie die Erkennung anhand von Fingerabdruck, Stimme oder Augen den Passwortschutz bald ablösen. Ob sich die elektronische Signatur als vertrauensbildende Maßnahme im CRM etablieren wird, bleibt abzuwarten.

Mangelndes Risikobewusstsein der Nutzer und inkompatible Sicherheitsanwendungen stellen allerdings Hürden dar. Zu unübersichtlich sind die qualitativ unterschiedlichen Varianten der Zertifikate, der Diensteanbieter von Zertifizierungen und der ausgegebenen Signatur. Angesichts der Ausgestaltungsbefugnisse der EU-Mitgliedstaaten lässt sich die Vielzahl der Varianten der elektronischen Signatur allenfalls reduzieren. Vertrauensbildend ist dies für den Kunden noch nicht.

Es zählt das HerkunftslandIn Sachen grenzüberschreitender Geschäftsverkehr hält das neue Gesetz über den Elektronischen Geschäftsverkehr (EGG) das wichtige Herkunftslandprinzip bereit. Werden Geschäfte aus unterschiedlichen Rechtssystemen heraus geschlossen, bestimmen die Regeln des internationalen Privatrechts, welches Recht auf die Geschäftsbeziehung anzuwenden ist. Fehlt es an einer Vereinbarung, also an einer freien Rechtswahl, soll nunmehr das Folgende gelten: Das anzuwendende Recht richtet sich nach der Herkunft des Diensteanbieters - entscheidend ist der Ort der Niederlassung, nicht der Server-Standort. Wer sich also nach dem Recht seines Heimatlandes rechtstreu verhält, soll trotz möglicherweise strengerem Recht am Abrufort nicht zur Verantwortung gezogen werden können.

Zu beachten ist, dass das Herkunftslandprinzip nur für den Bestellvorgang gilt, nicht aber für die möglicherweise nachfolgende Auslieferung des Vertragsgegenstandes. Daher kann beim Kunden vor Ort eine Beschlagnahme erfolgen, obwohl das Anbieten und die Bestellung nach dem Heimatrecht des Anbieters zulässig war.

Vom Herkunftslandprinzip erfasst wird nur der geschäftsmäßige Anbieter von Telediensten (also der Anbieter von Offerten im Bereich der Individualkommunikation, der Datendienste und der Angebote von Waren- und Dienstleistungen). Beim Zusenden von unverlangten Werbe-Mails (Spamming) gelten weiterhin die nationalen Vorgaben.

Ungeschützte E-Mails, unzulässige Datenverarbeitungen oder auch die Eingabe von Kreditkartennummern schrecken so manchen Kunden von der Teilnahme am E-Commerce ab. Datensicherheit und Datenschutz bestimmen wesentlich die Akzeptanz des elektronischen Handels. Unklarheiten über die Nutzung und Verwertung von Kundendaten kostet Vertrauen. Andererseits ist das Erstellen von Nutzerprofilen für Unternehmen im E-Commerce höchst interessant. Wer im Internet global kommuniziert und auf Daten zugreift, hinterlässt für Dritte Spuren. Anhand dieser Spuren kann überprüft werden, welcher Nutzer in welchem Umfang auf bestimmte Datenbestände zugegriffen hat.

Profile sollen möglichst detaillierte Auskunft über den Nutzer geben. Log-in-Dateien und technische Abfrage-Tools erlauben es schnell, Persönlichkeitsprofile von Kunden zu erstellen. Diese sind datenschutzrechtlich jedoch äußerst unerwünscht. Beim Datenschutz geht es um die personenbezogenen Daten, um den Schutz vor nicht gewollter Erhebung, Nutzung oder Verarbeitung wie Speicherung, Veränderung oder Übermittlung. Geschützt sind Einzelangaben über persönliche oder sachliche Verhältnisse, die unmittelbar oder mittelbar Rückschlüsse auf die Person zulassen würden. Personenbezogene Log-in-Dateien sind daher ohne Zustimmung des Kunden unzulässig. Grundsätzlich ist es nicht erlaubt, Protokolldateien über Zugriffe personenbezogen zu speichern. Anonymisiert, etwa unter Kürzung der letzten Ziffern der IP-Adresse, ist eine Speicherung dieser Dateien dagegen gestattet.

Das Datenschutzrecht stellt auf den Grundsatz der Zweckbindung ab. Unabhängig von einer Zustimmung des Kunden dürfen Daten nur für konkrete Zwecke, insbesondere für die Durchführung und Abwicklung eines Vertrages mit dem Kunden genutzt werden. Hinzu kommt nach dem neuen Bundesdatenschutzgesetz (BDSG) vom Mai 2001 das Gebot der Datenvermeidung. Auf die Erhebung personenbezogener Daten soll so weit wie möglich verzichtet werden. Eine Datensammlung auf Vorrat ist grundsätzlich unzulässig, weshalb auch Data Mining im weiteren Sinne ohne Zustimmung der Betroffenen unzulässig ist. Doch Vorsicht: Eine Pauschaleinwilligung des Kunden genügt nicht. Der Zweck der Erhebung, Verarbeitung oder Nutzung sind dem Betroffenen deutlich zu erkennen zu geben. Bestehende Data-Mining-Konzepte müssen zwingend im vorhinein zum Geschäftsinhalt mit dem Kunden erhoben werden.

Cookies kaum ein ProblemIm Bereich der Cookies erscheint die datenschutzrechtliche Beurteilung auf den ersten Blick problematisch zu sein. Persönliche Daten eines Nutzers sind in der Regel mit Cookies nicht oder nur unter großem Aufwand zu ermitteln. Ist ein Bezug zu personenbezogenen Daten nicht gegeben, kommt das Datenschutzrecht nicht zur Anwendung. Sollten Cookies personenbezogene Daten enthalten, dann ist zur weiteren Verwendung eine wirksame Zustimmung des Nutzers erforderlich, eine Einwilligung durch Browser-Abfrage ist nicht ausreichend. Wird ein Cookie lediglich als Zugangsvoraussetzung verwendet, ist die datenschutzrechtliche Problematik angesichts der durch die Browser-Technik möglichen "session cookies", also der Löschung nach Beendigung der Sitzung, ohnehin als gering einzustufen. (ue)

*Oliver Loock-Wagner lebt in Berlin und ist Diplom-Medienberater, Fachjournalist und Dozent für Medienrecht.

Tipps zum Vertragsabschluss im Internet-Die Angebotsseite im Internet ist kein bindendes Angebot für einen Vertrag (Ausnahme: Auktionen).

-Für Verträge im Internet gilt primär das Bürgerliche Gesetzbuch (BGB), ergänzt um Verbraucherschutzbestimmungen wie das Recht der Allgemeinen Geschäftsbedingungen oder Regelungen des Fernabsatzes.

-Formulieren Sie kurze und verständliche AGB und klären Sie den Kunden umfassend auf.

-Verfolgen Sie neue Gesetzesvorhaben, auch auf europäischer Ebene.

-Erwägen Sie Rechtswahlklauseln, um den Gerichtsstand zu klären.