Bis zum 1. Juli 2022 müssen Unternehmen, die auf ihren Websites Verbrauchern den Abschluss von bestimmten entgeltlichen Dauerschuldverhältnissen ermöglichen, die gesetzlichen Vorgaben des § 312k n.F. BGB zum so genannten Kündigungsbutton umgesetzt haben. Welche datenschutzrechtlichen Fallstricke diese Vorschrift mit sich bringt, erfahren Sie hier.
Worum geht es?
Mit dem Gesetz für faire Verbraucherverträge hat der Gesetzgeber den neuen § 312k BGB eingeführt, der Verbrauchern die Kündigung von Dauerschuldverhältnissen im elektronischen Geschäftsverkehr erleichtern soll. Kern dieser ab dem 1. Juli 2022 geltenden Neuregelung ist die Verpflichtung der in den Anwendungsbereich der Vorschrift fallenden Unternehmer, eine „ständig verfügbare sowie unmittelbar und leicht zugängliche Bestätigungsschaltfläche“ vorzuhalten, durch deren Betätigung der Verbraucher die Kündigung seines Vertrages erklären kann (§ 312k Abs. 2 Ziffer 2). Um dem Verbraucher die Ausübung seines Kündigungsrechts nicht zu erschweren, soll der Unternehmer dabei nach Abs. 2 Ziffer 1 gehalten sein, den Verbraucher nur zur bestimmten, zur Identifizierung seiner Person und des Vertragsverhältnisses erhobenen Angaben aufzufordern. Ferner hat der Unternehmer dem Verbraucher „den Inhalt sowie Datum und Uhrzeit des Zugangs der Kündigungserklärung sowie den Zeitpunkt, zu dem das Vertragsverhältnis durch die Kündigung beendet werden soll, sofort auf elektronischem Wege in Textform zu bestätigen“ (Abs. 4).
Die Einzelheiten dieser Neuregelung sind dabei ebenso umstritten wie ihr konkreter Anwendungsbereich und werden die Gerichte voraussichtlich noch längere Zeit beschäftigen. Bereits heute festhalten lässt sich aber, dass der Gesetzgeber die Regelung in datenschutzrechtlicher Hinsicht nicht „zu Ende gedacht“ hat.
Wo liegen die datenschutzrechtlichen Probleme?
Der datenschutzrechtlich Verantwortliche für die Verarbeitung personenbezogener Daten hat durch technische und organisatorische Maßnahmen sicherzustellen, dass kein Unbefugter auf diese Daten zugreift oder sie gar ändert, zumal wenn mit einer solchen Bestandsdatenänderung ein Risiko für die Rechte und Freiheiten des Betroffenen verbunden ist. Eine solche Zugriffskontrolle wird auf Online-Portalen typischerweise dadurch gewährleistet, dass sich Nutzer durch Eingabe Ihrer geheimen Zugangsdaten authentifizieren müssen. Eben diese Zugangskontrolle soll dem Unternehmer aber nach der Gesetzesbegründung verwehrt sein. Denn dort (BT-Drucks. 19/30840, S. 18) heißt es ausdrücklich, dass Verbraucher jederzeit auf die Bestätigungsseite zugreifen können müssen, ohne sich hierfür zunächst auf der Webseite anmelden zu müssen. Anders ausgedrückt sind dem Unternehmer die üblichen technischen Vorkehrungen untersagt, um rechtsgestaltende Erklärungen eines Unbefugten zu Lasten des Betroffenen zu verhindern.
Nun soll der Unternehmer zwar nach § 312k Abs. 2 Ziffer 1 lit. b) auf der Bestätigungsseite Angaben des Verbrauchers „zu seiner eindeutigen Identifizierbarkeit“ verlangen können. Hierfür „dürften“ aber nach der Gesetzbegründung „typischerweise“ (nur) „der Name und die Anschrift des Verbrauchers erforderlich sein“. Diese Auffassung des Gesetzgebers steht in offenkundigem Widerspruch zur Praxis der Datenschutzbehörden und dem Stand der Technik i.S.d. Art. 32 Abs. 1 DSGVO, wie er etwa im IT-Grundschutzkompendium des BSI definiert wird. Tatsächlich ist es seit dem berüchtigten 1&1-Bußgeldverfahren des BfDI gängige Praxis der Datenschutzaufsichtsbehörden, von Verantwortlichen als Mittel der Zugriffskontrolle eine Authentifizierung des Nutzers mit mindestens einem sicheren Faktor, d.h. einem geheimen Wissen des Betroffenen und – je nach Gefährdungslage – mittels einer Zweifaktorauthentifizierung zu verlangen sowie diese Anforderungen auch unter Bußgeldandrohung durchzusetzen.
Schließlich muss dem Verbraucher nach § 312k Abs. 4 BGB n.F. „sofort“ unter der von ihm auf der Bestätigungsseite angegebenen E-Mail-Adresse die Eingangsbestätigung zugesandt werden. Weder der Gesetzestext noch die Gesetzesbegründung lassen dabei Raum für eine Überprüfung, ob es sich bei der angegebenen E-Mail-Adresse tatsächlich um jene des Verbrauchers – oder auch nur um jene des sich als dieser Verbraucher ausgebenden Nutzers – handelt. Das Unternehmen ist somit unter Umständen gehalten, durch eine E-Mail an eine ihm unbekannte und unbestätigte E-Mail-Adresse offenzulegen, dass ein Vertragsverhältnis zwischen ihm und dem Betroffenen existiert.
Die Missbrauchsrisiken des Kündigungsbuttons sind also kaum zu übersehen. Eine ähnlich verschmähte Ex-Lebensgefährtin wie jene, die mit dem Erschleichen der Mobilfunknummer des Betroffenen an der Kundenhotline von 1&1 das oben erwähnte Bußgeldverfahren auslöste, könnte ab dem 1. Juli 2022 wie folgt vorgehen: Sie würde auf sämtlichen Websites von bekannten oder vermuteten Anbietern, bei denen der Betroffene Strom-, Mobilfunk- oder sonstige essentielle Dauerschuldverhältnisse unterhält, unter bloßer Angabe des Namens und der Anschrift des Betroffenen Kündigungen erklären und hierbei durch Angabe einer falschen E-Mail-Adresse sicherstellen, dass der Betroffene hiervon nicht oder zumindest zu spät erfährt. Und sollte sie zugleich einen Groll gegen das Unternehmen des Anbieters selbst hegen, gäbe sie als E-Mail-Adresse die eines Dritten an, vom dem sie annehmen darf, dass dieser entsprechende E-Mails als vermeintlichen Spam abmahnt und dies mit datenschutzrechtlichen Auskunftsansprüchen verbindet. Und auch unlauteren Wettbewerbern eröffnen sich dadurch ungeahnte Möglichkeiten einer anonymen, schikanösen Behinderung ihrer Konkurrenten.
Unternehmen, die den Kündigungsbutton umzusetzen haben, befinden sich also in einer Zwickmühle. Verlangt das Unternehmen vom Verbraucher als Angabe „zu seiner eindeutigen Identifizierbarkeit“ die Angabe eines Passworts oder eines ähnlichen geheimen Authentifizierungsmerkmals, so könnten Kunden dies als Verstoß gegen §312k Abs. 2 BGB n.F. ansehen und für sich das Recht aus § 312k Abs. 6 BGB n.F. auf eine sofortige Kündigung in Anspruch nehmen. Daneben besteht die Gefahr wettbewerbsrechtlicher Abmahnungen und – wenn auch wohl nur theoretisch – eines Bußgelds auf Grundlage von Art. 246e § 2 Abs. 2 S. 1 EGBGB.
Verzichtet das Unternehmen vor diesem Hintergrund auf ein solches Authentifizierungsmerkmal, so muss es darauf hoffen, dass die zuständige Datenschutzaufsichtsbehörde dies im Hinblick auf die Vorgaben des § 312k BGB n.F. toleriert. Dabei ist allerdings offen, ob und wie sich dieses vom Gesetzgeber offenbar „gewollte“ Unterschreiten des gesetzlichen Schutzniveaus des Art. 32 Abs. 1 DSGVO dogmatisch rechtfertigen lässt. Man könnte in der Neuregelung eine gesetzliche Ausnahme auf Grundlage der Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO sehen. Umkehrt könnte aber auch das Datenschutzniveau des Art. 32 Abs. 1 DSGVO im Wege europarechtkonformer Auslegung in das Tatbestandsmerkmal der „eindeutigen Identifizierbarkeit“ in § 312k Abs. 2 Ziffer 1 lit. b) BGB n.F. hineinzulesen sein.
Was ist Unternehmen zu raten?
Unternehmen, die einen Datenschutzbeauftragten bestellt haben, können über diesen von der in § 40 Abs. 6 Satz 1 BDSG verankerten Möglichkeit der Beratung durch die zuständige Datenschutzaufsichtsbehörde Gebrauch machen. Über diesen Weg lassen sich potentielle datenschutzrechtliche Bußgeldrisiken für den Fall des Verzichts auf eine Authentifizierung des Verbrauchers reduzieren.
In jedem Fall zu raten ist, sich frühzeitig auf einen möglichen Missbrauch des Kündigungsbuttons einzustellen und sicherzustellen, dass die potentiell zunehmende Anzahl von Beschwerden oder Auskunftsersuchen (Art. 15 DSGVO) möglicher Drittbetroffener zeitnah bearbeitet und beantwortet wird.
Schließlich sollten sich Unternehmen sorgfältig mit der Gestaltung der Kündigungseingangsbestätigung i.S.d. § 312k Abs. 4 BGB n.F. beschäftigen. Es sollten ausschließlich jene Daten in die Bestätigung aufgenommen werden, die der Nutzer selbst in das Kündigungsformular eingegeben hat. Dabei sollte tunlichst auf jegliche werblichen Inhalte – selbst auf die Wiedergabe von Logos, Claims oder Prüfkennzeichen – verzichtet werden, um sich nicht dem Vorwurf wettbewerbswidriger E-Mail-Werbung auszusetzen.