Juristisches

Gestern schlug hier telefonisch im Support eine Drückerkolonnen- Mitarbeiterin einer Versicherungsagentur (die sich aber nicht als solche zu erkennen gab) auf, und die mich unbedingt und in einer privaten Steuerangelegenheit sprechen wollten.

Ein kurzer Anruf von mir ergab, dass man mir schlicht etwas verkaufen wollte. Meinen kurzen Hinweis, dass es genau durch die Erwähnung von privater Angelegenheit nicht um B2B-Geschäft ginge, und es damit unerwünschte Telefonwerbung sei, ignorierte die Dame schlicht. Selbst, nachdem ich ihr sagte, dass ihr Anruf unerwünscht gewesen ist, ebenso wie ihr Anliegen an sich, änderte sich nichts. Sie wollte wissen, ob ich nicht dennoch interessiert sei.

Ich habe die Dame dann weiterhin freundlich aber mit Bestimmtheit darauf hingewiesen, dass sie sich spätestens seit meinem Hinweis, dass die Kontaktaufnahme unerwünscht ist, im nicht mehr rechtlich zulässigen Rahmen bewege. Ich habe ihr dann mal weiterhin freundlich mit unserem Hausjuristen gewunken und gefragt, ob sie an dem, was sie mir da verkaufen wollte, wirklich so viel verdienen würde, wie die Abmahngebühren seien. Offenbar hat sie dieses simple Rechenexempel überzeugt

Entweder der Mitarbeiter hatte etwas damit zu tun, oder die Polizei hat lediglich und wirklich nur die Kontaktperson des / der Server ausgewertet - was höchst dämlich wäre:

Polizei beschlagnahmt Hardware bei VPN-Betreiber

Wir haben übrigens die Cc:-Option aus unserem Kontaktformular wieder entfernt - nach fast einstimmiger interner Meinung.

Der Grund: Um doch (trotz Captcha oder genau wegen unliebsamer Zeitgenossen) Probleme mit Empfängern zu vermeiden, die weder eine Kopie noch eine Antwort wollten

Der Fall von neulich hat weitere Kreise gezogen.

Wir haben - juristisch korrekt und auch im Sinne unserer Kunden - verlangt, dass uns jeweils unser Kunde dazu ermächtigt, neue Zugangsdaten zu setzen oder eben dem Webdesigner eine Vollmacht erteilt. Wichtig ist dabei, dass bei allen Vorgängen die beteiligten Personen zweifelsfrei verifiziert werden.

In einem Fall, sprich bei einem betroffenen Kunden, haben wir proaktiv, um dem Webdesigner Arbeit abzunehmen und den Vorgang zu beschleunigen, beim gemeinsamen Kunden angerufen, dort jedoch mehrere Tage niemanden erreicht. Auch ein Kontaktaufnahmeversuch per E-Mail blieb ohne Rückmeldung. Der Webdesigner quittierte unsere Information darüber wie folgt:

Lassen Sie uns einfach die Rumdiskutiererei aufhören, sie bringt nichts. Schicken Sie einfach Vollmachtsvorlagen an mich oder an die Kunden, diese werden unterschrieben an Sie zurückgefaxt und fertig. Ich habe keine Lust mehr mich mit Ihnen auseinanderzusetzen.

Die Rückfragen beim Kunden, ergaben, dass ausnahmslos alle mit unserer Vorgehensweise glücklich waren. Denn hier gilt: "Sonst kann ja jeder kommen".

Ich verstehe, dass der ein oder andere sich durchaus Gedanken macht, was wäre, wenn es dringend wäre. Aber auch hier gilt: Man darf nicht in Aktionismus verfallen. Auch wenn dem Webdesigner sein Laptop abhanden gekommen ist, sehen wir - außerhalb der Normen - keinen Grund, die normale Abfolge zu verlassen, sofern es nicht zu einem Missbrauch gekommen ist oder Anzeichen hierfür bestehen. Erst einem solchen Fall, z.B. wenn die Zugangsdaten auf dem Laptop tatsächlich missbraucht werden würden, und wenn der gemeinsame Kunde nicht erreichbar wäre, gilt es, abzuwägen, was machbar ist, und was im Interesse des Kunden ist (z.B. ist ja auch erst einmal eine Sperrung statt einer Änderung möglich). In einem dringenden Fall wäre es GoA vergleichbar.

Ein Kunde hatte letztes Jahr unsere 10 Gründe (inhaltlich, nicht nur als Titel) von unserer Webseite geklaut wortwörtlich übernommen. Wir hatten ihn daraufhin mit Nachdruck - ohne Abmahnkosten und ohne Rechtsanwalt - durch unser Marketing aufgefordert, dies zu unterlassen. Selbstverständlich haben wir uns in dieser Aufforderung das Recht, bei Nicht-Unterlassen weitere Schritte einzuleiten, vorbehalten.

Nach über einem Jahr kam dann folgendes Fax:

Eigentlich nichts Neues, aus Sicht des Verbrauchers auch sehr sinnvoll, und für den Händler ein Kostenrisiko:

Keine Hinsendekosten nach Widerruf

Nochmal: Aus Sicht des Verbrauchers, was ich ja privat auch bin, ist es wirklich sinnvoll. Für mich bedeutet es im Umkehrschluss, dass die Geschäftsanbahnung von der finanziellen Seite komplett zu Lasten des Händlers geht. Wenn ich in den stationären Handel gehe, muss ich als Kunde (wenn ich von freiwilligen Umtauschleistungen des Händlers profitieren, Gewährleistungsansprüche geltend machen oder Mängel anzeigen will (ist nicht zu 100% vergleichbar - das gebe ich zu)) auch ggf. zwei Mal Fahrtkosten und -zeit auf mich nehmen.

Ich glaube, man sollte das Fernabsatzgesetz nocheinmal überdenken, selbst wenn der derzeitige Stand bleibt. Im Endeffekt schlägt es sich dann vermutlich in höheren Grundpreisen für alle nieder, um die von anderen verursachten Kosten zu decken.

Das ist doch alles ein unnötiger Hickhack:

OLG Frankfurt bestätigt Haftung des DeNIC für rechtswidrige Domains

Würde man einfach den Admin-C ersatzlos streichen, gäbe es diese Diskussion erst gar nicht. Wozu braucht man den in Wirklichkeit? Als Vertretungsberechtigten des Inhabers? Das ist doch in der Praxis (DENIC, DENIC-Mitglied, Provider) Unsinn. Bei Domains gibt es doch nur bei Registrierung, Umzug oder Löschung den Bedarf, Vorgänge durch den Inhaber zu autorisieren. In allen anderen Fällen kann der Inhaber auch beim jeweiligen Anbieter (z.B. Webhoster) direkt einen Ansprechpartner hinterlegen, der in seinem Namen dort handlungsbevollmächtigt ist (und sei es nur, dass der die FTP-Daten bekommt, wenn er sie verloren hat). In die DENIC-Datenbank schaut - Hand auf's Herz - doch (kaum |k)einer rein.

Bei uns wird das derart gehandhabt, dass speziell Bevollmächtigte explizit benannt werden müssen (das betrifft allerdings nicht die reine Domain, da verlangen wir immer den Inhaber als Unterzeichnenden). Was da als Admin-C - nicht selten auch noch als historischer Ballast - drinsteht, beachten wir aus Sicherheitsgründen nicht (es sei denn, es deckt sich mit dem Inhaber oder den uns extra benannten Bevollmächtigten).

Ein Kunde, dessen Vertrag in Kürze endet, wollte relativ exakt wissen, wann genau seine Daten gelöscht werden. Nach der entsprechenden Information an ihn, wollte er wissen, mit welcher Begründung wir die Daten genau dann löschen, und wenn wir ihm diese nicht lieferten, wollte er seine Daten (es ging lediglich um Bestandsdaten) sofort gelöscht sehen, nachdem der Vertrag endete.

Nach einigen E-Mails hin und her mit den nötigen Gesetzeszitaten und Quellennachweisen hat er es dann doch eingesehen. Primär trifft auf ihn §95 Abs. 3 TKG zu:

(...) Endet das Vertragsverhältnis, sind die Bestandsdaten vom Diensteanbieter mit Ablauf des auf die Beendigung folgenden Kalenderjahres zu löschen. (...)

Somit löschen wir seine Bestandsdaten (andere Daten haben wir eh nicht) zum 31.12.2011. Mir wäre früher auch lieber, denn wozu sollen diese Daten bis dahin noch gut sein? Aber die geltende Rechtslage ist nun mal so, in dieser ich auch kein schwerwiegendes Problem sehe.

Im übrigen frage ich mich immer (mal) wieder, wie man die finanzamtliche Vorschrift, Rechnungen (ein- wie ausgehend) 10 Jahre aufzubewahren, mit diesen Regelungen vereinbar ist. Im Prinzip unterscheidet sich das, was an Daten auf der Rechnung steht, doch nur in ganz wenigen Punkten von dem Kundendatensatz

Auf diverse Anregungen hin haben wir unsere Leistungsbeschreibung für Root-Server, u.a. weil sie härter klang als in der Praxis umgesetzt, aktualisiert. Die wichtigsten Änderungen sind:

• die Unterscheidung zwischen (nach AGB und Leistungsbeschreibung) "legalem" und "nicht legalem" Datentransfer von oder zum Server ist entfallen, der gesamte Datentransfer ist nun vom Freikontingent abgedeckt


• die Aufführung von TCP, UDP und ICMP als IP-Protokolle ist entfallen und wurde allgemein durch (alle) IP-basierten Protokolle ersetzt


• das "Limit" von großen UDP- und ICMP-Mengen ist entfallen, es wurde allgemein durch einen Passus bzgl. extrem großer Mengen an Daten, die zum Schädigen des Netzwerks gedacht sind, ersetzt


• alle weiteren Einsatzwecke, die bislang nicht zulässig waren (ausgenommen Anonymisierungsdiensten, dazu weiter unten mehr) sind entfallen, sprich ab sofort sind Chat, File-Sharing, Peer-2-Peer-Netzwerke, Download-Server etc. zulässig

Da es sich bei diesen Änderungen lediglich um Besserstellung des Kunden handelt, kann (sofern gewünscht) dies auch von allen bestehenden Kunden "genutzt" werden, es ergibt sich daraus keine explizite Vertragsänderung (und somit kein Sonderkündigungsrecht ).

An dieser Stelle möchte ich noch zu einigen Punkten Stellung nehmen, die ggf. erklärungsbedürftig sind, u.a. aus unserer Perspektive:

• ad Anonymisierungsdiensten: Wir lassen diese weiterhin nicht zu - aus diversen Gründen. Einer davon ist der Umstand, dass es (dies deckt sich mit empirischen Erfahrungen aus unserer Vergangenheit sowie der von Marktbegleitern) einen erheblichen personellen Aufwand bei der Bearbeitung von Nachfragen von Rechteinhabern und Strafverfolgern erzeugt. Diesen Aufwand auf alle Produkt-Kunden umzulegen, wäre unfair, einzelne Kunden für jeden Einzelfall mit Kosten im Rahmen von ca. 100 Euro zur Kasse zu bitten, ist weder praktisch noch inkassotechnisch durchsetzbar.


• ad Priorisierungen von Datenströmen: Im Prinzip haben die meisten großen Router, so wie wir sie einsetzen, nur einen minimalen Spielraum, was das Priorisieren von Datenströmen in Echtzeit angeht. Und es ist auch gar nicht unsere Absicht, denn wir leiten Datentransfer rein und raus - nicht mehr, und nicht weniger. Allerdings kann es bei (d)DoS-Angriffen durchaus nötig sein, die nicht gewollten Datenströme anders zu priorisieren, und wir müssen uns diese Option im Interesse aller Kunden offenhalten, sonst handeln wir uns indirekt einen Mangel ein. Das ist im Prinzip auch schon der einzige Grund für diese Option.


• ad private IP-Adressen: Was unsere Kunden intern auf virtuellen Netzwerk-Interfaces an privaten IP-Adressen nutzen, ist uns - salopp gesagt - schnuppe, nur eben nicht auf dem externen Interface in Richtung "Rechenzentrum" (ausgenommen sind natürlich Server mit zusätzlich gebuchten, privaten internen Netzwerken). Hier ist es eben klar geregelt.


• ad (Verfügbarkeits-)Garantien: Unsere Jahresmittel-Werte der letzten Jahre liegen weit über den in der Leistungsbeschreibung angegebenen Werten. Wir könnten hier selbstverstänlich eine untere Grenze festlegen und diese garantieren. Wer hier aber kaufmännisch fair handelt, muss das Risiko nach unten absichern. Schaue ich mir einige unserer Marktbegleiter an, reicht bei kaum einem die Stammeinlage, um einen nennenwerten Teile der betroffenen Kunden zu entschädigen. Wer hier ehrlich garantiert, sichert das über einen Rückversicherer ab - und das kostet eben Geld. Nur warum soll ich 99% der Kunden "zwingen", indirekt eine Versicherung für einen Fall abzuschließen, der erfahrungsgemäß in den letzten Jahren nie vorgekommen ist? Zudem ist dies nur eine finanzielle Absicherung, das technische Risiko bleibt.


• ad Festplatten-Verfügbarkeit: Wir geben hier bewusst 98% an, weil eine (klassische, non-SSD-)Festplatte eben bewegliche Teile enthält und somit einen gewissen Verschleiß unterliegt. Und ja, rechnerisch gesehen sind das 7 Tage im Jahr, an denen die Festplatten ausfallen könnten, und weiterhin und wiederum ist das eine untere Grenze des Erfahrungswerts der Vergangenheit, so gesehen also der schlechteste Fall über alle Kunden in den letzten Jahren. Schaue ich mir die aktuelle Verfügbarkeit in 2010 über alle Server an, haben wir eine durchschnittliche Verfügbarkeit im Bereich Festplatten von über 99,95%!


• ad Löschen von Daten bei Rückgabe: Selbstverständlich löschen wir die Daten von allen Servern (mehr als ausreichend), die gekündigt werden. Geben wir das aber in den AGB oder der Leistungsbeschreibung an, wird uns irgendwann jemand darauf festnageln wollen. Im Prinzip ist das wie mit einer Mietwohnung: Wer auszieht, räumt seinen Kram raus und wirft alles andere weg. Und der Vermieter geht eben nochmal durch und macht sauber, ohne es aber dem vorherigen Mieter schriftlich zu garantieren.

Sinnvoll

Bundesdatenschützer plädiert für "Quick Freeze" statt Vorratsdatenspeicherung

Damit werden Spamfilter und Firewalls fast ad absurdum geführt:

Abmahnung per E-Mail rechtens

Allgemeine Geschäftsbedingungen lesen die wenigsten, nicht selten, weil sie für juristische Laien oft unverständlich sind (zumindest, was das Ausmaß angeht).

Wir gehen daher nach und nach dazu über, unsere AGB zu entschlacken und klar das rein formal-juristische von technischen und kaufmännischen Dingen zu trennen. Das betrifft insbesondere den Leistungsumfang dessen, was wir unseren Kunden bieten (und was nicht). Prinzipiell genügt dazu (juristisch gesehen) die Webseite, sofern deren Inhalt zum Gegenstand des Vertrages gemacht wird. Aber wer druckt sich das schon zusammen mit seiner Bestellung aus? Und über viele Dinge herrscht auch dann noch Unklarheit, weil evtl. Kunden und Anbieter (beide aus ihrer Sicht zu Recht) unterschiedlicher Auffassung sind.

Deshalb haben wir kürzlich für unsere Root-Server eine Leistungsbeschreibung erstellt, die ab sofort wirksamer Vertragsbestandteil ist:

Leistungsbeschreibung für Root-Server
(bitte jetzt nicht gleich schreien, es ist wirklich sehr lang geworden, aber dafür auch für juristische Laien verständlich)

Für alle anderen Produkte (insbesondere DSL und Webhosting) wird dies in Kürze folgen, danach werden die AGB "gekürzt".

Derzeit auf dem Ticker, in Kürze in längerer Fassung auch in der nächsten Ausgabe der iX:

IP-Adressen nur mit sicherem Routing eindeutig

Es wurde auch Zeit:

BGH schränkt Folgen der Störerhaftung für WLAN-Betreiber ein

Wir haben gerade aktuell einen Fall eines Webhosting-Kunden, der uns partout seine neue Anschrift nicht mitteilen will. Wohlgemerkt: Er zahlt fleißig seine Rechnungen.

Dass wir dazu unter anderem nach TKG verpflichtet sind, und dass eine aktuelle Anschrift von ihm wirksamer Bestandteil des Vertrages zwischen ihm und uns ist, lässt ihn offenbar kalt.

Wir haben ihm daher nun mitgeteilt, dass er uns entweder seine Anschrift binnen 4 Wochen mitteilt, oder wir diese ermitteln werden. Die Kosten hierfür werden wir auf ihn umlegen. Sollte er damit nicht einverstanden sein, haben wir ihm die Kündigung nahegelegt.