Adrian Schneider – Online.Spiele.Recht

OLG Köln zur Buttonlösung: „jetzt gratis testen – danach kostenpflichtig“ reicht nicht als Hinweis auf Kostenpflicht

Adrian Schneider — Tue, 10 May 2016 07:31:59 +0000

Wieder einmal Kurioses aus Köln zur Button-Lösung: Das OLG Köln hat entschieden, dass die Beschriftung eines Bestellbuttons mit „Jetzt gratis testen – danach kostenpflichtig“ rechtswidrig ist. Bizarres Argument: Die Formulierung suggeriere Verbrauchern, das Angebot sei dauerhaft kostenlos. Das Gericht bestätigte damit eine Entscheidung des LG Köln.

Hintergrund zur Buttonlösung

Zur Erinnerung: Bei online abgeschlossenen Verbraucherverträgen mit Zahlungspflicht müssen Unternehmer ihre Bestellbuttons eindeutig beschriften, nämlich „gut lesbar mit nichts anderem als den Wörtern ‚zahlungspflichtig bestellen‘ oder mit einer entsprechenden eindeutigen Formulierung“. Aus der Beschriftung muss sich also eindeutig ergeben, dass durch Klick auf den Button eine Zahlungspflicht ausgelöst wird (Details in unserem Special zur Einführung der Button-Lösung). Damit wollte der Gesetzgeber Verbraucher vor allem vor Abofallen schützen. In der Praxis verursachte die Regelung jedoch in erster Linie Kollateralschäden bei völlig legitimen Geschäftsmodellen – während Abofallen ohnehin nie dafür bekannt waren, sich sonderlich für gesetzliche Vorgaben zu interessieren.

Hintergrund zum Fall

Der Internetversandhändler Amazon bietet bekanntlich schon seit Jahren eine „Premiummitgliedschaft“ (Amazon Prime) mit Vorteilen wie kostenlosem Versand und Videostreaming-Dienst. Im ersten Monat bietet Amazon dabei eine kostenlose Probemitgliedschaft an. Danach verlängert sich der Vertrag automatisch und wird kostenpflichtig.

Der Bestellbutton für Amazon Prime war ursprünglich mit „Jetzt anmelden“ beschriftet. Das mahnte der Bundesverband für Verbraucherzentralen (vzbv) im März 2014 ab. Im Laufe des Verfahrens änderte Amazon den Buttontitel dann zu „Jetzt gratis testen – danach kostenpflichtig“. Auch diese Formulierung hielten jedoch sowohl der vzbv als auch das LG Köln (Urteil vom 05.03.2015, Az. 31 O 247/14) sowie nunmehr das OLG Köln (Urt. v. 03.02.2016, Az. 6 U 39/15 – Volltext) für rechtswidrig.

Begründung der Entscheidung

Bereits den ersten Teil des Buttontextes – „Jetzt gratis testen“ – hielten die Kölner Richter für falsch. Denn bereits mit der Bestellung des kostenlosen Probemonats gehe der Kunde mit Amazon einen kostenpflichtigen Vertrag ein. Die Kostenpflicht sei lediglich für den ersten Monat ausgesetzt. Der Gesamtvertrag sei aber nichtsdestotrotz als kostenpflichtig anzusehen.

Dass dem Verbraucher eine Kündigung dieses Vertrags bereits „unmittelbar nach Abschluss des Vertrages relativ problemlos möglich ist“, ändere am Charakter des Rechtsgeschäfts als einer für den Verbraucher entgeltlichen Vereinbarung nichts, so die Richter.

Den Umstand, dass genau dieses Missverständnis eigentlich durch den Zusatz „danach kostenpflichtig“ ausgeräumt wird, ignorierte das Gericht und legte sogar noch nach: Diese Formulierung sei obendrein auch noch irreführend.

Durch das Wörtchen „Jetzt“ werde suggeriert, dass eine Bestellung nur jetzt für kurze Zeit kostenlos sei und „danach kostenpflichtig“.

Wo das Gericht die Eingebung zu diesem Verständnis her hat, bleibt ein Rätsel. Über dem Button fand sich ein – nach eigener Aussage des OLG Kölns völlig ausreichender und korrekter – Fließtext, in dem auf die automatisch entstehende kostenpflichtige Verlängerung hingewiesen wird. Direkt unter dem Produkt „Prime Mitgliedschaft“ hieß es in Klammer „EUR 7,99 /Monat nach der Probezeit„. Das Gericht ignoriert diesen Kontext vollständig.

Folgen für die Gamesbranche und Alternativen

Was bedeutet das Urteil für die Gamesbranche? Bei Buttonlabels ist nach wie vor Vorsicht geboten. Vor allem bei Abomodellen kann es durchaus kompliziert werden. Probemonate, kostenlose Boni, In-Game-Incentives – wie weist man nun auf solche kostenlosen Bestandteile von Abos hin?

Konstruktives hat das OLG Köln dazu nicht beizutragen. Entscheidend werden jedoch zwei Faktoren sein:

Auch Kostenloses gilt als entgeltlich, wenn es in Verbindung mit einem Abo angeboten wird – ein Vertrag darf also nicht insgesamt als kostenlos bezeichnet werden, auch wenn der erste Monat kostenlos ist.
Begriffe mit zeitlichem Bezug wie „jetzt“, „später“, „danach“ sollten vermieden werden, um Interpretationen wie die des OLG Köln zu vermeiden.

Man mag überlegen, ob man den Anforderungen des Gerichts besser gerecht wird, wenn man umgekehrt formuliert – also etwa „zahlungspflichtig bestellen – erster Monat gratis“. Es ist jedoch nicht ausgeschlossen, dass strenge Richter auch diesen Satz bemängeln. Denn nach dem Wortlaut des Gesetzes soll der Button ja mit „nichts anderem“ als den Worten „zahlungspflichtig bestellen“ beschriftet sein.

Fazit

Die Kölner Gerichte scheinen ihre zero-tolerance Auffassung hinsichtlich der Button-Beschriftung fortzuführen. Die ohnehin viel zu formalistische Buttonlösung wird damit noch weiter verkompliziert. Wie Verbrauchern mit immer bürokratischeren Formulierungen auf Buttons geholfen sein soll, erschließt sich jedenfalls nicht. Es bleibt zu hoffen, dass die höchstrichterliche Rechtsprechung möglichst bald Gelegenheit hat, hier eine pragmatischere Auslegung vorzugeben.

Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services

Adrian Schneider — Thu, 13 Aug 2015 07:25:56 +0000

Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. „kritischen Infrastrukturen“ – zum Beispiel Energieversorgung, Banken, Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet. Heimlich, still und leise haben sich aber auch neue Regeln für die IT-Sicherheit bei „normalen“ Online-Services wie Online-Games, Apps oder Webshops mit eingeschlichen.

Ab sofort müssen alle „geschäftsmäßigen“ Onlinedienste neue Regelungen beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.

Die neuen Regelungen

Zum 1. August wurde ein neuer § 13 Abs. 7 in das Telemediengesetz (TMG) eingefügt, der lautet:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Für wen gelten die neuen Regelungen?

Die neuen Sicherheitsregeln gelten für Anbieter von „geschäftsmäßigen“ Telemedien. Telemedien sind, vereinfacht gesagt, alle Online-Services, die nicht bloß im Transport von Daten bestehen – beispielsweise Webseiten, Blogs, Shops, aber auch Online-Games und Apps, sofern sie Online-Inhalte darstellen. Keine Telemedien sind etwa IP-Telefonielösungen oder reine Chats.

Geschäftsmäßig sind Telemedien dann, wenn sie nicht rein privat und non-profit sind. Auf Umsatz- oder Gewinnspanne kommt es nicht an. Wird etwa in einem kostenlosen Spiel In-Game-Werbung geschaltet, gilt es als „geschäftsmäßig“, unabhängig davon, ob die Werbung überhaupt Umsatz einfährt.

Welche Sicherheitsmaßnahmen schreibt das Gesetz vor?

Das Gesetz schreibt drei Maßnahmenpakete vor:

Schutz vor unerlaubtem Zugriff
Schutz von personenbezogenen Daten
Schutz vor Störungen von außen

Wie diese Maßnahmen technisch umzusetzen sind, schreibt das Gesetz nicht vor. Die Gesetzesbegründung erklärt nur sehr allgemein, was unter den einzelnen Maßnahmen zu verstehen ist.

Unter den „Schutz vor unerlaubtem Zugriff“ (§ 13 Abs. 7 Nr. 1 TMG) fallen allgemein Maßnahmen, die Server und Anwendungen nach außen absichern. Dazu können beispielsweise Firewalls zählen. Konkret gibt die Gesetzesbegründung aber auch das regelmäßige Einspielen von Updates vor. Innerhalb welcher Reaktionszeiten Updates eingespielt werden müssen, sagt das Gesetz allerdings nicht.

Unter den „Schutz von personenbezogenen Daten“ (§ 13 Abs. 7 Nr. 2 a) TMG) fallen vor allem Verschlüsselungsmechanismen. Das stellt auch das Gesetz ausdrücklich klar (§ 13 Abs. 7 Satz 3 TMG). Gemeint ist damit vermutlich vor allem Transportverschlüsselung, d.h. TLS/SSL. Zwar lässt das Gesetz auch andere Maßnahmen als Transportverschlüsselung zu, letztlich läuft die neue Regelung aber auf eine allgemeine Verschlüsselungspflicht für geschäftsmäßige Online-Services hinaus. Zu beachten ist dabei auch, dass die Verschlüsselung „als sicher anerkannt“ sein muss. Orientierung können dafür die Richtlinien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. In jedem Fall dürfen aber keine Methoden eingesetzt werden, die bereits als unsicher bekannt sind.

Unter „Schutz vor Störungen von außen“ (§ 13 Abs. 7 Nr. 3 b) TMG) versteht das Gesetz offenbar Maßnahmen zur Abwehr von „Distributed Denial of Service“-Attacken (DDoS), also das gezielte Überlasten von Servern und Diensten. Wie genau man sich in der Praxis davor schützen soll, lässt das Gesetz offen. Hier wird sich in der Praxis zeigen müssen, welche Methoden sich als praktikabel erweisen und was genau das Gesetz tatsächlich von den Betreibern von Online-Services erwartet.

Alle Maßnahmen stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar“ sein müssen. Welcher Service welche genauen Maßnahmen umsetzen muss, hängt also sehr vom Einzelfall ab. Das ist einerseits eine gute Nachricht, weil das Gesetz keine unverhältnismäßigen Investitionen in die IT-Sicherheit erwartet. Andererseits lässt sich aber auch schwer einschätzen, wann welche genauen Maßnahmen ausreichend sind, um die Anforderungen des Gesetzes zu erfüllen.

Was passiert, wenn man sich nicht an das Gesetz hält?

Nach § 16 Abs. 2 Nr. 3 TMG kann ein Verstoß gegen § 13 Abs. 7 Nr. 1 und Nr. 2 a) TMG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden. Aufmerksame Leser werden bemerkt haben: § 13 Abs. 7 Nr. 2 b) TMG ist davon nicht erfasst. Wer also keine Maßnahmen gegen „Störungen von außen“ – sprich DDoS – ergreift, hat kein Bußgeld zu erwarten.

Wie hoch das praktische Risiko eines Bußgeldes sein wird, muss sich auch noch zeigen. Zuständig für Bußgeldverfahren nach dem Telemediengesetz sind verschiedenste Landesbehörden. In NRW beispielsweise die Bezirksregierung Düsseldorf, in Niedersachsen das Landesamt für Verbraucherschutz und Lebensmittelsicherheit [sic!]. In der Vergangenheit haben sich diese Behörden eher zurückhaltend gezeigt, was die Durchsetzung ähnlicher Bußgeldtatbestände im Telemediengesetz angeht.

Unklar ist bislang allerdings, ob ein Verstoß gegen die neuen Sicherheitsregeln von Konkurrenten oder Verbraucherschützern abgemahnt werden kann. Es gibt gute Argumente dafür, allerdings auch gute Argumente dagegen. Letztlich werden das die Gerichte entscheiden müssen. Es ist aber durchaus wahrscheinlich, dass es in absehbarer Zeit zumindest erste Versuche geben wird, unliebsame Konkurrenten wegen versäumter IT-Sicherheitsmaßnahmen anzugehen.

Danke an Oliver Garcia für den Hinweis und unseren wissenschaftlichen Mitarbeiter Marcel Hartmann für die Unterstützung bei der Recherche.