OLG Nürnberg: Kündigungsbutton erst im Nutzeraccount unzureichend
Anbieter von Online-Abonnements müssen für Verbraucher einen leicht zugänglichen Kündigungsbutton auf ihren Websites platzieren. Dass dessen Platzierung nur in einem geschützten Kundenbereich nach Login nicht ausreicht, entschied das OLG Nürnberg.
RE: Konsequenzen nicht bedacht
Beitrag von CF
22.11.2024, 11:19 Uhr
Das mit dem zweiten Faktor hatte ich auch erst überlegt, aber da gibt es ja folgenden Hinweis: "Schließlich ist auf der Bestätigungsseite gemäß der dritten Stufe eine „Bestätigungsschaltfläche“ anzuzeigen. Diese muss mit den Wörtern „Jetzt kündigen“ betitelt sein und muss bei Anklicken tatsächlich die Kündigung auslösen." Aus dem Beitrag https://www.it-recht-kanzlei.de/lg-muenchen-i-kuendigungsbutton-anforderungen.html Wenn die Kündigung unmittelbar ausgelöst werden muss, ist es somit nicht zulässig. Nimmt man dann den folgenden Beitrag hinzu, ist auch die Abfrage von Vertragsdaten zur Identifikation nicht zulässig https://www.it-recht-kanzlei.de/olg-duesseldorf-aufspaltung-elektronischer-kuendigungsprozess-unzulaessig.html Und schon ist das ganze nicht mehr so einfach :-)
AW: Konsequenzen nicht bedacht
Beitrag von FA
21.11.2024, 14:34 Uhr
Es ist durchaus technisch & organisatorisch möglich den Button in einem nicht geschützten Bereich funktionsfähig zu halten, ohne personenbezogene oder auftragsbezogene Daten erheben zu müssen. Beispielsweise könne man anhand einer eindeutigen Ticket-ID die Validierung vornehmen. Die Validierung könne im zweiten Faktor über einen Einmalcode, welcher per E-Mail/SMS an die bei Kauf angegebene E-Mail Adresse/Handynr. gesendet wird, zusätzlich bestätigt werden. Alleine die Ticket-ID würde ich nicht als auftragsbezogen werten, da der konkrete Auftrag nur mit weiterem Wissen & entsprechenden Kundendatensätze ausfindig gemacht werden könnte. (ähnlich Pseudonymisierung). Daher grundsätzlich keine Hürde, das auch so umzusetzen.
Konsequenzen nicht bedacht
Beitrag von CF
21.11.2024, 11:47 Uhr
Da wurde dann wohl nicht bedacht, dass zur Kündigung in einer, wie auch immer gearteten Art und Weise, eine Identifikation der Berechtigung erfolgen muss. Ansonsten könnte ja jeder z.B. ein Ticket einer anderen Person aus Spaß kündigen. Hierzu werden demnach weitere personenbezogene oder auftragsbezogene Daten benötigt. Weitere personenbezogene Daten zwecks Identifikation zu speichern ist nach DSGVO wohl schwierig, insbesondere da die Zweckbestimmung (leichtere Kündigung als über ein Login) aus meiner Sicht dieses nicht rechtfertigt. Und eine Bestellnummer von einem Ticket, welches vor langer Zeit gekauft wurde, wird vermutlich schwerer auffindbar sein, als eine "Passwort vergessen" Funktion zu nutzen. Wie also soll es gehen?
Eigenen Kommentar schreiben?
Gerne können auch Sie uns einen Kommentar zu diesem Artikel hinterlegen.
Kommentar schreiben
