Hallo,

es geht nicht darum, ob du sie sowieso bekommst und dir nur die Arbeit erleichterst.
Auch bei meinem Arbeitgeber (Versicherung) werden verschiedene Datenbanken geführt, ohne dass die Daten automatisch zusammengeführt werden _dürfen_.

Darum gehts ums Zusammenführen von IP und Auftrag.
Mal gesetz den Fall ich bekomme 5 Bestellungen zum gleichen Zeitpunkt.
Wenn ich dann im Streitfall im Serverlog nachschaue, dann sehe ich 5 IP.
dann muß ich im schlimmsten Fall 5 Provider kontaktieren um rauszufinden welcher Kunde mit welcher IP bestellt hat.

Abgesehen davon gehört es m.E. zum guten Ton dem Kunden zu sagen, was man alles über ihn speichert.

Es ist so oder so bekannt das man Serverlogs auswerten darf.
Auch Deine IP in diesem Forum ist für die Admins sichtbar.
Ohne dass sie  im Serverlog nachschauen müssen.
Ein Hinweis ist hier nicht erforderlich.
Bei meinem Projekt handelt es sich allerdings um ein kommerzielles, und da gelten mitunter andere Vorschriften.

TomIRL

Hallo Tom,

Dann stellt sich mir die Frage ob der Hinweis in den AGB ausreichend ist?

Nachdem ein Kunde normalerweise vorher sowieso immer bestätigen muss "Ja, ich habe die AGB gelesen" sollte dieser genügen. (wenn so eine Bestätigung fehlt, sind die AGB AFAIK sowieso komplett ungültig, da der Kunde potentiell nicht Kenntnis davon haben konnte und Du somit in einer Beweispflicht wärst, die Du nicht erfüllen könntest)

Anders gesagt: Wohin würdest Du den Hinweis sonst tun? In Schriftgröße 72 auf die Startseite? ;-)

Viele Grüße,
Christian

N'Abend,

Ja die sind bekannt, die Frage des tatsächlichen Nachweises welcher Kunde die Bestellung getätigt hat, ist mir in dem Fall aber wichtiger.

genau dieses Problem meine ich aber! Den einzigen Nachweis, den Du führen kannst, ist, von welcher IP der entsprechende Bestellvorgang ausgelöst wurde.

Und die meisten meiner Kunden benutzen kein Webwasher etc..

Dass dies auch ohne Proxy und Webwasher nicht wirklich sinnvoll ist, zeigen nicht nur deutsche Gerichte sondern auch einschlägige Seiten zur Entwicklung von Netzanwendungen. Stellvertretend seien zwei Punkte genannt:

http://www.dclp-faq.de/q/q-scripte-abstimmung.html
"Auf der Basis der IP-Nummern kann man nicht arbeiten, da viele Benutzer dieselbe IP-Nummer zu haben scheinen, wenn sie über Proxy-Server hereinkommen oder Benutzer auf einem Mehrbenutzer-Rechner sind (unfairer Ausschluss). Andererseits ist es für einen geübten Hacker oder einen Provider sehr leicht, von einer ganzen Reihe unterschiedlicher IP-Nummern mehrfach abzustimmen."

http://www.dclp-faq.de/q/q-sessions-ip.html
"IP-Nummern sind konstruktionsbedingt immer den Netzwerkinterfaces von Rechnern und nicht Benutzern zugeordnet. Das ist eine vollkommen andere Sache und die Auswertung von IP-Nummern würde zu Fehlern im Betrieb führen."

Du musst Dich an dieser Stelle entscheiden, ob es Dir um die Einschüchterung und Abschreckung geht. Also um ein "Schau her, ich krieg Dich, wenn Du Mist machen solltest!". Dafür ist das IP-Logging durchaus tauglich. Nur solltest Du genau dafür dann Deine Kunden auch möglichst deutlich daraufhinweisen. Also direkt beim Bestellvorgang einen kleinen freundlichen Hinweis, dass diese Daten mit den Bestelldaten gespeichert werden.

Willst Du aber echte Beweismittel sicherstellen, um besagte erhebliche Schäden usw. (Näheres in den im Thread irgendwo angeführten Vorschriften) zu verhindern, solltest Du den Bestellvorgang nicht an eine IP sondern eine Benutzeridentifikation (Kundennummer?) hängen. Zum einen kannst Du die deutlich besser sichern: Kontrolle bei der Anmeldung, höherer Aufwand für Spassbesteller, Verwendung von SSL etc. Zum anderen bist Du damit rechtlich etwas besser gestellt, da Du die Verantwortung für die Benutzerdaten dem Nutzer aufbürden kannst und er im Zweifel dann beweisen muss, dass Du einen Fehler gemacht hast. Die IP ist dafür _maximal_ als Anscheinsbeweis tauglich.

Dafür sind sie mitunter dreist, was die Erfindung von Ausreden angeht, wenn Sie die Leistung nicht bezahlen wollen.

Damit stehst Du nicht allein da, es gibt dutzende Diskussionen dazu im Netz. ;)

erschwerend kommt hinzu, dass für meine Produkte kein Rücktrittsrecht nach BGB (Früher Fernabsatzgesetz) gilt.

Wie hast Du denn das organisiert?

(Leider nicht! Mir persönlich wäre ein Rücktrittsrecht lieber, aber wenn ich diese gewähre, dann bleib ich auf Kosten sitzen, die unter Umständen meine Existens gefährden können.)

Stimmt, bei allen Bestellungen über €40,- zahlst Du.

Dann stellt sich mir die Frage ob der Hinweis in den AGB ausreichend ist?

Ich bin persönlich kein Fan von AGBs. Die liest sowieso kein Schwein, und Du musst schon gute Argumente haben, dass so ein kleiner Eintrag nicht nun gerade doch überraschend ist. Besser ist m.E. der oben angesprochene explizite Hinweis oder ein freundlich formulierter Einleitungstext bei der Erstanmeldung.

Nicht zwingend, wenn ich durch das nichtspeichern ein imenses Kostenrisiko habe, dann hab ich leider keine andere Wahl

Das sind aber wirtschaftlicher Argumente und keine technischen. Die sind im Datenschutz soweit zweitrangig.

Eben drum, es wird eben so viel Mist erzält was man alles mit den Daten machen kann, und Manche Leute glauben den Quatsch auch noch.

Manche ist gut, wieviele Leser hat die ComputerBILD? Ich erlebe das nahezu täglich, wenn ich Kunden oder Mandanten oder auch nur Bekannten erklären darf, dass so ein Cookie doch deutlich weniger gefährlich ist, als zB die Verwendung von Outlook Express. ;)

Außerdem kommt naoch ein ganz anderes Risiko hinzu; bei zu vielen Daten fällt die Auswertung extrem schwer.

Auch die Kosten-Nutzen-Analyse ist ein wirtschaftliches Argument. ;)

Es ist dann einfach zu viel, und damit geht auch Effizenz verloren.

Dito.

Gruss, Thoralf