Im Internet fallen große Mengen an Daten an. Dies gilt insbesondere für soziale Netzwerke aber auch den Handel im elektronischen Geschäftsverkehr, sei es zur Abwicklung des Bestellvorgangs oder zu weitergehenden Zwecken wie z.B. Marketing. Doch die Vorschriften zum Schutz der Daten sind vielfältig und umfangreich. Shopbetreiber sollten daher über das geltende Datenschutzrecht informiert sein. So muss beispielsweise die Datenschutzerklärung allen spezifischen Umständen des Onlineshops gerecht werden, insbesondere muss über den Einsatz von Cookies oder Web-Analyse-Tools gesondert informiert werden. Ebenso unterliegt der Versand von Newslettern strengen Regeln. Auch das Outsourcing der Datenverarbeitung (Auftragsdatenverarbeitung) befreit nicht von rechtlicher Verantwortlichkeit.
Die zentrale Rechtsgrundlage des deutschen Datenschutzrechts ist das Bundesdatenschutzgesetz (BDSG) in Verbindung mit der seit dem 25. Mai 2018 unionsweit geltenden Datenschutz-Grundverordnung (DSGVO). Für den Bereich der digitalen Dienste (ehemals Telemedien) wurde das alte Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) abgelöst. Die spezifischen datenschutzrechtlichen Ergänzungen für diesen Bereich – wie etwa die Regeln zum Einsatz von Cookies – finden sich heute im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Die DSGVO hat für praktisch alle Unternehmen tiefgreifende Pflichten mit sich gebracht. Besonders die strengen Rechenschafts- und Dokumentationspflichten erfordern einen kontinuierlichen Verwaltungs- und Compliance-Aufwand.
Gegenstand des Datenschutzrechts ist vor allem der Umgang mit personenbezogenen Daten. Darunter sind laut Art. 4 Nr. 1 DSGVO alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dass auch dynamische IP-Adressen unter diesen Begriff fallen, ist durch die Grundsatzentscheidungen des Europäischen Gerichtshofs (EuGH, Urt. v. 19.10.2016 – C 582/14) und des Bundesgerichtshofs (BGH, Urt. v. VI ZR 135/13) rechtlich geklärt, sofern der Anbieter über die rechtlichen Mittel verfügt, die Person mithilfe von Zusatzwissen zu identifizieren.
Online-Händler sollten insbesondere folgende Punkte berücksichtigen:
1. Die Datenschutzerklärung
Eine Datenschutzerklärung ist stets erforderlich, wenn personenbezogene Daten auf einer Website verarbeitet werden. Aus diesem Grund darf sie in keinem Onlineshop fehlen. Wesentliche Regelungsgegenstände sind gemäß Art. 13 DSGVO die Identität des Verantwortlichen, die Rechtsgrundlagen und Zwecke der Datenverarbeitung, die Speicherdauer sowie eine eventuelle Übermittlung in Drittstaaten außerhalb der EU. Zudem muss umfassend über die Betroffenenrechte aufgeklärt werden. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch über das Recht auf jederzeitigen Widerruf einer Einwilligung und das allgemeine Widerspruchsrecht muss belehrt werden. In die Datenschutzerklärung gehören außerdem detaillierte Hinweise auf den Einsatz von Cookies, Web-Analyse-Tools und andere Tracking-Technologien, deren Einwilligungserfordernis sich nach § 25 TDDDG richtet.
2. Auftragsverarbeitung
Von Auftragsverarbeitung ist die Rede, wenn Unternehmer die Verarbeitung personenbezogene Daten aus ihrem Unternehmen an Externe weitergeben. Dies ist nicht nur in komplexen Verfahren der IT-Auslagerung (business process outsourcing) sondern auch bei der Nutzung externer Rechenzentren, Newsletter-Dienstleister oder bei der externen Lohnabrechnung der Fall. In diesen Fällen liegt die rechtliche Verantwortlichkeit nach wie vor beim Auftraggeber selbst. Zusätzlich zum bestehenden Hauptvertrag (meist ein Werk- oder Dienstvertrag) muss der Auftraggeber mit dem externen Dienstleister einen sogenannten Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen, sofern dieser Zugriff auf personenbezogene Daten hat. Diese Vereinbarung unterliegt den umfangreichen und strengen gesetzlichen Anforderungen des Art. 28 DSGVO. Weitere Informationen und praxisnahe Hilfestellungen zur datenschutzkonformen Ausgestaltung finden Sie in aktuellen Leitfäden der Aufsichtsbehörden zur Auftragsverarbeitung sowie in den offiziellen Standardvertragsklauseln der Europäischen Kommission.
3. Newsletter und Marketing
Kundendaten unterliegen dem datenschutzrechtlichen Zweckbindungsgrundsatz. Demnach dürfen die Daten im Onlinehandel grundsätzlich nur für die Abwicklung des (Kauf-)Vertrags genutzt werden. Unproblematisch ist eine Weitergabe an Transportunternehmen oder Kreditinstitute, soweit dies die Abwicklung des Vertrags im Sinne des Art. 6 Abs. 1 lit. b DSGVO erfordert.
Für die Nutzung personenbezogener Daten über die Erfüllung des Vertrags hinaus ist jedoch stets die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO des Kunden erforderlich. Dies gilt insbesondere beim Newsletterversand oder bei der Datenerhebung zu Marketingzwecken. Diese Einwilligung kann nur ausdrücklich erfolgen („Opt-In“). Die sicherste Methode ist, sich die Einwilligung nochmals ausdrücklich bestätigen lassen, beispielsweise durch einen anzuklickenden Link in einer Bestätigungsmail („Double-Opt-In“). Nicht ausreichend ist die Einwilligung mittels „Opt-Out“-Verfahren, beispielsweise durch vorangekreuzte Checkbox.
Ausnahmen von diesen Grundregeln sind allenfalls unter sehr engen Voraussetzungen bei bereits bestehenden Geschäftskontakten denkbar. Wichtig ist aber in jedem Fall, auf eine Widerrufsmöglichkeit hinzuweisen.
4. Cookies
Cookies können je nach Art und Verwendung Hinweispflichten auslösen oder eine Einwilligung erforderlich machen. Dabei ist zu unterscheiden: Kommen Cookies zum Einsatz, die personenbezogene Daten beinhalten, jedoch für die Abwicklung des Vertrags erforderlich sind, so muss der Betreiber lediglich auf deren Einsatz hinweisen. Lassen die Cookies keine Rückschlüsse auf die Person des Kunden zu, so muss auch nicht hingewiesen werden. Sobald die Cookies aber zu Zwecken dienen, die über die bloße Kaufabwicklung hinausgehen (insbesondere Marketingzwecke), so ist eine Einwilligung des Kunden erforderlich.
5. Google Analytics & Co.: Einsatz von Webanalyse-Tools
Webanalyse-Tools zur Erfassung des Surfverhaltens sind inzwischen vielfach im Einsatz. Datenschutzrechtlich ist deren Einsatz jedoch nicht unproblematisch.
Das Problem liegt darin, dass Webanalyse-Tools, wie Google Analytics, Cookies oder Identifier nutzen, um das Nutzerverhalten geräteübergreifend zu verfolgen und detaillierte Nutzungsprofile zu erstellen. Nach § 25 TDDDG ist der Einsatz solcher nicht zwingend erforderlichen Tracking-Technologien grundsätzlich nur mit einer vorherigen, aktiven und freiwilligen Einwilligung des Nutzers (Opt-In) über einen rechtssicheren Cookie-Banner zulässig. Eine bloße IP-Anonymisierung reicht nicht mehr aus, um die Einwilligungspflicht zu umgehen, da bereits das Auslesen von Informationen aus dem Endgerät einwilligungspflichtig ist. Zudem sind IP-Adressen nach ständiger Rechtsprechung als personenbezogene Daten eingestuft.
Wer Webanalyse-Tools einsetzen möchte, muss daher eine wirksame Einwilligung einholen, bevor das Tool geladen wird. Zudem ist eine Information der Nutzer in der Datenschutzerklärung zwingend erforderlich.
6. Datenweitergabe und Bonitätsprüfung
Die Weitergabe personenbezogener Kundendaten an Dritte ist datenschutzrechtlich nur zulässig, wenn eine wirksame Einwilligung des Kunden vorliegt oder eine gesetzliche Erlaubnistatbestand der DSGVO greift, wie z. B. bei Weitergabe zur Erfüllung der vertraglichen Beziehungen an Transportunternehmen. Ebenfalls nicht erforderlich ist eine Einwilligung, wenn die Daten anonymisiert zu Markt- oder Meinungsforschungszwecken genutzt werden. In diesen Fällen ist der Kunde aber über sein Widerspruchsrecht zu unterrichten.
Eine Einwilligung ist jedoch immer dann erforderlich, wenn die Weitergabe nicht der Abwicklung des Vertrags dient oder durch Gesetz ausdrücklich erlaubt ist. Die Einwilligung muss dann den Zweck der Verarbeitung benennen und jederzeit für den Kunden abrufbar sein. Der Kunde muss sie ferner jederzeit widerrufen können. Die Einwilligung kann elektronisch erfolgen, eine Opt-Out-Lösung ist jedoch nicht zulässig.
Erfolgt die Datenweitergabe zum Zwecke der Bonitätsprüfung, beispielsweise an die Schufa oder die Creditreform, so ist eine Einwilligung nur dann nicht erforderlich, wenn ein berechtigtes Interesse besteht. Dann muss der Kunde lediglich informiert werden. Ein berechtigtes Interesse ist beispielsweise dann gegeben, wenn der Händler in Vorleistung tritt.
Unsere aktuellen Beiträge zum Thema Datenschutz finden Sie in den Weblogs Internetrecht München und Datenschutzerklärung.