Datenschutz-Recht

Im Internet fallen große Mengen an Daten an. Dies gilt insbesondere für soziale Netzwerke aber auch den Handel im elektronischen Geschäftsverkehr, sei es zur Abwicklung des Bestellvorgangs oder zu weitergehenden Zwecken wie z.B. Marketing. Doch die Vorschriften zum Schutz der Daten sind vielfältig und umfangreich. Shopbetreiber sollten daher über das geltende Datenschutzrecht informiert sein. So muss beispielsweise die Datenschutzerklärung allen spezifischen Umständen des Onlineshops gerecht werden, insbesondere muss über den Einsatz von Cookies oder Web-Analyse-Tools gesondert informiert werden. Ebenso unterliegt der Versand von Newslettern strengen Regeln. Auch das Outsourcing der Datenverarbeitung (Auftragsdatenverarbeitung) befreit nicht von rechtlicher Verantwortlichkeit.

Die zentrale Rechtsgrundlage des deutschen Datenschutzrechts ist das Bundesdatenschutzgesetz (BDSG). Für das Internet hält das Telemediengesetz (TMG) eine Reihe von Ergänzungen bereit. Mit der BDSG-Novelle 2009 wurde das Datenschutzrecht umfassend reformiert und modernisiert. Zudem, gilt ab dem 25. Mai 2018 in der ganzen EU die Datenschutz-Grundverordnung (DSGVO). Auf praktisch alle Unternehmen kommen damit tiefgreifende Änderungen zu. Besonders die verschärften Rechenschafts- und Dokumentationspflichten sorgen für erheblichen Verwaltungsaufwand, der zeitnah in Angriff genommen werden sollte. Gegenstand des Datenschutzrechts ist vor allem der Umgang mit personenbezogenen Daten. Darunter sind laut § 3 Abs. 1 BDSG (ggf. Art 4 Nr. 1 DSGVO) „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ zu verstehen. Umstritten ist, ob auch dynamische IP-Adessen unter diesen Begriff fallen.

 

Online-Händler sollten insbesondere folgende Punkte berücksichtigen:

1. Die Datenschutzerklärung

Eine Datenschutzerklärung ist stets erforderlich, wenn personenbezogene Daten auf einer Website erhoben oder verwendet werden. Aus diesem Grund darf eine Datenschutzerklärung in keinem Onlineshop fehlen. Wesentliche Regelungsgegenstände sind gemäß § 13 Abs. 1 TMG Art, Umfang und Zweck der Datenverarbeitung sowie ggf. die Übermittlung in Drittländer. Sofern eine anonyme oder pseudonyme Nutzung möglich ist, muss darauf ebenfalls hingewiesen werden. Ebenso muss über Möglichkeiten des Widerrufs und Widerspruchs sowie Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte belehrt werden. In die Datenschutzerklärung gehören auch Hinweise auf Cookies und Web-Analyse-Tools.

2. Auftragsdatenverarbeitung

Von Auftragsdatenverarbeitung ist die Rede, wenn Unternehmer die Verarbeitung personenbezogene Daten aus ihrem Unternehmen an Externe weitergeben. Dies ist nicht nur in komplexen Verfahren der IT-Auslagerung (business process outsourcing) sondern auch bei der Zusammenarbeit mit Inkasso-, Versand- oder Logistik-Dienstleistern der Fall. In diesen Fällen liegt die rechtliche Verantwortlichkeit nach wie vor beim Auftraggeber selbst. Zusätzlich zum bestehenden Auftragsverhältnis (meist ein Werk- oder Dienstvertrag) muss der Auftraggeber mit dem Externen eine so genannte Datenschutzvereinbarung schließen. Diese unterliegt den umfangreichen Anforderungen des § 11 BDSG. Weitere Informationen zur Auftragsdatenverarbeitung finden Sie in unserem Beitrag „Datenschutz im Internet – Informationen zur Auftragsdatenverarbeitung“ vom 3. Dezember 2009.

3. Newsletter und Marketing

Kundendaten unterliegen dem datenschutzrechtlichen Zweckbindungsgrundsatz. Demnach dürfen die Daten im Onlinehandel grundsätzlich nur für die Abwicklung des (Kauf-)Vertrags genutzt werden. Unproblematisch ist eine Weitergabe an Transportunternehmen oder Kreditinstitute, soweit dies die Abwicklung des Vertrags erfordert.

Für die Nutzung personenbezogener Daten über die Erfüllung des Vertrags hinaus ist jedoch stets die Einwilligung des Kunden erforderlich. Dies gilt insbesondere beim Newsletterversand oder bei der Datenerhebung zu Marketingzwecken. Diese Einwilligung kann nur ausdrücklich erfolgen („Opt-In“). Die sicherste Methode ist, sich die Einwilligung nochmals ausdrücklich bestätigen lassen, beispielsweise durch einen anzuklickenden Link in einer Bestätigungsmail („Double-Opt-In“). Nicht ausreichend ist die Einwilligung mittels „Opt-Out“-Verfahren, beispielsweise durch vorangekreuzte Checkbox.

Ausnahmen von diesen Grundregeln sind allenfalls unter sehr engen Voraussetzungen bei bereits bestehenden Geschäftskontakten denkbar. Wichtig ist aber in jedem Fall, auf eine Widerrufsmöglichkeit hinzuweisen.

4. Cookies

Cookies können je nach Art und Verwendung Hinweispflichten auslösen oder eine Einwilligung erforderlich machen. Dabei ist zu unterscheiden: Kommen Cookies zum Einsatz, die personenbezogene Daten beinhalten, jedoch für die Abwicklung des Vertrags erforderlich sind, so muss der Betreiber lediglich auf deren Einsatz hinweisen. Lassen die Cookies keine Rückschlüsse auf die Person des Kunden zu, so muss auch nicht hingewiesen werden. Sobald die Cookies aber zu Zwecken dienen, die über die bloße Kaufabwicklung hinausgehen (insbesondere Marketingzwecke), so ist eine Einwilligung des Kunden erforderlich.

5. Google Analytics & Co.: Einsatz von Webanalyse-Tools

Webanalyse-Tools zur Erfassung des Surfverhaltens sind inzwischen vielfach im Einsatz. Datenschutzrechtlich ist deren Einsatz jedoch nicht unproblematisch, gerade im Hinblick auf Google Analytics bestanden bislang derzeit erhebliche Bedenken, vgl. unseren Beitrag „Google Analytics: Einigung beim Datenschutz“ vom 15.09.2011.

Das Problem liegt darin, dass Google Analytics IP-Adressen ohne Einwilligung der Betroffenen speichert. Ohne Einwilligung ist die Erstellung von Nutzungsprofilen, wie sie durch Webanalyse-Tools geschieht, jedoch nur in anonymer oder pseudonymer Form zulässig. Ob IP-Adressen solche Pseudonyme sind, ist noch nicht abschließend geklärt, wird aber von den Datenschutz-Aufsichtsbehörden inzwischen verneint.

Wer Webanalyse-Tools einsetzen möchte, sollte darauf achten, dass das Programm keine IP-Adressen speichert oder diese zumindest unkenntlich macht. Auf jeden Fall aber ist ein Hinweis auf den Einsatz in der Datenschutzerklärung erforderlich.

6. Datenweitergabe und Bonitätsprüfung

Grundsätzlich ist vor der Weitergabe von Kundendaten an Dritte die Einwilligung des Kunden einzuholen. Dies gilt nicht, wenn die Weitergabe zur Erfüllung der vertraglichen Beziehungen erfolgt, z.B. bei der Weitergabe an Transportunternehmen. Ebenfalls nicht erforderlich ist eine Einwilligung, wenn die Daten anonymisiert zu Markt- oder Meinungsforschungszwecken genutzt werden. In diesen Fällen ist der Kunde aber über sein Widerspruchsrecht zu unterrichten.

Eine Einwilligung ist jedoch immer dann erforderlich, wenn die Weitergabe nicht der Abwicklung des Vertrags dient oder durch Gesetz ausdrücklich erlaubt ist. Die Einwilligung muss dann den Zweck der Verarbeitung benennen und jederzeit für den Kunden abrufbar sein. Der Kunde muss sie ferner jederzeit widerrufen können. Die Einwilligung kann elektronisch erfolgen, eine Opt-Out-Lösung ist jedoch nicht zulässig.

Erfolgt die Datenweitergabe zum Zwecke der Bonitätsprüfung, beispielsweise an die Schufa oder die Creditreform, so ist eine Einwilligung nur dann nicht erforderlich, wenn ein berechtigtes Interesse besteht. Dann muss der Kunde lediglich informiert werden. Ein berechtigtes Interesse ist beispielsweise dann gegeben, wenn der Händler in Vorleistung tritt.

Unsere aktuellen Beiträge zum Thema Datenschutz finden Sie in den Weblogs Internetrecht München und Datenschutzerklärung.

Kontakt

Kontaktieren Sie uns gerne für ein erstes unverbindliches Gespräch.

FX legal

Widenmayerstraße 4
80538 München