Im Internet fallen große Mengen an Daten an. Dies gilt insbesondere für soziale Netzwerke aber auch den Handel im elektronischen Geschäftsverkehr, sei es zur Abwicklung des Bestellvorgangs oder zu weitergehenden Zwecken wie z.B. Marketing. Doch die Vorschriften zum Schutz der Daten sind vielfältig und umfangreich. Shopbetreiber sollten daher über das geltende Datenschutzrecht informiert sein. So muss beispielsweise die Datenschutzerklärung allen spezifischen Umständen des Onlineshops gerecht werden, insbesondere muss über den Einsatz von Cookies oder Web-Analyse-Tools gesondert informiert werden. Ebenso unterliegt der Versand von Newslettern strengen Regeln. Auch das Outsourcing der Datenverarbeitung (Auftragsdatenverarbeitung) befreit nicht von rechtlicher Verantwortlichkeit.
Die zentrale Rechtsgrundlage des deutschen Datenschutzrechts ist das Bundesdatenschutzgesetz (BDSG) in Verbindung mit der seit dem 25. Mai 2018 unionsweit geltenden Datenschutz-Grundverordnung (DSGVO). Für den Bereich der digitalen Dienste (ehemals Telemedien) wurde das alte Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) abgelöst. Die spezifischen datenschutzrechtlichen Ergänzungen für diesen Bereich – wie etwa die Regeln zum Einsatz von Cookies – finden sich heute im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Die DSGVO hat für praktisch alle Unternehmen tiefgreifende Pflichten mit sich gebracht. Besonders die strengen Rechenschafts- und Dokumentationspflichten erfordern einen kontinuierlichen Verwaltungs- und Compliance-Aufwand.
Gegenstand des Datenschutzrechts ist vor allem der Umgang mit personenbezogenen Daten. Darunter sind laut Art. 4 Nr. 1 DSGVO alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dass auch dynamische IP-Adressen unter diesen Begriff fallen, ist durch die Grundsatzentscheidungen des Europäischen Gerichtshofs (EuGH, Urt. v. 19.10.2016 – C 582/14) und des Bundesgerichtshofs (BGH, Urt. v. VI ZR 135/13) rechtlich geklärt, sofern der Anbieter über die rechtlichen Mittel verfügt, die Person mithilfe von Zusatzwissen zu identifizieren.
Online-Händler sollten insbesondere folgende Punkte berücksichtigen:
1. Die Datenschutzerklärung
Eine Datenschutzerklärung ist stets erforderlich, wenn personenbezogene Daten auf einer Website verarbeitet werden. Aus diesem Grund darf sie in keinem Onlineshop fehlen. Wesentliche Regelungsgegenstände sind gemäß Art. 13 DSGVO die Identität des Verantwortlichen, die Rechtsgrundlagen und Zwecke der Datenverarbeitung, die Speicherdauer sowie eine eventuelle Übermittlung in Drittstaaten außerhalb der EU. Zudem muss umfassend über die Betroffenenrechte aufgeklärt werden. Dazu gehören das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit. Auch über das Recht auf jederzeitigen Widerruf einer Einwilligung und das allgemeine Widerspruchsrecht muss belehrt werden. In die Datenschutzerklärung gehören außerdem detaillierte Hinweise auf den Einsatz von Cookies, Web-Analyse-Tools und andere Tracking-Technologien, deren Einwilligungserfordernis sich nach § 25 TDDDG richtet.
2. Auftragsverarbeitung
Von Auftragsverarbeitung ist die Rede, wenn Unternehmer die Verarbeitung personenbezogene Daten aus ihrem Unternehmen an Externe weitergeben. Dies ist nicht nur in komplexen Verfahren der IT-Auslagerung (business process outsourcing) sondern auch bei der Nutzung externer Rechenzentren, Newsletter-Dienstleister oder bei der externen Lohnabrechnung der Fall. In diesen Fällen liegt die rechtliche Verantwortlichkeit nach wie vor beim Auftraggeber selbst. Zusätzlich zum bestehenden Hauptvertrag (meist ein Werk- oder Dienstvertrag) muss der Auftraggeber mit dem externen Dienstleister einen sogenannten Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen, sofern dieser Zugriff auf personenbezogene Daten hat. Diese Vereinbarung unterliegt den umfangreichen und strengen gesetzlichen Anforderungen des Art. 28 DSGVO. Weitere Informationen und praxisnahe Hilfestellungen zur datenschutzkonformen Ausgestaltung finden Sie in aktuellen Leitfäden der Aufsichtsbehörden zur Auftragsverarbeitung sowie in den offiziellen Standardvertragsklauseln der Europäischen Kommission.
3. Newsletter und Marketing
Kundendaten unterliegen dem datenschutzrechtlichen Zweckbindungsgrundsatz. Demnach dürfen die Daten im Onlinehandel grundsätzlich nur für die Abwicklung des (Kauf-)Vertrags genutzt werden. Unproblematisch ist eine Weitergabe an Transportunternehmen oder Kreditinstitute, soweit dies die Abwicklung des Vertrags erfordert.
Für die Nutzung personenbezogener Daten über die Erfüllung des Vertrags hinaus ist jedoch stets die Einwilligung des Kunden erforderlich. Dies gilt insbesondere beim Newsletterversand oder bei der Datenerhebung zu Marketingzwecken. Diese Einwilligung kann nur ausdrücklich erfolgen („Opt-In“). Die sicherste Methode ist, sich die Einwilligung nochmals ausdrücklich bestätigen lassen, beispielsweise durch einen anzuklickenden Link in einer Bestätigungsmail („Double-Opt-In“). Nicht ausreichend ist die Einwilligung mittels „Opt-Out“-Verfahren, beispielsweise durch vorangekreuzte Checkbox.
Ausnahmen von diesen Grundregeln sind allenfalls unter sehr engen Voraussetzungen bei bereits bestehenden Geschäftskontakten denkbar. Wichtig ist aber in jedem Fall, auf eine Widerrufsmöglichkeit hinzuweisen.
4. Cookies
Cookies können je nach Art und Verwendung Hinweispflichten auslösen oder eine Einwilligung erforderlich machen. Dabei ist zu unterscheiden: Kommen Cookies zum Einsatz, die personenbezogene Daten beinhalten, jedoch für die Abwicklung des Vertrags erforderlich sind, so muss der Betreiber lediglich auf deren Einsatz hinweisen. Lassen die Cookies keine Rückschlüsse auf die Person des Kunden zu, so muss auch nicht hingewiesen werden. Sobald die Cookies aber zu Zwecken dienen, die über die bloße Kaufabwicklung hinausgehen (insbesondere Marketingzwecke), so ist eine Einwilligung des Kunden erforderlich.
5. Google Analytics & Co.: Einsatz von Webanalyse-Tools
Webanalyse-Tools zur Erfassung des Surfverhaltens sind inzwischen vielfach im Einsatz. Datenschutzrechtlich ist deren Einsatz jedoch nicht unproblematisch, gerade im Hinblick auf Google Analytics bestanden bislang derzeit erhebliche Bedenken, vgl. unseren Beitrag „Google Analytics: Einigung beim Datenschutz“ vom 15.09.2011.
Das Problem liegt darin, dass Google Analytics IP-Adressen ohne Einwilligung der Betroffenen speichert. Ohne Einwilligung ist die Erstellung von Nutzungsprofilen, wie sie durch Webanalyse-Tools geschieht, jedoch nur in anonymer oder pseudonymer Form zulässig. Ob IP-Adressen solche Pseudonyme sind, ist noch nicht abschließend geklärt, wird aber von den Datenschutz-Aufsichtsbehörden inzwischen verneint.
Wer Webanalyse-Tools einsetzen möchte, sollte darauf achten, dass das Programm keine IP-Adressen speichert oder diese zumindest unkenntlich macht. Auf jeden Fall aber ist ein Hinweis auf den Einsatz in der Datenschutzerklärung erforderlich.
6. Datenweitergabe und Bonitätsprüfung
Grundsätzlich ist vor der Weitergabe von Kundendaten an Dritte die Einwilligung des Kunden einzuholen. Dies gilt nicht, wenn die Weitergabe zur Erfüllung der vertraglichen Beziehungen erfolgt, z.B. bei der Weitergabe an Transportunternehmen. Ebenfalls nicht erforderlich ist eine Einwilligung, wenn die Daten anonymisiert zu Markt- oder Meinungsforschungszwecken genutzt werden. In diesen Fällen ist der Kunde aber über sein Widerspruchsrecht zu unterrichten.
Eine Einwilligung ist jedoch immer dann erforderlich, wenn die Weitergabe nicht der Abwicklung des Vertrags dient oder durch Gesetz ausdrücklich erlaubt ist. Die Einwilligung muss dann den Zweck der Verarbeitung benennen und jederzeit für den Kunden abrufbar sein. Der Kunde muss sie ferner jederzeit widerrufen können. Die Einwilligung kann elektronisch erfolgen, eine Opt-Out-Lösung ist jedoch nicht zulässig.
Erfolgt die Datenweitergabe zum Zwecke der Bonitätsprüfung, beispielsweise an die Schufa oder die Creditreform, so ist eine Einwilligung nur dann nicht erforderlich, wenn ein berechtigtes Interesse besteht. Dann muss der Kunde lediglich informiert werden. Ein berechtigtes Interesse ist beispielsweise dann gegeben, wenn der Händler in Vorleistung tritt.
Unsere aktuellen Beiträge zum Thema Datenschutz finden Sie in den Weblogs Internetrecht München und Datenschutzerklärung.