Trusted Shops The safe way to web shopping
Unternehmen | Karriere | Presse | Für Online-Käufer | Einkaufswelt | Login
Wir beraten Sie gern

Datenschutz im Online-Shop – Was muss ich beachten?

Veröffentlicht am 22. Juni 2009 von Madeleine Pilous

Der Datenschutz wird von vielen Onlinehändlern recht stiefmütterlich behandelt. Dies liegt vor allem daran, dass viele Händler schlecht über die bestehenden Datenschutzregeln informiert sind. Dabei können Verstöße ernsthafte Konsequenzen haben. Lesen Sie hier, worauf es beim Datenschutz ankommt.

In einer neuen siebenteiligen Beitragsreihe von Trusted Shops zum Thema Datenschutz werden grundlegende Einblicke in das Thema Datenschutz gewährt. Hierbei soll in den kommenden Beiträgen vor allem auf die für Onlinehändler relevanten Themen, wie etwa E-Mail-Werbung, IP-Adressen-Speicherung und Bonitätsprüfungen eingegangen werden.

Lesen Sie in diesem Beitrag: Datenschutz I: So machen Sie es richtig

Inhalt der Datenschutzerklärung

Wichtige Inhalte der Datenschutzerklärung sind Art, Umfang, Zweck der Datenverarbeitung, Übermittlung in Drittländer (§ 13 Abs. 1 TMG), Belehrung über anonyme oder pseudonyme Nutzung (falls möglich), Belehrung über evtl. bestehende Widerspruchs- und Widerrufsmöglichkeiten, Belehrung über Auskunfts-, Berichtigungs-, Sperrungs-und Löschungsrechte, Informationen über Cookies (mit Personenbezug) und ggf. Wiedergabe der Einwilligungstexte (Newsletteranmeldung etc.).

Zweckbindungsgrundsatz

Sowohl im Bundesdatenschutzgesetz (BDSG) als auch im Telemediengesetz (TMG) gilt ein enger Zweckbindungsgrundsatz, d.h. alles was nicht ausdrücklich durch Gesetz oder Einwilligung des Kunden erlaubt ist, ist verboten. Kundendaten, gleich ob Namen und Adressen, Kaufverhalten oder Abrechnungsdaten dürfen nur in sehr eingeschränktem Umfang erhoben und verarbeitet werden. Die Übermittlung der notwendigen Daten an das Transportunternehmen und das Kreditinstitut erfolgt im Online-Handel zur Erfüllung des Kaufvertrages und ist daher gemäß § 28 Abs. 1 Nr. 1 BDSG ohne Einwilligung möglich. Entscheidend ist hier, inwieweit die betreffende Datenverarbeitung durch Gesetz ausdrücklich erlaubt bzw. zur Abwicklung des Online-Kaufs unbedingt erforderlich ist.

Übermittlung ohne Einwilligung

Schließt der Verbraucher beispielsweise einen Kaufvertrag mit einem Online-Händler, darf der Händler die Adressdaten des Kunden gem. § 28 Abs. 1 Nr.1 BDSG ohne Einwilligung einem Transportunternehmen übermitteln, da er hierdurch bloß seine Vertragspflichten erfüllt. Der Betroffene ist aber gem. § 28 Abs. 4 BDSG über sein jederzeitiges Widerspruchsrecht im Bezug auf Verwendung der Daten zur Markt- oder Meinungsforschung zu unterrichten. Daher reicht es in diesen Fällen aus, wenn die jeweiligen Rechte des Betroffenen aus der verlinkten Datenschutzerklärung hervorgehen.

Darüber hinaus gibt es zahlreiche Fälle, in denen eine Einwilligung gar nicht möglich ist, wie z.B. das (wenn auch nur kurzzeitige) Speichern der IP- Adresse des Nutzers auf dem Server des Diensteanbieters. Hier ist es technisch nicht möglich, den Nutzer vorher nach der Einwilligung zu fragen, da schon mit Anklicken der betreffenden Seite automatisch eine Speicherung erfolgt. Diese Fälle zählen zu den Datenverarbeitungsvorgängen, die zur Durchführung und Abwicklung eines Online-Kaufs unbedingt erforderlich sind.

Umfassende Information nötig

Es kommt also nicht bei sämtlichen Datenverarbeitungsvorgängen auf eine Einwilligung des Betroffenen an. Vielmehr ist dieser im Rahmen der § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG „nur“ umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte zu unterrichten. Es muss also stets zwischen einer etwa erforderlichen Einwilligung und der bloßen Unterrichtung differenziert werden.

Ausnahme der Einwilligung im UWG

Dies wird auch durch § 7 Abs. 3 UWG bekräftigt, wonach eine Einwilligung des Verbrauchers zur Werbung mit ähnlichen Produkten mittels elektronischer Post bei kumulativem Vorliegen der entsprechenden Voraussetzungen (u.a. auch hier Belehrung über jederzeitigen Widerspruch) gerade nicht erforderlich ist. § 7 Abs. 3 UWG stellt insoweit einen wettbewerbsrechtlichen Sonderfall dar, der vor allem von Verbraucherschützern stark kritisiert wird.

Erforderliche Einwilligung

Ist die Datenverarbeitung nicht zur Abwicklung des Online-Einkaufs erforderlich oder durch Gesetz ausdrücklich erlaubt, muss die Einwilligung des Kunden eingeholt werden. Die Einwilligung, die präzise den Zweck der Verarbeitung benennen muss, kann bei Telediensten elektronisch erteilt werden, muss dann protokolliert werden, für den Kunden jederzeit abrufbar sein und kann jederzeit widerrufen werden.

Eine Einwilligung muss ausdrücklich erfolgen(nicht durch vorangekreuzte Checkbox) und darf nicht in den AGB versteckt sein. Dies hat auch der BGH ausdrücklich bestätigt. Das LG Bonn (Urteil vom 31.10.2006, Az. 11 O 66/06) entschied z.B. zur Einwilligung in Telefonwerbung, dass eine formularmäßig eingeholte Einwilligung von Verbrauchern, die zu uneingeschränkter telefonischer Werbung berechtigten soll, gegen §§ 4, 41 BDSG verstößt und unwirksam ist. Darüber hinaus verstoße eine ohne sachlichen Zusammenhang in AGB eingebaute Einwilligungsklausel auch gegen das Transparenzgebot (§ 307 Abs. 1 S. 2 BGB).

Das OLG Köln hat entschieden, dass eine vorformulierte Einwilligung in die Telefonwerbung durch AGB ausgeschlossen ist. Auch das LG Dortmund (Urteil v. 23.02.2007, 8 O 194/06) hat entschieden, dass eine Bevollmächtigung in AGB, Daten im Rahmen der Leistungserbringung an Dritte weiterzugeben, gegen AGB-Recht und das BDSG verstößt.

Anwendungsbereiche der Einwilligung

Wenn Sie zweifeln, ob eine bestimmte Verarbeitung noch im unmittelbaren Zusammenhang mit der Bestellabwicklung steht, sollten Sie vorsichtshalber Ihre Kunden aufklären und um Erlaubnis bitten. Wichtige Anwendungsbereiche der Einwilligung sind :

  • E-Mail-Newsletter (Verwendung der Kundendaten zu Werbezwecken)
  • Registrierung (Eröffnung eines Kundenkontos)
  • Datenweitergabe (sofern sie nicht zur Vertragserfüllung erfolgt)
  • Nutzerprofilerstellung (Systematische Aufbereitung von Kundendaten zur gezielten Werbeansprache)
  • Langzeit-Cookies (dauerhafte Speicherung von personenbezogenen Daten)
  • Bonitätsprüfung (sofern kein „berechtigtes Interesse“ vorliegt)

Verlinkung zulässig

Grundsätzlich kann die Unterrichtung des Kunden zentral in der Datenschutzerklärung zusammengefasst werden, welche von jeder Seite aus unter dem Link „Datenschutz“, „Datenschutzerklärung“ oder auch „Datenschutzinformationen“ erreichbar sein sollte. Auch die Einwilligungstexte können durch einen sprechenden Link innerhalb der Datenschutzerklärung auf einer anderen Informationsseite bereitgehalten werden.

Hierbei ist der Link jedoch so eindeutig zu bezeichnen, dass dem Verbraucher sofort klar ist, was er beim Anklicken desselben abrufen wird. Insoweit wäre z.B. ein sprechender Link auf „weitere Informationen“ nicht ausreichend, da dies auch Erläuterungen sein könnten, die den Verbraucher nicht interessieren. Es muss bei der Verwendung eines sprechenden Links stets ein Schlagwort verwendet werden, das zweifelsfrei erkennen lässt, was sich auf der verlinkten Seite befindet. Daher reicht es aus datenschutzrechtlicher Sicht z.B. auch nicht aus, mit einem Link auf AGB zu verweisen, wenn dort neben den AGB auch die Datenschutzerklärung zu finden ist.

Datenweitergabe an Dritte

Bei Datenweitergabe an Dritte zu Werbezwecken sollten die Empfänger ausdrücklich benannt werden, damit der Kunde notfalls seine Rechte gegenüber diesen Dritten geltend machen kann. Eine Weitergabe an nicht näher bezeichnete „Partnerunternehmen“ weckt das Misstrauen der Kunden.

Sanktion bei Verstößen

Bei Verstößen gegen datenschutzrechtliche Vorschriften drohen staatliche Sanktionen in Form von Bußgeldern bis zu 250.000 € bis hin zum Entzug der Gewerbeerlaubnis oder Freiheitsstrafen. Zunehmend werden Datenschutzverstöße wegen des Verbraucherschutzbezugs auch von Verbraucherverbänden abgemahnt und gerichtlich verfolgt. Da es im Datenschutzrecht grundsätzlich nur datenschutzbehördliche Sanktionen in Form von Bußgeldern gibt und Verbraucherverbände auch nur vereinzelt (namentlich bei Bezug des Verstoßes zum Verbraucherschutz) zur Abmahnung befugt sind, enthält das datenschutzrechtliche Instrumentarium selbst keine Abmahnmöglichkeiten des Konkurrenten.

Jedoch können Verstöße gegen das Datenschutzrecht dem jeweiligen Unternehmen auch unzulässige Wettbewerbsvorsprünge bringen, weshalb derartige Verstöße durch Konkurrenten nach dem UWG abmahnfähig sind. Hier käme u.a. das Vorliegen von § 4 Abs. 11 UWG in Betracht, allerdings wäre es hierfür erforderlich, dass es sich um eine datenschutzrechtliche Vorschrift handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

Auszug aus Hoeren/Föhlisch, Trusted Shops Praxishandbuch, Stand: 05/2009

Lesen Sie auch die weiteren Teile zum Thema Datenschutz

  1. Teil 1: So machen Sie es richtig
  2. Teil 2: Was Sie beim Newsletter-Versand beachten müssen
  3. Teil 3: Darf die IP-Adresse gespeichert werden?
  4. Teil 4: Was sind Cookies und was ist bei ihrem Einsatz zu beachten?
  5. Teil 5: Darf man Web-Analyse-Tools einsetzen?
  6. Teil 6: Darf ich Kundendaten einfach weitergeben?
  7. Teil 7: Darf ich die Bonität meiner Kunden prüfen?

Wollen Sie mehr zum Thema wissen?

Trusted Shops Praxishandbuch Dann schauen Sie sich einmal unser Praxishandbuch für Shopbetreiber an! Das Trusted Shops Praxishandbuch ermöglicht juristischen Laien die rechtssichere Gestaltung des Kaufprozesses im Online-Shop vom Impressum über die Datenschutzerklärung, Produktbeschreibung, Bestellseite, Informationsseiten und AGB bis zur E-Mail-Bestätigung. Mehr...

Weitere Beiträge zum Thema Tipps und Tools:



«
»
Ein Auszug aus unseren Referenzen