Site icon Blog für den Onlinehandel

Datenschutzproblem Dienstleister? – Teil 1

Nicola Straub

Der Vorwurf ist (fast) so alt wie der Amazon Marketplace: „Amazon schneidet alle unsere Produkt- und Vertriebsdaten mit und steigt dann dort, wo es lohnt, selbst in das Geschäft ein„. Und es gibt ja auch immer wieder Beispiele, die diese Spekulationen anheizen. Viele Händler sind darum misstrauisch und durchaus um ihre Daten besorgt.

Und dennoch: Als nach einer Veröffentlichung von Mark Steier im März dieses Jahres eine Diskussion entstand, in der es um Vertrauenswürdigkeit von Marktplatz-Dienstleistern und deren Umgang mit den Daten der angeschlossenen Händler ging, äußerten sich viele beteiligte Händler desinteressiert. Denn zeitweise stand der Verdacht im Raum, dass ein Dienstleister auf einer Veranstaltung einige Daten seiner Kunden (anonymisiert) genutzt haben sollte, um Teilnehmer zu schulen. Auch wenn sich dieses Gerücht kurz darauf in Luft auflöste: Dass in der Diskussion ein verbreiteter Tenor vieler Händlern war, dass man sich bei der Auswahl seiner Dienstleister keine Sorgen um den Schutz der eigenen Daten mache, war schon erschreckend.

Denn natürlich sind die Produktdaten und noch mehr die Performancedaten im E-Commerce das Stammkapital, das über den Erfolg oder Misserfolg entscheidet: Welche Produkte lassen sich zu welchem Preis mittels welcher Keywords wie gut verkaufen…? Kann man sich vorstellen, dass ein Onlinehändler freiwillig einem Konkurrenten mitteilen würde, „Du, ich verkaufe die Produkte XX am besten in den Kategorien YY über die Keywords ZZ, wenn ich den Preis bei etwas AB,CD halte“? Wohl kaum.

Heute kommen nur wenige Händler mit professionellem Martkplatzauftritt ohne Dienstleister aus. Egal ob Repricer oder SEO-Agenturen, naturgemäß sammeln diese viele Daten über die Produkte und deren Performance.

Welche Aussagen treffen die Dienstleister über den Schutz der Kundendaten?

Wir haben uns einmal die Websites von 17 willkürlich ausgewählten Dienstleister daraufhin angesehen, welche Aussagen diese zum Schutz und zu einer Haftung rund um die Händlerdaten treffen. Dabei zeigt sich, dass das Thema „Datenschutz“ in dieser Bedeutung ausgesprochen selten oder nur sehr schwammig vorkommt. Und bei der Haftungsfrage wird – neben Haftungsauflagen für den Kunden, also den Händler – i.d.R. lediglich darauf abgestellt, ob bzw. inwieweit die jeweiligen Tools korrekt funktionieren.

 

Die Spanne in den AGB ist sehr groß. Beispielsweise verpflichtet sich ein Dienstleister unter dem Stichwort „Haftung“ selbst zur Übernahme der Haftung für Schäden durch mutwillige oder grob fahrlässiges Verfehlungen und auch eine Löschung aller Daten der Kunden auf deren Wunsch wird garantiert. Gleichzeitig zeigt man sich in den AGB auch der Sensibilität der Daten bewusst, wenn beispielsweise im Abschnitt Datenschutz geschrieben wird:

[DIENSTLEISTER-X] behält sich das Recht vor, diese Daten ihren Arbeitnehmern sowie Verrichtungs- bzw. Erfüllungsgehilfen mitzuteilen, wenn eine solche Mitteilung zur vertragsmäßigen Erfüllung durch [DIENSTLEISTER-X] gemäß der vorliegenden AGB notwendig bzw. wünschenswert ist.

Hierbei wird [DIENSTLEISTER-X] die betreffenden Personen auf die Vertraulichkeit der betreffenden Informationen hinweisen und sie auf den Datenschutz nach den gesetzlichen Bestimmungen verpflichten. Eine Weitergabe von Daten an sonstige Dritte, insbesondere zu Werbezwecken, erfolgt nur nach gesonderter Zustimmung des KUNDEN.

Es geht auch noch konkreter:

[DIENSTLEISTER-Y] verpflichtet sich alle erhaltenen Daten und Informationen des Kunden geheim zu halten und weder für eigene Zwecke zu verwenden, noch an Dritte weiterzugeben. Alle Daten bleiben im Besitz des Kunden. Details zum Datenschutz entnehmen Sie bitte der Datenschutzerklärung.

Leider bezieht sich die einzige sichtbare Datenschutzerklärung der Website hier dann nur auf die Nutzung der Website (Cookies, Google Analytics etc.).

Andere AGB sind da knapper, manchmal gibt es gar keinen Hinweis zu Vertraulichkeitspflichten des Dienstleisters (wohl aber immer zu denen der Händler). Ein gegenteiliges Extrem dürfte das Beispiel darstellen bei dem sich der Dienstleister via AGB die Zustimmung zu einer unbefristeten Nutzung der generierten Kundendaten ermächtigt:

[DIENSTLEISTER-Z] ist berechtigt, die vom Kunden übermittelten Daten in das [DIENSTLEISTER] System einzustellen. Der Nutzung dieser Daten zum Zwecke der Vertragserfüllung für die Dauer des Vertrages und die darüber hinausgehende Zeit, stimmt der Kunde zu.

Es geht auch noch weitreichender:

Die [DIENSTLEISTER-Ω] ist berechtigt, die von Kunden übermittelten Daten einzustellen und diese in dem für die Vertragserfüllung notwendigen Umfang zu nutzen. Der Kunde stimmt einer Nutzung der von ihm übermittelten Daten durch die [DIENSTLEISTER-Ω] für die Dauer dieses Vertrages und die darüber hinausgehende Zeit zu.

Diese Zustimmung umfasst auch die erforderliche Nutzung von Marken, Logos, Firmennamen und anderen Kennzeichen zur Darstellung der Auswertungen auf den Endgeräten des Services von [DIENSTLEISTER-Ω] und im Rahmen der Kommunikation von [DIENSTLEISTER-Ω] (z.B. in Artikeln in Zeitschriften, Foren, Blogs und anderen Redaktionswebsites).

Und auch bei der Haftung gibt es eine Bandbreite bis hin zu einer generell sehr starken Begrenzung:

Ansprüche des Kunden auf Schadensersatz sind, soweit diese nicht durch die abgeschlossene Versicherung gedeckt sind und nicht auf einem vorsätzlichen oder grob fahrlässigen Handeln von [DIENSTLEISTER-Z] oder der von [DIENSTLEISTER-Z] beauftragten beruht, pro Schadensfall auf 50% des durchschnittlichen jährlichen Vertragsvolumen begrenzt (Haftungshöchstgrenze).

Dies wäre dann vermutlich eine relativ überschaubare Haftungssumme, so die Versicherung nicht mit höheren Haftungssummen einspringt. (Über die Höhe und die Leistungsbedingungen der angesprochenen Versicherung wird leider hier nichts weiter gesagt.)

Was kann schon passieren?

Viele Händler in der obengenannten Diskussion standen auf dem Standpunkt, dass ja nicht viel passieren könne. Man vertraut wohl darauf, dass Dienstleister ihr Handwerk verstehen und sorgfältig mit den Daten umgehen werden. Dabei wird jedoch zwei Risiken außer Acht gelassen:

  1. Auch bei Dienstleistern arbeiten Menschen. Selbst wenn diese gut geschult und sensibilisiert sind – vielleicht ist der eine oder andere doch nicht davor gefeit, im Freundeskreis das eine oder andere Detail, beispielsweise über eine in den Analysen entdeckte geniale Nische, preiszugeben. Und bei mancher Aushilfe sind die Hemmschwellen hier dann eventuell noch einmal niedriger und sie selbst oder ein Schwager oder Kumpel finden diese dann so interessant, dass sie sich auf diese Lücke setzen…
  2. Im schlimmsten Fall aber könnte jemand sich als Dienstleister ausgeben, tatsächlich jedoch nur an den Daten interessiert sein. Auch wenn dies zunächst nach einer etwas abenteuerlichen Strategie klingt, so hat es schon den einen oder anderen Dienstleister gegeben, bei dem man nicht wirklich das Gefühl hatte, das sein Geschäft auf Dauerhaftigkeit ausgelegt war.

Fazit: Trau schau wem

Händler sollten sich des Wertes ihrer Produkt- und Performance-Daten bewusst sein. Trotz eines verbreiteten Misstrauens gegenüber beispielsweise Amazon, fehlt jedoch ein gesundes Gefahrenbewusstsein an der Stelle von Dienstleistern.

Im heutigen Marktplatz-E-Commerce sind Tools oft erfolgsentscheidend. Kostenlose Testaccounts laden zudem zum Ausprobieren vieler Tools ein, was generell sinnvoll ist, um das für das eigene Portfolio am besten passendste Tool zu finden. Die Frage, wem die aggregierten Performancedaten gehören und was mit ihnen (auch über die Testphase hinweg bzw. nach Vertragsende) passiert, sollte geklärt sein.

Professionelle Dienstleister sind für ihren eigenen langfristigen Erfolg am Markt selbst darauf bedacht, die ihnen anvertrauten bzw. durch sie aggregierten Daten gut zu schützen. Händler tun dennoch gut daran, ihre Dienstleister auf deren Sicherheitsmaßnahmen anzusprechen, gerade am Umgang mit solchen Fragen lässt sich erkennen, wie gut der jeweilige Dienstleister auf das Thema sensibilisiert ist.

>> Lesen Sie im nächsten Teil, wie sich die Situation aus rechtlicher Sicht darstellt.
>> Im dritten Teil geht es um ein eventuell noch viel schwerwiegenderes Gefahrenpotential.

Herzlich aus Hürth
Nicola Straub

Bildnachweis: ©’succo’/Pixabay.de

Exit mobile version