Bei jedem Kauf in einem Onlineshop fallen beim Händler Kundendaten an: Name, Adresse, E-Mailadresse, Kreditkartenummer usw. Die datenschutzrechtlichen Pflichten für Internethändler im Umgang mit den Kundendaten sind in §§ 11 ff. Telemediengesetz (TMG) geregelt. Danach ist der Kunde immer über die Erhebung und Verwendung seiner Daten zu unterrichten. In bestimmten Fällen ist außerdem die vorherige Einwilligung des Kunden zur Datenerhebung und –Verwendung erforderlich.
Können Händler wegen Verletzung der datenschutzrechtlichen Regelungen abgemahnt werden?
Die Verletzung datenschutzrechtlicher Pflichten konnte nach bisheriger Rechtsprechung nicht abgemahnt werden (Beispiel: Beschluss Kammergericht Berlin zum Like-Button von Facebook vom 29.04.2011, Az. 5 W 88/11. Die Pflichten im Datenschutz wurden früher nicht als sog. Marktverhaltensregeln im Sinne des Wettbewerbsrechts angesehen worden, so dass Abmahnungen unzulässig waren. Nach einem aktuellen Urteil des Oberlandesgerichts (OLG) Hamburg vom 27.6.2013 (Az. 3 U 26/12) sieht das jetzt anders aus: Die Richter entschieden, dass das Fehlen einer korrekten Datenschutzinformation wettbewerbswidrig ist. Damit ist erstmals von einem hochrangigen Gericht entschieden, dass Verstöße im Bereich Datenschutz doch abgemahnt werden können.
In dem Fall hatte auf einer Internetseite, mit der Kunden über eine Werbeaktion zu einer Registrierung animiert wurden, die Information über die Erhebung und Verwendung der personenbezogenen Daten gefehlt. Das OLG Hamburg entschied, dass die Informationspflicht nach § 13 TMG doch eine Marktverhaltensnorm darstelle, deren Verstoß eine wettbewerbsrechtliche Abmahnung auslösen könne. Die Vorschrift schütze nach Art. 10 der EU-Datenschutzrichtlinie 95/46/EG auch die wettbewerbliche Entfaltung von Mitbewerbern, indem einheitliche und gleiche Wettbewerbsbedingungen geschaffen würden.
Nach dem Hamburger Urteil sollten Onlinehändler zur Vermeidung von Abmahnungen das Datenschutzkonzept ihrer Shops prüfen.
Was droht sonst an Konsequenzen, wenn der Datenschutz nicht stimmt?
Bei Verstößen gegen die Regelungen des TMG besteht die Möglichkeit der Verhängung von Bußgeldern bis zu 50.000,00 EUR (vgl. § 16 TMG) durch die Datenschutzbehörden. Bei Verstößen gegen das Bundesdatenschutzgesetz (BDSG) drohen teilweise sogar Bußgelder bis zu 300.000,00 EUR.
Was heißt „Datenschutzinformation“ und wie muss das umgesetzt werden?
Nach § 13 TMG ist der Nutzer grundsätzlich zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten zu unterrichten. Dazu muss der Internethändler eine umfassende und leicht auffindbare Information für den Kunden in den Shop einfügen. Dazu ist eine leicht erreichbare Informationsseite in der Navigation zu platzieren, die von jedem Punkt der Website aus mit einem Klick erreichbar ist. Diese Datei muss alle Informationen über Art, Umfang und Zweck der Erhebung, Verwendung und Verarbeitung der Nutzer- und Kundendaten speziell zu dem Onlineshop enthalten. Die Seite sollte „Datenschutzinformation” oder “Datenschutz” heißen.
Wann benötigen Händler das Einverständnis ihrer Kunden für die Datenerhebung und -nutzung?
Nach § 12 TMG dürfen personenbezogene Daten von Nutzern oder Kunden nur dann ohne deren Einwilligung erhoben und verwendet werden, sofern das gesetzlich erlaubt ist. Das ist der Fall bei Bestandsdaten (§ 14 TMG) und Abrechnungsdaten (§ 15 Abs. 4 TMG): Daten, die unerlässlich sind für die Abwicklung und Abrechnung des Internet-Geschäftes wie etwa der Name, die Adresse und die Zahlungsinformationen bei einer Bestellung. Diese Daten dürfen aber nur zum Zweck dieses jeweiligen Geschäftes, also zum Beispiel der einmaligen Abwicklung des Kaufs, genutzt werden. Das bedeutet: Daten, die der Händler ausschließlich zur Abwicklung einer Bestellung erhebt und nutzt, dürfen ohne besondere Einwilligung des Kunden erhoben und gespeichert werden.
Sollen die Daten jedoch für andere Zwecke genutzt werden (z.B. Verwendung für Werbemails an den Kunden, Einrichtung eines Kundenkontos), ist das vorherige Einverständnis des Kunden dazu erforderlich.
Trägt der Kunde also seine Daten in ein Bestellformular ein, muss er für die Verwendung dieser Daten zur Abwicklung dieser Bestellung nicht extra einwilligen. Sollen die Daten auch für Werbemailings oder eine dauerhafte Kundenregistrierung gespeichert werden, ist dazu im Formular das Einverständnis einzuholen, etwa durch Anklicken eines entsprechenden Hinweises: „Bitte schicken Sie mir den Newsletter zu. Ich kann mich jederzeit wieder abmelden.“, „Ich möchte ein Kundenkonto einrichten.“.
Bonitätsabfragen zum Kunden sind ohne vorherige datenschutzrechtliche Einwilligung des Kunden zulässig, wenn der Händler ein sog. „berechtigtes Interesse“ daran hat. Das ist abhängig von der im Shop angebotenen Zahlungsart. Wer gegen Vorkasse, Paypal-Zahlung oder Sofortüberweisung usw. liefert, hat kein berechtigtes Interesse an der Bonitätsanfrage, denn er geht als Händler kein Risiko ein, da er nicht Vorleistung tritt. Er schickt die Ware erst raus, wenn die Zahlung erfolgt ist. Anders liegt der Fall nur bei Lieferung auf Rechnung, wenn der Händler also in Vorleistung mit der Lieferung tritt.
Sind Facebook-Seiten für Unternehmen unzulässig?
Facebook, Twitter und Google + sind in die Kritik der Datenschützer geraten, nachdem das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im November 2011 gegenüber Gewerbetreibenden mit Facebook-Fanpage angeordnet hatte, diese entweder abzuschalten oder ein entsprechendes Bußgeld zu zahlen. Die Anordnungen betrafen ausschließlich Unternehmen aber auch private Betreiber von Facebook- Fanseiten in Schleswig-Holstein. Aktuell hat das Verwaltungsgericht Schleswig-Holstein aber jetzt entschieden, dass die Fanseiten zulässig und die Anordnungen rechtswidrig waren (Urteile vom 09.10.2013, Az.: 8 A 37/12, 8 A 14/ 12 und 8 A 218/11).
Die Verfügungen hatte das ULD damit begründet, dass der Betrieb von Fanseiten auf Facebook gegen datenschutzrechtliche Vorschriften des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetzes (TMG) verstoße. Beim Aufruf einer Facebook-Fanseite Nutzungsdaten würden u. a. die IP-Adresse, Cookie-IDs, Familien- und Vorname oder das Geburtsdatum von Facebook aufgerufen und für Zwecke der Werbung ohne Einwilligung des Nutzers erhoben. Hierbei werde auch nicht, wie gesetzlich vorgesehen, der Nutzer über seine Widerspruchsmöglichkeit unterrichtet.
Das VG Schleswig-Holstein kam aber jetzt zu dem Ergebnis, dass das ULD nicht berechtigt war, von den Betreibern von Facebook-Fanpages zu verlangen, die Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Unabhängig davon, ob und in welchem Umfang die Erfassung von Daten der Nutzer der Fanpage zur Verletzung von Datenschutzrechten führe sei jedenfalls der Betreiber einer Fanpage datenschutzrechtlich hierfür nicht verantwortlich. Die Verantwortlichkeit ergebe sich aus dem Bundesdatenschutzgesetz und der Europäischen Datenschutzrichtlinie (von 1995). Danach sei nicht verantwortlich, wer weder tatsächlichen noch rechtlichen Einfluss auf die Datenverarbeitung habe. Dementsprechend fehle es an einer Verantwortlichkeit der Fanpage-Betreiber. Facebook stelle die technische Infrastruktur zur Verfügung. Der Seitenbetreiber könne lediglich seine Inhalte einstellen, habe aber auf den Datenverkehr zwischen dem Nutzer und Facebook keinen Einfluss.
Das Gericht hob damit die streitigen Anordnungen des ULD auf, ließ aber wegen der grundsätzlichen Bedeutung der Rechtsache die Berufung zu. Ob die eingelegt werden, bleibt abzuwarten.
Wie können Social-Media-Plugins wie Facebook, Twitter & Co. korrekt eingesetzt werden?
Social-Media-Plugins wie der Like-Button von Facebook oder die Möglichkeit, Inhalte über Twitter zu teilen usw. können nach derzeitigem Stand rechtskonform eingesetzt werden, wenn datenschutzrechtlich zwei Voraussetzungen erfüllt werden:
(1) Datenschutzinformation
In die ohnehin erforderliche Seite „Datenschutz“ (vgl. oben) ist eine umfassende Information zur Nutzung des jeweiligen Plugins wie Facebook, Twitter oder Google + usw. einzufügen und die damit verbundene Datenerhebung, -verarbeitung und – verwendung darzustellen.
(2) Einwilligung
Zusätzlich muss von jedem Nutzer die Einwilligung dazu eingeholt werden, ob er mit der Erhebung und Speicherung seiner Daten einverstanden ist – und zwar bevor die Daten erhoben werden. Denn: Nach § 12 Abs. 1 TMG darf der Webseitenbetreiber personenbezogene Daten nur erheben und verwenden, wenn das gesetzlich erlaubt oder der Nutzer eingewilligt hat. Eine gesetzliche Erlaubnis für die Datenerhebung über Social-Media-Plugins oder die Weiterleitung der Daten an Facebook usw. gibt es aber nicht.
Für die Einholung des Einverständnisses hat beispielweise Heise ein technisches Tool entwickelt. Damit wird sichergestellt, dass die Plugins wie der Like-Button nicht vorab aktiviert werden. Vielmehr kann der Nutzer diese mit einem Klick aktivieren, sobald er einen der Button nutzen möchte. Informationen dazu können abgerufen werden unter http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html.
Wie können Tracking-Tools wie GoogleAnalytics rechtmäßig genutzt werden in Onlineshops?
Mit sog. Tracking- oder Analysesoftware wird das Nutzerverhalten im Onlineshop gespeichert und analysiert. Dazu werden verschiedene Daten des Nutzers, u. a. auch die IP-Adresse gespeichert um zu schauen, wo der Nutzer herkommt, wie er sich auf der eigenen Seite bewegt und wo er die Internetseite wieder verlässt. Das ist unter folgenden Voraussetzungen datenschutzrechtlich zulässig:
(1) Vertrag zur Auftragsdatenverarbeitung
Wird Trackingsoftware eingesetzt, liefert der Onlinehändler dem Anbieter des Dienstes automatisch die Daten seiner Nutzer. Damit liegt „Auftragsdatenverarbeitung“ nach § 11 BDSG vor. Dabei ist der Händler formal Auftraggeber, während der Softwareanbieter in Bezug auf die Verarbeitung der gelieferten, personenbezogenen Daten lediglich entsprechend der Weisungen des Auftragsgebers handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt bestimmte Kontrollpflichten auf Seiten des Händlers ein. Das Gesetz verlangt daher, dass der Händler mit dem Softwareanbieter einen entsprechenden Vertrag zur Auftragsdatenverarbeitung schriftlich abschließt. Der Vertrag steht zum Beispiel im Falle von Google für den Einsatz von Google Analytics unter http://www.google.de/intl/de/analytics/tos.pdf zum Download bereit.
(2) Datenschutzinformation
Auch hier muss der Nutzer des Onlineshops ist im Rahmen der Seite „Datenschutz“ (vgl. oben) über die Verarbeitung personenbezogener Daten durch den Anbieter der Analysesoftware aufzuklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung hinzuweisen. Hierbei sollte möglichst auch auf die entsprechende Seite des Anbieters (Beispiel Google: http://tools.google.com/dlpage/gaoptout?hl=de) verlinkt werden.
(3) Ergänzung des Programmcodes
Der rechtskonforme Einsatz von Trackingsoftware setzt außerdem voraus, dass die IP-Adressen der Nutzer nur anonymisiert an den Diensteanbieter übertragen werden. Durch entsprechende Einstellungen im Programmcode kann dies sichergestellt werden. Bei dem Beispiel Google erfolgt das über die Ergänzung des Trackingcodes um die Funktion „_anonymizeIp()“. Damit werden IP-Adressen nicht mehr komplett, sondern nur noch verkürzt übertragen. Weitere Details können der technischen Anleitung von Google auf der Seite http://code.google.com/intl/de/apis/analytics/docs/gaJS/gaJSApi_gat.html#_gat._anonymizeIp entnommen werden.