Im vergangenen Jahr wurde rechnerisch jeder 5. Onlinehändler mindestens einmal abgemahnt. Diese unschöne Zahl stammt aus der Studie „Abmahnungen im Jahr 2015“, die der Händlerbund heute veröffentlichte. Zudem scheint es trotz aller Anstrengungen, den Abmahnwahnsinn zu reduzieren, in 2015 mehr Abmahnungen gegeben zu haben als 2014, wobei es überwiegend um Wettbewerbsverstöße ging. Die einzige gute Nachricht ist: Die Kosten pro Abmahnung lagen im Schnitt bei ’nur‘ rund 500 Euro.
Angesichts dieser Daten mag man gar nicht daran denken, dass 2016 eine erneute Steigerung bei der Anzahl der Abmahnungen bringen könnte. Doch tatsächlich ist dies eine konkrete Gefahr. Denn seit heute dürfen Verbraucherschutzverbände Datenschutzverstöße bei Unternehmen abmahnen.
Und in diesem Bereich gibt es einiges, was „Stoff für Abmahnungen“ bietet, denkt man beispielsweise an das noch immer weit verbreitete Fehlen einer Verschlüsselung bei der Übertragung sensibler Daten. Dies wurde bereits vor einiger Zeit schon vom LDA Bayern abgemahnt (wir berichteten) – zukünftig könnten hier auch Verbraucherschutzverbände aktiv werden.
Noch schwieriger ist die Lage rund um die Datenübertragung in die USA – Thema „Safe Harbour“ bzw. „EU-US Privacy Shield“. Denn hier kann sich selbst ein engagierter Sitebetreiber aktuell kaum zurecht finden, weil es richtige „richtige Lösungen“ für viele gängige Dienste hier (noch) gar nicht gibt!
Wir befragten Katrin Trautzold von ProtectedShops zu einigen solcher sehr weit verbreiteten Dienste:
Beispiel 1: Google Analytics
Hier kann (und sollte tunlichst!) zum Glück die Einstellung vorgenommen werden, dass IP-Adresse nur gekürzt erfasst und übertragen werden. Damit sind die erhobenen Daten keine personenbezogen Daten mehr, somit entfällt die Notwendigkeit, hier die Übertragung auf Server im Ausland datenschutzrechtlich auf eine zulässige Vertragsbasis stellen zu müssen. Somit an dieser Stelle also erst einmal Entwarnung!
Beispiel 2: Amazon Cloud
Aber was ist eigentlich mit Amazon, zum Beispiel Amazon Web Services (AWS)? Nicht wenige Unternehmen nutzen Systeme, die in der AWS Cloud gehostet sind. Oder wie es Kommentator „fronti“ auf Heise heute beschrieb:
Tatsächlich bietet Amazon beim AWS jedoch die Möglichkeit, die Region auszuwählen, in der personenbezogene Daten gespeichert werden. Doch wer hier nun seine Systeme auf die Nutzung ausschließlich innereuropäischer Server ändert, ist u.U. dennoch nicht vollständig sicher. Denn geklärt werden müsste laut Frau Trautzold dabei dann auch,…
Hinzu kommt aus ihrer Sicht ein weiteres Dilemma:
Beispiel 3: Amazon Marketplace
Und schließlich ist jeder Händler, der über Amazon Marketplace verkauft, automatisch mit seinen Daten auch in der Amazon Cloud – auch mit seinen Kundendaten. Katrin Trautzold dazu:
Demnach gibt es für Händler, die über Amazon Marketplace verkaufen aktuell (noch) gar keine gesetzeskonforme Lösung. Und man wird sich vermutlich auch nicht auf den Standpunkt zurückziehen können, dass die Kundendaten ja nicht von Amazon weitergeleitet werden. Denn betrachtet man die Urteile in Sachen Wettbewerbsverstößen bei Amazon, so sieht man, dass deutsche Gerichte regelmäßig die Händler selbst in der Haftung sehen auch für Verstöße, die durch die Amazon Technologie bedingt waren.
Fazit
Noch während des Verfassens dieses Artikels kommt die Meldung, dass der Hamburger Datenschutzbeauftragte Bußgeldverfahren gegen drei Unternehmen eingeleitet hat, die nach wie vor ihre Daten in die USA transferieren und dabei auf „Safe Habour“ als Rechtsgrundlage abstellen. Auch wenn sich dies gegen „deutsche Niederlassungen US-amerikanischer Unternehmen“ – und damit mutmaßlich um Namen wie Facebook, Google und evtl. sogar Microsoft richtet: Datenschutzvergehen sind KEIN Kavaliersdelikt, sondern sind zunehmend in den Fokus der Behörden – und ab heute dann eventuell auch der Verbraucherschutzverbände gerückt.
Und dass letztere die Füße still halten werden, steht eher nicht zu erwarten, wie auch Frau Trautzold meint:
Und schließlich sind auch Kunden immer öfter sensibel, was ihre Daten angeht. Händler tun daher gut daran, einmal eine Bestandsaufnahme in Sachen Datenschutz vorzunehmen, und wo nötig auch Verträge zu kündigen bzw. auf neue, sichere Rechtsgrundlagen (z.B. BCR oder die EU-Standardvertragsklauseln) zu stellen.
Herzlich aus Hürth
Nicola Straub