Site icon Blog für den Onlinehandel

Datenschutzdilemma und Verbandsklagen: Amazon Marketplace nach Safe Harbour

Nicola Straub
Frau boxt Mann

Im vergangenen Jahr wurde rechnerisch jeder 5. Onlinehändler mindestens einmal abgemahnt. Diese unschöne Zahl stammt aus der Studie „Abmahnungen im Jahr 2015“, die der Händlerbund heute veröffentlichte. Zudem scheint es trotz aller Anstrengungen, den Abmahnwahnsinn zu reduzieren, in 2015 mehr Abmahnungen gegeben zu haben als 2014, wobei es überwiegend um Wettbewerbsverstöße ging. Die einzige gute Nachricht ist: Die Kosten pro Abmahnung lagen im Schnitt bei ’nur‘ rund 500 Euro.

Angesichts dieser Daten mag man gar nicht daran denken, dass 2016 eine erneute Steigerung bei der Anzahl der Abmahnungen bringen könnte. Doch tatsächlich ist dies eine konkrete Gefahr. Denn seit heute dürfen Verbraucherschutzverbände Datenschutzverstöße bei Unternehmen abmahnen.

Und in diesem Bereich gibt es einiges, was „Stoff für Abmahnungen“ bietet, denkt man beispielsweise an das noch immer weit verbreitete Fehlen einer Verschlüsselung bei der Übertragung sensibler Daten. Dies wurde bereits vor einiger Zeit schon vom LDA Bayern abgemahnt (wir berichteten) – zukünftig könnten hier auch Verbraucherschutzverbände aktiv werden.

Noch schwieriger ist die Lage rund um die Datenübertragung in die USA – Thema „Safe Harbour“ bzw. „EU-US Privacy Shield“. Denn hier kann sich selbst ein engagierter Sitebetreiber aktuell kaum zurecht finden, weil es richtige „richtige Lösungen“ für viele gängige Dienste hier (noch) gar nicht gibt!

Wir befragten Katrin Trautzold von ProtectedShops zu einigen solcher sehr weit verbreiteten Dienste:

Beispiel 1: Google Analytics

Hier kann (und sollte tunlichst!) zum Glück die Einstellung vorgenommen werden, dass IP-Adresse nur gekürzt erfasst und übertragen werden. Damit sind die erhobenen Daten keine personenbezogen Daten mehr, somit entfällt die Notwendigkeit, hier die Übertragung auf Server im Ausland datenschutzrechtlich auf eine zulässige Vertragsbasis stellen zu müssen. Somit an dieser Stelle also erst einmal Entwarnung!

Beispiel 2: Amazon Cloud

Aber was ist eigentlich mit Amazon, zum Beispiel Amazon Web Services (AWS)? Nicht wenige Unternehmen nutzen Systeme, die in der AWS Cloud gehostet sind. Oder wie es Kommentator „fronti“ auf Heise heute beschrieb:

[Eine] Firma möchte ein System, das auf einer AWS Cloud in den USA gehostet ist, nutzen. In dem CMS gibt es auch eine Benutzer und Kundendatenbank. Dies war bislang, auf Basis von Safe Harbor erlaubt, nun reicht dies nicht mehr und die Firma, die die Kundendaten (oder Mitarbeiterdaten) in den USA verarbeitet und speichert, hat das Problem…

Tatsächlich bietet Amazon beim AWS jedoch die Möglichkeit, die Region auszuwählen, in der personenbezogene Daten gespeichert werden. Doch wer hier nun seine Systeme auf die Nutzung ausschließlich innereuropäischer Server ändert, ist u.U. dennoch nicht vollständig sicher. Denn geklärt werden müsste laut Frau Trautzold dabei dann auch,…

…ob dann auch bereits vorhandene Daten auf die neu gewählten Server übertragen (und vor allem von den alten gelöscht) werden oder ob das nur die Kundendaten betrifft, die NACH der Umstellung erhoben und gespeichert werden.

Hinzu kommt aus ihrer Sicht ein weiteres Dilemma:

Allerdings könnte diese Vorgehensweise ebenfalls Schwierigkeiten aufwerfen. US-Behörden fordern auch Zugriff auf Daten, die nicht in den USA gespeichert werden, solange die Server (selbst wenn diese in Europa stehen) von einem Unternehmen verwaltet werden, das seinen Sitz in Amerika hat. Microsoft wehrt sich derzeit gerichtlich dagegen, aktuell jedoch ohne Erfolg. Wird entschieden, dass auch auf außerhalb der Vereinigten Staaten von US-Unternehmen gespeicherte Daten aus Europa von den amerikanischen Geheimdiensten und Sicherheitsbehörden zugegriffen werden darf, wird die Diskussion um den Datenschutz wohl neue Dimensionen erlangen.

Beispiel 3: Amazon Marketplace

Und schließlich ist jeder Händler, der über Amazon Marketplace verkauft, automatisch mit seinen Daten auch in der Amazon Cloud – auch mit seinen Kundendaten. Katrin Trautzold dazu:

Der Verkauf über Amazon-Marktplätze ist selbstverständlich auch von der EuGH-Entscheidung betroffen, sofern personenbezogene Daten in die USA übermittelt werden. Laut Amazon-Datenschutzbestimmung erfolgt der Datentransfer weiterhin auf Grundlage von Safe Harbor. […] Amazon-Händlern stellt sich die Frage, ob der Marktplatzbetreiber überhaupt anbietet, die Verträge mit den Marketplace-Händlern dahingehend abzuändern, dass ein Datentransfer auf andere rechtliche Grundlagen gestützt wird (BCR oder die EU-Standardvertragsklauseln). Eine solche Option – wie sie andere Dienstleister anbieten – habe ich in den Amazon-Nutzungsbedingungen (noch) nicht gefunden.

Demnach gibt es für Händler, die über Amazon Marketplace verkaufen aktuell (noch) gar keine gesetzeskonforme Lösung. Und man wird sich vermutlich auch nicht auf den Standpunkt zurückziehen können, dass die Kundendaten ja nicht von Amazon weitergeleitet werden. Denn betrachtet man die Urteile in Sachen Wettbewerbsverstößen bei Amazon, so sieht man, dass deutsche Gerichte regelmäßig die Händler selbst in der Haftung sehen auch für Verstöße, die durch die Amazon Technologie bedingt waren.

Fazit

Noch während des Verfassens dieses Artikels kommt die Meldung, dass der Hamburger Datenschutzbeauftragte Bußgeldverfahren gegen drei Unternehmen eingeleitet hat, die nach wie vor ihre Daten in die USA transferieren und dabei auf „Safe Habour“ als Rechtsgrundlage abstellen. Auch wenn sich dies gegen „deutsche Niederlassungen US-amerikanischer Unternehmen“ – und damit mutmaßlich um Namen wie Facebook, Google und evtl. sogar Microsoft richtet: Datenschutzvergehen sind KEIN Kavaliersdelikt, sondern sind zunehmend in den Fokus der Behörden – und ab heute dann eventuell auch der Verbraucherschutzverbände gerückt.

Und dass letztere die Füße still halten werden, steht eher nicht zu erwarten, wie auch Frau Trautzold meint:

Das Verbandsklagerecht tritt am 24.02.2016 in Kraft. Dann drohen Abmahnungen seitens Verbraucherschutz-, Wirtschafts- und Wettbewerbsverbänden. Ich könnte mir vorstellen, dass diese gegen Rechtsverstöße durchaus verstärkter vorgehen werden, als das den Behörden möglich ist.

Und schließlich sind auch Kunden immer öfter sensibel, was ihre Daten angeht. Händler tun daher gut daran, einmal eine Bestandsaufnahme in Sachen Datenschutz vorzunehmen, und wo nötig auch Verträge zu kündigen bzw. auf neue, sichere Rechtsgrundlagen (z.B. BCR oder die EU-Standardvertragsklauseln) zu stellen.

Herzlich aus Hürth
Nicola Straub

Exit mobile version