Aktuelle News

Datenschutz-VGO: Was ändert sich für Online-Händler ab Mai 2018?

Von: | 16. Oktober 2017 | Recht & Datenschutz
GD Star Rating
loading...

Gastartikel: Am 25. Mai  2018 werden die Regelungen der DS-GVO verbindlich. Shop- Betreiber haben nur noch etwas mehr als ein halbes Jahr Zeit, um ihren Shop den neuen Anforderungen anzupassen. Die Zeit vergeht schnell und wer die Änderungen nicht bis zum Stichtag am 25.05.2018 umgesetzt hat, riskiert neben hohen Bußgeldern auch kostenpflichtige Abmahnungen. Für Online-Händler empfiehlt es sich, sich bereits jetzt über die neue Gesetzeslage zu informieren und zu prüfen, welche Änderungen am eigenen Shop vorgenommen werden müssen.

Dieser Beitrag soll einen ersten Überblick geben, was auf Shop-Betreiber nächstes Jahr mit der neuen DS-GVO zukommt.

In kommenden Beiträgen werden wir konkreter auf einzelne relevante Bereiche und die jeweiligen Pflichten der Datenschutzgrundverordnung, die Online-Händler umzusetzen haben, eingehen.

Was ist eigentlich die DS-GVO?

Bildquelle: bigstock.com/ Yastremska

Bildquelle: bigstock.com/ Yastremska

Die DS-GVO ist eine europäische Verordnung mit der Regelungen für die Verarbeitung von personenbezogenen Daten EU-weit vereinheitlicht werden sollen. Ein Vorteil ist, dass sich Online-Händler beim Verkauf in andere EU-Mitgliedsstaaten mit viel weniger unterschiedlichen nationalen Regelungen auseinandersetzen müssen. Die Verordnung tritt am 25.05.2018 in Kraft und muss nicht wie Richtlinien erst in das Recht des jeweiligen Landes umgesetzt werden sondern gilt unmittelbar. Die DS-GVO ersetzt die deutschen Vorschriften zum Datenschutz, die im Bundesdatenschutzgesetz (BDSG) geregelt sind. (Weiterlesen…)

 

Datenschutzproblem Dienstleister? – Teil 2

GD Star Rating
loading...

Im ersten Teil der Artikelserie haben wir beleuchtet, wie unterschiedlich sich Marktplatz-Dienstleister wie Repricing- oder SEO-Tool-Anbieter zum Thema Schutz der über die Händlerkonten generierten bzw. aggregierten Daten positionieren. Der Anlass für unsere Recherche war eine Diskussion, in der viele Händler irritierend desinteressiert auf mögliche Veröffentlichungen (z.B. in anonymisierter Form bei Vorträgen) von Daten und Erkenntnissen daraus geäußert hatten.

Angesichts von sehr unterschiedlichen Haftungsregelungen in den AGB diverser Dienstleister (wir hatten 17 auf Websites veröffentlichte AGB verglichen), wollten wir gern eine rechtliche Einschätzung der Situation erfahren: Welche Pflichten haben Dienstleister aus gesetzlicher Sicht überhaupt? Und welche juristische Handhabe haben Händler im Fall eines Datenlecks?

Wir befragten dazu Rechtsanwältin Sabine Heukrodt-Bauer. Hier ist ihre Stellungnahme (Hervorhebungen von mir):

Schutz von Daten und Betriebsgeheimnissen bei Repricern

Wer als Händler Dienstleistern wie Repricer-Tools nutzt, hinterlegt in seinem Kundenaccount mit seinen Preisen und Kalkulationen seine vertraulichsten Informationen. Die Frage ist, was ein Händler tun kann, wenn seine Daten vom Repricer bzw. einem Mitarbeiter offengelegt werden.

Preise, Kalkulationsgrundlagen und Preisstrategien zählen zu den Geschäfts- oder Betriebsgeheimnissen eines Unternehmens, wenn sie diese vier Voraussetzungen erfüllen:

  1. Es muss sich um Informationen im Zusammenhang mit einem Geschäftsbetrieb handeln: Das ist bei Preiskalkulationen eines Onlinehändlers unzweifelhaft der Fall.
  2. Die Information darf nicht offenkundig sein, also nicht allgemein bekannt oder für die Allgemeinheit leicht zugänglich. Auch diese Voraussetzung ist bei Preiskalkulationen und Preisstrategien erfüllt, denn sie werden normalerweise nicht bekannt gemacht.
  3. Das Unternehmen muss ein Geheimhaltungsinteresse an der Information haben. Auch das ist der Fall, denn Preisstrategien und Kalkulationen sind die Grundlage eines erfolgreichen Onlinegeschäfts und seiner Wettbewerbsfähigkeit.
  4. Schließlich muss der Unternehmer einen Geheimhaltungswillen haben. Auch diese Voraussetzung dürfte auf die meisten Onlinehändler zutreffen, denn dieser Wille ergibt sich hier aus der Natur der Sache: Preiskalkulationen und deren Grundlagen gehören zu den Betriebsinterna, von denen Außenstehende keine Kenntnis erhalten sollen.

In den meisten Allgemeinen Geschäftsbedingungen (AGB) der Anbieter ist vertraglich wenig zu diesem Punkt geregelt:

Zwar wird von den Kunden verlangt, dass sie ihre Zugangsdaten vor dem Zugriff Dritter sichern und die Daten nicht an Dritte weitergeben. Teilweise ist ein außerordentliches Kündigungsrecht zugunsten des Repricer-Anbieters geregelt, wenn der Kunde dagegen verstößt. Meistens darf der Kunde seine Informationen nur für eine bestimmte Online-Plattform nutzen und auch diese nicht an Dritte weitergeben oder anderweitig verwerten. Aber im Gegenzug dazu enthalten die AGB der Anbieter zu etwaigen Geheimhaltungspflichten zugunsten der Kunden keine Regelungen. Zu den personenbezogenen Daten weisen die meisten AGB die allgemein üblichen Klauseln auf. So ist geregelt, dass die Kundendaten nicht an Dritte weitergegeben werden oder wenn doch, dass nur im Ramen der gesetzlichen Zulässigkeit.

Doch Preise, Kalkulationen und Preisstrategien gehören nicht zu den personenbezogenen Daten eines Händlers, der einen Account bei einem Repricer eingerichtet hat. Welche Konsequenzen die Offenlegung seiner Geschäfts- und Betriebsgeheimnisse für den Repricer-Anbieter hätte, ist zumeist vertraglich nicht geregelt.

Gibt es also im Falle eines Falles keine vertraglichen Ansprüche, bleibt dem Händler nur die Möglichkeit, gesetzliche Ansprüche (z. B. Unterlassung, Schadensersatz) auf der Grundlage des Bürgerlichen Gesetzbuches geltend zu machen.

Nicht zu vergessen: Das Ausspähen von Daten ist nach § 202 a Strafgesetzbuch (StGB) strafbar und wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Für das Ausspähen von Daten reicht es, sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung zu verschaffen. Die Sicherung über einen Kunden-Login mit besonderen Zugangsdaten stellt eine solche Zugangssicherung dar.

Außerdem kann die Offenlegung der internen Preisinformationen durch eine Repricer den Verrat von Geschäfts- und Betriebsgeheimnissen nach § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) darstellen. Auch hier steht eine Freiheitsstrafe bis zu drei Jahren oder Geldstrafe im Raum.

Fazit:
Da Repricer auf wichtige Geschäfts- und Betriebsgeheimnisse ihrer Händler Zugriff haben, wäre es wünschenswert, wenn entsprechende Regelungen zur Sicherung dieser Daten und der Konsequenzen bei Verstößen – auch durch Mitarbeiter – ebenfalls in den AGB geregelt werden würden. Unabhängig davon, ob sich ein Händler bei einem Verstoß auf die AGB oder auf gesetzliche Grundlagen stützen kann, bleibt es aber bei der allgemeinen Regel: Der Händler muss den Verstoß durch den Repricer bzw. seinem Mitarbeiter beweisen können.

>> Lesen Sie im letzten Teil, wo die tatsächlich allergrößte Gefahr bei der Nutzung von Marktplatz-Dienstleistern liegt.
>> Im ersten Teil der Serie ging es um die Beschreibung des Problems an sich.

Herzlich aus Hürth
Nicola Straub

Bildnachweis: ©’succo’/Pixabay.de

 

Datenschutzproblem Dienstleister? – Teil 1

GD Star Rating
loading...

Der Vorwurf ist (fast) so alt wie der Amazon Marketplace: „Amazon schneidet alle unsere Produkt- und Vertriebsdaten mit und steigt dann dort, wo es lohnt, selbst in das Geschäft ein„. Und es gibt ja auch immer wieder Beispiele, die diese Spekulationen anheizen. Viele Händler sind darum misstrauisch und durchaus um ihre Daten besorgt.

Datenschutz-SymbolbildUnd dennoch: Als nach einer Veröffentlichung von Mark Steier im März dieses Jahres eine Diskussion entstand, in der es um Vertrauenswürdigkeit von Marktplatz-Dienstleistern und deren Umgang mit den Daten der angeschlossenen Händler ging, äußerten sich viele beteiligte Händler desinteressiert. Denn zeitweise stand der Verdacht im Raum, dass ein Dienstleister auf einer Veranstaltung einige Daten seiner Kunden (anonymisiert) genutzt haben sollte, um Teilnehmer zu schulen. Auch wenn sich dieses Gerücht kurz darauf in Luft auflöste: Dass in der Diskussion ein verbreiteter Tenor vieler Händlern war, dass man sich bei der Auswahl seiner Dienstleister keine Sorgen um den Schutz der eigenen Daten mache, war schon erschreckend.

Denn natürlich sind die Produktdaten und noch mehr die Performancedaten im E-Commerce das Stammkapital, das über den Erfolg oder Misserfolg entscheidet: Welche Produkte lassen sich zu welchem Preis mittels welcher Keywords wie gut verkaufen…? Kann man sich vorstellen, dass ein Onlinehändler freiwillig einem Konkurrenten mitteilen würde, „Du, ich verkaufe die Produkte XX am besten in den Kategorien YY über die Keywords ZZ, wenn ich den Preis bei etwas AB,CD halte“? Wohl kaum.

Heute kommen nur wenige Händler mit professionellem Martkplatzauftritt ohne Dienstleister aus. Egal ob Repricer oder SEO-Agenturen, naturgemäß sammeln diese viele Daten über die Produkte und deren Performance.

Welche Aussagen treffen die Dienstleister über den Schutz der Kundendaten?

Wir haben uns einmal die Websites von 17 willkürlich ausgewählten Dienstleister daraufhin angesehen, welche Aussagen diese zum Schutz und zu einer Haftung rund um die Händlerdaten treffen. Dabei zeigt sich, dass das Thema „Datenschutz“ in dieser Bedeutung ausgesprochen selten oder nur sehr schwammig vorkommt. Und bei der Haftungsfrage wird – neben Haftungsauflagen für den Kunden, also den Händler – i.d.R. lediglich darauf abgestellt, ob bzw. inwieweit die jeweiligen Tools korrekt funktionieren.

(Weiterlesen…)

 

Safe Harbour: Erste Bußgelder verhängt

Von: | 13. Juni 2016 | Recht & Datenschutz
GD Star Rating
loading...

Nach dem „Untergang“ des Safe Harbour-Abkommens standen (bzw. stehen noch immer) Unternehmen vor dem Problem, dass sie durch die Nutzung diverser Dienste zwar Daten auf Serversysteme in Übersee transferieren (müssen), hierfür aber vielfach keine zulässige rechtliche Basis mehr bestand bzw. besteht. Während einige Dienstleister reagierten und relativ schnell Alternativen zum nicht mehr ausreichenden/gültigen „Safe Harbour“ anboten, versuchten andere, das Problem schlicht auszusitzen – vor allem auch, weil zunächst ja keine „flächendeckende Alternative“ vorhanden war. Offenbar war (und ist) es einigen Unternehmen zu mühsam gewesen, Standardvertragsklauseln auszuhandeln.

Schiff im SturmDoch „aussitzen“ ist oft eine schlechte Strategie und so gab es bereits vor einiger Zeit die Meldung, dass der Hamburger Datenschutzbeauftragte Johannes Caspar Verfahren gegen drei große Unternehmen eingeleitet habe. Laut Pressemitteilung liegen hier nun die ersten Bußgeldbescheide vor:

Diese fielen für die betroffenen Unternehmen – Adobe, Punika und Unilever – allerdings ausgesprochen milde aus, nur zwischen 8.000,- und 11.000,- Euro Strafe wurden verhängt. Zum Vergleich: Bis zu 300.000,- Euro hätten die Strafen betragen können, doch da alle drei Unternehmen ihre Datenschutzerklärungen noch während der laufenden Verfahren angepasst hatten, wurde der mögliche Strafrahmen nicht ausgeschöpft. (Weiterlesen…)

 

Datenschutzdilemma und Verbandsklagen: Amazon Marketplace nach Safe Harbour

Von: | 24. Februar 2016 | Recht & Datenschutz
GD Star Rating
loading...

Im vergangenen Jahr wurde rechnerisch jeder 5. Onlinehändler mindestens einmal abgemahnt. Diese unschöne Zahl stammt aus der Studie „Abmahnungen im Jahr 2015“, die der Händlerbund heute veröffentlichte. Zudem scheint es trotz aller Anstrengungen, den Abmahnwahnsinn zu reduzieren, in 2015 mehr Abmahnungen gegeben zu haben als 2014, wobei es überwiegend um Wettbewerbsverstöße ging. Die einzige gute Nachricht ist: Die Kosten pro Abmahnung lagen im Schnitt bei ’nur‘ rund 500 Euro.

Angesichts dieser Daten mag man gar nicht daran denken, dass 2016 eine erneute Steigerung bei der Anzahl der Abmahnungen bringen könnte. Doch tatsächlich ist dies eine konkrete Gefahr. Denn seit heute dürfen Verbraucherschutzverbände Datenschutzverstöße bei Unternehmen abmahnen.

Und in diesem Bereich gibt es einiges, was „Stoff für Abmahnungen“ bietet, denkt man beispielsweise an das noch immer weit verbreitete Fehlen einer Verschlüsselung bei der Übertragung sensibler Daten. Dies wurde bereits vor einiger Zeit schon vom LDA Bayern abgemahnt (wir berichteten) – zukünftig könnten hier auch Verbraucherschutzverbände aktiv werden.

Noch schwieriger ist die Lage rund um die Datenübertragung in die USA – Thema „Safe Harbour“ bzw. „EU-US Privacy Shield“. Denn hier kann sich selbst ein engagierter Sitebetreiber aktuell kaum zurecht finden, weil es richtige „richtige Lösungen“ für viele gängige Dienste hier (noch) gar nicht gibt! (Weiterlesen…)

 

Keine Webformulare ohne (TLS-)SSL – Abmahngefahr?

Von: | 20. Oktober 2015 | Recht & Datenschutz
GD Star Rating
loading...

Wir sind von Händlern darauf aufmerksam gemacht worden, dass derzeit von Datenschutzbehörden Händler wegen unverschlüsselt übertragener Webformulare mahnend angeschrieben werden. [Edit: Ob es tatsächlich auch echte Abmahnungen gegeben hat, ist unklar. Es ist aber denkbar, dass auch die Pflichten aus dem IT-Sicherheitsgesetz zukünftig für Abmahnungen benutzt werden könnte.]

Hintergrund

Oft gibt es ja auf einer Website und auch in Onlineshops diverse Formulare, über die Kunden unterschiedlichste Informationen übermitteln können. Angefangen mit den ganz allgemeinen Kontaktformularen über Infoanfragen zu bestimmten Produkten oder der Lieferbarkeit einzelner Artikel bis zu Preisalarm-Abos etc.

Massen von SchlössernDabei sind heutzutage die vom Shopsystem bereitgestellten Formulare meist analog zum Checkout über SSL angebunden.

Dies gilt jedoch nicht immer für sonstige Webformulare, wie allgemeine Kontaktformulare oder Formulare in angebundenen Blogs. Oft laufen solche Formulare praktisch „nebenher“ und werden nicht über eine Verschlüsselungstechnik wie beispielsweise SSL versendet.

Nach solchen Formulare sucht nun das Bayerische Landesamt für Datenschutzaufsicht systematisch und fordert die Shopbetreiber mahnend mit Fristsetzung zur (sicheren) Verschlüsselung auf. (Weiterlesen…)

 

AG Köln: Gängigste Beschriftung des Bestell-Buttons mit „Kaufen“ abmahnbar?

Von: | 17. September 2014 | Recht & Datenschutz
GD Star Rating
loading...

Auf Grund einer aktuellen Entscheidung des Amtsgerichts (AG) Köln wird es wohl in nächster Zeit wieder zu zahlreichen Abmahnungen kommen. Mit Urteil vom 28.4.2014 (AZ: 142 C 354/13) hat das Gericht entschieden, dass für die Beschriftung einer Schaltfläche, durch deren Betätigung ein Kaufvertrag zustande kommen soll, die Formulierung „Kaufen“ nicht genügt. Damit erklärt es die wohl gängigste Bezeichnung des im Online-Handel üblichen „Bestell-Buttons“ für rechtswidrig. Es ist davon auszugehen, dass zahlreiche Shop-Betreiber und ihre Anwälte diese Entscheidung nutzen werden, um Konkurrenten kostenpflichtig abzumahnen. Es bleibt zu hoffen, dass das Urteil keine Schule macht und in der nächsten Instanz aufgehoben wird.

Hintergrund – Inkrafttreten der „Button-Lösung“ in Deutschland am 1.8.2012

Bereits am 1.8.2012 traten Teile der Verbraucherrechte-Richtlinie (VRRL) – die spätestens seit dem 13.6.2014 in aller Munde ist – in Deutschland in Kraft. Das betraf vor allem die sog. „Button-Lösung“. Danach sind Online-Händler verpflichtet, Schaltflächen, deren Betätigung zum Vertragsschluss führen soll (z.B. der „Bestell-Button“ wie er in den meisten Webshops eingesetzt wird), auf bestimmte Art und Weise zu beschriften. Dem Verbraucher soll dadurch klar vor Augen geführt werden, dass er sich durch das Anklicken vertraglich verpflichtet, ein vereinbartes Entgelt zu zahlen. Wird das aus der Benennung des Buttons nicht ausreichend deutlich, ist der Vertrag unwirksam und der Käufer nicht zur Zahlung verpflichtet.

Beschriftung des „Bestell-Buttons“

Das Gesetz nennt als zulässige Beschriftung beispielhaft „zahlungspflichtig bestellen“. In den Gesetzesbegründungen werden daneben die Formulierungen „kostenpflichtig bestellen“, „zahlungspflichtigen Vertrag schließen“ oder „kaufen“ aufgelistet. Unter den Online-Händlern hat sich die Bezeichnung „kaufen“ durchgesetzt. Nach dem Urteil des AG Köln, könnten all jene Händler, die sich diesem Trend angeschlossen haben, nun abmahngefährdet sein. (Weiterlesen…)

 

Fast jeder zweite Online-Händler mit Google Analytics im Einsatz verstößt gegen den Datenschutz

Von: | 25. Juli 2014 | Recht & Datenschutz
GD Star Rating
loading...

In den letzten Jahren standen insbesondere Webcontrolling-Lösungen unter Kritik bei den Datenschutzbehörden. Diese Lösungen sammeln Daten über das Nutzerverhalten auf den Webseiten. Dadurch werden die Daten über die Besucher und ihre eventuelle Identifikation in diesen Systemen gespeichert. Zusätzlich können aus diesen Daten sogenannte Benutzerprofile (Zielgruppen) gebildet und für Werbezwecke verwendet werden.

Mittlerweile ist einige Zeit vergangen und Analyse-Tools haben zwischenzeitlich nachgebessert und ermöglichen es beispielsweise die IP-Adressen der Surfer zu anonymisieren. Für eine aktuelle Studie hat aQvisit nun bei über 6.500 Shop-Webseiten analysiert, inwiefern diese von den Anonymisierungsmöglichkeiten Gebrauch machen.

Fast alle speichern Daten wie Besucherverhalten, Seitenaufrufe oder Herkunft der Besucher. Mehr als die Hälfte der untersuchten Online-Shops, nämlich 3.327, nutzen zu diesem Zweck Google Analytics.

41% aller Shops, die Google Analytics nutzen, wiederum verstoßen jedoch gegen diese Richtlinie. Hier werden z.B. IP-Adressen unverschlüsselt gespeichert, was nicht datenschutzkonform ist und gesetzlich belangt werden kann. (Weiterlesen…)

 

Monatsrückblick: Recht für Online-Händler im März

Von: | 1. April 2014 | Recht & Datenschutz
GD Star Rating
loading...

Wir haben für Sie die wichtigsten Themen aus dem Bereich „Recht“ des vergangenen Monats zusammengefasst. Zum Start des Monats März wurde es für viele Händler von elektrischen Leuchten ernst. Zum Stichtag 1. März 2014 ist auch für bestimmte Leuchtenarten eine Kennzeichnung vorgeschrieben. Mitte des Monats folgten zwei weitere wichtige Ereignisse für Online-Händler: Am 12. März 2014 traten die neuen eBay-AGB in Kraft. Außerdem stimmt das Europäische Parlament in erster Lesung für eine neue Datenschutzgrund-Verordnung. Auch vor dem weniger bekannten Amtsgericht Trier wurde ein außergewöhnliches Urteil gesprochen. (Weiterlesen…)

 

Die häufigsten Fragen und Antworten zum Datenschutz im Onlineshop

GD Star Rating
loading...

Bei jedem Kauf in einem Onlineshop fallen beim Händler Kundendaten an: Name, Adresse, E-Mailadresse, Kreditkartenummer usw. Die datenschutzrechtlichen Pflichten für Internethändler im Umgang mit den Kundendaten sind in §§ 11 ff. Telemediengesetz (TMG) geregelt. Danach ist der Kunde immer über die Erhebung und Verwendung seiner Daten zu unterrichten. In bestimmten Fällen ist außerdem die vorherige Einwilligung des Kunden zur Datenerhebung und –Verwendung erforderlich.

Können Händler wegen Verletzung der datenschutzrechtlichen Regelungen abgemahnt werden?

Die Verletzung datenschutzrechtlicher Pflichten konnte nach bisheriger Rechtsprechung nicht abgemahnt werden (Beispiel: Beschluss Kammergericht Berlin zum Like-Button von Facebook vom 29.04.2011, Az. 5 W 88/11. Die Pflichten im Datenschutz wurden früher nicht als sog. Marktverhaltensregeln im Sinne des Wettbewerbsrechts angesehen worden, so dass Abmahnungen unzulässig waren. Nach einem aktuellen Urteil des Oberlandesgerichts (OLG) Hamburg vom 27.6.2013 (Az. 3 U 26/12) sieht das jetzt anders aus: Die Richter entschieden, dass das Fehlen einer korrekten Datenschutzinformation wettbewerbswidrig ist. Damit ist erstmals von einem hochrangigen Gericht entschieden, dass Verstöße im Bereich Datenschutz doch abgemahnt werden können.

In dem Fall hatte auf einer Internetseite, mit der Kunden über eine Werbeaktion zu einer Registrierung animiert wurden, die Information über die Erhebung und Verwendung der personenbezogenen Daten gefehlt. Das OLG Hamburg entschied, dass die Informationspflicht nach § 13 TMG doch eine Marktverhaltensnorm darstelle, deren Verstoß eine wettbewerbsrechtliche Abmahnung auslösen könne. Die Vorschrift schütze nach Art. 10 der EU-Datenschutzrichtlinie 95/46/EG auch die wettbewerbliche Entfaltung von Mitbewerbern, indem einheitliche und gleiche Wettbewerbsbedingungen geschaffen würden.

Nach dem Hamburger Urteil sollten Onlinehändler zur Vermeidung von Abmahnungen das Datenschutzkonzept ihrer Shops prüfen. (Weiterlesen…)