DSGVO Novelle – Was Online-Händler künftig beachten müssen

Die Analyse des Kundenverhaltens ist für Händler zunehmend wichtiger geworden. Egal ob es sich nun um Zielgruppenansprache mit Geotargeting, die Auswertung der Customer Journey oder die Analyse von Retouren handelt – es werden personenbezogene Daten verarbeitet.  Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (kurz DSGVO) in Kraft, die dann mit dem neugefassten Bundesdatenschutzgesetz (BDSG) ihre Anwendung im deutschen Recht findet. Viele der recht strengen deutschen Grundsätze sind dabei in die europäische Verordnung geflossen, so dass deutsche Händler wahrscheinlich die meisten Vorgaben bereits erfüllen. Allerdings wird es den Aufsichtsbehörden durch die Novellierung möglich, Bußgelder zu verhängen – und diese können empfindlich treffen. Insofern sollten Händler auf jeden Fall gewappnet sein und die Prozesse nochmal konform zur Verordnung gestalten.

Wir haben dazu eine Checkliste erstellt, die Sie hier kostenlos herunterladen können.

Die Verarbeitung personenbezogener Daten sollte nach den in der Verordnung definierten Grundsätzen erfolgen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten, aber es gibt einen Erlaubnisvorbehalt. Zulässig ist die Verarbeitung, wenn eine Einwilligung vorliegt oder eine Ausnahme der Verordnung zutrifft. Dies kann bei einem Händler zum Beispiel die Notwendigkeit zur Erfüllung der Verträge sein. Der Händler muss ja schließlich die Adresse erheben können, um die Lieferung gemäß Vertrag veranlassen zu können.

Gleichzeitig sind die Händler, wie jedes Unternehmen, dazu angehalten, Daten sparsam zu erheben. Demnach soll der Zweck der Datenverarbeitung auf das notwendige Maß beschränkt werden. Die Verarbeitung muss also angemessen und sachlich relevant sein. Gerade dieser Punkt ist im Hinblick auf die Verarbeitung von Daten von Besuchern eines Webshops wichtig. IP-Adressen und Cookies sind geeignet, um Profile von natürlichen Personen zu erstellen und Personen wieder identifizieren können.

Für die Verarbeitung solcher Verhaltensdaten ist in der Regel eine freiwillige Einwilligung des Betroffenen erforderlich. Außer es geht um den berechtigen Schutz eigener Interessen.

Bei Händlern dürfte etwa die Auswertung der Retouren – und damit die Auswertung von Kundenverhalten – zur Verhinderung von missbräuchlicher Nutzung gegenüber den Interessen der Käufer überwiegen.

Zur elektronischen Einwilligung muss der Nutzer in einfacher und verständlicher Sprache über die Art und Weise der Datenverarbeitung aufgeklärt werden. Der Hinweis auf ein Widerrufsrecht und die Nennung verantwortlicher Kontaktpersonen darf hier nicht fehlen.

Es ist nicht zulässig, Einwilligungen zu koppeln. Die Verarbeitung der Verhaltensdaten etwa bei der Customer Journey ist ein anderer Zweck als die Verarbeitung zur Erfüllung des Kaufvertrages. Dabei wird eine separate Einwilligung für die Analyse der verschiedenen Verhaltensdaten benötigt. Wenn der Kunde nicht gesondert in die Verarbeitung der Verhaltensdaten einwilligen kann, gilt die Einwilligung nicht als frei. Die Verarbeitung der Daten bleibt somit untersagt.

Verhaltensdaten sind nach der Verordnung biometrische Daten, die einen besonderen Schutz erfordern. Es sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei muss die Wirksamkeit des Schutzes regelmäßig überprüft und bewertet werden. Entsprechend ist eine Verschlüsselung der Daten ebenso wie Penetration-Tests der verarbeitenden Systeme und Security Audits der Software angebracht, um den Anforderungen der Verordnung zu genügen.

Wenn ein Kunde oder Betroffener die Einwilligung zur Verarbeitung der Daten widerruft, muss der Händler in der Lage sein, sämtliche Daten dieser Person zu löschen, wenn es keine berechtigen Interessen gibt, die Daten dieser Person weiterhin zu verarbeiten. Wenn es wie im skizzierten Fall unterschiedliche Zwecke für die Verarbeitung gibt – Auftragserfüllung und Optimierung der Zielgruppenansprache – kann ein Widerruf die umgehende Löschung der Verhaltensdaten erfordern und der Erhalt der Daten zur Auftragserfüllung weiterhin möglich sein.

Eine wesentliche Neuerung der Verordnung sind die Bußgelder, die die Aufsichtsbehörden bei Verstößen gegen die Verordnung verhängen können. Außerdem wird die Verordnung nun auch auf Unternehmen angewandt, die keinen Sitz in Europa haben, deren Angebot sich aber an Bürger der Europäischen Union richtet. Behörden können nach der Verordnung Bußgelder bis zu 20 Millionen Euro oder – wenn dieser Betrag höher ist – 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängen.

Fazit

Dieser Artikel kann nur einen kleinen Einblick zu geben, was bei der verordnungskonformen Datenverarbeitung mit Personenbezug zu beachten ist. Ich möchte damit aber die Thematik ins Bewusstsein rufen. Auf Punkte wie die Verzeichnispflicht, Auftragsverarbeitung oder die Schaffung von Verhaltensregeln wurde nicht näher eingegangen, obwohl sie ebenso wichtig sind wie die oben ausgeführten Punkte.  In jedem Fall ist der Händler gut beraten sich dazu juristischen Beistand zu holen, denn das wirtschaftliche Risiko bei verordnungswidrigem Verhalten ist nicht unerheblich.

Laden Sie sich hier die Checkliste für Online-Händler herunter, um die Verordnung rechtskonform umsetzen zu können.

Datensicherheit im Internet – Was Sie als Online-Händler wissen sollten

Die Zeiten ändern sich und das Internet ist für die Menschen längst kein Neuland mehr. Folglich wird das Thema Datenschutz in den Köpfen der Nutzer immer präsenter. Auch wenn der Datenschutz oftmals als bürokratische Angelegenheit erscheint, sollten die jeweilige gültige Rechtslage gut umgesetzt werden. Wird der Datenschutz stiefmütterlich behandelt oder nicht umgesetzt, lauern Sanktions- und Abmahngefahren. Wir stellen einige wichtige Datenschutzgrundsätze vor.

Die Grundsätze des Datenschutzes

Der Datenschutz von personenbezogenen Daten im Online-Verkehr ergibt sich aus dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Zweck hierbei war und ist, dass eine Person nicht in ihren Persönlichkeitsrechten beeinträchtigt wird. Demzufolge dürfen Daten nur erhoben, verarbeitet und genutzt werden, wenn der Nutzer ausdrücklich seine Erlaubnis abgibt.

Kundendaten, die für eine Vertragserfüllung notwendig sind, dürfen allerdings ohne Einwilligung gespeichert werden. Dabei ist aber immer die tatsächliche Notwendigkeit zu beachten, denn es gilt das Gebot der Datensparsamkeit.

Pflicht zur Datenschutzerklärung

Für Betreiber ist es verpflichtend, in einer Datenschutzerklärung den Nutzer umfassend über Art, Umfang, Zweck, Widerspruchsrechte und Löschungsrecht zu unterrichten. Und zwar für den Fall, dass personenbezogene Daten erhoben und verarbeitet (z. B. ausgewertet) werden. So die Theorie. In der Praxis ist dies bei fast jeder Website heutzutage der Fall, denn neben den Kundendaten ermöglichen zahlreiche Tools, Plug-Ins und Cookies, den Nutzer genau zu analysieren. Die Belehrung sollte in allgemein verständlicher Form erfolgen und von jeder Seite des Internetauftritts verlinkt sein. Welche Punkte sie genau enthalten sollte, hängt von der genauen Ausgestaltung der entsprechenden Website ab. Hier ist eine fundierte juristische Beratung ratsam.

Fehlende/Fehlerhafte Datenschutzerklärung ist abmahnfähiger Wettbewerbsverstoß

Bei einer Missachtung drohen zum einen staatliche Sanktionen in Form von Bußgeldern, zum anderen können Verstöße unlautere Wettbewerbsvorsprünge bringen, weshalb dies in der Vergangenheit durch Konkurrenten und Verbraucherverbände bereits abgemahnt wurde. Verschiedene Gerichte haben diesen Wettbewerbsverstoß bestätigt, wenn auch eine höchstrichterliche Klärung noch nicht erfolgt ist.

Die wichtigsten Inhalte in der Datenschutzerklärung

Damit es nicht dazu kommt, hier ein Auszug der wichtigsten Inhalte zum Check-up und ggf. nachbessern.

1. Kontaktformulare

Werden bei der Nutzung eines Kontaktformulars personenbezogene Daten (z.B. E-Mail-Adresse) erhoben? Was passiert mit der gespeicherten E-Mail-Adresse? Werden die Daten anschließend gelöscht?

2. Kommentarfunktionen und Kundenbewertungen

Werden bei der Kommentarfunktion personenbezogene Daten, wie Name oder E-Mailadresse erhoben? Wird die E-Mailadresse am Kommentar angegeben? Wird der Name am Kommentar angegeben? Speichern Sie die E-Mailadresse zum Schutz vor maschinell erstellten Kommentaren?

3. Cookies

Internetseiten, die Cookies verwenden, sollten darüber ebenfalls in der Datenschutzerklärung aufklären.

4. Verwendung von Webanalyse-Tools

Diese funktionieren personenbezogen. Die Klauseln müssen aufklären, welche Daten des Webseitenbesuchers das Tool erhebt und wie diese dann genutzt werden. Aufzuklären ist außerdem, an wen die Daten ggf. übermittelt werden. Hier bedarf es für jedes einzelne Tool einer ergänzenden Regelung in der Datenschutzerklärung.

5. Google Remarketing, ExactTarget oder Adwords Conversion Tracking

Auch mit zahlreichen anderen Funktionen kann das Surfverhalten der Webseitenbesucher ausgewertet werden und zielgerichtet mit Werbung angesprochen werden. Die hierfür notwendigen Klauseln müssen aufklären, welche Daten des Besuchers das Tool erhebt und wie diese dann genutzt werden. Aufzuklären ist außerdem, an wen die Daten ggf. übermittelt werden.

6. Verwendung von Social-Plug-Ins

Die Einbindung von Social Plug-Ins veranlasst einen Datentransfer mit den Servern des Betreibers des jeweiligen sozialen Netzwerks, wodurch eine unbemerkte Übermittlung von personenbezogenen Daten stattfindet. Werden die Plug-Ins genutzt, muss aus datenschutzrechtlicher Sicht in jedem Fall eine Aufklärung über die Verwendung in der Datenschutzerklärung erfolgen.

7. Newsletterversand

Auch der Versand von virtueller Werbung ist eine Form der Nutzung von Kundendaten. Nutzt eine Webseite E-Mail-Werbung, ist eine entsprechende Klausel in die Datenschutzerklärung zu integrieren, dass die E-Mail-Adresse bei Einwilligung für den Versand von Werbung genutzt wird und wie der Empfänger diesen Newsletter unter Umständen wieder los wird.

Dieser Beitrag stammt von unserem Partner Händlerbund.

Die rechtliche Absicherung ihrer Internetpräsenzen verursacht vielen Website-Betreibern einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Leser unseres Blogs für die Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode P990#2017 einen Nachlass von 2 Monaten auf das Mitgliedschaftspaket Ihrer Wahl.


Über den Autor

Ivan Bremers ist Volljurist und seit 2017 für den Händlerbund als juristischer Redakteur tätig. Im Bereich E-Commerce berät und berichtet er regelmäßig zu Rechtsthemen, welche die Branche bewegen.