Im E-Commerce, wo tag­täg­lich ver­schie­dens­te Trans­ak­tio­nen durch­ge­führt werden, fragen die Anbieter häufig nach den Daten ihrer Kunden. Doch viele Nutzer haben Bedenken, per­so­nen­be­zo­ge­ne Daten preis­zu­ge­ben, und das aus gutem Grund: Viel zu oft werden hoch­sen­si­ble In­for­ma­tio­nen miss­braucht, un­recht­mä­ßig zu Wer­be­zwe­cken genutzt oder gar an Dritte wei­ter­ge­ge­ben. Un­ter­neh­mer sollten sich daher mit dem Thema Da­ten­schutz aus­ein­an­der­set­zen – im Sinne ihrer Kunden und um recht­li­che Kon­se­quen­zen zu vermeiden. Denn wer im komplexen Da­ten­schutz­recht bezüglich des E-Commerce den Überblick verliert, läuft schnell Gefahr, gegen geltende Gesetze zu verstoßen – und riskiert dabei hohe Geld­stra­fen.

Ziel des Da­ten­schut­zes

Das oberste Ziel des Da­ten­schut­zes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen per­so­nen­be­zo­ge­nen Daten in seinem Per­sön­lich­keits­recht be­ein­träch­tigt wird.“ (§ 1 Abs. 1 BDSG-alt). Dieses Anliegen wird eng as­so­zi­iert mit dem all­ge­mei­nen Per­sön­lich­keits­recht aus Art. 2 Abs. 1. Ferner trägt es der Men­schen­wür­de aus Art. 1 des Grund­ge­set­zes (GG) Rechnung, das einen absoluten Schutz vor Angriffen auf den Lebens- und Frei­heits­be­reich einer Person ga­ran­tiert. Das Einhalten der Da­ten­schutz­re­geln sowie der da­zu­ge­hö­ri­gen Re­ge­lun­gen bezüglich der Da­ten­ver­ar­bei­tung ist somit für öf­fent­li­che wie nicht öf­fent­li­che Ein­rich­tun­gen glei­cher­ma­ßen wichtig.

Als Un­ter­neh­mer müssen Sie deshalb eine Reihe von Vor­schrif­ten beachten, die früher größ­ten­teils im Bun­des­da­ten­schutz­ge­setz (heute als BDSG-alt be­zeich­net) fest­ge­schrie­ben waren. Seit dem 25. Mai 2018 regelt aber die Da­ten­schutz­grund­ver­ord­nung (DSGVO) sämtliche Aspekte des Da­ten­schut­zes auf eu­ro­päi­scher sowie na­tio­nal­staat­li­cher Ebene. Be­son­de­res Augenmerk legt die DSGVO auf den Schutz na­tür­li­cher Personen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, sie be­kräf­tigt die bisher gültigen Re­ge­lun­gen und ver­schärft sie in einigen Aspekten. Das bisherige Bun­des­da­ten­schutz­ge­setz bleibt als BDSG-neu bestehen. Es ergänzt die DSGVO mit den darin ent­hal­te­nen Öff­nungs­klau­seln um einige lan­des­spe­zi­fi­sche An­pas­sun­gen.

Per­so­nen­be­zo­ge­ne Daten und andere Da­ten­ar­ten

Zu den per­so­nen­be­zo­ge­nen Daten gehören laut Art. 4 Ziffer 1 DSGVO alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Person beziehen und Ausdruck ihrer phy­si­schen, phy­sio­lo­gi­schen, ge­ne­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozialen Identität sind. Dazu gehören unter anderem, aber nicht aus­schließ­lich:

  • Name, Ge­burts­da­tum, Adresse, Staats­an­ge­hö­rig­keit
  • Ver­si­che­rungs­num­mern
  • Bankdaten
  • IP-Adressen, Cookies, GPS-Stand­ort­da­ten
  • Ge­schlecht, Haut-, Haar-, Au­gen­far­be
  • Be­sitz­tü­mer
  • Online-Kun­den­da­ten
  • Bildungs- und Be­rufs­zeug­nis­se

Per­so­nen­be­zo­ge­ne Daten sind somit In­for­ma­tio­nen, die direkt oder indirekt mit einer be­stimm­ten Person in Ver­bin­dung gebracht werden können, wobei die Zuordnung des Namens als das ent­schei­den­de Iden­ti­fi­ka­ti­ons­kri­te­ri­um gilt.

Nicht per­so­nen­be­zo­ge­ne Daten sind hingegen solche Angaben, die anonym erfasst werden und nicht zur Iden­ti­fi­ka­ti­on einer be­stimm­ten Person her­an­ge­zo­gen werden (können). Dazu können – unter Vor­aus­set­zung der voll­stän­di­gen An­ony­mi­sie­rung der ersten Nut­zer­inter­ak­ti­on – z. B. die Angabe des Ge­schlechts, Be­su­cher­da­ten auf be­stimm­ten Websites oder andere un­spe­zi­fi­sche Angaben zählen. Solche nicht per­so­nen­be­zo­ge­nen Daten bleiben vom Da­ten­schutz­ge­setz unberührt. Als Un­ter­neh­mer oder Marketer können Sie daher diese Art von Daten ohne vorherige Ein­wil­li­gung oder da­ten­schutz­recht­li­che Erlaubnis für die Er­stel­lung von Sta­tis­ti­ken oder Nut­zer­pro­fi­len verwenden; sie sollten aber si­cher­stel­len, dass sie nicht mit einer na­tür­li­chen Person in Ver­bin­dung gebracht werden können.

Pro­ble­ma­ti­scher wird es bei der Ver­ar­bei­tung so­ge­nann­ter „pseud­ony­mi­sier­ter“ Daten (Art. 4 Abs. 5 DSGVO), also solchen, die unter Ver­wen­dung eines Pseud­onyms für den je­wei­li­gen Nutzer ge­spei­chert werden. Mit ihnen lassen sich zwar weitaus spe­zi­fi­sche­re Nut­zer­pro­fi­le erstellen. Hier tut sich aber eine recht­li­che Grauzone auf, da es für Website-Betreiber oft schwer auf Anhieb erkennbar ist, ob bestimmte Daten direkt oder indirekt mit einer na­tür­li­chen Person in Ver­bin­dung gebracht werden können. Aus diesem Grund müssen Sie Ihre Kunden auch in solch einem Fall über die Da­ten­er­he­bung in Kenntnis setzen und sie zu Beginn auf ihr Wi­der­spruchs­recht hinweisen.

Im E-Commerce spricht man meist weniger von per­so­nen­be­zo­ge­nen Daten als vielmehr von Bestands- und Nut­zungs­da­ten, die über so­ge­nann­te Te­le­me­di­en­diens­te wie On­line­shops, Werbe-Mails oder Internet-Such­ma­schi­nen erfasst werden. Da hierfür spe­zi­fi­sche Da­ten­schutz­re­ge­lun­gen gelten, fielen diese vor dem In­kraft­tre­ten der DSGVO nicht primär in den Bereich des alten Bun­des­da­ten­schutz­ge­set­zes, sondern betrafen in erster Linie das Te­le­me­di­en­ge­setz (TMG). Da sich der An­wen­dungs­be­reich der DSGVO aber auch auf Te­le­me­di­en erstreckt, hat sie generell Vorrang vor dem Te­le­me­di­en­ge­setz. Das bedeutet im Klartext, dass die DSGVO das TMG (wie auch das BDSG) seit dem 25. Mai 2018 weit­ge­hend ersetzt, was ins­be­son­de­re für die re­le­van­ten Pa­ra­gra­fen §§ 11 ff. TMG gilt.

Die in der DSGVO fest­ge­schrie­be­nen Vor­schrif­ten beziehen sich jedoch weniger konkret auf den Tä­tig­keits­be­reich der Te­le­me­di­en­diens­te, sondern sie sollen das gesamte Spektrum da­ten­schutz­recht­lich re­le­van­ter Prozesse abdecken. Der Vorteil dabei ist, dass die neue Grund­ver­ord­nung bereits zu­künf­ti­ge tech­no­lo­gi­sche Ent­wick­lun­gen be­rück­sich­tigt und daher nicht laufend ak­tua­li­siert werden muss. Die recht abs­trak­ten For­mu­lie­run­gen haben jedoch auch einen negativen Ne­ben­ef­fekt: Sie sind weit­ge­hend auslegbar und damit streit­an­fäl­lig; viele Fragen (zum Beispiel rund um das Thema Web­track­ing) werden erst im Laufe der Zeit durch die zu­stän­di­gen Gerichte geklärt werden. Diese ju­ris­ti­sche Un­si­cher­heit sorgt bislang für reichlich Ver­wir­rung und hitzige Debatten in den be­trof­fe­nen Un­ter­neh­men. Da die Ver­än­de­run­gen, die die DSGVO mit sich bringt, aber haupt­säch­lich im Detail liegen, behalten viele der bis­he­ri­gen Re­ge­lun­gen bezüglich des Da­ten­schut­zes im E-Commerce weiterhin Gül­tig­keit, was die Um­stel­lung für Un­ter­neh­men weniger brisant und schwierig macht.

Fakt

Be­stands­da­ten wurden laut dem TMG bislang auf Basis eines be­stehen­den Ver­trags­ver­hält­nis­ses zwischen Dienst­an­bie­ter und Nutzer definiert, bei dem der Anbieter nur dann per­so­nen­be­zo­ge­ne Daten eines Nutzers erheben und verwenden darf, „soweit sie für die Be­grün­dung, in­halt­li­che Aus­ge­stal­tung oder Änderung eines Ver­trags­ver­hält­nis­ses […] über die Nutzung von Te­le­me­di­en er­for­der­lich sind“ (§ 14 TMG) – z. B. Name oder Adresse des Nutzers, aber auch bspw. Login-Kennungen beifür Social Networks und andere Pass­wör­ter, Kon­to­da­ten oder IP-Adressen. Nut­zungs­da­ten hingegen umfassten bisher per­so­nen­be­zo­ge­ne Daten, die man benötigt, „um die In­an­spruch­nah­me von Te­le­me­di­en zu er­mög­li­chen und ab­zu­rech­nen“ (§ 15 TMG) – etwa IP-Adressen sowie andere Merkmale zur Iden­ti­fi­ka­ti­on des Nutzers, Angaben über Beginn, Ende sowie Umfang der je­wei­li­gen Nutzung sowieals auch Angaben über die vom Nutzer in Anspruch ge­nom­me­nen Te­le­me­di­en.

Sind dy­na­mi­sche IP-Adressen per­so­nen­be­zo­ge­ne Daten?

Den Anstoß für diese Dis­kus­si­ons­fra­ge gab einst Patrick Breyer. Der Politiker der Pi­ra­ten­par­tei hatte die au­to­ma­ti­sche Spei­che­rung von dy­na­mi­schen IP-Adressen kri­ti­siert, da sie ein Tracking ohne explizite Ein­wil­li­gung des Nutzers er­mög­li­che und damit ein Verstoß gegen das damals primär gültige TMG darstelle. Die Bun­des­re­gie­rung hatte 2007 dagegen ar­gu­men­tiert, dass die unter Website-Be­trei­bern gängige Praxis der IP-Adressen-Spei­che­rung dem Schutz vor Ha­cker­an­grif­fen diene und deshalb zulässig sei.

Am 16. Mai 2017 entschied der Bun­des­ge­richts­hof (BGH) schließ­lich nach Beratung mit dem Eu­ro­päi­schen Ge­richts­hof, dass dy­na­mi­sche IP-Adressen durchaus als per­so­nen­be­zo­ge­ne Daten im Sinne des Da­ten­schutz­rechts gelten. Denn auch mittels dy­na­mi­scher IP-Adressen, bei denen sich die Zif­fern­fol­ge bei jeder neuen In­ter­net­ver­bin­dung ändert, kann der jeweilige Provider – wenn er über die nötigen recht­li­chen Mittel verfügt – mithilfe von Zu­satz­in­for­ma­tio­nen die be­tref­fen­de Person iden­ti­fi­zie­ren. Der BGH entschied somit, dass dy­na­mi­sche IP-Adressen als so­ge­nann­te „per­so­nen­be­zieh­ba­re In­for­ma­tio­nen“ gelten – dieses Urteil wird laut Rechts­exper­ten auch von der DSGVO gestützt.

Jedoch hat der BGH im selben Zuge ent­schie­den, dass dy­na­mi­sche IP-Adressen nach Abwägen der In­ter­es­sen von Anbietern und Nutzern auch über den Sei­ten­ab­ruf hinaus ge­spei­chert werden dürfen. Bei Ein­zel­fall­ent­schei­dun­gen stehen also immer die Grund- und Frei­heits­rech­te von na­tür­li­chen Personen dem Anliegen der Website-Betreiber gegenüber, Störungen zu be­sei­ti­gen und Cy­ber­at­ta­cken vor­zu­beu­gen und damit die generelle Funk­ti­ons­fä­hig­keit ihres In­ter­net­an­ge­bots zu ge­währ­leis­ten.

Fakt

Diese Dis­kre­panz zwischen den In­ter­es­sen der beiden Parteien wird im Ori­gi­nal­text des BGH-Urteils genauer be­leuch­tet.

Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

On­line­shop-Betreiber benötigen für die Durch­füh­rung eines Be­stell­vor­gangs zwei­fel­los per­so­nen­be­zo­ge­ne Daten von ihren Kunden. Aber auch im On­line­mar­ke­ting sind Da­ten­ana­ly­sen sehr beliebt, weil sich auf ihrer Grundlage Werbung und Pro­dukt­plat­zie­run­gen präzise auf einzelne Nutzer zu­schnei­den lassen. Inwieweit Sie im E-Commerce per­so­nen­be­zo­ge­ne Daten erheben dürfen, ist in der DSGVO klar geregelt. Generell gilt ein Verbot mit Er­laub­nis­vor­be­halt. Das bedeutet, dass Sie vor der Ver­wen­dung jeglicher Bestands- und Nut­zungs­da­ten genau prüfen müssen, ob dies im einzelnen Fall ge­setz­lich erlaubt ist, und ob Sie die explizite Erlaubnis des je­wei­li­gen Nutzers einholen müssen. Dies ist vor allem bei so­ge­nann­ten „be­son­de­ren per­so­nen­be­zo­ge­nen Daten“ (Art. 9 Abs. 1 DSGVO) angeraten, zu denen u. a. die ethnische und kul­tu­rel­le Herkunft, alle po­li­ti­schen, re­li­giö­sen und phi­lo­so­phi­schen Ansichten sowie infolge der DSGVO auch ge­ne­ti­sche und bio­me­tri­sche Daten zählen.

Als Un­ter­neh­mer sollten Sie sich also gut in­for­mie­ren, unter welchen Be­din­gun­gen Sie per­so­nen­be­zo­ge­ne Daten zu welchen Zwecken erheben und ver­ar­bei­ten dürfen. Beachten müssen Sie vor allem die folgenden drei Grund­sät­ze:

Zweck­bin­dung

Prin­zi­pi­ell ist der da­ten­schutz­recht­li­che Grundsatz der Zweck­bin­dung maß­geb­lich: Dieser besagt, dass die Erhebung und Ver­wen­dung von Bestands- und Nut­zungs­da­ten nur für den Zweck zulässig sind, der sich explizit aus dem Ver­trags­ver­hält­nis oder aus der Nutzung eines Mediums ergibt. Sobald der Vertrag oder der Nut­zungs­vor­gang beendet ist, sind Sie als Un­ter­neh­mer dazu ver­pflich­tet, alle per­so­nen­be­zo­ge­nen Daten un­ver­züg­lich und voll­stän­dig zu löschen. Eine Ver­län­ge­rung der Spei­cher­frist ist lediglich dann erlaubt, wenn die Daten noch zur Ab­rech­nung gebraucht werden. Die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an Dritte ist un­zu­läs­sig. Ausnahmen bleiben Ab­rech­nungs­zwe­cke oder Zwecke der Straf­ver­fol­gung durch Po­li­zei­be­hör­den.

Da­ten­mi­ni­mie­rung

Des Weiteren ergibt sich aus DSGVO der Grundsatz der Da­ten­mi­ni­mie­rung, der ver­gleich­bar mit der Da­ten­ver­mei­dung bzw. Da­ten­spar­sam­keit im BDSG ist. Das bedeutet, dass Sie über Ihre Kunden so wenige Daten wie möglich erheben und ins­be­son­de­re per­so­nen­be­zo­ge­ne Daten nur sparsam sammeln sollten. Es ent­spricht dem Sinn der Da­ten­schutz­grund­ver­ord­nung am ehesten, wenn Sie Nut­zer­da­ten anonym erfassen und ver­ar­bei­ten, soweit es Ihnen als Dienst­an­bie­ter technisch möglich und zumutbar ist. Von den Kunden dürfen Sie lediglich solche Pflicht­an­ga­ben verlangen (bei­spiels­wei­se beim Ausfüllen eines Kon­takt­for­mu­lars), die für die Nutzung Ihres Dienstes explizit er­for­der­lich sind. In­for­ma­tio­nen zur da­ten­schutz­kon­for­men Ver­wen­dung dieser Angaben sollten Sie in einer separaten Da­ten­schutz­er­klä­rung aufführen.

Trans­pa­renz und Hin­weis­pflicht

Zu den wich­tigs­ten Grund­sät­zen des Da­ten­schutz­rechts gehört das Prinzip der Trans­pa­renz. Sie müssen Ihre Kunden gemäß der Hin­weis­pflicht da­hin­ge­hend un­ter­rich­ten, wie „per­so­nen­be­zo­ge­ne Daten erhoben, verwendet, ein­ge­se­hen oder an­der­wei­tig ver­ar­bei­tet werden und in welchem Umfang die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden und künftig noch ver­ar­bei­tet werden.“ (Er­wä­gungs­grund 39 Grund­sät­ze der Da­ten­ver­ar­bei­tung DSGVO). Ent­schei­dend ist die darauf folgende, explizite Ein­wil­li­gung des Nutzers, dass Sie seine an­ge­ge­be­nen Daten gemäß des Grund­sat­zes der Zweck­bin­dung speichern und ver­ar­bei­ten dürfen. Sie als Anbieter müssen die Ein­wil­li­gung nicht nur pro­to­kol­lie­ren, sondern auch si­cher­stel­len, dass Ihr Kunde den Inhalt seiner Ein­wil­li­gung jederzeit abrufen sowie diese künftig jederzeit wi­der­ru­fen kann. Eine Auf­klä­rungs­pflicht besteht für Sie auch, wenn Sie Daten außerhalb der EU speichern möchten.

Tipp

Legen Sie für Ihre Kunden eine separate Da­ten­schutz­er­klä­rung an. Achten Sie darauf, dass diese auf sämtliche Formen der Nutzung von Kun­den­da­ten hinweist.

Google Analytics und Da­ten­schutz

Das Website-Analyse-Tool Google Analytics ist hin­sicht­lich des Da­ten­schut­zes sehr um­strit­ten. Das kos­ten­lo­se Tool liefert u. a. In­for­ma­tio­nen über die Herkunft der Besucher, ihre Ver­weil­dau­er auf einzelnen Webseiten und darüber, welche Seiten sie am häu­figs­ten besucht haben. Per­so­nen­be­zo­ge­ne Daten, z. B. IP-Adresse, Brow­ser­typ sowie Datum und Uhrzeit der auf­ge­ru­fen Website werden nicht nur ohne vorherige Ein­wil­li­gung des Nutzers erhoben, sondern von Google auch ge­spei­chert. Somit kann das US-ame­ri­ka­ni­sche Un­ter­neh­men ein um­fas­sen­des Be­nut­zer­pro­fil anlegen, das sich einer be­stimm­ten Person zuordnen lässt. Grundlage hierfür ist das Da­ten­schutz­recht der USA, das weniger streng geregelt ist als das deutsche.

Nach lang­jäh­ri­gen Ver­hand­lun­gen zwischen dem Ham­bur­gi­schen Da­ten­schutz­be­auf­trag­ten Caspar und dem Google-Konzern fiel hier­zu­lan­de 2011 der Beschluss, dass deutsche Un­ter­neh­men Google Analytics lediglich unter be­stimm­ten Auflagen verwenden dürfen (§15 Abs. 3 TMG):

  • Tracking ist nur mittels Pseud­ony­mi­sie­rung erlaubt.
  • Eine An­ony­mi­sie­rung der IP-Adresse ist er­for­der­lich (es dürfen lediglich die letzten 8 Bit ge­spei­chert werden).
  • In der Da­ten­schutz­er­klä­rung muss trans­pa­rent darauf hin­ge­wie­sen werden, dass das Tool verwendet wird und ein Wi­der­spruchs­recht besteht.

Jedoch erscheint dieser Beschluss mit der Ein­füh­rung der DSGVO nun hinfällig. So vertraten die deutschen Da­ten­schutz­be­hör­den im April 2018 die Position, dass das bisherige Vorgehen beim Tracking nun nicht mehr unter das Te­le­me­di­en­ge­setz, sondern ebenfalls in den An­wen­dungs­be­reich der neuen Grund­ver­ord­nung fällt. Die Pa­ra­gra­fen §§ 12, 13, 15 TMG seien somit seit dem 25. Mai 2018 nicht mehr anwendbar. Statt­des­sen müssen Website-Betreiber, die Google Analytics verwenden, nun auch fürs Tracking die explizite Ein­wil­li­gung des Nutzers einholen, um rechts­kon­form zu handeln – eine Position, die mit ju­ris­ti­schen Un­si­cher­hei­ten und Ab­mahn­ri­si­ken für die Be­trof­fe­nen ein­her­geht. Es gibt jedoch auch da­ten­schutz­recht­lich un­be­denk­li­che Al­ter­na­ti­ven zu Google Analytics, z. B. Piwik oder Chartbeat, die Sie für Ihre Web­ana­ly­sen nutzen können.

Fakt

Die de­tail­lier­te Po­si­ti­ons­be­stim­mung der Da­ten­schutz­be­hör­den hilft Ihnen dabei, eine Ent­schei­dung für oder gegen die Ver­wen­dung von Google Analytics in Ihrem Un­ter­neh­men ab­zu­wie­gen.

Straf­maß­nah­men und Ansprüche bei Miss­ach­tung des Da­ten­schutz­ge­set­zes

Die DSGVO sieht bei Miss­ach­tung der Da­ten­schutz­re­geln hohe Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des welt­wei­ten Jah­res­um­sat­zes eines Un­ter­neh­mens vor (Art. 83 Abs. 5 DSGVO). Ord­nungs­wid­ri­ge Hand­lun­gen sind ins­be­son­de­re solche, die ab­sicht­lich, vor­sätz­lich oder fahr­läs­sig …

  • den Absender oder den kom­mer­zi­el­len Charakter einer Nachricht ver­schlei­ern oder ver­heim­li­chen,
  • den Nutzer nur un­voll­stän­dig oder gar nicht über die Art der Da­ten­er­fas­sung in­for­mie­ren,
  • gegen die ge­setz­li­chen Be­stim­mun­gen per­so­nen­be­zo­ge­ne Daten erheben, ver­ar­bei­ten, speichern oder nicht recht­zei­tig löschen,
  • ein Nut­zungs­pro­fil mit Daten über den Träger des Pseud­onyms zu­sam­men­füh­ren.

Neben Scha­dens­er­satz­an­sprü­chen (Art. 82 DSGVO) haben be­trof­fe­ne Personen außerdem einen Anspruch auf:

  • Auskunft über die zu ihrer Person ge­spei­cher­ten Daten, deren Herkunft, Spei­cher­zweck sowie Empfänger (Art. 15 DSGVO)
  • Be­rich­ti­gung, Löschung und Sperrung der zur Person erhobenen Daten (Art. 15 Abs. 1e DSGVO)
Tipp

Schauen Sie sich die Da­ten­schutz­re­geln der Da­ten­schutz­grund­ver­ord­nung genau an, um nicht un­be­ab­sich­tigt Rechts­wid­rig­kei­ten zu begehen!

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.

Zum Hauptmenü