Datenschutz im E-Commerce

Im E-Commerce, wo tagtäglich verschiedenste Transaktionen durchgeführt werden, fragen die Anbieter häufig nach den Daten ihrer Kunden. Doch viele Nutzer haben Bedenken, personenbezogene Daten preiszugeben, und das aus gutem Grund: Viel zu oft werden hochsensible Informationen missbraucht, unrechtmäßig zu Werbezwecken genutzt oder gar an Dritte weitergegeben. Unternehmer sollten sich daher mit dem Thema Datenschutz auseinandersetzen – im Sinne ihrer Kunden und um rechtliche Konsequenzen zu vermeiden. Denn wer im komplexen Datenschutzrecht bezüglich des E-Commerce den Überblick verliert, läuft schnell Gefahr, gegen geltende Gesetze zu verstoßen – und riskiert dabei hohe Geldstrafen.

Ziel des Datenschutzes

Das oberste Ziel des Datenschutzes ist, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ (§ 1 Abs. 1 BDSG-alt). Dieses Anliegen wird eng assoziiert mit dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1. Ferner trägt es der Menschenwürde aus Art. 1 des Grundgesetzes (GG) Rechnung, das einen absoluten Schutz vor Angriffen auf den Lebens- und Freiheitsbereich einer Person garantiert. Das Einhalten der Datenschutzregeln sowie der dazugehörigen Regelungen bezüglich der Datenverarbeitung ist somit für öffentliche wie nicht öffentliche Einrichtungen gleichermaßen wichtig.

Als Unternehmer müssen Sie deshalb eine Reihe von Vorschriften beachten, die früher größtenteils im Bundesdatenschutzgesetz (heute als BDSG-alt bezeichnet) festgeschrieben waren. Seit dem 25. Mai 2018 regelt aber die Datenschutzgrundverordnung (DSGVO) sämtliche Aspekte des Datenschutzes auf europäischer sowie nationalstaatlicher Ebene. Besonderes Augenmerk legt die DSGVO auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, sie bekräftigt die bisher gültigen Regelungen und verschärft sie in einigen Aspekten. Das bisherige Bundesdatenschutzgesetz bleibt als BDSG-neu bestehen. Es ergänzt die DSGVO mit den darin enthaltenen Öffnungsklauseln um einige landesspezifische Anpassungen.

Personenbezogene Daten und andere Datenarten

Zu den personenbezogenen Daten gehören laut Art. 4 Ziffer 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Dazu gehören unter anderem, aber nicht ausschließlich:

  • Name, Geburtsdatum, Adresse, Staatsangehörigkeit
  • Versicherungsnummern
  • Bankdaten
  • IP-Adressen, Cookies, GPS-Standortdaten
  • Geschlecht, Haut-, Haar-, Augenfarbe
  • Besitztümer
  • Online-Kundendaten
  • Bildungs- und Berufszeugnisse

Personenbezogene Daten sind somit Informationen, die direkt oder indirekt mit einer bestimmten Person in Verbindung gebracht werden können, wobei die Zuordnung des Namens als das entscheidende Identifikationskriterium gilt.

Nicht personenbezogene Daten sind hingegen solche Angaben, die anonym erfasst werden und nicht zur Identifikation einer bestimmten Person herangezogen werden (können). Dazu können – unter Voraussetzung der vollständigen Anonymisierung der ersten Nutzerinteraktion – z. B. die Angabe des Geschlechts, Besucherdaten auf bestimmten Websites oder andere unspezifische Angaben zählen. Solche nicht personenbezogenen Daten bleiben vom Datenschutzgesetz unberührt. Als Unternehmer oder Marketer können Sie daher diese Art von Daten ohne vorherige Einwilligung oder datenschutzrechtliche Erlaubnis für die Erstellung von Statistiken oder Nutzerprofilen verwenden; sie sollten aber sicherstellen, dass sie nicht mit einer natürlichen Person in Verbindung gebracht werden können.

Problematischer wird es bei der Verarbeitung sogenannter „pseudonymisierter“ Daten (Art. 4 Abs. 5 DSGVO), also solchen, die unter Verwendung eines Pseudonyms für den jeweiligen Nutzer gespeichert werden. Mit ihnen lassen sich zwar weitaus spezifischere Nutzerprofile erstellen. Hier tut sich aber eine rechtliche Grauzone auf, da es für Website-Betreiber oft schwer auf Anhieb erkennbar ist, ob bestimmte Daten direkt oder indirekt mit einer natürlichen Person in Verbindung gebracht werden können. Aus diesem Grund müssen Sie Ihre Kunden auch in solch einem Fall über die Datenerhebung in Kenntnis setzen und sie zu Beginn auf ihr Widerspruchsrecht hinweisen.

Im E-Commerce spricht man meist weniger von personenbezogenen Daten als vielmehr von Bestands- und Nutzungsdaten, die über sogenannte Telemediendienste wie Onlineshops, Werbe-Mails oder Internet-Suchmaschinen erfasst werden. Da hierfür spezifische Datenschutzregelungen gelten, fielen diese vor dem Inkrafttreten der DSGVO nicht primär in den Bereich des alten Bundesdatenschutzgesetzes, sondern betrafen in erster Linie das Telemediengesetz (TMG). Da sich der Anwendungsbereich der DSGVO aber auch auf Telemedien erstreckt, hat sie generell Vorrang vor dem Telemediengesetz. Das bedeutet im Klartext, dass die DSGVO das TMG (wie auch das BDSG) seit dem 25. Mai 2018 weitgehend ersetzt, was insbesondere für die relevanten Paragrafen §§ 11 ff. TMG gilt.

Die in der DSGVO festgeschriebenen Vorschriften beziehen sich jedoch weniger konkret auf den Tätigkeitsbereich der Telemediendienste, sondern sie sollen das gesamte Spektrum datenschutzrechtlich relevanter Prozesse abdecken. Der Vorteil dabei ist, dass die neue Grundverordnung bereits zukünftige technologische Entwicklungen berücksichtigt und daher nicht laufend aktualisiert werden muss. Die recht abstrakten Formulierungen haben jedoch auch einen negativen Nebeneffekt: Sie sind weitgehend auslegbar und damit streitanfällig; viele Fragen (zum Beispiel rund um das Thema Webtracking) werden erst im Laufe der Zeit durch die zuständigen Gerichte geklärt werden. Diese juristische Unsicherheit sorgt bislang für reichlich Verwirrung und hitzige Debatten in den betroffenen Unternehmen. Da die Veränderungen, die die DSGVO mit sich bringt, aber hauptsächlich im Detail liegen, behalten viele der bisherigen Regelungen bezüglich des Datenschutzes im E-Commerce weiterhin Gültigkeit, was die Umstellung für Unternehmen weniger brisant und schwierig macht.

Fakt

Bestandsdaten wurden laut dem TMG bislang auf Basis eines bestehenden Vertragsverhältnisses zwischen Dienstanbieter und Nutzer definiert, bei dem der Anbieter nur dann personenbezogene Daten eines Nutzers erheben und verwenden darf, „soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses […] über die Nutzung von Telemedien erforderlich sind“ (§ 14 TMG) – z. B. Name oder Adresse des Nutzers, aber auch bspw. Login-Kennungen beifür Social Networks und andere Passwörter, Kontodaten oder IP-Adressen. Nutzungsdaten hingegen umfassten bisher personenbezogene Daten, die man benötigt, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“ (§ 15 TMG) – etwa IP-Adressen sowie andere Merkmale zur Identifikation des Nutzers, Angaben über Beginn, Ende sowie Umfang der jeweiligen Nutzung sowieals auch Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

Sind dynamische IP-Adressen personenbezogene Daten?

Den Anstoß für diese Diskussionsfrage gab einst Patrick Breyer. Der Politiker der Piratenpartei hatte die automatische Speicherung von dynamischen IP-Adressen kritisiert, da sie ein Tracking ohne explizite Einwilligung des Nutzers ermögliche und damit ein Verstoß gegen das damals primär gültige TMG darstelle. Die Bundesregierung hatte 2007 dagegen argumentiert, dass die unter Website-Betreibern gängige Praxis der IP-Adressen-Speicherung dem Schutz vor Hackerangriffen diene und deshalb zulässig sei.

Am 16. Mai 2017 entschied der Bundesgerichtshof (BGH) schließlich nach Beratung mit dem Europäischen Gerichtshof, dass dynamische IP-Adressen durchaus als personenbezogene Daten im Sinne des Datenschutzrechts gelten. Denn auch mittels dynamischer IP-Adressen, bei denen sich die Ziffernfolge bei jeder neuen Internetverbindung ändert, kann der jeweilige Provider – wenn er über die nötigen rechtlichen Mittel verfügt – mithilfe von Zusatzinformationen die betreffende Person identifizieren. Der BGH entschied somit, dass dynamische IP-Adressen als sogenannte „personenbeziehbare Informationen“ gelten – dieses Urteil wird laut Rechtsexperten auch von der DSGVO gestützt.

Jedoch hat der BGH im selben Zuge entschieden, dass dynamische IP-Adressen nach Abwägen der Interessen von Anbietern und Nutzern auch über den Seitenabruf hinaus gespeichert werden dürfen. Bei Einzelfallentscheidungen stehen also immer die Grund- und Freiheitsrechte von natürlichen Personen dem Anliegen der Website-Betreiber gegenüber, Störungen zu beseitigen und Cyberattacken vorzubeugen und damit die generelle Funktionsfähigkeit ihres Internetangebots zu gewährleisten.

Fakt

Diese Diskrepanz zwischen den Interessen der beiden Parteien wird im Originaltext des BGH-Urteils genauer beleuchtet.

Grundsätze für die Verarbeitung personenbezogener Daten

Onlineshop-Betreiber benötigen für die Durchführung eines Bestellvorgangs zweifellos personenbezogene Daten von ihren Kunden. Aber auch im Onlinemarketing sind Datenanalysen sehr beliebt, weil sich auf ihrer Grundlage Werbung und Produktplatzierungen präzise auf einzelne Nutzer zuschneiden lassen. Inwieweit Sie im E-Commerce personenbezogene Daten erheben dürfen, ist in der DSGVO klar geregelt. Generell gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass Sie vor der Verwendung jeglicher Bestands- und Nutzungsdaten genau prüfen müssen, ob dies im einzelnen Fall gesetzlich erlaubt ist, und ob Sie die explizite Erlaubnis des jeweiligen Nutzers einholen müssen. Dies ist vor allem bei sogenannten „besonderen personenbezogenen Daten“ (Art. 9 Abs. 1 DSGVO) angeraten, zu denen u. a. die ethnische und kulturelle Herkunft, alle politischen, religiösen und philosophischen Ansichten sowie infolge der DSGVO auch genetische und biometrische Daten zählen.

Als Unternehmer sollten Sie sich also gut informieren, unter welchen Bedingungen Sie personenbezogene Daten zu welchen Zwecken erheben und verarbeiten dürfen. Beachten müssen Sie vor allem die folgenden drei Grundsätze:

Zweckbindung

Prinzipiell ist der datenschutzrechtliche Grundsatz der Zweckbindung maßgeblich: Dieser besagt, dass die Erhebung und Verwendung von Bestands- und Nutzungsdaten nur für den Zweck zulässig sind, der sich explizit aus dem Vertragsverhältnis oder aus der Nutzung eines Mediums ergibt. Sobald der Vertrag oder der Nutzungsvorgang beendet ist, sind Sie als Unternehmer dazu verpflichtet, alle personenbezogenen Daten unverzüglich und vollständig zu löschen. Eine Verlängerung der Speicherfrist ist lediglich dann erlaubt, wenn die Daten noch zur Abrechnung gebraucht werden. Die Weitergabe von personenbezogenen Daten an Dritte ist unzulässig. Ausnahmen bleiben Abrechnungszwecke oder Zwecke der Strafverfolgung durch Polizeibehörden.

Datenminimierung

Des Weiteren ergibt sich aus DSGVO der Grundsatz der Datenminimierung, der vergleichbar mit der Datenvermeidung bzw. Datensparsamkeit im BDSG ist. Das bedeutet, dass Sie über Ihre Kunden so wenige Daten wie möglich erheben und insbesondere personenbezogene Daten nur sparsam sammeln sollten. Es entspricht dem Sinn der Datenschutzgrundverordnung am ehesten, wenn Sie Nutzerdaten anonym erfassen und verarbeiten, soweit es Ihnen als Dienstanbieter technisch möglich und zumutbar ist. Von den Kunden dürfen Sie lediglich solche Pflichtangaben verlangen (beispielsweise beim Ausfüllen eines Kontaktformulars), die für die Nutzung Ihres Dienstes explizit erforderlich sind. Informationen zur datenschutzkonformen Verwendung dieser Angaben sollten Sie in einer separaten Datenschutzerklärung aufführen.

Transparenz und Hinweispflicht

Zu den wichtigsten Grundsätzen des Datenschutzrechts gehört das Prinzip der Transparenz. Sie müssen Ihre Kunden gemäß der Hinweispflicht dahingehend unterrichten, wie „personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.“ (Erwägungsgrund 39 Grundsätze der Datenverarbeitung DSGVO). Entscheidend ist die darauf folgende, explizite Einwilligung des Nutzers, dass Sie seine angegebenen Daten gemäß des Grundsatzes der Zweckbindung speichern und verarbeiten dürfen. Sie als Anbieter müssen die Einwilligung nicht nur protokollieren, sondern auch sicherstellen, dass Ihr Kunde den Inhalt seiner Einwilligung jederzeit abrufen sowie diese künftig jederzeit widerrufen kann. Eine Aufklärungspflicht besteht für Sie auch, wenn Sie Daten außerhalb der EU speichern möchten.

Tipp

Legen Sie für Ihre Kunden eine separate Datenschutzerklärung an. Achten Sie darauf, dass diese auf sämtliche Formen der Nutzung von Kundendaten hinweist.

Google Analytics und Datenschutz

Das Website-Analyse-Tool Google Analytics ist hinsichtlich des Datenschutzes sehr umstritten. Das kostenlose Tool liefert u. a. Informationen über die Herkunft der Besucher, ihre Verweildauer auf einzelnen Webseiten und darüber, welche Seiten sie am häufigsten besucht haben. Personenbezogene Daten, z. B. IP-Adresse, Browsertyp sowie Datum und Uhrzeit der aufgerufen Website werden nicht nur ohne vorherige Einwilligung des Nutzers erhoben, sondern von Google auch gespeichert. Somit kann das US-amerikanische Unternehmen ein umfassendes Benutzerprofil anlegen, das sich einer bestimmten Person zuordnen lässt. Grundlage hierfür ist das Datenschutzrecht der USA, das weniger streng geregelt ist als das deutsche.

Nach langjährigen Verhandlungen zwischen dem Hamburgischen Datenschutzbeauftragten Caspar und dem Google-Konzern fiel hierzulande 2011 der Beschluss, dass deutsche Unternehmen Google Analytics lediglich unter bestimmten Auflagen verwenden dürfen (§15 Abs. 3 TMG):

  • Tracking ist nur mittels Pseudonymisierung erlaubt.
  • Eine Anonymisierung der IP-Adresse ist erforderlich (es dürfen lediglich die letzten 8 Bit gespeichert werden).
  • In der Datenschutzerklärung muss transparent darauf hingewiesen werden, dass das Tool verwendet wird und ein Widerspruchsrecht besteht.

Jedoch erscheint dieser Beschluss mit der Einführung der DSGVO nun hinfällig. So vertraten die deutschen Datenschutzbehörden im April 2018 die Position, dass das bisherige Vorgehen beim Tracking nun nicht mehr unter das Telemediengesetz, sondern ebenfalls in den Anwendungsbereich der neuen Grundverordnung fällt. Die Paragrafen §§ 12, 13, 15 TMG seien somit seit dem 25. Mai 2018 nicht mehr anwendbar. Stattdessen müssen Website-Betreiber, die Google Analytics verwenden, nun auch fürs Tracking die explizite Einwilligung des Nutzers einholen, um rechtskonform zu handeln – eine Position, die mit juristischen Unsicherheiten und Abmahnrisiken für die Betroffenen einhergeht. Es gibt jedoch auch datenschutzrechtlich unbedenkliche Alternativen zu Google Analytics, z. B. Piwik oder Chartbeat, die Sie für Ihre Webanalysen nutzen können.

Fakt

Die detaillierte Positionsbestimmung der Datenschutzbehörden hilft Ihnen dabei, eine Entscheidung für oder gegen die Verwendung von Google Analytics in Ihrem Unternehmen abzuwiegen.

Strafmaßnahmen und Ansprüche bei Missachtung des Datenschutzgesetzes

Die DSGVO sieht bei Missachtung der Datenschutzregeln hohe Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor (Art. 83 Abs. 5 DSGVO). Ordnungswidrige Handlungen sind insbesondere solche, die absichtlich, vorsätzlich oder fahrlässig …

  • den Absender oder den kommerziellen Charakter einer Nachricht verschleiern oder verheimlichen,
  • den Nutzer nur unvollständig oder gar nicht über die Art der Datenerfassung informieren,
  • gegen die gesetzlichen Bestimmungen personenbezogene Daten erheben, verarbeiten, speichern oder nicht rechtzeitig löschen,
  • ein Nutzungsprofil mit Daten über den Träger des Pseudonyms zusammenführen.

Neben Schadensersatzansprüchen (Art. 82 DSGVO) haben betroffene Personen außerdem einen Anspruch auf:

  • Auskunft über die zu ihrer Person gespeicherten Daten, deren Herkunft, Speicherzweck sowie Empfänger (Art. 15 DSGVO)
  • Berichtigung, Löschung und Sperrung der zur Person erhobenen Daten (Art. 15 Abs. 1e DSGVO)
Tipp

Schauen Sie sich die Datenschutzregeln der Datenschutzgrundverordnung genau an, um nicht unbeabsichtigt Rechtswidrigkeiten zu begehen!

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.