Rechtssicherheit
von
onlineshop-basics

Datenschutz Onlineshop, Datenschutzerklärung, Bundesdatenschutzgesetz

Datenschutz für Onlineshop-Betreiber

Datenschutz dürfte für die meisten Onlinehändler eine lästige und oftmals bürokratische Angelegenheit sein. Dennoch sollten die jeweiligen gültigen Rechtlagen bekannt und auch umgesetzt werden. Wird das Thema Datenschutz nur stiefmütterlich bzw. gar nicht umgesetzt, können Abmahnungen oder sogar Schadensersatzforderungen folgen, die unter Umständen existenzgefährdend sein können. Wir stellen einige wichtige Datenschutzregeln vor.

Rechtliche Grundlagen zum Datenschutz

Das Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BSDG) ist 1977 erstmals in Kraft getreten und wurde seitdem mehrmals geändert, zuletzt im November 2019. Das Gesetz regelt den Umgang mit personenbezogenen Daten, die in und durch Datenverarbeitungsanlagen (PC, Tablet, Handy etc.) gesammelt und ausgewertet werden. Zweck des Gesetzes ist, dass eine natürliche Person nicht in seinem Persönlichkeitsrecht benachteiligt oder beeinträchtigt wird. Die letzte Aktualisierung umfasst vor allem die Einarbeitung der Datenschutz-Grundverordnung (DSGVO), die zum Teil eine deutliche Verschärfung mit sich führte.

Was heißt das konkret: Daten von Besuchern, Kunden oder anderen Personen dürfen nur dann erhoben, verarbeitet und genutzt werden, wenn diese ausdrücklich zugestimmt bzw. nachweislich ihre Erlaubnis gegeben haben.

Datenschutzerklärung Onlineshopdejure nachgelesen werden.

Datenschutz im Onlineshop

Kundendaten

Kunden, die in einem Onlineshop bestellen, müssen logischerweise einige Daten hinterlegen, damit die Bestellung korrekt verarbeitet werden kann. Hierzu gehören neben den vollständigen Namen auch die Rechnungsanschrift, die Lieferanschrift, die Email-Adresse und je nach angebotenen Zahlungsarten auch Bankdaten.

Gemäß den allgemeinen Grundsätzen des Datenschutzes (§ 47 BDSG neu), dürfen nur solche Kundendaten gesammelt werden, die auch für die Bearbeitung einer Bestellung oder zur Ausfertigung eines Angebotes benötigt werden .

Aus BSDG (§ 47 Abs. 2): Pesonenbezogene Daten müssen dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen

Zu den Daten, die für den Bestellablauf nicht unbedingt vonnöten sind, gehören beispielsweise Telefonnummer, Telefax, Geburtsdatum, Stadtteil oder Religionszugehörigkeit.

Besucherdaten und Nutzung von Webanalyse-Tools

Die meisten Onlineshops nutzen ein so genanntes Tracking- oder Webanalysetool (z.B. Google Analytics oder Piwik), um die Besucherströme (Traffic), die abgerufenen Dateien (URLs) sowie weitere Metadaten (z.B. Browser und Betriebssystem) auf ihren Seiten auswerten zu können. Aus unternehmerischer Sicht ist das stark zu begrüßen, da durch solche Tools sichtbar wird, wo gezielter Optimierungsbedarf besteht.

Problematisch ist jedoch, dass einige Webanalysetools in ihrer Grundeinstellung nicht datenschutzkonform sind, da die IP-Adresse nicht anonymisiert ist. Hier gilt es demnach gezielt darauf zu achten, dass sämtliche IP-Adressen bei der Verwendung solcher Tools anonymisiert sind. Einige Tools sind von vornherein anonymisiert, andere Tools (z.B. Google Analytics) werden durch Nutzung bestimmter Codeschnipsel anonymisiert.

Unabhängig dessen, welches Trackingtool letztendlich verwendet wird, muss in der Datenschutzerklärung des Onlineshops angegeben werden, dass diese Tools verwendet werden. Einige Rechtskanzleien bieten für die bekanntestes Webtools auch vorgefertigte Texte an, die entsprechend verwendet werden können.


Email-Marketing und Datenschutz

Email-Marketing kann durchaus eine sinnvolle Marketingmaßnahme sein, um Bestandskunden zu pflegen und natürlich um auf Produkte und Services aufmerksam zu machen. Auch hier gilt, dass es rechtlich problematisch werden kann, wenn Onlinehändler Emails an Kunden schicken. Dies gilt vor allem dann, wenn Kunden hierzu keine explizite Einwilligung gegeben haben.

Insofern Email-Marketing genutzt werden soll, müssen die Kunden über die Nutzung und Verwendung ihrer Daten Bescheid wissen und explizit zustimmen. Im Onlineshop kann dies z.B. über eine Checkbox passieren, die die Kunden bequem im Kaufprozess (Checkout-Prozess) anklicken und absenden können. Onlinehändler sollten die Idee, die Checkbox voranzuhaken jedoch schnell wieder verwerfen, da hier keine aktive Handlung des Kunden notwendig ist und die folgende Email-Werbung dadurch nicht legitimiert wird.

Rechtliche Grundlage ist der Artikel 6 der Datenschutzgrundverordnung, der eine explizite Einwilligung des Kunden voraussetzt (Opt-In-Verfahren). Nach Möglichkeit sollte direkt zum Double-Opt-In-Verfahren gegriffen werden. Bei diesem muss der Kunden nach Einwilligung explizit in einer erhaltenen Email noch einmal bestätigen, dass er auch wirklich Newsletter empfangen will.

Empfängt der Kunde Newsletter muss ihm auch die Möglichkeit eingeräumt werden, den Newsletter wieder abzubestellen. Dies passiert in der Regel mit einer simplen Newsletter abbestellen-Funktion in der Email.


Unterlassen werden sollte ebenfalls, dass der Passus Email-Werbung in den allgemeinen Geschäftsbedingungen integriert wird. Auch wenn die Kunden die AGBs bestätigen, darf der Onlinehändler keinerlei Werbung an den Kunden weiterleiten. Ein Passus in den AGBs ist unzulässig, da hier keine explizite Einwilligung vorliegt und eine gesonderte Erklärung vom Kunden abgegeben werden muss.

Auskunft und Löschung von Kundendaten

Hin und wieder wird es vorkommen, dass einige Kunden bzw. ehemalige Kunden, die Löschung ihrer Daten beim Betreiber eines Onlineshops einfordern. Natürliche Personen haben gem. §35 BDSG das Recht auf Auskunft und Löschung ihrer persönlichen Daten.

Das bedeutet, dass sämtlich Daten des Kunden, die im Zuge der Bestellverarbeitung eingegangen sind, zu löschen sind. Hierzu gehören personalisierte Kundenaccounts, die im Zuge einer Registrierung im Onlineshop angelegt werden. Ebenfalls gehören hierzu Daten, die nicht für Nachweiszwecke (siehe unten) benötigt werden. Folglich müssen Daten wie Geburtsdatum, Telefonnummer, Telefaxnummer, Internetseite, Bonitätsdaten unwiderruflich gelöscht werden. Wer moderne Shopsysteme benutzt, kann die Daten ohne weitere Probleme löschen.

Im gleichem Atemzug kann es vorkommen, dass Kunden eine Auskunft über die im Onlineshop bzw. im Unternehmen gespeicherten persönlichen Daten verlangen. Durch §34 BDSG hat der Kunde oder die Kundin auch das Recht auf Auskunft.

Nicht davon betroffen sind Aufzeichnungen, die im Zuge allgemeiner Pflichten, z.B. Buchhaltungspflichten, für einen bestimmten Zeitraum gespeichert werden müssen. Hierzu gehören beispielsweise Rechnungen, Lieferscheine oder auch der Email-Verkehr mit Kunden. Doch auch wenn bestimmte Daten aufgrund von Aufbewahrungspflichten (siehe hierzu § 147 AO ? Ordnungsvorschiften für die Aufbewahrung von Unterlagen) nicht gelöscht werden dürfen, können Kunden die Sperrung der Daten verlangen. Das bedeutet, dass sämtliche Daten des Kunden weder zu Auswertungszwecken, noch zu irgendwelchen anderen Nutzzwecken (z.B. Werbung) verwertet werden dürfen.

Die Datenschutzerklärung im Onlineshop

Betreiber von Onlineshops sind bei Erhebung und Nutzung personenbezogener Daten verpflichtet, eine Datenschutzerklärung abzugeben und im Onlineshop sichtbar zu platzieren (maximal zwei Klicks zum Erreichen der Information). Diese Verpflichtung ergibt sich sowohl aus dem Bundesdatenschutzgesetz als auch aus dem Telemediengesetz.

In der Datenschutzerklärung muss u.a. stehen, welche personenbezogenen Daten erhoben, verarbeitet und genutzt werden. Ebenfalls müssen in dieser Erklärung stehen, ob und wie Cookies verwendet werden, ob die und wie die personenbezogenen Daten weitergegeben werden (z.B. an Versandhandelsunternehmen), ob und wie Daten bei der Übertragung verschlüsselt werden und wer im Unternehmen der Ansprechpartner für Datenschutz ist.

Hinweis: Wir weisen ausdrücklich darauf hin, dass dieser Artikel keine Rechtsberatung ist, sondern lediglich einige Informationen über das Thema Datenschutz enthält. Auch wenn der Artikel mit Sorgfalt erstellt wurde, kann und soll er eine Rechtsberatung nicht ersetzen. Dies können wir auch nicht leisten, da sich zum Teil viele Änderungen in einem kurzen Zeitabschnitt ergeben. Onlinehändler, die Rechtssicherheit für ihren Onlineshop wollen, sollten einen Rechtsanwalt/Rechtsanwältin für IT-Recht aufsuchen. Dies ist u.U. auch deshalb empfehlenswert, da sich die Rechtsprechung in diesem Themenkomplex schnell ändern kann.

Weiterführende Links

  1. Wikipedia: Bundesdatenschutzgesetz
  2. Verwendung von Kundendaten - Verbraucherschutzzentrale
  3. Muster einer Datenschutzerklärung von it-recht-kanzlei.de
  4. Vorteile der DSGVO für den Onlinehandel

Buchempfehlung
Im Buch Der neue Onlinehandel werden interessante Zukunftstrends und Geschäftsmodelle auf über 473 Seiten vorgestellt. Der neue Onlinehandel
Weitere Details zum Buch

Kommentare zum Thema

Zu diesem Beitrag wurde noch kein Kommentar verfasst.


Kommentar verfassen

Shopsysteme vorgestellt

Wer einen Onlineshop erstellen will, braucht auch ein passendes Shopsystem. Wir helfen bei der Auswahl der passenden Shopsoftware und stellen die bekanntesten kurz vor.

Buchempfehlung
Das Buch bietet einen umfassenden Überblick über alle relevanten Schritte und Prozesse, die beim Betrieb eines Onlineshops zu beachten sind. Hanbduch für Onlineshop-Betreiber
Weitere Details zum Buch