Rechtssicherheit
von
onlineshop-basics

Datenschutz Onlineshop, Datenschutzerklärung, Bundesdatenschutzgesetz

Datenschutz für Onlineshop-Betreiber

Auch wenn der Datenschutz für viele Onlinehändler eine lästige und oftmals bürokratische Angelegenheit ist, sollten die jeweiligen gültige Rechtlage gut umgesetzt werden. Wird das Thema Datenschutz nur stiefmütterlich bzw. gar nicht umgesetzt, können Abmahnungen oder sogar Schadensersatzforderungen folgen, die unter Umständen existenzgefährdend sein können. Wir stellen einige wichtige Datenschutzregeln vor.


Rechtliche Grundlagen zum Datenschutz

Das Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BSDG) ist 1977 erstmals in Kraft getreten und wurde seitdem mehrmals geändert, letzmals im Mitte 2009. Das Gesetz regelt den Umgang mit personenbezogenen Daten, die in und durch Datenverarbeitungsanlagen (PC, Tablet, Handy etc.) gesammelt und ausgewertet werden. Zweck des Gesetzes ist, dass eine natürliche Person nicht in seinem Persönlichkeitsrecht benachteiligt oder beeinträchtigt wird.


Was heißt das konkret: Daten von Besuchern, Kunden oder anderen Personen dürfen nur dann erhoben, verarbeitet und genutzt werden, wenn diese ausdrücklich zugestimmt bzw. nachweislich ihre Erlaubnis gegeben haben.





Datenschutz im Onlineshop

Kundendaten

Kunden, die in einem Onlineshop bestellen, müssen logischerweise einige Daten hinterlegen, damit die Bestellung korrekt verarbeitet werden kann. Hierzu gehören neben den vollständigen Namen auch die Rechnungsanschrift, die Lieferanschrift, die Email-Adresse und je nach angebotenen Zahlungsarten auch Bankdaten.


Grundsätzlich besteht gemäß §3a BDSG das so genannten Gebot der Datensparsamkeit, wodurch im Prinzip nur die Daten gesammelt werden sollten, die für die Bearbeitung des Kunden vonnöten sind.


Zu den Daten, die für den Bestellablauf nicht unbedingt vonnöten sind, gehören beispielsweise Telefonnummer, Telefax oder Stadtteil.

Besucherdaten und Nutzung von Webanalyse-Tools

Die meisten Onlineshops nutzen ein so genanntes Tracking- oder Webanalysetool (z.B. Google Analytics oder Piwik), um die Besucherströme (Traffic), die abgerufenen Dateien (URLs) sowie weitere Metadaten (z.B. Browser und Betriebssystem) auf ihren Seiten auswerten zu können. Aus unternehmerischer Sicht ist das stark zu begrüßen, da durch solche Tools sichtbar wird, wo gezielter Optimierungsbedarf besteht.


Problematisch ist jedoch, dass einige Webanalysetools in ihrer Grundeinstellung nicht datenschutzkonform sind, da die IP-Adresse nicht anonymisiert ist. Hier gilt es demnach gezielt darauf zu achten, dass sämtliche IP-Adressen bei der Verwendung solcher Tools anonymisiert sind. Einige Tools sind von vornherein anonymisiert, andere Tools (z.B. Google Analytics) werden durch Nutzung bestimmter Codeschnipsel anonymisiert.


Unabhängig dessen, welches Trackingtool letztendlich verwendet wird, muss in der Datenschutzerklärung des Onlineshops angegeben werden, dass es verwendet wird und wie das Tool heißt. Einige Rechtskanzleien bieten für die bekanntestes Webtools auch vorgefertigte Texte an, die entsprechend verwendet werden können.


Email-Marketing und Datenschutz

Email-Marketing kann durchaus eine sinnvolle Marketingmaßnahme sein, um Bestandskunden zu pflegen und natürlich um auf Produkte und Services aufmerksam zu machen. Auch hier gilt, dass es rechtlich problematisch werden kann, wenn Onlinehändler Emails an Kunden schicken, ohne, dass sie einer gezielten Email-Werbung zugestimmt haben.


Insofern Email-Marketing zum Einsatz kommen soll, müssen die Kunden über die Nutzung und Verwendung ihrer Daten Bescheid wissen und explizit zustimmen. Im Onlineshop kann dies z.B. über eine Checkbox passieren, die die Kunden bequem im Kaufprozess (Checkout-Prozess) anklicken und absenden können. Onlinehändler sollten die Idee, die Checkbox voranzuhaken jedoch schnell wieder verwerfen, da hier keine aktive Handlung des Kunden notwendig ist und die folgende Email-Werbung dadurch nicht legitimiert wird.


Unterlassen werden sollte ebenfalls, dass der Passus Email-Werbung in den allgemeinen Geschäftsbedingungen integriert wird. Auch wenn die Kunden die AGBs bestätigen, darf der Onlinehändler keinerlei Werbung an den Kunden weiterleiten. Ein Passus in den AGBs ist unzulässig, da hier keine explizite Einwilligung vorliegt und eine gesonderte Erklärung vom Kunden abgegeben werden muss.


Auskunft und Löschung von Kundendaten

Hin und wieder wird es vorkommen, dass einige Kunden bzw. ehemalige Kunden, die Löschung ihrer Daten beim Betreiber eines Onlineshops einfordern. Natürliche Personen haben gem. §35 BDSG das Recht auf Auskunft und Löschung ihrer persönlichen Daten. Das bedeutet, dass sämtlich Daten des Kunden, die im Zuge der Bestellverarbeitung eingegangen sind, zu löschen sind. Hierzu gehören personalisierte Kundenaccounts, die im Zuge einer Registrierung im Onlineshop angelegt werden. Ebenfalls gehören hierzu Daten, die nicht für Nachweiszwecke (siehe unten) benötigt werden. Folglich müssen Daten wie Geburtsdatum, Telefonnummer, Telefaxnummer, Internetseite, Bonitätsdaten. Wer moderne Shopsysteme benutzt, kann die Daten ohne weitere Probleme löschen.


Im gleichem Atemzug kann es vorkommen, dass Kunden eine Auskunft über die im Onlineshop bzw. im Unternehmen gespeicherten persönlichen Daten verlangen. Durch §34 BDSG hat der Kunde oder die Kundin auch das Recht auf Auskunft.


Nicht davon betroffen sind Aufzeichnungen, die im Zuge allgemeiner Pflichten, z.B. Buchhaltungspflichten, für einen bestimmten Zeitraum gespeichert werden müssen. Hierzu gehören beispielsweise Rechnungen, Lieferscheine oder auch der Email-Verkehr mit Kunden. Doch auch wenn bestimmte Daten aufgrund von Aufbewahrungspflichten (siehe hierzu § 147 AO – Ordnungsvorschiften für die Aufbewahrung von Unterlagen) nicht gelöscht werden dürfen, können Kunden die Sperrung der Daten verlangen. Das bedeutet, dass sämtliche Daten des Kunden weder zu Auswertungszwecken, noch zu irgendwelchen anderen Nutzzwecken (z.B. Werbung) verwendet werden dürfen.


Die Datenschutzerklärung im Onlineshop

Betreiber von Onlineshops sind bei Erhebung und Nutzung personenbezogener Daten verpflichtet, eine Datenschutzerklärung abzugeben und im Onlineshop sichtbar zu platzieren (maximal zwei Klicks zum Erreichen der Information). Diese Verpflichtung ergibt sich sowohl aus dem Bundesdatenschutzgesetz als auch aus dem Telemediengesetz.


In der Datenschutzerklärung muss u.a. stehen, welche personenbezogenen Daten erhoben, verarbeitet und genutzt werden. Ebenfalls müssen in dieser Erklärung stehen, ob und wie Cookies verwendet werden, ob die und wie die personenbezogenen Daten weitergegeben werden (z.B. an Versandhandelsunternehmen), ob und wie Daten bei der Übertragung verschlüsselt werden und wer im Unternehmen der Ansprechpartner für Datenschutz ist.




Hinweis: Wir weisen ausdrücklich darauf hin, dass dieser Artikel keine Rechtsberatung ist, sondern lediglich einige Informationen über das Thema Datenschutz enthält. Auch wenn der Artikel mit Sorgfalt erstellt wurde, kann und soll er eine Rechtsberatung nicht ersetzen. Onlinehändler, die Rechtssicherheit für ihren Onlineshop wollen, sollten einen Rechtsanwalt/Rechtsanwältin für IT-Recht aufsuchen. Dies ist u.U. auch deshalb empfehlenswert, da sich die Rechtsprechung in diesem Themenkomplex schnell ändern kann.



Weiterführende Links:


Buchempfehlung
Das Buch Praxiswissen E-Commerce ist Pflichtlektüre und Nachschlagewerk für alle Shopbetreiber, die einen Onlineshop planen oder optimieren wollen. Praxiswissen E-Commerce
Weitere Details zum Buch

Kommentare zum Thema

Zu diesem Beitrag wurde noch kein Kommentar verfasst.


Kommentar verfassen

Shopsysteme vorgestellt

Wer einen Onlineshop erstellen will, braucht auch ein passendes Shopsystem. Wir helfen bei der Auswahl der passenden Shopsoftware und stellen die bekanntesten kurz vor.

Buchempfehlung
Das Buch bietet einen umfassenden Überblick über alle relevanten Schritte und Prozesse, die beim Betrieb eines Onlineshops zu beachten sind. Hanbduch für Onlineshop-Betreiber
Weitere Details zum Buch