Strenge Vorgaben des italienischen Datenschutzrechts für Online-Händler

In Italien gilt ein wesentlich strengeres Datenschutzrecht als in Deutschland, das beachtet werden sollte. Andernfalls drohen empfindliche Geldbußen der italienischen Datenschutzbehörde. Besonders streng sind die Vorgaben für die Verwendung von Cookies. Für welche Online-Händler gilt das italienische Datenschutzrecht und welche Vorgaben sind im Einzelnen zu beachten? Falls Sie meinen, Ihr Unternehmen könnte unter das italienische Datenschutzrecht fallen und Sie sich orientieren wollen, welche Vorgaben Sie gegebenenfalls beachten müssen, dann lesen Sie den folgenden Beitrag.

1. In welchen Fällen gilt für deutsche Online-Händler italienisches Datenschutzrecht?

Für das Datenschutzrecht gilt in der EU das sogenannte Territorialprinzip. Das italienische Datenschutzrecht gilt daher nur für Online-Händler, die ihren Sitz in Italien haben oder für Unternehmen, die den Vertrieb ihrer Produkte in Italien über eine dortige Niederlassung vertreiben. Ein Online-Händler mit Sitz in Deutschland, der seine Produkte direkt in Italien vertreibt, muss daher nicht die Vorgaben des italienischen Datenschutzrechtes beachten sondern kann die Datenschutzregeln nach deutschem Recht verwenden. Dies wird in Artikel 5 des italienischen Gesetzesdekrets (Decreto legislativo 30 giugno 2003, n. 196, in folgenden „Gesetzesdekret) klargestellt.

Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.

Die folgenden Ausführungen beziehen sich daher nur auf den deutschen Online-Händler, der über ein in Italien registriertes Unternehmen oder eine Niederlassung seine Produkte in Italien vertreibt.

2. Registrierungspflicht bei der italienischen Datenschutzbehörde

Online-Händler müssen zwar ihre normalen Kundendateien nicht bei der italienischen Datenschutzbehörde (Garante per la protezione die dati personali) registrieren lassen. Eine Registrierungspflicht ist nur bei sensiblen Daten vorgeschrieben. Allerdings wird sich ein Online-Händler gem. Art. 37 Gesetzesdekret der Registrierungspflicht bei der italienischen Datenschutzbehörde bei folgenden Daten oder beim Einsatz von bestimmten Cookies unterziehen müssen:

• Daten zur Kreditwürdigkeit und zum Schuldnerverhalten
• Daten, die durch Einsatz verhaltensorientierter Internetwerbung erzielt werden (also über den Einsatz von Cookies oder andere elektronische Mittel gewonnene Daten zum Persönlichkeitsprofil oder Konsumverhalten).
• Cookies zur Einrichtung von Persönlichkeitsprofilen (müssen gesondert gemeldet werden)

Wenn der Online-Händler Daten mit Hilfe von Cookies für Zwecke der Erstellung von Persönlichkeitsprofile oder des Konsumverhaltens verarbeitet, hat er vor Beginn jeglicher Bearbeitung diese Dateien die Genehmigung der italienischen Datenschutzbehörde einzuholen (Art. 38, 40 ff Gesetzesdekret). Art. 37 Gesetzesdekret regelt, dass die Kundendaten eines Online-Unternehmens durch einen sog. Datenverantwortlichen („titolare“) an die italienische Datenschutzbehörde gemeldet werden müssen.

3. Informationspflichten nach italienischem Datenschutzrecht

Der Datenverantwortliche muss seine Kunden (Nutzer seiner Webseite) über Folgendes informieren (Artikel 7, 13 Gesetzesdekret):

• Auf welche Weise und für welchen Zweck personenbezogene Daten verarbeitet werden;
• Ob die Übermittlung von personenbezogenen Daten freiwillig oder obligatorisch ist;
• Was passiert, wenn der Kunde personenbezogene Daten nicht übermitteln will;
• An wen personenbezogene Daten weitergegeben werden;
• Recht des Kunden auf Berichtigung und Löschung seiner Daten, Recht des Kunden der Bearbeitung von Daten zu widersprechen;
• Identität des Datenverantwortlichen des Unternehmens

4. Pflicht, die Erhebung von personenbezogenen auf das Notwendige zu beschränken (Art. 11 Gesetzesdekret)

• Daten müssen gesetzesgemäß und in angemessener Weise verarbeitet werden;
• Sie dürfen nur für bestimmte ausgewiesene und legitime Zwecke erhoben werden;
• Die Datenerhebung muss dem ausgewiesenen Zweck entsprechen;
• Sie dürfen nur für den Zeitraum gespeichert werden, der für die Zwecke der Datenerhebung notwendig ist.

5. Einwilligung des Kunden in die Verarbeitung von Daten

Kundendaten dürfen nur bei vorheriger ausdrücklicher Einwilligung des Kunden verarbeitet werden. Die Einwilligung muss schriftlich erfolgen (Art. 23 Gesetzesdekret). Um die Zustimmung des Kunden beweisen zu können, wird es zweckmäßig sein, auf der Webseite ein Kontrollkästchen vorzusehen, das angeklickt werden muss, um die Zustimmung zu dokumentieren. Der Online-Händler muss den Kunden aufklären, welche Folge die Verweigerung seiner Einwilligung in die Verarbeitung von Daten hat. So hat er den Kunden zu informieren, dass die Verweigerung der Einwilligung zur Verarbeitung von personenbezogenen Daten (z.B. E-Mail Adresse, postalische Adresse, Bankdaten), die für die Durchführung des Vertrages zwingend notwendig sind, das Unternehmen daran hindert, die Bestellung abzuwickeln.

6. Einwilligung in die Einrichtung von Cookies

Die italienische Datenschutzbehörde hat im Juni 2014 eine Anweisung zur Information des Website-Benutzers über die Einrichtung von Cookies herausgegeben, die bis Juni 2015 umgesetzt werden musste.

6. 1 Unterschiedliche Behandlung von Cookies

Was die Frage einer Einwilligung des Nutzers angeht, unterscheidet die italienische Datenschutzbehörde zwischen folgenden Cookies:

- Technische Cookies

Dabei handelt es sich um Cookies die für die korrekte Verwendung der Webseite notwendig sind (sogenannte Session Cookies, analytische Cookies, Funktionscookies)- Hier ist keine Einwilligung des Nutzers notwendig

- Cookies zur Einrichtung von Nutzerprofilen

Hier ist eine Einwilligung des Nutzers notwendig

- Cookies von Dritten

Hierbei handelt es sich um Cookies, die durch die Verantwortlichen einer anderen Webseite mit Erlaubnis des Datenverantwortlichen auf dem Browser des Nutzers eingerichtet werden. Sie werden verwendet, um zielgruppenorientierte Werbenachrichten zu übermitteln Cookies von Dritten benötigen nicht der Einwilligung des Nutzers

6.2 Wie ist die Einwilligung des Nutzers in die Einrichtung von zustimmungspflichtigen Cookies nachzuweisen?

Die Italienische Datenschutzbehörde hat zur Dokumentation von zustimmungspflichtigen Cookies eine Erläuterung im Antwort und Frage Format herausgegeben. Demnach dürfen zustimmungspflichtige Cookies im Rechner des Nutzers nur installiert werden, wenn der Nutzer seine Zustimmung vor Installation des Cookies erteilt hat und er vollständig und in klarer Form über die Wirkungsweise und den Zweck dieser Cookies unterrichtet wurde.

Die italienische Datenschutzbehörde schreibt zwei Formen des hierfür notwendigen Nachweises vor:

- Banner auf der ersten Seite der Website, der über die Einrichtung von Cookies und über die Notwendigkeit der Zustimmung unterrichtet. Der Banner muss folgende Informationen beinhalten:

a. Die Webseite verwendet Cookies zur Einrichtung von Nutzerprofilen, um Werbung entsprechend den persönlichen Vorlieben des Nutzers zu versenden. Es reicht nicht aus, allgemein auf Werbezwecke hinzuweisen. Es muss explizit ausgeführt werden, dass solche Cookies die Erstellung von Nutzerprofilen für Werbezwecke ermöglichen.
b. Die Webseite erlaubt die Einrichtung von Cookies von Dritten (falls gegeben)
c. Link zur Datenschutzerklärung, wo die Verwendung von Cookies ausführlich erklärt wird
d. Hinweis, dass in der ausführlichen Datenschutzerklärung erklärt wird, auf welche Weise der Nutzer jegliche Installation von Cookies verweigern kann.
e. Hinweis, dass der Nutzer mit dem weiteren Besuch der Webseite dem Einsatz von Cookies zustimmt.

- Datenschutzerklärung, in der der Einsatz von Cookies ausführlich und detailliert erklärt wird.

Im Einzelnen:

a. Genaue Beschreibung der verwendeten Cookies
b. Beschreibung der Online-Tools , um Cookies aktivieren oder deaktivieren zu können
c. Beschreibung der Online-Tools, um die Einrichtung von Cookies von Dritten zu blockieren
d. Information über die „Do-not-Track“ Einstellungen der gängigen Browser, die dem Nutzer bei Besuch einer Website die Möglichkeit verschafft anzugeben, ob er der Einrichtung von Cookies zustimmt oder nicht. (Die italienische Datenschutzbehörde räumt allerdings ein, dass sich diese „Do-not-track“ Einstellung allgemein noch nicht als Standard durchgesetzt hat und es daher nicht als sicher gilt, dass der verwendete Browser des Nutzers für diese Einstellung geeignet ist).
e. Einstellungsmöglichkeiten des Browsers um bevorzugte Cookies zu aktivieren einschließlich eines Hinweises zur Änderung der Einstellung des Browsers.
f. Im Fall von Cookies von Dritten: Aktuellen Link zur Datenschutzerklärung und zur Form der Einwilligung der Betreiber dritter Webseiten, denen der Datenverantwortliche die Installation von Cookies über seine Webseite erlaubt hat
g. Genaue Beschreibung, wie die Installation von sämtlichen (auch nicht zustimmungspflichtgien) Cookies je nach verwendeten Browser verhindert werden kann

Die Datenschutzerklärung muss über einen Link, der auf allen Seiten der Website des Onlineunternehmens erscheint, eingesehen werden können.

7. Sanktionen der italienischen Datenschutzbehörde bei Verletzung des Datenschutzrechts

Die italienische Datenschutzbehörde untersucht zunehmend genauer, ob und in welchem Maß Onlineunternehmen die italienischen Datenschutzvorschriften einhalten.

• Falls die Datenschutzerklärung falsch oder unvollständig ist, kann dies mit Geldbußen von 6.000 bis 36.000 Euro geahndet werden.
• Falls zustimmungspflichtige Cookies auf dem Browser des Nutzers ohne dessen Zustimmung eingerichtet werden, kann eine Geldbuße in Höhe von 10.000 bis 120.000 Euro verhängt werden
• Bei Nichtregistrierung, obwohl eine Registrierung verpflichtend ist, kann ebenfalls eine Geldbuße zwischen 10.000 bis 120.000 Euro verhängt werden.

Es ist daher sich kein nachhaltiges Geschäftsmodell, darauf zu vertrauen, dass Verstöße gegen das italienische Datenschutzrecht schon nicht auffallen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.