Britisches Datenschutzrecht legt Online-Händlern strenge Vorgaben auf

Online-Händler sind an ein händlerfreundliches Recht in Großbritannien gewöhnt. Dies gilt allerdings nicht für das Datenschutzrecht. Großbritannien hat die einschlägigen EU-Richtlinien wesentlich strenger als in Deutschland umgesetzt. Dies gilt insbesondere für den Einsatz von Cookies. Es drohen empfindliche Geldbußen, wenn britisches Datenschutzrecht nicht eingehalten wird. Für welche Online-Händler gilt das britische Datenschutzrecht? Reicht es aus, Waren oder Dienstleistung in Großbritannien zu vertreiben, um britischen Datenschutzrecht unterworfen zu sein? Falls Sie meinen, Sie könnten unter das britische Datenschutzrecht fallen und wenn Sie wissen wollen, welche Regeln Sie gegebenenfalls beachten müssen, dann lesen Sie den folgenden Beitrag.

1. Auf welche Online-Händler ist Britisches Datenschutzrecht anwendbar?

Für das Datenschutzrecht gilt innerhalb der EU das sogenannte Territorialprinzip. Es besagt im Prinzip, dass nur solche Online-Händler aus der EU dem britischen Datenschutzrecht unterliegen, deren Unternehmenssitz oder Sitz der Niederlassung in Großbritannien liegt. In der Sprache des hier einschlägigen § 5 des Data Protection Act, der den Begriff des Datenverantwortlichen (data controller) benutzt, ist dies wie folgt geregelt.

"5.—(1) Except as otherwise provided by or under section 54, this Act Application of applies to a data controller in respect of any data only if
(a) the data controller is established in the United Kingdom and the data are processed in the context of that establishment"

Die folgenden Ausführungen beziehen sich daher nur auf den deutschen Online-Händler, der über ein in Großbritannien registriertes Unternehmen oder eine Niederlassung Waren oder Dienstleistungen in Großbritannien vertreibt.

2. Registrierungspflicht bei der britischen Datenschutzkommission

Online-Händler sind zur Registrierung verpflichtet

Der Data Protection Act verpflichtet jeden Online-Händler als Datenverantwortlichen, der Kundendaten (personenbezogene Daten) verarbeitet, sich bei der britischen Datenschutzkommission (Information Commissioner’s Office „ICO) zu registrieren. Die im Data Protection Act genannten Ausnahmen von der Registrierungspflicht (wie Schutz der nationalen Sicherheit, Aufdecken von Verbrechen, etc.) betreffen den Online-Händler nicht. Die Registrierungspflicht ist also sehr weit gefasst.

Datenverantwortlicher ist derjenige, der den Zweck der Datenverarbeitung bestimmt (Section 1, Legaldefinitionen Data Protection Act). Dies ist im Regelfall der Online-Händler selbst.

Personenbezogene Daten sind Daten auf Grund derer eine Person identifiziert werden kann. Das ist bei Kundendateien der Fall (Section 1, Legaldefinitionen Data Protection Act).

Verarbeitung von Dateien ist bereits das bloße Erfassen und natürlich die weitere Verarbeitung von Dateien (Section 1, Legaldefinition Data Protection Act).

Pflichtangaben des Registrierungsantrags

Die Registrierung muss vor Aufnahme der Verarbeitung von Kundendaten erfolgen. (Section 17 Data Protection Act). Es müssen im Rahmen eines Registrierungsantrags folgende Angaben gemacht werden (Section 16 Data Protection Act):

• Name der Niederlassung oder des Unternehmens, Geschäftssitz,
• Falls ein Bevollmächtigten für die Verarbeitung von Daten ernannt ist: Name und Adresse des Bevollmächtigten
• Beschreibung des Zwecks der Datenverarbeitung
• Erklärung, wie die Grundsätze zum Datenschutz eingehalten werden (hierzu im Einzelnen weiter unten Ziffer 3).
• Gegebenenfalls Benennung dritter Parteien, an die Daten weitergegeben werden sollen
• Gegebenenfalls Namen der Länder außerhalb des Europäischen Wirtschaftsraums (EU plus Norwegen, Island und Lichtenstein), in die Daten transferiert werden sollen.

Der Antrag zur Registrierung kann online erfolgen. Die britische Datenschutzkommission hält eine entsprechende Webseite vor, die den Antragsteller Schritt für Schritt durch das Antragsformular führt. Die Kosten für den Registrierungsantrag belaufen sich zurzeit für einen mittelständischen Online-Händler auf 35 Pfund. Die Registrierung muss nach einem Jahr erneuert werden.

3. Datenschutzpflichten des Datenverantwortlichen nach britischem Datenschutzrecht

Ähnlich wie im deutschen Recht gelten bestimmte Datenschutzgrundsätze

• Personenbezogene Daten dürfen nur aus rechtmäßigen Gründen erfasst werden.
• Die Erfassung und Verarbeitung von personenbezogenen Daten muss angemessen und verhältnismäßig zum Zweck der Datenverarbeitung sein. Die Weitergabe von Daten an Dritte muss im Einzelnen genannt und erklärt werden. Personenbezogenen Daten dürfen nach diesem Grundsatz nur an Dritte weitergegeben werden, wenn dies dem Zweck der Datenverarbeitung entspricht (z. Beispiel Weitergabe an Transportunternehmen, Weitergabe an Dritte, die die Kreditwürdigkeit des Kunden prüfen).
• Personenbezogene Daten müssen genau sein und müssen aktualisiert werden.
• Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es dem Sinn der Datenverarbeitung entspricht.
• Die Verarbeitung der Daten darf die Datenschutzrechte des Nutzers nicht verletzen.
• Es müssen angemessene technische und organisatorische Maßnahmen getroffen werden gegen Verlust, Beschädigung oder Zerstörung von Daten und gegen nicht autorisierte oder gesetzeswidrige Verarbeitung von Daten.
• Personenbezogene Daten dürfen nicht in Länder außerhalb des Europäischen Wirtschaftsraums transferiert werden, es sei denn das Zielland garantiert einen gleichwertigen Standard des Datenschutzes.

Die britische Datenschutzbehörde bietet eine nützliche Handlungsanweisung an, in der die Datenschutzgrundsätze im Einzelnen dargelegt werden.

4. In welchen Fällen ist die Einwilligung des Online-Kunden erforderlich

Diese Frage hat für den Online-Händler wichtige praktische Bedeutung. Es geht hier nicht nur um die Frage der Einwilligung sondern insbesondere um die Frage, ob die Einwilligung ausdrücklich und vor Besuch der Webseite des Online-Händlers gegeben werden soll (opt-in) oder ob es ausreicht, den Nutzer auf die Möglichkeit einer Ablehnung hinzuweisen (opt-out) und wie eine solche Einwilligung technisch umgesetzt werden kann.

Versendung von Newslettern

Es wird von der britischen Datenschutzkommission empfohlen, die vorherige Einwilligung des Kunden einzuholen. Unter bestimmten Voraussetzungen können Newsletter auch ohne vorherige Einwilligung des Kunden versendet werden (opt-out).:
- Die Kundendaten (E-Mail Adresse) wurden im Rahmen einer Bestellung des Kunden durch den Online-Händler erfasst.
- Es handelt sich bei dem Inhalt des Newsletter um Produkte und Dienstleistungen, die den bestellten Produkten und Dienstleistungen ähnlich sind.
- Der Kunde wurde bei Bestellung darauf hingewiesen, dass er dem Versand von Newsletter nicht abgelehnt hat und dass er den Versand von Newsletter jederzeit ablehnen kann. Der Online-Händler muss dem Kunden eine einfache Möglichkeit anbieten, den weiteren Empfang von Newsletter abzulehnen.

Der Kunde muss aber die Möglichkeit haben, den Newsletter jederzeit abzubestellen.

Weitergabe von Kundendaten an Dritte zu Marketingzwecken

Es muss die vorherige Einwilligung des Kunden darin eingeholt werden, dass seine Kundendaten an Dritte zu Marketingzwecken weitergegeben werden. Der Dritte muss die vorherige Einwilligung des Kunden einholen, bevor er ihm Werbebotschaften übermittelt.

Weitergabe von Kundendaten in Länder außerhalb der Europäischen Wirtschaftszone

Die Einwilligung des Kunden ist nicht erforderlich. Der Online-Händler muss allerdings gewährleisten, dass der Datenschutzstandard im Zielland dem Stand in der Europäischen Wirtschaftszone entspricht.

Einsatz von Cookies

Eine vorherige Einwilligung ist grundsätzlich erforderlich (opt-in). In der Frage des Einsatzes von Cookies unterscheidet sich das britische Datenschutzrecht beträchtlich vom deutschen Datenschutzrecht und ist ungleich strenger ausgelegt. Daher soll der Einsatz von Cookies in einem eigenen Kapitel abgehandelt werden (s. unten Ziffer 5).

5. Strenge britische Vorschriften zum Einsatz von Cookies (Cookie Policy)

Der Einsatz von Cookies ist im britischen Datenschutzrecht ungleich strenger als im deutschen Datenschutzrecht geregelt. Deutsche Online-Händler, die dem britischen Datenschutzrecht unterworfen sind, sollten die Regeln zum Einsatz von Cookies beachten, wenn Sie nicht Sanktionen der britischen Datenschutzkommission riskieren wollen. Der Einsatz von Cookies wurde 2011 durch die Privacy and Electronic Regulations wesentlich verschärft und - anders als in Deutschland – ist die einschlägige EU-Richtlinie 2009/136 EG zum Einsatz von Cookies zugunsten des Verbrauchers strenger und für den Online-Händler einschneidender umgesetzt. Es reicht bei weitem nicht aus, in der Datenschutzerklärung auf den Einsatz von Cookies und die Möglichkeit der Deaktivierung hinzuweisen.

Welche Voraussetzungen müssen beim Einsatz von Cookies erfüllt sein?

Umfassende Information über den Einsatz von Cookies

Der Datenverantwortliche muss den Nutzer über die Art der verschiedenen Cookies informieren, die er einsetzt.

Sitzungscookies

Sitzungscookies sollen sicherstellen, um einen Benutzer der Webseite wiederzuerkennen und um zu erkennen, ob der Besucher bereits eingeloggt ist. Sitzungscookies werden automatisch gelöscht, sobald der Besucher seinen Browser schließt.

Dauerhafte Cookies

Dauerhafte Cookies werden auf dem Computer eines Benutzers gespeichert und laufen zu einem bestimmten Datum ab.

Cookies vom Erstanbieter, Cookies von Drittanbietern

Cookies vom Erstanbieter werden durch den Anbieter der Webseite platziert, die der Nutzer besucht. Cookies von Drittanbietern werden durch einen Dritten gesetzt, dem der Anbieter der besuchten Webseite erlaubt, auf dem Computer des Besuchers seine eigenen Cookies zu setzen.

Der Datenverantwortliche muss den Nutzer seiner Webseite über den Zweck der eingesetzten Cookies und den Zweck der Cookies von Drittanbietern im Detail informieren. Der Nutzer ist über das Ablaufdatum von dauerhaften Cookies zu informieren. Der Datenverantwortliche muss darüber informieren, wie weit der Einsatz der Cookies in die Privatsphäre des Nutzers eingreift. Folgende Begrifflichkeiten sind dabei hilfreich:

• Cookies, die unabdingbar für das Funktionieren der Webseite sind (z.B. Cookies, die den Bestellvorgang und den Einsatz des Warenkorbs steuern) sind, sog. unerlässliche Cookies,
• funktionelle Cookies, die es der Webseite erlauben, sich an vorgenommene Einstellungen des Besuchers zu erinnern
• analytische Cookies, die ermöglichen, Daten über die Nutzung einer Webseite zu sammeln
• Targeting Cookies, um Persönlichkeitsprofile zu Werbezwecken zu generieren

Die Privacy and Electronic Regulations schreiben nicht vor, wie und in welcher Form diese Informationspflichten umzusetzen sind. Sektion 6 der Privacy and Electronic Regulations sagt lediglich in allgemeiner Form, dass der Nutzer in einer eindeutigen und ausführlichen Weise über den Einsatz der Cookies informiert werden soll. Die britische Datenschutzkommission gibt in ihren Erläuterung zum Einsatz von Cookies detaillierte Handlungsanweisungen, wie die Informationspflichten zum Einsatz von Cookies umgesetzt werden können. Dies kann in Form von Tabellen geschehen, wo jedes Cookie und sein Zweck erläutert wird. Andere Formen der Darstellung sind ebenfalls möglich. Entscheidend ist, dass ein durchschnittlicher Nutzer den Zweck des Cookies versteht und nachvollziehen kann, in welchem Maße das eingesetzte Cookies in seine Privatsphäre eingreift.

Nach den Vorstellungen der britischen Datenschutzkommission sollte der Website-Betreiber sich an einer Check-Liste] zum Einsatz von Cookies orientieren:

• Identify which cookies are operating on or through your website
• Confirm the purpose(s) of each of these cookies
• Confirm whether you link cookies to other information held about users - such as usernames
• Identify what data each cookie holds
• Confirm the type of cookie – session or persistent
• If it is a persistent cookie how long is its lifespan?
• Is it a first or third party cookie? If it is a third party cookie who is setting it?
• Double check that your privacy policy provides accurate and clear information about each cookie

Die britische Regierung schreibt vor, dass der Einsatz von Cookies in einer separaten Erklärung zum Einsatz von Cookies, einer sog. „Cookie Policy“ erläutert wird. Der Betreiber einer Website soll in seiner Cookie Policy den ursprünglichen Domain Namen eines Cookies einsetzen.

Die IT-Recht Kanzlei bietet Ihren Mandanten neben der Datenschutzerklärung eine separate „Cookie Policy“ an, die als Link auf jeder Webseite einsehbar sein sollte. In dieser Cookie Policy wird eine tabellarische Darstellung zum Einsatz und Zweck des jeweiligen Cookies empfohlen.

Einwilligung des Nutzers zum Einsatz von Cookies

Welche Cookies sind von der Einwilligungspflicht ausgenommen.

Der Einsatz von Cookies ist dann nicht einwilligungspflichtig, wenn es um sogenannte unabdingbare Cookies handelt, die für das Funktionieren der Website unerlässlich sind (Section 6 der Privacy and Electronic Communications (EC Directive) Regulations 2003:

"6.—(1) Subject to paragraph (4), a person shall not use an electronic communications network to store information, or to gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met.
(4) Paragraph (1) shall not apply to the technical storage of, or access to, information—
(a) for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network; or
(b) where such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user."

Auch hier muss der Nutzer über den Einsatz solcher unabdingbarer Cookies in der der Cookie Policy des Betreibers der Website informiert werden. Auch der Einsatz von solchen Cookies ist informationspflichtig.

Bei allen anderen Cookies muss nach Auffassung der britischen Datenschutzbehörde die vorherige Einwilligung des Nutzers eingeholt werden.

Welche Form der Einwilligung ist vorgeschrieben

Die britische Datenschutzbehörde weist in Ihrer Handlungsanleitung zum Einsatz von Cookies auf folgendes hin:

• Die Einwilligung des Nutzers zum Einsatz von Cookies muss vor dem Platzieren von Cookies erfolgen.
• Die Einwilligung muss allerdings nicht ausdrücklich dokumentiert werden (z.B. über das Ankreuzen einer Checkbox), auch wenn dies empfohlen wird.
• Es reicht aus, wenn der Nutzer bei Besuch einer Website in einem Banner, der bei Besuch der Website erscheint, darauf hingewiesen wird, dass die Website Cookies verwendet und von der Einwilligung des Nutzers zum Einsatz von Cookies ausgegangen wird, falls der Nutzer weiter auf der Website surft. Dieses Banner muss mit der Cookie Policy des Website-Betreibers verlinkt sein

Möglichkeit, die Einwilligung in das Setzen von Cookies zu widerrufen

Der Nutzer der Website sollte darüber informiert werden, dass er jederzeit seine Einwilligung widerrufen kann. Er sollte über die technischen Möglichkeiten belehrt werden, wie Cookies deaktiviert werden können.

6. Sanktionen bei Verletzung des britischen Datenschutzrechts

Die britische Datenschutzbehörde wird ein Fehlverhalten eines Online-Händlers im Regelfall nicht sofort mit einem Bußgeld ahnden. Sie wird den Online-Händler zuerst auf sein Fehlverhalten hinweisen und ihn auffordern sich entsprechend den Datenschutzregeln zu verhalten. Erst wenn er dieser Aufforderung nicht nachkommt, wird die Datenschutzbehörde zu Bußgeldern greifen. Der Data Protection Act sieht einen ganzen Katalog von abgestuften Sanktionsmaßnahmen gegen den Datenverantwortlichen vor, der die Regeln zum Datenschutzrecht missachtet. Dabei geht es nicht nur um Fehler beim Einsatz von Cookies.

• Aufforderung bestimmte detaillierte Informationen innerhalb eines bestimmten Zeitraums zur Verfügung zu stellen
• Aufforderung zu einer bestimmten gesetzlich vorgesehenen Informationspolitik
• Aufforderung, eine konkrete Handlungsweise abzustellen oder einzuführen (z.B. Aufforderung, die Einwilligung des Nutzers zum Einsatz von Cookies sicherzustellen).
• Verhängung einer Geldbuße, deren Höhe von der britischen Datenschutzkommission festgelegt wird. In schweren Fällen können Geldbußen bis zu 500.000 Pfund verhängt werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.