von Bea Brünen

Online-Shop eröffnen: Was ist rechtlich zu beachten? - Teil 3: Datenschutzerklärung

News vom 31.08.2016, 10:13 Uhr | Keine Kommentare

Von der Markenanmeldung über die Angabe transparenter Preise bis hin zum Impressum: die rechtssichere Eröffnung eines Online-Shops stellt für Shop-Betreiber eine große Herausforderung dar. Die Serie der IT-Recht Kanzlei hier und hier erklärt, welche rechtlichen Stolpersteine bei der Gründung eines Online-Shops lauern und wie Shop-Betreiber-to-be diese Hürden überwinden können. Das Thema Datenschutz steht bei vielen Shopbetreibern nicht besonders weit oben auf der Agenda. Dies ändert sich häufig erst, wenn beim Online-Händler eine (teure) wettbewerbsrechtliche Abmahnung eintrudelt. Im dritten Teil der Serie der IT-Recht Kanzlei erläutern wir, wie Sie eine rechtssichere Datenschutzerklärung erstellen und dadurch Abmahnungen vermeiden können.

A. Haftung für Datenschutzverstöße

Jeder Online-Shop erhebt, speichert und verarbeitet personenbezogene Daten. Sei es zur Abwicklung der Kundenbestellung, durch die Verwendung von Analysesoftware wie Google Analytics oder durch Social-Media-Plugins wie Facebook und Instagram. Das Datenschutzrecht und § 13 des Telemediengesetz (TMG) schreiben deshalb zum Schutz des Kunden vor, dass dieser darüber informiert werden müssen, welche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden. Kommt der Shop-Betreiber diesen Informationspflichten nicht nach, kann es für ihn teuer werden.

I. Bußgelder von Verbraucherzentralen und Datenschutzbehörden

Überwacht wird die Einhaltung des Datenschutzes in erster Linie von Datenschutzbehörden. Diese können Datenschutzverstöße mit einem saftigen Bußgeld von bis zu 50.000 Euro ahnden (§§ 16 Abs. 2 Nr. 2, Abs. 3 TMG) .

II. Wettbewerbsrechtliche Abmahnungen von Konkurrenten

Das praktisch wesentlich größere Risiko geht jedoch von Mitbewerbern aus. Seit einigen Jahren können diese Verstöße gegen die gesetzlichen Vorgaben im Bereich Datenschutz abmahnen.
Das Oberlandesgericht (OLG) Hamburg hatte bereits im Jahr 2013 entschieden, dass fehlende oder unzureichende Datenschutzerklärungen einen abmahnfähigen Wettbewerbsverstoß darstellen (OLG Hamburg, Urteil vom 27.06.2013, Az. 3 U 26/12). Denn § 13 TMG soll – so die Hamburger Richter – auch der wettbewerbsrechtlichen Entfaltung der Mitbewerber durch Schaffung gleicher Wettbewerbsbedingungen dienen. § 13 TMG stelle daher eine das Marktverhalten regelnde Norm im Sinne des § 4 Nr. 11 Gesetz gegen unlauteren Wettbewerb (UWG) a.F (jetzt in § 3a UWG geregelt) dar. Mit gleichen Argumenten sieht auch das Landgericht (LG) Köln im Fehlen einer Datenschutzerklärung auf der eigenen Webseite einen abmahnbaren Verstoß (Beschluss vom 26.11.2015, Az.: 33 O 230/15).

Einige Gerichte sind jedoch der Auffassung, dass es sich bei einer fehlenden oder fehlerhaften Datenschutzerklärung nicht um einen wettbewerbsfähigen Verstoß handelt, der abgemahnt werden kann (u.a. OLG München, Az. 29 O 3926/11; OLG Frankfurt, Az. 6 O 184/04). Sie begründen diese Auffassung damit, dass § 13 TMG primär dem Schutz der Webseitenuser und nicht der Mitbewerber diene. Deshalb sei § 13 TMG keine Konkurrenten schützende und damit das Marktverhalten regelnde Norm. Verstöße gegen § 13 TMG könnten daher nicht abgemahnt werden.

Unterm Strich ist die die Rechtsprechung der Instanzgerichte leider sehr uneinheitlich. Ein „Machtwort“ des BGH zu diesem Thema lässt bisher noch auf sich warten. Angesichts der unklaren Rechtslage sollten Shop-Betreiber in Bezug auf Abmahnungen durch Konkurrenten auf Nummer sicher gehen und ihren Shop datenschutzkonform umstrukturieren.

B. Datenschutz ohne Abmahnrisiko

Wie können Shop-Betreiber ihre Informationspflichten gegenüber den Webseitenusern also erfüllen?

I. Wer braucht überhaupt eine Datenschutzerklärung?

Gemäß § 13 Abs. 1 TMG muss ein Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über

• Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten
• über die Verarbeitung seiner Daten
• in allgemein verständlicher Form unterrichten.

Ein Diensteanbieter ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (vgl. § 2 Nr. 1 TMG) . Darunter sind demnach gänzlich alle Domaininhaber zu verstehen, da gemäß § 2 TMG die Personengesellschaften den juristischen Personen gleichgestellt werden, soweit sie rechtsfähig sind.
Telemedien umfassen alle Informations- und Kommunikationsdienste, die keine Telekommunikation im engeren Sinne oder Rundfunk darstellen. Telemedien sind also unter anderem auch private Websites, Blogs oder E-Mails, jedoch nicht die reine Datenübertragung, wie zum Beispiel VoIP. Nahezu alle Angebote im Internet unterfallen damit dem Begriff der Telemedien.

Daraus folgt für Shop-Betreiber: Indem sie geschäftsmäßig einen auf Dauer gerichteten Internetauftritt zur individuellen Nutzung durch PCs oder mobile Endgeräten (Notebook, Handy, Smartphone etc.) betreiben, bedienen sie sich eines Teledienstes und unterfallen damit auch dem TMG und somit den in § 13 Abs. 1 TMG genannten Informationspflichten. § 13 Abs. 1 TMG sagt zwar nicht, dass diese nur mit einer Datenschutzerklärung erfüllt werden können. Dennoch ist eine vollständige Datenschutzerklärung die einfachste Möglichkeit, um den Informationspflichten nachzukommen.

asd

II. Für welche Daten brauche ich eine Datenschutzerklärung?

Die datenschutzrechtlichen Informationspflichten greifen nur, wenn personenbezogene Daten erhoben, verarbeitet oder gespeichert werden.

1. Datenschutz nur bei personenbezogenen Daten

Bei personenbezogenen Daten handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 Bundesdatenschutzgesetz (BDSG)). Wann genau Daten im Einzelfall als personenbezogen gelten, ist aufgrund dieser doch recht schwammigen Definition nicht immer eindeutig. Man kann sich jedoch merken, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Folgende Daten sind daher unstreitig personenbezogen im Sinne des § 3 Abs. 1 BDSG:

• Name und Anschrift
• E-Mail-Adresse und Telefonnummer
• Kontodaten.

Das bedeutet: Shop-Betreiber, die zwecks Abwicklung der Bestellung Kundendaten erheben und verarbeiten, benötigen in aller Regel eine Datenschutzerklärung, in der sie über Art, Umfang, Zweck und Verarbeitung sämtlicher personenbezogener Daten informieren.

Keine personenbezogene Daten stellt die Verweildauer eines Nutzers auf einer Internetseite und dessen Aktivitäten auf dieser Seite dar, wenn dazu keine personenbezogenen Daten erhoben werden, also keine Daten, die die Person, die hinter dem eigentlich anonymen Nutzer steht, identifiziert oder bestimmbar macht. IP-Adressen eines Users, die beispielsweise mittels Google Analytics erhoben werden, stellen hingegen (nach streitiger Rechtsprechung) personenbezogene Daten dar.

2. Gesetzliche Erlaubnis zur Erhebung personenbezogener Daten

In einigen Fällen genügt die Information über die Erhebung, Verarbeitung und Speicherung der personenbezogenen Daten allein nicht aus. Der Shop-Betreiber benötigt in diesen vielmehr eine ausdrückliche Einwilligung des Webseitenusers in die Datennutzung. Rechtlicher Hintergrund der notwendigen Einwilligung vor der Datenerhebung ist das im Datenschutz geltende „Verbot mit Erlaubnisvorbehalt“ (§ 4 Abs. 1 BDSG, § 12 Abs. 1 TMG) . Erlaubt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten danach nur, wenn:

• und soweit das BDSG dies erlaubt
• eine spezielle gesetzliche Regelung dies erlaubt
• der Betroffene freiwillig und gemäß § 13 Abs. 2 TMG bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

a. Daten zur Erfüllung des Vertrags notwendig

Das Gesetz erlaubt das Erheben, Speichern und die Weitergabe personenbezogener Daten beispielsweise, wenn es zur Erfüllung und Abwicklung eines Vertragsverhältnisses, also zum Beispiel des Kaufvertrages bei einem Online-Kauf, erforderlich ist (§ 28 Abs. 1 Nr. 1 BDSG) . Die Abfrage der personenbezogenen Daten darf nur Mittel zum Zweck der Vertragserfüllung sein. Deshalb ist auch die Erhebung und Weitergabe der Adressdaten des Kunden an das Versandunternehmen in der Regel zulässig, da die Ware ansonsten nicht zugestellt werden kann und eine Vertragserfüllung nicht möglich wäre. Für diese personenbezogenen Daten benötigt der Shop Betreiber keine ausdrückliche Einwilligung des Users. Es genügt, wenn er auf die Erhebung, Verarbeitung und Speicherung in der Datenschutzerklärung hinweist.

b. Daten zur Erfüllung des Vertrags nicht notwendig

Für die Erhebung von Daten, die nicht dem Zweck der Vertragserfüllung dienen, muss der Shop-Betreiber eine Einwilligung des Webseitenusers einholen. Ohne eine entsprechende Einwilligung darf der Online-Händler keine Daten erheben und verwenden.
Zu den für die Abwicklung der Bestellung nicht zwingend notwendigen Daten gehören nach Auffassung der IT-Recht Kanzlei unter anderem

• die Telefonnummer
• das Geburtsdatum
• die IP-Adresse.

In der juristischen Diskussion wird zwar teilweise vertreten, dass die Abfrage des Geburtsdatums bzw. eine Checkbox, mit der die Volljährigkeit im Bestellprozess bestätigt werden kann, für die Abwicklung eines Vertragsverhältnisses stets notwendig sein soll. Hintergrund dieser Ansicht ist, dass Vertragsabschlüsse mit Minderjährigen grundsätzlich schwebend unwirksam sind und der Genehmigung der gesetzlichen Vertreter, beispielsweise der Eltern bedürfen. Shop-Betreiber sind also stets dem Risiko ausgesetzt, dass diese den Vertrag nicht genehmigen und der Händler daher auf dem Kaufpreis "sitzen bleibt", ihn also nicht gerichtlich durchsetzen kann. Um dieses Risiko zu minimieren, soll eine Abfrage des Geburtsdatums stets notwendig sein.

Nach Ansicht der IT-Recht Kanzlei ist diese Ansicht jedoch nicht überzeugend, da eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox nicht die Gewähr der Richtigkeit der Angaben bietet. Die Angaben können ohne weiteres gefälscht werden und minimieren das wirtschaftliche Risiko des Händlers deshalb nicht. Die Abfrage des Geburtsdatums ist daher für die Erfüllung und die Abwicklung eines Vertragsverhältnisses grundsätzlich nicht erforderlich. Aufgrund der hohen Gefahr der Angabe eines falschen Geburtsdatums muss gleiches für den Versand jugendgefährdender Waren gelten. Auch in diesem Fall ist eine Abfrage des Geburtsdatums für die Abwicklung der Bestellung nicht erforderlich. Um die Volljährigkeit des Kunden sicherzustellen, muss die Ware vielmehr erstens mittels Postidentverfahren versandt und dem volljährigen Kunden zweitens persönlich, beispielsweise mittels Einschreiben, übergeben werden.

Auch die Telefonnummer wird in der Regel nicht benötigt, um die Bestellung abzuwickeln. Anders hingegen ist die Situation im Zusammenhang mit Speditionsfirmen zu bewerten, die den Kunden zwecks Absprache des Liefertermins kontaktieren müssen und aus diesem Grund vom Shop-Betreiber die Abfrage und Weitergabe der Kundentelefonnummer verlangen. Auch in diesem Fall stellt sich die Frage, ob der Shop-Betreiber die Telefonnummer des Kunden benötigt, um seine Pflichten aus dem Vertrag zu erfüllen. Dann wäre die Abfrage der Telefonnummer von § 28 Abs. 1 Nr. 1 BDSG gedeckt.

Nach Einschätzung der IT-Recht Kanzlei dient die Erhebung der Telefonnummer in diesem Fall nur als Mittel zum Zweck, nämlich der Vertragserfüllung durch die Auslieferung. Allein die Abfrage der Adress- und Kontodaten ist für die Vertragsabwicklung nicht ausreichend. Eine Kommunikation zwischen dem Spediteur und dem Kunden zwecks Liefertermin-Besprechung über andere Kommunikationsmittel, beispielsweise per E-Mail, ist zudem nicht besonders praxistauglich. Die Abfrage der Telefonnummer dient bei solchen Verträgen somit nach Auffassung der IT-Recht Kanzlei der Abwicklung des Schuldverhältnisses und ist von § 28 Abs. 1 Nr. 1 BDSG gedeckt.

Unterm Strich sollte man sich merken: Für sämtliche personenbezogene Daten, die nicht zwingend zur Abwicklung des Vertrags erforderlich sind, müssen Shop-Betreiber eine ausdrückliche Einwilligung des Kunden einholen. Diese Einwilligung zur Datennutzung kann gemäß §13 Abs. 2 TMG unter bestimmten Voraussetzungen auch elektronisch eingeholt werden.

Zu den Wirksamkeitsvoraussetzungen der datenschutzrechtlichen Einwilligung und zur praktischen Umsetzung in Bezug auf Online-Kontaktformulare verweisen wir hierauf . Eine ausführliche Handlungsanleitung zur Einwilligung bei der Verwendung von Cookies finden Sie hier. Zur wirksamen Einwilligung bei Social-Media-Plugins verweisen wir hierauf.

III. Inhalt einer Datenschutzerklärung

Eine Datenschutzerklärung sollte grundsätzlich Antworten auf folgende Fragen geben:

• Welche Daten werden erhoben?
• Zu welchen Zwecken werden die Daten verwendet?
• Wie lange werden die Daten aufbewahrt?

Die Datenschutzerklärung sollte daher über die Erhebung sämtlicher Daten informieren.
Es sollte insbesondere konkret erläutert werden, welche Daten im Bestellvorgang zu welchen Zwecken gespeichert und genutzt werden. Zudem sollte über die Weitergabe der Kundendaten an Versandunternehmen oder Zahlungsdienstleister informiert werden.

1. Verwendung von Cookies

Eine bloße Unterrichtung des Shop Kunden in der Datenschutzerklärung reicht hier nicht aus. Erforderlich ist eine gesonderte Einwilligungserklärung des Kunden. Unabhängig von den Informationen in der gesonderten Einwilligungserklärung sollte die Datenschutzerklärung umfangreich über die Verwendung von Cookies informieren.
Darin sollten Informationen enthalten sein zu:

• den in den Cookies der Website gespeicherten Informationen
• den Zweck der Speicherung der Cookies
• die jeweilige Speicherdauer der Cookies
• den Verantwortlichen für die Speicherung und
• dem Bestehen einer Widerrufsmöglichkeit der einmal bereits erteilten Einwilligung zur Cookie-Verwendung.

2. Verwendung eines Kontaktformulars

Verwendet der Online-Shop ein Kontaktformular, sollten in der Datenschutzerklärung zudem Informationen enthalten sein zu:

• den im Kontaktformular erhobenen Daten
• den Zweck der Verwendung der erhobenen Daten
• die Speicherdauer der Daten
• dem Bestehen einer Widerrufsmöglichkeit der einmal bereits erteilten Einwilligung zur Verwendung der im Kontaktformular erhobenen Daten

3. Verwendung von Social-Media-Plugins

Auch hier ist neben der informierten Einwilligung des Users ein entsprechender Passus in der Datenschutzerklärung ratsam, in der ausführlich über die Datennutzung aufgeklärt wird. Auch hier sollten in der Datenschutzerklärung Informationen enthalten sein zu:

• den durch die Plugins erhobenen Daten (IP-Adresse/Browserstring)
• den Zweck der Verwendung der erhobenen Daten
• die Speicherdauer der Daten
• dem Bestehen einer Widerrufsmöglichkeit der einmal bereits erteilten Einwilligung zur Verwendung der mittels Social-Media-Plugins erhobenen Daten

IV. Einbindung der Datenschutzerklärung auf der Webseite

Die Unterrichtung des Kunden sollte am besten in einer zentralen Erklärung, beispielsweise auf einer eigenen Seite, zusammengefasst werden. Diese Erklärung sollte dann von jeder Seite aus unter „Datenschutz“, „Datenschutzerklärung“ oder „Datenschutzinformationen“ erreichbar sein. Eine bloße Einbindung in die Allgemeinen Geschäftsbedingungen des Unternehmens ist nicht ausreichend.
Darüber hinaus muss die Information in allgemein verständlicher Form erfolgen, so dass technische oder juristische Fachbegriffe und Formulierungen vermieden werden sollten.

V. Gebot der Datensparsamkeit

Last but not least ist bei der Verarbeitung von personenbezogenen Daten zudem der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) . Nach diesem sind so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Soweit möglich sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren.

Aufgrund des Grundsatzes der Datensparsamkeit und Datenvermeidung sollten nur so viele personenbezogene Daten erhoben werden, wie unbedingt notwendig sind. Dies gilt insbesondere für das Bestell- als auch für ein etwaiges Kontaktformular. Die für die Abwicklung der Bestellung, bzw. für die Beantwortung der Anfrage zwingend notwendigen Angaben sollten als Pflichtangaben gekennzeichnet werden. Möchte ein Shop-Betreiber noch weitere Informationen abfragen, sollten diese Angaben so deklariert werden, dass klar wird, dass es sich bei ihnen nicht um eine Pflichtangabe handelt.

VI. Empfehlung der IT-Recht Kanzlei

Leider gestaltet sich die Verwendung von Datenschutz-Mustern bei Online-Shops schwierig. Grund dafür ist, dass in jedem Online-Shop, abhängig von den Produkten, den angebotenen Versandarten, den verwendeten Cookies, Social-Media-Plugins usw., unterschiedliche Daten erhoben und genutzt werden. Deshalb gibt es nicht „das eine“ Datenschutz-Muster, das auf alle Online-Shops passend zugeschnitten ist. Betreiber von Web-Shops haben jedoch die Möglichkeit eine auf ihre Belange optimierte Datenschutzerklärung im Rahmen der Schutzpakete der IT-Recht Kanzlei zu erhalten.

Autor:
Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller