Wie gefällt Ihnen der Artikel?
2
Wie gefällt Ihnen der Artikel?
2

Datenschutz im E-Commerce

Im E-Commerce, wo tagtäglich verschiedenste Transaktionen durchgeführt werden, benötigen Anbieter häufig Daten ihrer Kunden. Doch viele Nutzer haben Bedenken, ihre personenbezogenen Daten preiszugeben, und das aus gutem Grund: Viel zu oft werden hochsensible Daten missbraucht, unrechtmäßig zu Werbezwecken genutzt oder gar an Dritte weitergegeben. Sowohl im Sinne ihrer Kunden als auch, um rechtliche Konsequenzen zu vermeiden, sollten Unternehmer sich daher mit dem Thema Datenschutz auseinandersetzen. Denn wer im komplexen Datenschutzrecht den Überblick verliert, läuft schnell Gefahr, gegen geltendes Recht zu verstoßen und riskiert hohe Geldstrafen.

Ziel des Datenschutzes

Als Unternehmer müssen Sie eine Reihe von Vorschriften beachten, die größtenteils im Bundesdatenschutzgesetz (BDSG) festgeschrieben sind. Das oberste Ziel des Datenschutzes ist es, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ (§ 1 Abs. 1 BDSG). Damit ist das Datenschutzgesetz eng verbunden mit dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 und trägt ferner der Menschenwürde aus Art. 1 des Grundgesetzes (GG) Rechnung, das einen absoluten Schutz vor Angriffen auf den Lebens- und Freiheitsbereich einer Person garantiert. Das Einhalten der Datenschutzregeln sowie der dazugehörigen Regelungen bzgl. der Datenverarbeitung ist somit für öffentliche wie nicht-öffentliche Einrichtungen gleichermaßen wichtig.

Personenbezogene Daten und andere Datenarten

Zu den personenbezogenen Daten gehören laut BDSG alle Angaben, die etwas über die persönlichen oder sachlichen Verhältnisse einer betroffenen Person aussagen. Dazu gehören z. B.:

Persönliche Daten Sachliche Daten
Nameetz Letzter Arztbesuch
Adresse Bezug von Leistungen
Beruf Kfz-Kennzeichen
Familienstand Vorstrafen
Staatsangehörigkeit IP-Adressen
Geburtsdatum Steuerdaten

Personenbezogene Daten bilden somit Informationen, die direkt mit einer bestimmten Person in Verbindung gebracht werden können, wobei die Zuordnung des Namens als das entscheidende Identifikationskriterium gilt. Nicht-personenbezogenen Daten sind hingegen solche Angaben, die anonym erfasst werden und nicht zur Identifikation von bestimmten Personen dienen, wie z. B. die Angabe des Geschlechts, Besucherdaten auf bestimmten Websites oder andere unspezifische Angaben. Solche nicht-personenbezogene Daten bleiben vom Datenschutzgesetz unberührt. Als Unternehmer oder Marketer können Sie daher diese Art von Daten problemlos für die Erstellung von Statistiken oder andere Zwecke verwenden.

Im Bereich des E-Commerce spricht man meist weniger von personenbezogenen Daten als vielmehr von Bestands- und Nutzungsdaten, die über sogenannte Telemediendienste wie Onlineshops, Werbe-Mails oder Internet-Suchmaschinen erfasst werden. Da hier spezifische Datenschutzregelungen gelten, fallen diese nicht primär in den Bereich des BDSG, sondern betreffen in erster Linie das Telemediengesetz (TMG). Bestandsdaten werden laut TMG auf Basis eines bestehenden Vertragsverhältnisses zwischen Dienstanbieter und Nutzer definiert, bei dem der Anbieter nur dann personenbezogene Daten eines Nutzers erheben und verwenden darf, „soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses […] über die Nutzung von Telemedien erforderlich sind“ (§ 14 TMG). Dazu gehören neben den „üblichen“ personenbezogenen Daten wie Name oder Adresse des Nutzers auch bspw. Log-in-Kennungen bei Social Networks und andere Passwörter, Kontodaten oder IP-Adressen. Nutzungsdaten hingegen umfassen personenbezogene Daten, die man benötigt, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“ (§ 15 TMG). So dürfen Sie als Anbieter z. B. die IP-Adresse eines Users erfassen, um die Nutzung Ihrer Internetseite zu ermöglichen. Laut § 15 TMG sind Nutzungsdaten insbesondere:

  • Merkmale zur Identifikation des Nutzers
  • Angaben über Beginn, Ende sowie Umfang der jeweiligen Nutzung
  • Angaben über die vom Nutzer in Anspruch genommenen Telemedien
Zusammenfassung
  1. Personenbezogene Daten umfassen alle Einzelangaben zur Bestimmung der Identität einer Person. In Deutschland wird ihre Erfassung durch die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und im E-Commerce vor allem durch das Telemediengesetz (TMG) geregelt.
  2. Nicht-personenbezogene Daten obliegen nicht dem Datenschutzgesetz und können in anonymisierter Form gespeichert und verarbeitet werden.
  3. Im E-Commerce werden Bestands- und Nutzungsdaten erhoben. Bestandsdaten umfassen auf Basis eines Vertragsverhältnisses zwischen Anbieter und Nutzer gewonnene personenbezogene Daten. Nutzungsdaten sind personenbezogene Daten zur Ermöglichung und Abrechnung der Inanspruchnahme von Telemedien.

Sind dynamische IP-Adressen personenbezogene Daten?

Hinsichtlich der Frage, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt, kam es im Herbst 2016 zu einem ersten Urteil. Zuvor hatte Patrick Breyer, der Fraktionsvorsitzende der Piratenpartei, eine Debatte um den Missbrauch personenbezogener Daten bei der Speicherung von dynamischen IP-Adressen angeregt. Breyer hatte die automatische Speicherung von dynamischen IP-Adressen kritisiert, die ein Tracking ohne explizite Einwilligung des Nutzers ermögliche und damit ein Verstoß gegen das TMG sei. Bereits die Bundesregierung argumentierte 2007, dass die unter Website-Betreibern gängige Praxis der IP-Adress-Speicherung als Schutz vor Hackerangriffen zulässig sei.

Am 19. Oktober 2016 entschied der Europäische Gerichtshof schließlich, dass dynamische IP-Adressen unter Umständen als personenbezogene Daten im Sinne des Datenschutzrechts gelten. Denn auch mittels dynamischer IP-Adressen, bei denen sich die Ziffernfolge bei jeder neuen Internetverbindung ändert, kann der jeweilige Provider mithilfe von Zusatzinformationen die betreffende Person identifizieren. Doch lediglich unter Heranziehung solcher entsprechenden Zusatzinformationen gelten dynamische IPs als personenbezogen.

Der langwierige Prozess findet mit dem Urteil des Europäischen Gerichtshofs nun voraussichtlich sein Ende – und das Urteil erlaubt es Website-Betreibern weiterhin, dynamische IP-Adressen zum eigenen Schutz zu speichern. Inwiefern Website-Betreiber über die rechtlichen Mittel verfügen, um an die entsprechenden Zusatzinformationen zur Identifikation einer Person heranzukommen, muss das Bundesgerichtshof noch prüfen.

Grundsätze zur Erhebung personenbezogener Daten

Onlineshop-Betreiber benötigen für die Durchführung eines Bestellvorgangs zweifellos personenbezogene Daten ihrer Kunden. Aber auch im Onlinemarketing sind Datenanalysen sehr beliebt, weil sich mithilfe entsprechender Daten Werbung und Produktplatzierung präzise auf die Nutzer abstimmen lässt. Inwiefern Sie im E-Commerce personenbezogene Daten erheben dürfen, ist in den Datenschutzbestimmungen des TMG geregelt. Generell gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, Sie vor der Verwendung von Bestands- und Nutzungsdaten genau prüfen müssen, ob diese im Einzelfall gesetzlich gestattet ist – oder dass Sie die Erlaubnis des jeweiligen Nutzers einholen müssen.

 Als Unternehmer sollten Sie sich also gut informieren, unter welchen Bedingungen Sie personenbezogene Daten zu welchem Zweck erheben und verarbeiten dürfen. Folgende Grundsätze sollten Sie dabei im Hinterkopf behalten:

Zweckbindung

Prinzipiell ist der datenschutzrechtliche Grundsatz der Zweckbindung maßgebend: Dieser besagt, dass die Erhebung und Verwendung von Bestands- und Nutzungsdaten nur für den Zweck zulässig sind, der sich explizit aus dem Vertragsverhältnis oder aus der Nutzung von Telemedien ergibt. Sobald eine Beendigung des Vertrags oder des Nutzungsvorgangs vorliegt, sind Sie als Unternehmer somit dazu verpflichtet, alle personenbezogenen Daten unverzüglich und vollständig zu löschen. Eine Erlaubnis zur Verlängerung der Speicherfrist besteht lediglich dann, wenn die Daten noch zur Abrechnung gebraucht werden. Die Weitergabe von personenbezogenen Daten an Dritte ist unzulässig. Ausnahmen bleiben Abrechnungszwecke oder Zwecke der Strafverfolgung durch Polizeibehörden.

Datenvermeidung

Des Weiteren gilt der Grundsatz der Datenvermeidung bzw. Datensparsamkeit. Sie sollten über Ihre Kunden so wenige Daten wie möglich erheben und insbesondere personenbezogene Daten nur sparsam sammeln. Am ehesten ist es im Sinne des TMG, wenn Sie die Daten der Nutzer anonym erfassen und verarbeiten, soweit es Ihnen als Dienstanbieter technisch möglich und zumutbar ist (§ 13 Abs. 6 TMG). Von den Kunden dürfen Sie lediglich solche Pflichtangaben verlangen (beispielsweise beim Ausfüllen eines Kontaktformulars), die für die Nutzung Ihres Dienstes explizit erforderlich sind. Infos zur datenschutzkonformen Verwendung dieser Angaben sollten Sie in einer separaten Datenschutzerklärung aufführen.

Transparenz und Hinweispflicht

Zu den wichtigsten Grundsätzen des Datenschutzrechts gehört das Prinzip der Transparenz. Sie müssen Ihren Kunden gemäß der Hinweispflicht „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] in allgemein verständlicher Form“ unterrichten (§ 13 Abs. 1 TMG). Entscheidend ist die darauf folgende, explizite Einwilligung des Nutzers, dass Sie seine angegeben Daten gemäß des Grundsatzes der Zweckbindung speichern und verarbeiten dürfen. Sie als Anbieter müssen die Einwilligung nicht nur protokollieren, sondern ebenfalls sicherstellen, dass Ihr Kunde den Inhalt seiner Einwilligung jederzeit abrufen sowie diese künftig jederzeit widerrufen kann. Eine Aufklärungspflicht besteht für Sie auch, wenn Sie Daten außerhalb der EU speichern möchten.

Tipp

Legen Sie für Ihre Kunden eine separate Datenschutzerklärung an. Achten Sie darauf, dass diese auf sämtliche Formen der Nutzung von Kundendaten hinweist.

Datenschutzbestimmungen zur Erstellung von Nutzungsprofilen

Die Erstellung von Nutzungsprofilen ist heutzutage ein beliebtes Verfahren im Onlinemarketing, um die aus der Webanalyse gewonnenen Nutzungsgewohnheiten der Kunden gezielt für Marketingzwecke einsetzen zu können. In diesem Zusammenhang sind in den vergangenen Jahren zunehmend Datenmissbrauchsfälle bekannt geworden, die eine Verschärfung des Datenschutzgesetzes nach sich zogen. Das TMG unterteilt die Erstellung von Nutzungsprofilen insgesamt in drei Abstufungen: anonyme, pseudonyme und personenbezogene Nutzungsprofile.

Anonyme Nutzungsprofile

Solange Daten nicht mit einer spezifischen Person in Verbindung gebracht werden können, sind sie nicht den personenbezogenen Daten zuzuordnen und bleiben daher vom Datenschutzgesetz unberührt. Wenn Sie als Unternehmer die Daten Ihrer Kunden in anonymisierter Form erfassen, so ist es Ihnen gestattet – auch ohne vorherige Einwilligung oder datenschutzrechtliche Erlaubnis – sogenannte anonyme Nutzungsprofile zu erstellen. Die zumeist statistisch relevanten Informationen können Sie problemlos speichern, verarbeiten oder an Dritte weiterleiten. Bedingung ist, dass die Anonymität bereits bei der Erhebung der Daten, bspw. beim Klick-Verhalten, gegeben sein muss.

Pseudonyme Nutzungsprofile

Unter welchen Voraussetzungen Sie pseudonymisierte Daten im Rahmen von Benutzerprofilen verwenden dürfen, ist im TMG § 13 sowie § 15 Abs. 3 geregelt. Laut den gesetzlichen Datenschutzbestimmungen ist es gestattet, für Zwecke der Werbung oder der Marktforschung Nutzungsprofile unter Verwendung von Pseudonymen zu erstellen, sofern der Nutzer dem nicht widerspricht. Damit können Sie weitaus spezifischere Profile anlegen, als es mit anonymen Nutzungsprofilen möglich ist. Sie müssen jedoch beachten, dass Sie den Nutzer – gemäß Ihrer Hinweispflicht – über die Erhebung seiner pseudonymisierten Daten in Kenntnis setzen und zu Beginn auf sein Widerspruchsrecht hinweisen. Das TMG weist explizit darauf hin, dass Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden dürfen. (§ 13 Abs. 4.6 TMG).

Personenbezogene Nutzungsprofile

Wie der Begriff bereits impliziert, basiert diese Art von Nutzungsprofil auf der Verarbeitung von personenbezogenen Daten, die Sie ausschließlich mit expliziter Einwilligung des Nutzers erheben dürfen. Auch hier müssen Sie den Grundsatz der Transparenz erfüllen: Sie müssen also den Kunden vor der Datenerfassung darüber informieren, welche Daten gesammelt und wie sie verarbeitet werden. Zudem muss eine Einwilligung durch den Nutzer separat und aktiv erfolgen, bspw. indem er ein entsprechendes Häkchen in einem Formular setzt (Double-Opt-in). Selbstverständlich ist er ebenfalls dazu berechtigt, den Inhalt seiner Einwilligung jederzeit abzurufen oder selbige zu widerrufen.

Personenbezogene Nutzungsprofile sind besonders fürs E-Mail-Marketing interessant, da sie es ermöglichen, den Kunden auf sie abgestimmte Werbung, z. B. in Form von Newsletter, präsentieren zu können.

Zusammenfassung

Hinsichtlich des Datenschutzes unterscheidet man drei Arten von Nutzungsprofilen.

  1. Anonyme Nutzungsprofile: Für diese greift man auf anonyme Daten zurück, die nicht-personenbezogen sind und keiner Person zugeordnet werden können. Sie sind rechtlich uneingeschränkt verwendbar.
  2. Pseudonyme Nutzungsprofile: Personenbezogene Daten werden bei ihnen durch ein Pseudonym ersetzt. Voraussetzungen: Hinweispflicht, kein Widerspruch seitens des Nutzers, kein Zusammenführen pseudonymer mit personenbezogenen Daten.
  3. Personenbezogene Nutzungsprofile: Zur Erstellung dieser Profile nutzt man gespeicherte, er personenbezogene Daten. Das ist nur mit der expliziten Einwilligung des Nutzers erlaubt.

Google Analytics und Datenschutz

Das Website-Analyse-Tool Google Analytics ist hinsichtlich des Datenschutzes sehr umstritten. Das kostenlose Tool liefert unter anderem Informationen über die Herkunft der Besucher, ihre Verweildauer auf einzelnen Websites und darüber, welche Seiten sie am häufigsten besucht haben. Personenbezogene Daten, wie z. B. IP-Adresse, Browsertyp, und auch Datum und Uhrzeit der aufgerufen Website werden nicht nur ohne vorherige Einwilligung des Nutzers erhoben, sondern ebenfalls von Google gespeichert. Somit kann das US-amerikanische Unternehmen ein umfassendes Benutzerprofil anlegen, das sich einer bestimmten Person zuordnen lässt. Der Grund hierfür liegt an der Rechtslage der USA: Im Gegensatz zu Deutschland ist das Datenschutzrecht in den USA weniger streng geregelt. Nach der langjährigen Verhandlung zwischen dem Hamburgischen Datenschutzbeauftragten Caspar und dem Google-Konzern fiel hierzulande 2011 der Beschluss: Deutsche Unternehmen dürfen Google Analytics lediglich unter bestimmten Auflagen verwenden.

Falls Sie das Tool Google Analytics verwenden möchten, müssen Sie darauf achten, dass Sie

  • einen Vertrag zur Auftragsdatenverarbeitung in Schriftform mit Google abschließen
  • eine Anonymisierung der IP-Adresse vornehmen (es dürfen lediglich die letzten 8 Bit gespeichert werden)
  • darauf hinweisen, dass Sie das Tool verwenden und Ihren Kunden ein Widerspruchsrecht einräumen

Doch Vorsicht: Im Bundesland Hessen ist die Nutzung des Tools für öffentliche Stellen sogar gänzlich unzulässig. Die Verwendung von Google Analytics bleibt also trotz neuer Regelungen weiterhin umstritten – und aufgrund der Rechtsunterschiede zwischen den USA und der EU ist das Thema sicherlich noch lange nicht abgeschlossen. Es gibt jedoch datenschutzkonforme Alternativen zu Google Analytics, wie z. B. Piwik oder Chartbeat, die Sie für Ihre Webanalysen nutzen können.

Strafmaßnahmen und Ansprüche bei Missachtung des Datenschutzgesetzes

Das TMG sieht bei Missachtung der Datenschutzregeln hohe Geldbußen von bis zu 50.000 Euro vor (§ 16 TMG). Ordnungswidrige Handlungen sind insbesondere solche, die absichtlich, vorsätzlich oder fahrlässig …

  • den Absender oder den kommerziellen Charakter einer Nachricht verschleiern oder verheimlichen.
  • den Nutzer nur unvollständig oder gar nicht über die Art der Datenerfassung informieren.
  • gegen die gesetzlichen Bestimmungen personenbezogene Daten erheben, verarbeiten, speichern oder nicht rechtzeitig löschen.
  • ein Nutzungsprofil mit Daten über den Träger des Pseudonyms zusammenführen.

Neben Schadensersatzansprüchen haben betroffene Personen einen Anspruch auf:

  • Auskunft über die zu ihrer Person gespeicherten Daten, deren Herkunft, Speicherzweck sowie Empfänger (§ 19 BDSG).
  • Benachrichtigung, Löschung und Sperrung der zur Person erhobenen Daten (§ 19a, § 20 BDSG).
Tipp

Schauen Sie sich die Datenschutzregeln des BDSG und des TMG genau an, um keine Rechtswidrigkeiten zu begehen! Weiterführende Infos rund um das Thema Datenschutz bieten ebenfalls das Telekommunikationsgesetz (TKG) sowie das Bürgerliche Gesetzbuch (BGB).

E-Commerce Datenschutz