Datenschutz im Online-Handel

Auch aus dem Inhalt der Bestellungen selbst können unter Umständen Rückschlüsse auf die persönlichen oder sachlichen Verhältnisse des Kunden gezogen werden. Dazu gehört zum Beispiel Konfektionsweite bei Kleiderbestellungen oder Literaturgeschmack bei Bücherbestellungen. Wird ein Nutzungsprofil erstellt, kann selbst das einfache Surfverhalten eines Kunden auf der Internetseite datenschutzrechtlich relevant sein. Nachstehend werden nach der Darstellung der gesetzlichen Grundlagen ausgewählte aktuelle Fragestellungen aus dem Datenschutz im Online-Handel näher beleuchtet und Lösungen für die Praxis aufgezeigt.

Im deutschen Datenschutzrecht besteht der Grundsatz der Datenvermeidung und Datensparsamkeit. Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist deshalb nach §§ 4, 4 a BDSG nur zulässig, soweit das Gesetz oder eine andere Rechtsvorschrift dies erlaubt – oder der Betroffene eingewilligt hat. Die Einwilligung muss dabei auf einer freien Entscheidung des Betroffenen beruhen. Der Zweck der Erhebung, Verarbeitung oder Nutzung bedarf grundsätzlich der Schriftform, wobei die Einwilligung im Online-Handel ausnahmsweise auch elektronisch erklärt werden kann. Das ist dann der Fall, wenn der Online-Händler als Anbieter von Telemedien auf seiner Webseite sicherstellt, dass:

• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat
• die Einwilligung protokolliert wird
• der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und er diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 

Hierauf ist der Nutzer vor Erklärung seiner Einwilligung ausdrücklich hinzuweisen. Die Anforderungen an eine wirksame Einwilligung sind also recht hoch.

Für die meisten benannten Kundendaten bedarf es allerdings keiner gesonderten Einwilligung des Kunden. Die Erhebung und Verarbeitung für die Erfüllung eigener Geschäftszwecke – der Begründung, Durchführung oder Beendigung der Bestellung – ist bereits nach § 28 Abs. 1 Nr. 1 BDSG gesetzlich erlaubt.

Eine Einwilligung ist aber grundsätzlich immer dann notwendig, wenn die personenbezogenen Daten für andere Zwecke verwendet werden sollen – zum Beispiel die zwingende Angabe der Bankverbindung des Kunden bei der Bestellung, soweit keine Einzugsermächtigung erteilt wird oder die zwingende Aufforderung zur Angabe einer Telefonnummer, soweit keine telefonische Kontaktaufnahme zur Durchführung der Bestellung erforderlich ist. Fehlt eine solche ausdrückliche Einwilligung beziehungsweise sind die oben genannte Vorgaben nicht eingehalten, liegt eine Zuwiderhandlung gegen das BDSG vor. Dieser kann mit Ordnungsgeldern bestraft werden.

Auch die nachfolgenden drei Themenbereiche betreffen Datenschutz-Probleme im Online-Handel, bei denen es in aller Regel an der notwendigen Einwilligung der Kunden fehlt.

Das weitverbreitete Auswertungs-Tool Google Analytics erlaubt es dem Online-Händler anhand von Berichten unter anderem zu erkennen, welche Bereiche seiner Webseite besonders beliebt sind – um diese für die Kunden zu optimieren und attraktiver zu gestalten. Zudem kann der Online-Händler über dieses Tool herausfinden, wie viele Kunden seine Such- und Display-Anzeigen tatsächlich erreichen und so die Wirkung seiner Werbung verstärken.

Nach einer Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) vom 08.07.2008 bettet der Betreiber dafür einen Programmcode in seine Webseite ein, der die Nutzungsdaten erhebt und an Google-Server in den USA oder anderswo in der Welt weitersendet. Dort werden die Nutzungsdaten analysiert und statistische Auswertungsergebnisse an Webseitenbetreiber übermittelt. Mit Hilfe von Cookies kann Google hierbei Nutzungsdaten verschiedener Webseiten zu einem Profil zusammenfügen. Der Webseitenbetreiber selbst sieht nur «seine» Besucher. Wohingegen Google Kenntnis aller Analytics-basierten Webseiten erhält, die der Nutzer besucht hat. Auf diese Weise kann Google die erlangten Nutzungsdaten für weitere eigene Auswertungen verwenden.

Das Zusammenführen von Nutzerdaten mit anderen weiteren Google-Diensten macht es über den Server im Internet möglich detaillierte Nutzungs- und Interessenprofile zu erstellen, welche dann für Werbezwecke verwendet werden – so das ULD. Dies missachte laut dem ULD aber das geltende Datenschutzrecht. Eine Einwilligung der Nutzer liege nicht vor. Dem Webseitennutzer sei in der Regel noch nicht einmal bewusst, dass seine personenbeziehbaren Daten zur Erstellung von Nutzungsprofilen an Google übermittelt werden.

Eine Praxislösung – auch für Online-Händler – bietet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Der Webseitenbetreiber muss einen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google eingehen. Des Weiteren hat er in seiner Datenschutzerklärung auf der Webseite über die Verarbeitung personenbezogener Daten im Rahmen von Google-Analytics aufzuklären und auf die Widerspruchsmöglichkeiten hinzuweisen. Darüber hinaus muss er durch Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen und sämtliche Alt-Daten löschen – vergleiche ausführlich: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google-Analytics einsetzen, durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Stand September 2011.

Auch der Einsatz des Like- oder «Gefällt-mir»-Button von Facebook ist datenschutzrechtlich problematisch. In einer weiteren Pressemitteilung des ULD war zu lesen, dass nach eingehender und rechtlicher Analyse die Einbindung dieses Buttons sowohl das Telemediengesetz (TMG) als auch das BDSG verletzen würde. Wiederum fehle es an einer wirksamen Einwilligung des Nutzers, wofür der Webseitenbetreiber mitverantwortlich sei – aA: Voigt/Alich in NJW 2011, 3541 ff. Der durch Facebook angebotene Reichweitenanalysedienst «Facebook-Insight» sei insbesondere unzulässig, da der Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG nicht hingewiesen wird und die Erstellung von Nutzungsprofilen – die über die in § 15 Abs. 3 TMG normierte Erlaubnis hinausgehen – nur bei Vorliegen einer Einwilligung des Nutzers möglich sei.

Als Praxislösung wird in der aktuellen Literatur vorgeschlagen, dass der Webseitenbetreiber und damit auch jeder Online-Händler, der auf den Like-Button von Facebook nicht verzichten möchte, zumindest eine Erläuterung in seinen Datenschutzhinweisen hierzu aufnehmen und eine Einwilligung des Nutzers einholen sollte. Wenngleich in der älteren Literatur sogar die Meinung vertreten wurde, dass eine gesetzeskonforme Verwendung des Like-Buttons gänzlich ausscheide.

Empfohlen wird die sogenannte «2-Klick-Lösung», nach der die gewünschte Seite zunächst nur mit einem Platzhalter für den eigentlichen Button geladen wird. Sobald der Nutzer mit seiner Maus den Platzhalter berührt hat (sogenanntes Mouseover) erscheint ein Textfeld, das noch vor dem ersten Klick über die datenschutzrechtliche Problematik aufklärt. Aktiviert der Nutzer diesen Button durch seinen ersten Klick, wird der bisher nicht geladene Button nachgeladen und erst dann eine Verbindung mit dem sozialen Netzwerk hergestellt. Ein zweiter Klick führt dann die Funktion des Like-Buttons aus.

So attraktiv Werbe-E-Mails wie Newsletter für den Online-Händler auch sein mögen, so wichtig ist es zugleich, auch hier die bestehenden datenschutzrechtlichen Hürden zu meistern. Denn selbst wenn der Online-Händler das Double-Opt-in-Verfahren berücksichtigt, führt dies noch nicht zur Rechtssicherheit hinsichtlich der notwendigen Einwilligung. Das Verfahren beinhaltet, dass der Kunde auf der Webseite aktiv durch Anklicken seine Einwilligung zum Erhalt von Newslettern gibt und daraufhin eine Bestätigungs-E-Mail mit einem Link erhält, mit dem der so verifizierte Kunde ein zweites Mal bestätigen muss, dass er mit der Zusendung von Newslettern einverstanden ist.

Grund für die Unruhe im Online-Marketing ist eine jüngere Entscheidung des OLG München (Urteil des OLG München vom 27.09.2012 – 29 U 1682/12). Dieses hat die Auffassung vertreten, dass selbst diejenige E-Mail, mit der erstmals zur Bestätigung der Bestellung eines Newsletters im Double-Opt-in-Verfahren aufgefordert wird (fortan: Bestätigungs-E-Mail), bereits Werbung mittels elektronischer Post sei und deshalb ebenfalls nur mit einer vorherigen Einwilligung des Empfängers zulässig wäre. Für die notwendige Einwilligung trage der Versender der E-Mail (also zum Beispiel der Online-Händler) die Beweis- und Darlegungslast. Er müsse also die konkrete Einverständniserklärung eines jeden einzelnen Verbrauchers vollständig dokumentieren, das heißt eine elektronische erklärte Einwilligung speichern und jederzeit ausdrucken können.

In der Online-Marketing-Branche hat dieses Urteil für helle Aufregung gesorgt. Hintergrund ist, dass es gerade dem Wesen des Double-Opt-in-Verfahrens entspricht, dass sich eine Einwilligung zum Zeitpunkt des Versandes der Bestätigungs-E-Mail noch nicht nachweisen lässt. Die Bestätigungs-E-Mail soll gerade dem Missbrauchsrisiko entgegenwirken, das zu diesem Zeitpunkt noch besteht – zum Beispiel durch Eingabe fremder E-Mail-Adressen. Es kann deshalb noch nicht bewiesen werden, dass eine Einwilligung des Berechtigten zu diesem Zeitpunkt vorliegt. Eben dazu wird die zweite Bestätigung eingeholt. Andere zuverlässige und sichere Methoden gibt es nicht (Schirmbacher in CR 2013, 44 ff.).

Entsprechend wird in der Literatur bereits jetzt argumentiert, dass das Urteil des OLG München schlecht begründet und im Ergebnis falsch sei, da die Bestätigungs-E-Mail gerade keine Werbung sei. Vielmehr handele es sich um eine automatisiert erstellte Information und beschränke sich auf die Mitteilung, dass die E-Mail-Adresse für den Erhalt des Newsletters eingetragen werde. Eine Bestätigung der Richtigkeit der eingegebenen E-Mail-Adresse stehe jedoch noch aus und deshalb seien weitere Handlungen des Empfängers erforderlich. Dies genüge nicht für die Annahme der Absatzförderungsabsicht im Sinne einer Werbe-E-Mail. Der Werbebegriff werde zu weit ausgelegt (Schirmbacher, a.a.O., m.w.N).

Praxislösung: Folgt man dieser auch hier vertretenen Einschätzung der Literatur, kann das im Übrigen geeignete Double-Opt-in-Verfahren (Schirmbacher a.a.O. unter Verweis auf BGH, Urteil v. 10.02.2011 – I ZR 164/09 m.w.N.) weiterhin zur Bestätigung von E-Mail-Adressen und deren Zuordnung zu den Einwilligenden verwendet werden. Der Online-Händler ist aber gut beraten, darauf bedacht zu sein, dass jedwede Werbung in der Bestätigungs-E-Mail unterbleibt und auch auf die Verwendung von Logos und zusätzlichen Links auf die Webseite des Online-Händlers oder seiner Social-Media-Präsenzen verzichtet wird – so auch Schirmbacher, a.a.O.

Gerade im Bereich des Online-Handels spielt das Datenschutzrecht eine wichtige Rolle. Die Kunden, die ihre Daten in Kontaktformularen preisgeben müssen, sind auf dieses Thema zunehmend sensibilisiert – nicht zuletzt aufgrund der Datenschutzskandale in den letzten Jahren. Die rechtlichen Anforderungen an ein Datenschutzkonzept wachsen mit den zunehmenden Möglichkeiten der Datenverarbeitung im Online-Handel.

Umso mehr sollte der Online-Händler darauf bedacht sein, datenschutzrechtliche Vorgaben einzuhalten und stetig auf Änderungen zu kontrollieren. Dies gilt auch und gerade vor dem Hintergrund einer vorbeugenden Haftungsvermeidung und ist Teil eines erfolgreichen Compliance-Programms. Insbesondere eine gut formulierte Datenschutzerklärung – beziehungsweise «Privacy Policy» – auf der Webseite kann dazu beitragen, Vertrauen in den redlichen Umgang des Online-Händlers mit den Daten der Kunden zu erzeugen. Kundenvertrauen wiederum sollte Ziel eines jeden Online-Händlers sein.

(Bildquelle: © MAEK123/iStockphoto)