Neue Abmahnfalle – Was Sie zum Thema Datenschutz wissen müssen!

Das Thema Datenschutz wird in den Köpfen von Verbrauchern immer präsenter. Umso wichtiger für Sie als Händler, sich mit den relevanten Grundlagen auseinanderzusetzen. Nicht zuletzt, weil bei Verstößen nicht nur Geldbußen, sondern auch Abmahnungen drohen!

Jeder Online-Shop braucht eine Datenschutzerklärung!

Der Besucher einer Webseite ist nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte zu unterrichten. Diese Pflicht trifft jeden Online-Händler. Dies gilt auch dann, wenn Sie z.B. keinen Newsletter versenden oder keine Webanalyse-Tools nutzen.

Inhalt der Datenschutzerklärung

Notwendig für die in BDSG und TMG geforderte Unterrichtung ist eine Datenschutzerklärung, in welcher über die Nutzung personenbezogener Daten informiert wird. Nach § 4 Abs. 3 S. 1 Nr. 2 BDSG muss die verantwortliche Stelle den Betroffenen bei Erhebung der Daten über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung unterrichten. Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu informieren.

Welche Punkte genau in Ihrer Datenschutzerklärung enthalten sein sollten, hängt von der genauen Ausgestaltung in Ihrem Online-Shop ab, wie z.B. gesetzte Cookies, Social Plugins, Werbemaßnahmen des Shops etc. Wenn Sie sich hier noch unsicher sind, nutzen Sie das kostenfreie Datenschutz-Modul des Trusted Shops Rechtstexters, um eine auf Sie zugeschnittene Datenschutzerklärung zu generieren:

Sprechender Link erforderlich

Nach § 13 Abs. 1 S. 3 TMG muss der Inhalt dieser Unterrichtung jederzeit abrufbar sein. Daher muss ein sprechender Link auf die Datenschutzerklärung vorhanden sein, welcher von sämtlichen Seiten aus aufrufbar ist. Dies kann z.B. über die folgenden Linkbezeichnungen  geschehen:

• Datenschutz
• Datenschutzerklärung oder
• Datenschutzinformationen

Best Practice ist die Platzierung im Footer, dies ist aber kein Muss. Ein Link „AGB“, unter welchem auch die Datenschutzerklärung zu finden ist, wäre hingegen nicht ausreichend.

Datenschutzgrundsätze

Die für Online-Händler wichtigsten Datenschutzgrundsätze sind:

1. Zweckbindungsgrundsatz
   Daten dürfen nur für den Zweck verwendet werden, für den Sie auch erhoben worden sind. Nur zur diesem ursprünglich festgelegten Zweck darf eine Verarbeitung der Daten erfolgen.
2. Datensparsamkeit
   Nach § 3a BDSG ist die Erhebung personenbezogener Daten an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Es muss daher für den Kunden erkennbar sein, welche Dateneingaben freiwillig sind und es dürfen nur solche Daten obligatorisch erhoben werden, welche für den Erhebungszweck notwendig sind. So ist z.B. die Erhebung des Geburtsdatums in vielen Fällen für eine Bestellung in einem Online-Shop nicht notwendig.
3. Verbot mit Erlaubnisvorbehalt
   Im Datenschutzrecht gilt ein Verbot mit Erlaubnisvorbehalt, d.h. alles, was nicht ausdrücklich durch Gesetz oder Einwilligung des Kunden erlaubt ist, ist verboten. Kundendaten, gleich ob Namen und Adressen, Kaufverhalten oder Abrechnungsdaten dürfen nur in sehr eingeschränktem Umfang erhoben und verarbeitet werden.

Datenübermittlung ohne Einwilligung

So ist eine Datenerhebung, -verwendung und -übermittlung dann zulässig „wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist“ (§ 28 Abs. 1 Nr. 1 BDSG). Dies bedeutet, dass Verarbeitung personenbezogener Daten dann ohne Einwilligung möglich ist, wenn diese zur Vertragserfüllung notwendig ist:

Beispiel: Schließt ein Verbraucher bspw. einen Kaufvertrag mit einem Online-Händler, so darf der Händler die Adressdaten des Kunden ohne Einwilligung einem Transportunternehmen übermitteln, da er hierdurch bloß seine Vertragspflichten erfüllt.

Datenübermittlung mit Einwilligung

Ist eine Datenverarbeitung nicht von Gesetzes wegen erlaubt, bedarf sie einer Einwilligung gemäß § 4a BDSG. Die Vorschrift sieht zwar grundsätzlich die Schriftform vor, eine Einwilligung kann nach § 13 Abs. 2 TMG aber auch elektronisch erklärt werden, wenn der Händler sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Eine Einwilligung muss stets ausdrücklich erfolgen, es ist nicht möglich, diese z.B. nur in den Geschäftsbedingungen zu platzieren. Insbesondere stellen Formulierungen in einer Datenschutzerklärung wie „Durch Nutzung unserer Webseite willigen Sie ein, dass…“ keine wirksame datenschutzrechtliche Einwilligung dar!

Immer umfassende Information nötig

Es kommt also nicht bei sämtlichen Datenverarbeitungsvorgängen auf eine Einwilligung des Betroffenen an. In jedem Fall ist dieser aber im Rahmen der § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte zu unterrichten.

Sanktionen bei Verstößen

Bei Verstößen gegen datenschutzrechtliche Vorschriften drohen staatliche Sanktionen in Form von Bußgeldern bis zu 300.000 €. Wer entgegen § 33 Abs. 1 BDSG den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, dem droht eine Geldbuße von bis zu 50.000 €.
Abmahnbarkeit von Datenschutzverstößen

Verstöße gegen das Datenschutzrecht können dem jeweiligen Unternehmen auch unzulässige Wettbewerbsvorsprünge bringen, weshalb derartige Verstöße durch Konkurrenten in der Vergangenheit bereits abgemahnt wurden. Hier käme u.a. ein Verstoß gegen § 3a UWG in Betracht, allerdings wäre es hierfür erforderlich, dass es sich um eine datenschutzrechtliche Vorschrift handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

Jedoch herrscht in der Rechtsprechung keine Einigkeit, ob Verstöße gegen das Datenschutzrecht gleichzeitig auch wettbewerbswidrig sind und damit abgemahnt werden können. So hatte das KG Berlin (Beschluss v. 29.4.2011, 5 W 88/11) entschieden, dass ein Mitbewerber nicht abmahnen kann, wenn auf einer Webseite der Facebook Like-Button eingebunden ist, aber hierüber keine Information in der Datenschutzerklärung steht. Das OLG Hamburg (Urteil v. 27.6.2013, 3 U 26/12) urteilte hingegen, dass das Fehlen einer Datenschutzerklärung abgemahnt werden kann. Und auch das LG Frankfurt a.M. sah Verstöße beim Webtracking als abmahnfähig an (LG Frankfurt a.M., Urteil v. 18.2.2014, 3-10 O 86/12).

Eine höchstrichterliche Klärung durch den BGH ist noch nicht erfolgt.

Seit dem 24.02.2016 können darüber hinaus aufgrund einer Gesetzesneuerung Verbraucherschutz- und Wettbewerbsverbände Datenschutzverstöße im Rahmen ihrer Verbandsklagebefugnis nach dem UKlaG abmahnen und gerichtlich geltend machen. Mehr Informationen dazu finden Sie hier.

Unser TIPP

Online-Händler müssen auf korrekte Datenerhebungs-, -nutzungs- und -verarbeitungsvorgänge achten. Über diese muss transparent informiert werden, weiter müssen diese Informationen über einen sprechenden, ständig verfügbaren Link abrufbar sein. Die Abmahngefahr für datenschutzrechtliche Fehler ist in diesem Jahr gestiegen, daher ist es umso wichtiger, hier auf eine datenschutzkonforme Gestaltung zu achten!

Weitere Beträge unserer Reihe Datenschutz im Online-Shop

UPDATE: Hier finden Sie alle Beiträge unserer Reihe:

• Welche Kundendaten dürfen Online-Händler weitergeben?
• Wann dürfen Sie die Bonität Ihrer Kunden prüfen?
• So werben Sie (datenschutz)rechtskonform!
• Webanalysetools: So gehen Sie auf Nummer sicher!
• Dürfen Online-Händler IP-Adressen ihrer Kunden speichern?
• Like-Button unzulässig – Müssen Sie handeln?

Über die Autorin

Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten insbesondere zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.