Basisschutz für Online-Shops: die Vorgaben des Bundesdatenschutzgesetzes & Telemediengesetzes

Im letzten Beitrag unserer Serie „Basisschutz für Online-Shops“ gehen wir den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) auf den Grund. Welche Angaben und Vorschriften müssen Online-Händler beachten?

Gesetzliche Vorgaben als vertrauensbildende Maßnahme

Als Online-Händler gehen Sie sehr intensiv mit den personenbezogenen Daten Ihrer Shop-Kunden um: Neben Kontaktdaten übermitteln Ihre Kunden auch Zahlungsdaten. Dass dies immer auf einem sicheren, verschlüsselten Wege geschehen soll, erklärten wir in unserem Beitrag „Die verschlüsselte Kundenkommunikation“. Wie Sie jedoch mit den Kundendaten umzugehen haben, klären verschiedene Datenschutzgesetze.

Eine Grunderkenntnis sollte für jeden Online-Händler sein, dass das Umsetzen aller Gesetzes-Vorgaben eine Maßnahme darstellt, die von Seiten des Kunden mit Vertrauen belohnt wird. Abgesehen von diesem Vorteil können Verstöße gegen die Datenschutzgesetze empfindliche Geldbußen nach sich ziehen: bis zu 300.000 Euro Bußgeld können gemäß § 43 Bundesdatenschutzgesetz fällig werden.

Die Datenskandale der letzten Jahre und nicht zuletzt der Datenhunger großer Netzwerke wie Facebook haben zur Folge, dass Verbraucher den Themenkomplex Datenschutz mittlerweile ernst nehmen. Die Unsicherheit seitens des Kunden ist immens: Nutzer wenden sich an alternative Anbieter, wenn sie nicht transparent nachvollziehen können, zu welchem Zweck welche Daten wo gespeichert oder wohin übermittelt werden. Sehen Sie deshalb bitte das Einhalten der Gesetze nicht als notwendiges Übel an, sondern erkennen Sie dies als vertrauensbildende Maßnahme für Ihre Kunden.

BDSG & TMG: verschiedene Datenschutzgesetze

Das Bundesdatenschutzgesetz (BDSG) regelt als wichtigstes Gesetz, welche Voraussetzungen Datenerhebung, -weitergabe sowie -verarbeitung erfüllen müssen. Gültigkeit findet das BDSG bei Behörden sowie Unternehmen, also auch bei Ihnen als Online-Shop-Betreiber. Geregelt werden sämtliche Belange des Datenschutzes: vom Erheben, Speichern sowie Verarbeiten bis hin zum Weitergeben von personenbezogenen und nicht-personenbezogenen Daten, beispielsweise zu Marketing-Zwecken. Weiter findet das BDSG Anwendung in sämtlichen Bereichen der Datenverarbeitung – sowohl online als auch offline.

Das BDSG existiert seit 1977 und wurde seither mehrmals überarbeitet. Ziel des Gesetzes ist es, natürliche Personen nicht in ihrem Persönlichkeitsrecht zu benachteiligen oder zu beeinträchtigen. Das bedeutet für Sie: Sie dürfen die Daten Ihrer Websitebesucher, Ihrer Kunden oder anderer Personen nur dann erheben, verarbeiten und nutzen, wenn diese dem ausdrücklich zugestimmt haben.

Das Telemediengesetz (TMG) löste das Teledienstgesetz sowie den Mediendienste-Staatsvertrag ab. Das TMG findet für sämtliche Tele- und Mediendienste Anwendung und regelt die Haftungsansprüche aber auch die Vorgaben zum Datenschutz.

Es regelt zahlreiche Bereiche wie Haftungsfragen, jedoch auch Vorgaben des Datenschutzes.

Pflichten für Online-Shop-Betreiber

Aus dem Bundesdatenschutzgesetz und dem Telemediengesetz ergeben sich für Online-Shop-Betreiber wie Sie verschiedene Pflichten. Unter anderem sind dies:

• Die Impressumspflicht: als Online-Händler sind Sie in der Pflicht, ein Impressum mit bestimmten Angaben gut zugänglich bereitzuhalten. Welche Angaben das sind, lesen Sie bitte in unserem Artikel „Rechtliche Stolperfallen für Online-Shops“ im Absatz „Inhalte einer vollständigen Anbieter-Kennzeichnung“.
• Die Pflicht, den Nutzer zu unterrichten, wie und wofür seine Daten gespeichert werden (Datenschutzerklärung).
• Die Pflicht, den Nutzer zu unterrichten, dass er dem Übertragen und Verarbeiten seiner Daten gemäß Datenschutzerklärung zustimmt.
• Die Auskunftspflicht, dank der sich Nutzer darüber informieren können, welche ihrer Daten gespeichert wurden.

Beim Einwilligen des Nutzers ins Speichern seiner Daten ist es nicht ausreichend, ihm die Möglichkeit zu geben, dem Verarbeiten seiner Daten zu widersprechen. Vielmehr ist es Pflicht, den Nutzer ins Verwenden seiner Daten dann eindeutig einwilligen zu lassen, wenn das Gesetz das Verarbeiten der Daten nicht vorsieht, etwa beim Übermitteln der Kundendaten zu Werbezwecken. Für die wirksame Einwilligung des Kunden ist es unzureichend, die Datenübermittlung in den AGB zu erwähnen.  Absolut ungenügend sind Sätze wie „Die datenschutzrechtlichen Vorgaben werden von uns erfüllt“. Die Einwilligung muss eindeutig sein und gesondert hervorgehoben werden.

Konkret: wie funktioniert Datenschutz für Shop-Betreiber?

Damit Kunden in Ihrem Shop bestellen können, müssen sie naturgemäß Daten hinterlassen: ihren vollständigen Namen, die Lieferadresse sowie die Rechnungsanschrift, eine E-Mail-Adresse, womöglich Telefonnummern und je nach Zahlungsart auch Zahlungsdaten. § 3a BDSG beschreibt das sogenannte Gebot der Datensparsamkeit. Das bedeutet: grundsätzlich dürfen Sie nur Daten sammeln, die zum Abwickeln der Bestellung notwendig sind. Das schließt also das Verarbeiten von Daten wie der Telefonnummer aus.

Zahlreiche Online-Shops setzen auf Web-Analysetools wie Piwik oder Google Analytics. Ziel ist es, mithilfe abgerufener Dateien, also aufgerufener URLs, und anderen Metadaten, darunter etwa Betriebssystem und Browser, eigene Inhalte so zu optimieren, dass der Shop mehr Besucher empfängt. Aus unternehmerischer Sicht macht das Sinn, denn so lässt sich das Online-Angebot nach den Wünschen der Besucher optimieren. Aus datenschutzrechtlicher Sicht sind die Tools stellenweise jedoch bedenklich. Oftmals sind die Grundeinstellungen keineswegs datenschutzkonform, etwa wenn die IP-Adresse nicht anonymisiert wird. Achten Sie auf das Anonymisieren der IP-Adresse, wenn Sie solche Trackingtools verwenden. Weiter sind Sie in der Pflicht, in Ihrer Datenschutzerklärung anzugeben, ob und welche Tools Sie zur Website-Analyse einsetzen.

Viele Shops nutzen die von ihrer Shop-Software verwendeten E-Mail-Tools, um ihre Kunden beispielsweise via Newsletter auf neue Angebote hinzuweisen. Zur Bestandskundenpflege ist E-Mail-Marketing zweifelsohne sinnvoll. Allerdings kann es hier rechtlich sehr problematisch werden, wenn Sie als Online-Händler Ihren Kunden E-Mails zukommen lassen, ohne dass diese vorher zugestimmt haben. Möchten Sie E-Mail-Marketing anwenden, klären Sie Ihre Kunden über das Nutzen und Verwenden ihrer Daten diesbezüglich nicht nur auf, sondern lassen Sie Ihre Kunden explizit zustimmen. Sie können dies beispielsweise mit einer Checkbox lösen, die Ihre Kunden bei der Bestellung anklicken können. Verwerfen Sie bitte sofort den Gedanken, die Checkbox bereits vorzuhaken! Dabei findet beim Kunden keine aktive Handlung statt und Ihr E-Mail-Versand ist nicht ausreichend legitimiert. Unterlassen Sie es auch, E-Mail-Werbung nur kurz in den AGB zu erwähnen. Selbst wenn Ihre Kunden die AGB explizit bestätigt haben, dürfen Sie deshalb noch keine Werbung an Ihre Kunden senden. Die Einwilligung muss durch eine gesonderte Erklärung aktiv vom Kunden abgegeben werden.

Noch passiert es eher selten, in Zukunft dürfte es wohl zunehmen: vereinzelt bitten Kunden darum, dass ihre Daten komplett gelöscht werden sollen. Gemäß § 35 BDSG können Kunden eine Auskunft über die gespeicherten persönlichen Daten einholen und diese Daten löschen lassen. Für Sie als Händler bedeutet dies, dass sämtliche Daten, die während der Bestellabwicklung von einem Kunden bei Ihnen gespeichert wurden, gelöscht werden müssen. Neben der Löschung seiner Daten kann der Kunde auch eine Datenauskunft verlangen. Dem müssen Sie ebenfalls nachkommen. Das Löschen trifft nicht auf Daten zu, die Sie aufgrund allgemeiner Pflichten wie etwa der Buchhaltungspflicht über bestimmte Zeiträume aufbewahren müssen. Diese Pflichten lesen Sie bitte in § 147 AO nach. Kunden können jedoch die Sperrung dieser Daten verlangen, was bedeutet, dass die Kundendaten nicht mehr zu Auswertungs- oder anderen Zwecken, beispielsweise Werbung, genutzt werden dürfen.

Sowohl die Datenschutzerklärung als auch das Impressum dürfen maximal zwei Klicks ab Startseite entfernt liegen. Die Datenschutzerklärung muss unter anderem darüber informieren, welche personenbezogenen Daten Sie erheben, verarbeiten und nutzen. Weiter muss die Datenschutzerklärung die Information enthalten, ob Sie in Ihrem Shop Cookies einsetzen, wenn ja, wie, und ob personenbezogene Daten weitergegeben werden. Informieren Sie Ihre Kunden außerdem, ob und wie eine Datenverschlüsselung stattfindet und wer im Unternehmen der richtige Ansprechpartner für Fragen und Auskünfte rund um den Datenschutz ist.

Fazit: Bundesdatenschutzgesetz und Telemediengesetz

Sie sehen: die Liste möglicher Stolpersteine beim BDSG sowie beim TMG ist lang, Online-Händler können viel falsch machen. Die Abmahnungen der vergangenen Jahre zeigen, dass Unwissenheit nicht vor Strafe schützt. Wenn Ihre Shop-Software auf den deutschsprachigen Markt zugeschnitten ist, enthält sie höchstwahrscheinlich abmahnsichere Rechtstexte, die Ihnen zu einem sicheren Datenschutz verhelfen. Prüfen Sie dennoch die Angaben der vorgefertigten Rechtstexte genau und fragen Sie im Zweifel einen Fachanwalt, der auf IT-Recht spezialisiert ist. Unser Artikel kann keine Rechtsberatung ersetzen! Er enthält lediglich Informationen über den Datenschutz für Online-Shops. Die Rechtsprechung in diesem komplexen Thema ändert sich nahezu täglich, sodass wir darauf hinweisen möchten, dass wir bei aller Sorgfalt in der Recherche keine juristische Beratung ersetzen können.

Enthält Ihre Shop-Software keine Rechtstexte, finden Sie bei verschiedenen Anwaltskanzleien vorgefertigte Mustertexte, die Sie für Ihren Shop anpassen können. So bietet beispielsweise die it-recht kanzlei münchen eine Muster-Datenschutzerklärung und mit dem Impressum-Generator von eRecht24 können Sie ein TMG-konformes Impressum erstellen. Zahlreiche Hilfestellungen finden Sie online, bedenken Sie jedoch, dass Sie haftbar sind für etwaige Fehler. Sprechen Sie bitte im Zweifel einen Fachanwalt an.