Die NSA-Datenaffäre und der Onlineshop

Nur: Das Prekäre ist, dass hier massenhaft Daten verdachtsunabhängig und möglicherweise auch anlasslos gesammelt werden, und keiner weiß so recht, was damit passiert. Nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist die Übermittlung personenbezogener Daten in Drittstaaten, die derzeit aufgrund verschiedener Abkommen erfolgt, auszusetzen: Ausländische Geheimdienste hätten nach dem Stand derzeitiger Erkenntnisse die von der EU-Kommission festgelegten Grundsätze verletzt, nach der nur im Rahmen der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugegriffen werden dürfe.

Auch das „Schlupfloch“, durch das diese Grundsätze ausgehebelt werden können, kann für die Sammelwut nicht herhalten: Die oft berufene nationale Sicherheit. Aber auch in diesem Fall dürfen personenbezogene Daten nicht exzessiv gesammelt werden, sondern nur im Rahmen des tatsächlich Erforderlichen. Wenn die Geheimdienste aber anlasslos und massenhaft Daten sammeln, ist dies nicht durch die Abkommen gerechtfertigt.

Konsequenzen der Affäre

Während die Bundesregierung sich noch mehr unwissend als empört gibt, hat die Diskussion um die NSA-Affäre aber zumindest schon eines bewirkt: Das Thema Datenschutz wird nun auch der breiten Öffentlichkeit bekannt und bewusst gemacht. Die Sorge vor einem Missbrauch der Daten, bspw. wenn Profile zu Internetnutzern erstellt werden würden, treibt um: So ließe sich bspw. aus dem Einkaufsverhalten eines Internetnutzers in Onlineshops herleiten, ob er an einer Krankheit leidet – würden irgendwann aber die Versicherungsunternehmen an diese Daten herankommen, wäre dem Nutzer der Versicherungsschutz erschwert (bzw. verteuert), aber auch Arbeitgeber könnten hieraus ihre Schlüsse ziehen und den Nutzer nicht einstellen. Dieses Auswuchern des Datenmissbrauchs gilt es zu verhindern.

Bürgerinnen und Bürger machen sich verstärkt Gedanken über den Schutz ihrer Daten. Das bedeutet aber auch, dass die Internetnutzer vermehrt danach schauen werden, was mit ihren Daten passiert – ebenso aber die Konkurrenz, die fehlerhafte Datenschutzerklärungen auch ebenso vermehrt kostenpflichtig abmahnen wird. In Deutschland sind Unternehmen gesetzlich zur Wahrung des Datenschutzes verpflichtet, und im eigenen Interesse auch gehalten, das Thema ernst zu nehmen.

Will der Shopbetreiber die Daten seiner Kunden auch aktiv schützen, sollte er Wert darauf legen, wo sie gespeichert werden: Auf einem Server in Deutschland oder auf einem Server im Ausland? Wie findet die Kommunikation mit den Kunden statt? Es gibt zwar derzeit noch kein Urteil, das den deutschen Shopbetreiber verpflichten würde, von sich aus aktiv ausschließlich datenschutzrechtkonforme Kommunikationsmittel auszuwählen bzw. anzubieten – jedoch ist der Shopbetreiber zumindest verpflichtet, mit Blick auf die Erhebung, Speicherung und Verarbeitung der Kundendaten entsprechende Hinweise zu erteilen bzw. datenschutzrechtkonforme Maßnahmen zu treffen.

Anforderungen an Datenschutzhinweise

Jeder Onlineshopbetreiber (Diensteanbieter, wie das Gesetz sagt) muss über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten informieren. Das Ganze muss dann auch „zu Beginn des Nutzungsvorgangs“, also quasi bevor der User im Onlineshop anfängt zu surfen, und „in allgemein verständlicher Form“ erfolgen.

Erfüllt wird diese Pflicht in der Regel durch allgemeine Datenschutzhinweise, die am Besten – wie das Impressum auch – von jeder Seite aus erreichbar sind (um Quereinsteigern auf die Seite eben auch gleich die Möglichkeit der Information zu bieten) und als Speaking-Link auch als „Datenschutz“ oder „Datenschutzhinweise“ verlinkt sind.

Social-Plugins

Und, woran viele Hinweise, wenn sie denn vorhanden sind, scheitern: Sie müssen vollständig sein und über alle Arten der Datennutzung informieren. Das betrifft insbesondere auch die heutzutage so beliebten Social-Plugins. Wenn also auf der Seite ein Facebook Like-Button, ein Button von Google+, ein Twitter-Button oder wie sie alle heißen auf der Seite integriert ist, muss über jede einzige Social-Media-Plattform gesondert und mit eigenem Text informiert werden. Hier ist insbesondere relevant, dass durch die Einbindung des Facebook-Plugins bereits ein automatischer Datentransfer an Facebook stattfindet: Ist der Nutzer zugleich in seinem Facebook-Account eingeloggt, wenn er den Onlineshop besucht, kann Facebook eine entsprechende Zuordnung herstellen.

Auch hierzu gibt es noch keine gerichtliche Entscheidung; das Landgericht Berlin hatte einmal eine Einstweilige Verfügung gegen einen Shopbetreiber zurückgewiesen, der den Facebook-Like-Button in seinem Shop eingebunden hatte. Das Gericht deutete dabei an, dass dies zwar ein Verstoß gegen das Datenschutzrecht sein könnte, allerdings fehle es an der im Wettbewerbsrecht erforderlichen Unlauterkeit (Beschluss vom 14.03.2011, 91 O 25/11). Es ist daher zu empfehlen, dass der Shopbetreiber auf diesen Datentransfer nicht nur hinweist, sondern ihn aktiv unterbindet.

Analyse-Tools

Hinzu kommen gesonderte Hinweispflichten bei Verwendung eines Analysetools, wie zum Beispiel Google Analytics oder PIWIK. Bei Geolokation und dergleichen muss auch darüber gesondert, vollständig und korrekt informiert werden. Ob und inwieweit Google-Analytics dem deutschen Datenschutzrecht entspricht, ist derzeit gerichtlich noch nicht geklärt. Datenschutzkonform ist dagegen das Analyse-Tool PIWIK, das zugleich auch kostenlos ist. Daneben gibt es zwischenzeitlich auch eine Reihe weiterer Anbieter, die Analyse-Tools kostenpflichtig anbieten, die ebenfalls dem deutschen Datenschutzrecht entsprechen.

Newsletter 

Werden die Daten des Users auch noch für die Versendung eines Newsletters genutzt, bedarf es einer entsprechenden ausdrücklichen Zustimmung des Users, der User sollte hierauf auch optisch hervorgehoben aufmerksam gemacht werden bzw. getrennt von anderen Einwilligungen eine separate Einwilligung für den Erhalt des Newsletters erteilen (unter Beachtung zumindest des double-opt-in-Verfahrens).  

Teure Abmahnungen drohen

Jetzt hat auch noch das OLG in Hamburg entschieden, dass Fehler in den Hinweisen oder ganz fehlende Hinweise auch als so genannte wettbewerbsrechtliche Marktverhaltensregel anzusehen sind und von Konkurrenten abgemahnt werden können (Urteil vom 27.06.2013, 3 U 26/12). Jeder Wettbewerber und Verbraucherschutzverbände können also auf Basis dieses Urteils jeden Webseitenbetreiber abmahnen, der nicht oder nicht richtig im Sinne des § 13 TMG informiert.

Datenschutzhinweise können AGB sein

Die Datenschutzhinweise unterliegen nach einem Urteil des LG Berlin (30.04.2013, 15 O 92/12) der strengen Inhaltskontrolle des Rechts der Allgemeinen Geschäftsbedingungen (AGB). Das soll jedenfalls dann so sein, wenn die Hinweise für einen durchschnittlichen Verbraucher als AGB erscheinen. Das Gericht meint wohl damit, dass auf jeden Fall dann, wenn die Hinweise auch als Einwilligung in die Datenerhebung bzw. Datennutzung angesehen werden können, die Bestimmungen als AGB im rechtlichen Sinne aus Wirksamkeit hin überprüft werden können.

Damit wird für den Shopbetreiber eine weitere Haftungsfalle eröffnet: Ist es ohnehin schon sehr schwierig, die Datenschutzhinweise nach § 13 TMG vollständig und rechtswirksam zu formulieren, so kommt nun auch noch das sehr strenge AGB-Recht ins Spiel. Die Formulierungen dürfen demnach keine unangemessene Benachteiligung der Nutzer der Website mit sich bringen und sie müssen transparent und verständlich sein. Dass Verbraucher die Datenschutzhinweise übrigens als AGB verstehen, so wie das Gericht es zur Voraussetzung der AGB-Prüfung macht, dürfte wohl in den meisten Fällen zu bejahen sein. Welcher Verbraucher kann denn ernsthaft unterscheiden, welche der vielen Pflichtinformationen und Texte jetzt AGB sein sollen und welche nicht? „AGB“ liegen übrigens dann vor, wenn ein Text mehrmals verwendet wird bzw. dazu gemacht ist, mehrfach verwendet zu werden; dies gilt auch dann, wenn nicht „AGB“ in der Überschrift steht (also bspw. auch für das Schild an der Garderobe „Keine Haftung für die Garderobe“; auch diese Klausel ist eine AGB-Klausel, die sich am AGB-Recht messen lassen muss – und damit übrigens unwirksam ist).

Fazit

Datenschutz war schon immer wichtig, wird aber aktuell immer mehr Beachtung finden. Da der mangelhafte Datenschutz nicht nur das Kundenvertrauen erschüttern, sondern auch hohe Kosten verursachen. Eine sorgfältige Auseinandersetzung mit dem Thema Datenschutz und die Prüfung der eigenen Maßnahmen sollte daher die Mindestreaktion aus der NSA-Affäre sein.

Autor: Thomas Waetke, Rechtsanwalt seit 2003, Fachanwalt für Urheber- und Medienrecht seit 2008 bei der Kanzlei Schutt, Waetke Rechtsanwälte. Die Kanzlei hat sich auf die Bereiche Medienrecht, Urheberrecht, Wettbewerbsrecht, IT-Recht und Eventrecht spezialisiert und berät  unter anderem Shopbetreiber, Softwarehersteller, IT-Unternehmen, Fotografen, Designer, Werbeagenturen, Unternehmen aus der Event-, Film- und Musikbranche usw.

Kontakt zum Anwalt: www.schutt-waetke.de

Dieser Beitrag erschien erstmals im Schwerpunkt "Hosting & Cloud" im e-commerce Magazin 07/2013

 

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags