Datenschutzrecht in Online-Shops

Mehr zum Thema: Datenschutzrecht, Datenschutz, Onlineshop, Abmahnung, Wettbewerbsrecht, Daten
3,78 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
9

rechtliche Anforderungen an den Datenschutz in Bezug auf Onlineshops

Wer einen Online-Shop betreibt, sollte sich umfangreich informieren über rechtliche Anforderungen, die im Online-Verkehr an Online-Shops gestellt werden. Andernfalls können teure Abmahnungen und Bußgelder die Folge sein. Häufig werden veraltete Widerrufserklärungen, mangelhafte oder fehlende AGB oder das Impressum des Online-Händlers beanstandet. Aber auch die Datenschutzerklärung hat es in sich und sollte nicht auf die leichte Schulter genommen werden. Warum, das zeigen wir Ihnen:

Grundsätzlich gilt: Jeder Online-Shop benötigt eine Datenschutzerklärung, denn jeder Onlineshop erhebt, verarbeitet und speichert personenbezogene Daten. Aufgrund dessen unterfallen Online-Shops auch dem Bundesdatenschutzgesetz (§ 1 Abs. 2 Nr. 3 BDSG). Denn die Kunden geben beispielsweise während des Bestellvorgangs ihre Kundendaten ein oder werden beim Besuch der Webseite mittels eines Tracking Tools wie z.B. Google Analytics auf ihr Online-Verhalten hin untersucht.

Fehlende Datenschutzerklärungen können auch von Wettbewerbern abgemahnt werden. Basis dafür bietet § 4 Nr. 11 UGW (Gesetz gegen den unlauteren Wettbewerb), nach dem Unternehmen wettbewerbswidrig handeln, wenn sie gegen Gesetze verstoßen, die auch zur Sicherung eines fairen Wettbewerbes existieren. Gemäß § 13 Abs. 1 TMG (Telemediengesetz) müssen die Nutzer von Internetseiten über die Erhebung, Nutzung und Verarbeitung ihrer Daten in einer Datenschutzerklärung informiert werden. Das Oberlandesgericht Hamburg hat in seinem Urteil (OLG Hamburg, Urteil vom 27.06.2013; AZ: 3 U 26/12) entschieden, dass auch eine Datenschutzerklärung der Sicherung eines fairen Wettbewerbs dient und bezog sich dabei auf die EU-Datenschutzrichtlinie. Mittlerweile ist in der Rechtsprechung anerkannt, dass eine fehlende Datenschutzerklärung als eine wettbewerbswidrige Handlung von Mitbewerbern abgemahnt werden kann.

Die Datenschutzerklärung muss individuell an den jeweiligen Online-Shop angepasst werden, da es drauf ankommt, welche Daten genau und vor allem zu welchem Zweck sie verwendet werden. Das bedeutet, dass ein Nutzer der Webseite aufgeklärt werden muss, welche Daten bei einem Besuch der Webseite, vom Kunden und während des Bestellvorgangs sowie durch Tracking Tools und Social Media Plugins wie z.B. von facebook erhoben, gespeichert und zu welchem Zweck sie genutzt werden und inwiefern sie an Dritte übermittelt werden.

Trotz bestehender Datenschutzerklärung kann die Datenschutzaufsichtsbehörde (z.B. das Bayrische Landesamt für Datenschutzaufsicht) die Einhaltung des Datenschutzrechtes überprüfen (§ 38 BDSG). Unangenehm kann es werden, wenn die Datenschutzbehörde auf ein Unternehmen aufmerksam geworden ist und seine Mitarbeiter zur Prüfung der Einhaltung des Datenschutzrechts in das Unternehmen schickt – während der Betriebs- und Geschäftszeiten ist es datenschutzbehördlichen Mitarbeitern gestattet, die Grundstücke und Geschäftsräume des Unternehmens zu betreten und dort Prüfungen und Besichtigungen vorzunehmen und sogar Einsicht in geschäftliche Unterlagen zu verlangen (§ 38 Abs. 4 BDSG).

Wie funktioniert so eine Datenschutzprüfung?

Bevor tatsächlich Datenschutzprüfer in das Unternehmen kommen, schickt das Bayrische Landesamt für Datenschutzaufsicht Fragebögen an den Händler, bei dem zunächst Fragen rund um das Thema Datenschutz gestellt werden. Anschließend können tatsächlich Mitarbeiter der Aufsichtsbehörde in das Unternehmen kommen und Fragen stellen sowie eigenständige Untersuchungen anstellen.

Was wird alles von der Aufsichtsbehörde geprüft?

Zunächst einmal wird nach den Arten personenbezogener Daten gefragt. Personenbezogene Daten, die verarbeitet werden, sind meist die Anschrift, E-Mailadresse, der Name und ggf. die Bankdaten, sofern diese nicht direkt vom Zahlungsdiensteanbieter selbst erhoben werden. Bei einem Verlust sensibler Bankdaten von Kunden kommt § 42a BDSG zur Anwendung und die datenerhebende Stelle muss die Betroffenen und die Aufsichtsbehörde unverzüglich über den Verlust oder die unrechtmäßige Weitergabe ihrer Daten an Dritte informieren.

Aber auch die Verschlüsselung der Datenübertragung in dem Onlineshop wird überprüft. Nach Auffassung der Datenschützer muss der Webserver derart gestaltet werden, dass das PFS – Verfahren (Perfect Forward Secrecy Verfahren) damit funktioniert. Bei dem Perfect Forward Secrecy Verfahren wird bei der Übertragung verschlüsselter Daten eine Entschlüsselung durch Unbefugte zu einem späteren Zeitpunkt erschwert. Dies geschieht durch die Erzeugung neuer Schlüssel bei jedem Verbindungsaufbau.

Das könnte Sie auch interessieren
Wettbewerbsrecht Widerrufsbelehrung - bei fehlender Telefonnummer, Faxnummer und/oder E-Mail droht Abmahnung