Grundlagen der Datenschutz-Grundverordnung
Bei Fernabsatzverträgen unterliegen Händler den umfassenden Anforderungen der Datenschutz-Grundverordnung (DSGVO), die seit dem 25.05.2018 unmittelbar geltendes Recht in der Europäischen Union ist. Die DSGVO gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen im Rahmen einer gewerblichen Tätigkeit, was sämtliche E-Commerce-Aktivitäten von Händlern erfasst. Als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Händler dafür verantwortlich, dass die Verarbeitung der Kundendaten den Anforderungen der Verordnung entspricht. Dies gilt unabhängig davon, ob der Händler seine Daten selbst verarbeitet oder einen Auftragsverarbeiter beauftragt.
Informationspflichten bei Datenerhebung
Der Händler ist verpflichtet, dem Verbraucher bei der Erhebung personenbezogener Daten umfassende Informationen gemäß Art. 13 DSGVO zur Verfügung zu stellen. Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Zu den erforderlichen Informationen gehören der Name und die Kontaktdaten des Händlers sowie gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, falls ein solcher benannt wurde. Zudem muss der Händler über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung informieren. Bei einer Verarbeitung auf Basis eines überwiegenden berechtigten Interesses sind diese berechtigten Interessen anzugeben. Der Händler muss ferner über die Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer informieren. Wichtig ist auch der Hinweis auf die Betroffenenrechte, wie das Recht auf Auskunft, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Der Verbraucher muss darüber informiert werden, dass er seine Einwilligung jederzeit widerrufen kann, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Schließlich ist auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde hinzuweisen.
Cookies und Tracking-Technologien
Die Verwendung von Cookies und ähnlichen Tracking-Technologien unterliegt besonderen Anforderungen. Der Europäische Gerichtshof hat in der Entscheidung "Planet49" klargestellt, dass keine wirksame Einwilligung vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Der Bundesgerichtshof hat diese Rechtsprechung ausdrücklich bestätigt und angewandt. Die Einwilligung muss vielmehr durch eine aktive Handlung des Nutzers, etwa durch das Setzen eines Häkchens in ein zunächst leeres Ankreuzkästchen, erteilt werden. Diese Anforderungen gelten unabhängig davon, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Der Diensteanbieter muss dem Nutzer im Rahmen der nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorzunehmenden klaren und umfassenden Information auch Angaben zur Funktionsdauer der Cookies und dazu geben, ob Dritte auf die Cookies Zugriff erhalten können. Diese Informationen sind notwendig, damit der Nutzer die Konsequenzen seiner Einwilligung leicht ermitteln kann.
Social Media Plugins und externe Inhalte
Bei der Einbindung von Social Media Plugins, insbesondere des "Gefällt mir"-Buttons von Facebook, hat der Europäische Gerichtshof in der Entscheidung "Fashion ID" wichtige Grundsätze aufgestellt. Danach kann der Websitebetreiber gemeinsam mit dem Anbieter des sozialen Netzwerks als Verantwortlicher für die Datenverarbeitung angesehen werden, wenn er das Plugin in der Absicht einbindet, die Werbung für seine Produkte zu optimieren. Die gemeinsame Verantwortlichkeit bezieht sich dabei auf das Erheben der personenbezogenen Daten der Besucher der Website und deren Weitergabe durch Übermittlung. Der Websitebetreiber bestimmt gemeinsam mit dem Pluginanbieter über die Mittel und Zwecke dieser Datenverarbeitung, da er durch die Einbindung des Plugins entscheidend das Erheben und die Übermittlung der Daten beeinflusst
Datenübermittlung in Drittstaaten
Wenn ein Händler personenbezogene Daten an Dienstleister in Drittstaaten, insbesondere in die Vereinigten Staaten, übermittelt, gelten besondere Anforderungen. Der Europäische Gerichtshof hat in der Entscheidung "Schrems II" klargestellt, dass eine Datenübermittlung in ein Drittland nur zulässig ist, wenn die nach Art. 46 DSGVO erforderlichen geeigneten Garantien gewährleisten, dass die Rechte der betroffenen Personen ein Schutzniveau genießen, das dem in der Europäischen Union durch die DSGVO garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung sind insbesondere die vertraglichen Regelungen zwischen dem in der Europäischen Union ansässigen Verantwortlichen und dem im Drittland ansässigen Empfänger sowie die maßgeblichen Elemente der Rechtsordnung dieses Drittlandes zu berücksichtigen. Der EuGH hat den "EU-US-Datenschutzschild"-Beschluss für ungültig erklärt, da das US-amerikanische Recht nicht ein angemessenes Schutzniveau gewährleistet. Standardvertragsklauseln, die von der Europäischen Kommission erarbeitet wurden, sind zwar grundsätzlich gültig, die zuständige Aufsichtsbehörde ist jedoch verpflichtet, eine auf Standardvertragsklauseln gestützte Datenübermittlung auszusetzen oder zu verbieten, wenn diese Behörde feststellt, dass die Klauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können. Dies bedeutet, dass Händler bei der Nutzung von US-Dienstleistern, insbesondere für Webanalyse, Zahlungsverarbeitung oder Cloud-Dienste, sorgfältig prüfen müssen, ob angemessene Garantien für den Datenschutz bestehen.
Datenminimierung und Zweckbindung
Der Händler muss den Grundsatz der Datenminimierung beachten und darf nur diejenigen personenbezogenen Daten erheben und verarbeiten, die zur Vorbereitung, Durchführung und Abwicklung eines konkreten Rechtsgeschäfts erforderlich sind. Der Bestellprozess sollte so ausgestaltet werden, dass die Datenfelder, die mindestens für die jeweilige Vertragserfüllung erforderlich sind, als Pflichtfelder markiert werden. Diese Daten können regelmäßig auf der Grundlage des entsprechenden schuldrechtlichen Vertrages nach Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden. Weitere Datenfelder, die keine Pflichtfelder sind, sollten nur genutzt werden, wenn eine entsprechende Rechtsgrundlage vorhanden ist und der Kunde ausreichend informiert wird. Aufsichtsbehörden legen in der Praxis einen strengen Maßstab daran an, ob ein personenbezogenes Datum für eine Vertragserfüllung erforderlich ist. Im Sinne der Datenminimierung sollte ein Händler grundsätzlich einen Gastzugang ermöglichen, mit dem ein Kunde eine Ware erwerben oder eine Dienstleistung in Anspruch nehmen kann, ohne zusätzlich einen Nutzungsvertrag für ein Kundenkonto abzuschließen.
Technische und organisatorische Maßnahmen
Der Händler muss geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko entsprechendes Maß an Sicherheit zu gewährleisten. Nach Art. 25 Abs. 1 DSGVO ist durch datenschutzfreundliche Voreinstellungen sicherzustellen, dass nur die personenbezogenen Daten verarbeitet werden, die für die Verarbeitungszwecke erforderlich sind. Werden Daten erhoben, die für die Verarbeitungszwecke nicht erforderlich sind, ist eine Einwilligung des Nutzers in diese Datenverarbeitung einzuholen. Die Pseudonymisierung personenbezogener Daten ist eine Maßnahme, die geeignet sein kann, ein dem Risiko entsprechendes Maß an Sicherheit zu gewährleisten. Bei der pseudonymen Profilbildung zur Analyse des Nutzerverhaltens sollte eine strenge Pseudonymisierung der Analysedaten erfolgen, um den Eingriff in die Interessen der Betroffenen möglichst gering zu halten. Die Aufsichtsbehörden erkennen insbesondere die Identifikation eines bestimmten Nutzers nur über eine Cookie-ID grundsätzlich als ausreichende Pseudonymisierung an. Hingegen stellen eindeutige Geräte- und Kartenkennungen wie die IMEI-Nummer oder auch die Internetprotokoll-Adresse kein Pseudonym dar.
Webanalyse und Nutzungsprofile
Bei der Analyse von Nutzerdaten zu Werbezwecken oder zur bedarfsgerechten Gestaltung der Website sind besondere Anforderungen zu beachten. In der Praxis empfiehlt es sich, eine Einwilligung für die Analyse des Nutzerverhaltens dann einzuholen, wenn die Cookie-Richtlinie einschlägig ist. Dies ist nicht nur beim Einsatz von Cookies zu Analysezwecken der Fall, sondern immer dann, wenn es um die Speicherung von Informationen oder den Zugriff auf Informationen geht, die bereits im Endgerät des Nutzers gespeichert sind. Bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO lassen sich die Leitlinien zu § 15 Abs. 3 TMG zugrunde legen, da diese in weiten Teilen eine interessengerechte Lösung darstellen. Allerdings besteht nach der DSGVO eine erhöhte Rechtsunsicherheit aufgrund der freieren Interpretationsmöglichkeiten bei der Interessenabwägung. Art. 21 Abs. 2 DSGVO gewährt ein Widerspruchsrecht gegen eine Datenverarbeitung zum Zweck der Direktwerbung, welches im Fall des Widerspruchs zwingend zur Unzulässigkeit der weiteren Datenverarbeitung zu diesem Zweck führt.
E-Mail-Werbung und Newsletter
Für den Versand von Newslettern und anderer E-Mail-Werbung gilt § 7 Abs. 2 Nr. 2 UWG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. E-Mail-Werbung ist ohne ausdrückliche vorherige Einwilligung des Empfängers grundsätzlich als unzumutbare Belästigung anzusehen. Eine Einwilligung liegt vor, wenn der Empfänger sich freiwillig und in Kenntnis über die Sachlage ausdrücklich damit einverstanden erklärt, dass seine E-Mail-Adresse für E-Mail-Werbung benutzt wird. Eine vermutete Einwilligung ist für die Zulässigkeit der E-Mail-Werbung nicht ausreichend. Die Beweislast für die Einwilligung trifft den E-Mail-Versender. Bei laufenden Geschäftsbeziehungen erlaubt § 7 Abs. 3 UWG ausnahmsweise E-Mail-Werbung auch ohne ausdrückliche Einwilligung, sofern der Anbieter die E-Mail-Adresse im Rahmen einer vertraglichen Beziehung von einem Kunden erhalten hat, der Kunde der Verwendung nicht widersprochen hat und der Anbieter die E-Mail-Adresse nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet. Der Kunde muss bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er die Verwendung jederzeit untersagen kann.
Betroffenenrechte
Die Verbraucher stehen im Rahmen des Fernabsatzes zahlreiche Betroffenenrechte zu. Das Recht auf Auskunft nach Art. 15 DSGVO ermöglicht es dem Verbraucher, Informationen darüber zu erhalten, ob personenbezogene Daten über ihn verarbeitet werden und welche Daten dies sind. Das Recht auf Löschung nach Art. 17 DSGVO ermöglicht die Löschung von Daten, wenn diese für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind. Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO erlaubt es dem Betroffenen, die Einschränkung der Verarbeitung zu erwirken, wenn die Richtigkeit der Daten bestritten wird. Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO ermöglicht es dem Betroffenen, seine Daten an einen anderen Verantwortlichen übertragen zu lassen. Diese Rechte müssen dem Verbraucher in der Datenschutzerklärung klar und verständlich erläutert werden.