Die Debatte um Datenschutz im Internet ist dank der Datenschutz-Grundverordnung DSGVO bedeutend wie nie – aber sie gibt es nicht erst seit den Social Media wie Facebook, Twitter und Co. Jeder Nutzer hinterlässt unausweichlich Spuren im Internet. Das beginnt beim Internetprovider und hört bei der Nutzung von Suchmaschinen, sozialen Netzwerken und Bestellungen über Online-Shops mit der Eingabe persönlicher Daten sowie Bankverbindungen oder Kreditkartendaten noch lange nicht auf. Für Unternehmen sind die Persönlichkeitsprofile, die sich aus den Rechercheverläufen in Suchmaschinen oder aus eingegebenen Daten und Informationen in sozialen Netzwerken ergeben, von höchstem Interesse, ermöglichen sie doch auf Einzelpersonen abgestimmte Werbung. Allerdings gelten für die Speicherung gerade personenbezogener und nicht anonymisierter Daten strengste Auflagen – sowohl für Internetdienstanbieter, als auch für Online-Shops und im eCommerce. Diese Daten dürfen nur solange gespeichert werden, wie zur Abwicklung einer vom Nutzer gewünschten Transaktion nötig ist.

Einer längeren Speicherung beispielsweise zur Zusendung eines E-Mail-Newsletters mit Werbung muss der Kunde bzw. Nutzer ausdrücklich zustimmen. Hier muss das „Double-Opt-In-Verfahren“ angewendet werden, bei dem der Empfänger seine E-Mail-Adresse oder weitere persönliche Daten nicht nur aktiv in ein Formular einträgt oder deren Speicherung durch das Ankreuzen eines Kästchens aktiviert, sondern zusätzlich einen Bestätigungslink in einer zugeschickten Nachricht anklicken muss. So können Empfänger, deren Mailadresse gegen deren Willen eingetragen wurde, den Empfang elektronischer Werbung ablehnen. Mit dem „Double-Opt-In-Verfahren“ stellen Unternehmen auf der anderen Seite sicher, dass die Empfänger ihrer Newsletter und E-Mailings diese auch wirklich angefordert haben. Unerlässlich ist es aus Beweisgründen, die entsprechenden Aktivierungen und Anforderungen abzuspeichern und zu archivieren.

Vielen Unternehmen und Firmen ist nicht bekannt, dass sie, wenn sie computergestützt mit personenbezogenen Daten – Kunden- wie Mitarbeiterdaten – umgehen, laut der geltenden Datenschutzgesetze einen eigenen Datenschutzbeauftragten brauchen. Dieser kümmert sich um die datenschutzrechtlich zulässige Verarbeitung von Kunden- und Mitarbeiterdaten und kann über Erfordernisse hinsichtlich des Datenschutzes frei und unabhängig entscheiden. Auch bei Firmenverträgen mit Kooperationspartnern, Lieferanten oder Dienstleistern gelten, sofern sie personenbezogene Daten beinhalten, datenschutzrechtliche Bestimmungen. Gegebenenfalls ist auch hier der Datenschutzbeauftragte zu nennen. Gerade bei Online-Shops und eCommerce-Unternehmen, die zwangsläufig mit sensiblen, individuellen Daten arbeiten, muss ein interner oder externer Datenschutzbeauftragter existieren und auch auf den entsprechenden Seiten als Ansprechpartner benannt werden. Stellen die Aufsichtsbehörden fest, dass es keinen Datenschutzbeauftragten gibt, obwohl einer notwendig wäre, drohen teure Bußgelder – seit Geltung der DSGVO können diese bis zu 4% des Jahresumsatzes oder 20 Mio. € betragen.

Haben Sie eine Abmahnung erhalten, möchten Sie eine rechtssichere Umsetzung Ihres Online-Shops oder möchten Sie Ihre Marke schützen?

Übrigens: Wir bieten bei Abmahnungen günstige Pauschalen, fragen Sie uns!

Dr. Metzner Rechtsanwälte

0800 12 12 002

Stubenlohstr. 8

91052 Erlangen

Tel. +49 (0) 91 31) 6 11 61 – 0

Fax +49 (0) 91 31) 6 11 61 – 19

Anfahrt Erlangen

post(at)kanzlei-metzner.de

Unternehmen und Anbieter von Online-Shops sollten mit den ihnen anvertrauten Kundendaten nicht nur sorgsam und korrekt umgehen, sondern auf ihren Internetseiten auch eine ausführliche Erklärung zum Datenschutz (Datenschutzerklärung) einstellen. Darin muss die Verwendung personenbezogener Daten und personalisierter Cookies konkret und ausführlich erläutert werden, ebenso wie Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte. Die Erhebung, Verwendung und Speicherung personenbezogener Daten unterliegt in der Europäischen Union einem strengen Zweckbindungsgrundsatz nach dem alles, was nicht explizit vom Kunden oder durch das Datenschutzgesetz erlaubt wurde, verboten ist.

Alle Daten, die nicht zwingend für die Abwicklung einer Transaktion nötig sind, dürfen nur dann erhoben werden, wenn der Online-Kunde ausdrücklich zugestimmt hat. Eine Einwilligung muss den genauen Zweck der Datenerhebung und -verarbeitung enthalten und nachvollziehbar protokolliert werden. Kunden müssen ihre Einwilligungen in eine Datenerhebung zu jedem Zeitpunkt ab- und widerrufen können. Die Zustimmung muss aktiv erfolgen, vorangekreuzte Kästchen und Masken sind wirkungslos und können sogar abgemahnt werden. Auch eine vorformulierte pauschale Einwilligung in den AGB ist nicht erlaubt.

Eingewilligt werden muss unter anderem in die Zusendung von E-Mail-Newslettern, in eine Datenweitergabe (die nicht der Abwicklung eines Auftrages dient), in die Kontaktierung zu Werbezwecken, die Registrierung als Kunde oder in die Speicherung von Langzeit-Cookies.

Mit der Datenschutz-Grundverordnung sind alle Unternehmen gezwungen, sich wesentlich weitreichender mit Datenschutz zu beschäftigen als zuvor. So hat jedes Unternehmen ein Verzeichnis zu führen, in dem dokumentiert ist, wie personenbezogene Daten verarbeitet werden. Dieses Verzeichnis ist zum Beispiel kontrollierenden Behörden auf Anforderung vorzulegen. Des Weiteren muss stets vertraglich geregelt sein, wenn betreffende Daten an Dritte weitergegeben werden, an die die Datenverarbeitung delegiert wird. Auch solche Auftragsdatenverarbeitungsverträge (ADV-Verträge) müssen vorhanden sein und den gesetzlichen Anforderungen entsprechen.