Neue Abmahnfalle: Was Händler über Datenschutz wissen müssen

Der Besucher einer Webseite ist nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten sowie etwaige Widerspruchsrechte zu unterrichten. Diese Pflicht trifft jeden Online-Händler. Dies gilt auch dann, wenn Sie zum Beispiel keinen Newsletter versenden oder keine Webanalyse-Tools nutzen.

Inhalt der Datenschutzerklärung

Notwendig für die in BDSG und TMG geforderte Unterrichtung ist eine Datenschutzerklärung, in welcher über die Nutzung personenbezogener Daten informiert wird. Nach § 4 Abs. 3 S. 1 Nr. 2 BDSG muss die verantwortliche Stelle den Betroffenen bei Erhebung der Daten über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung unterrichten. Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu informieren.

Welche Punkte genau in der Datenschutzerklärung enthalten sein sollten, hängt von der genauen Ausgestaltung im Online-Shop ab, wie zum Beispiel gesetzte Cookies, Social Plugins oder Werbemaßnahmen des Shops.

Sprechender Link erforderlich

Nach § 13 Abs. 1 S. 3 TMG muss der Inhalt dieser Unterrichtung jederzeit abrufbar sein. Daher muss ein sprechender Link auf die Datenschutzerklärung vorhanden sein, welcher von sämtlichen Seiten aus aufrufbar ist. Dies kann zum Beispiel über die folgenden Linkbezeichnungen geschehen:

• Datenschutz
  
• Datenschutzerklärung oder
  
• Datenschutzinformationen

Best Practice ist die Platzierung im Footer, dies ist aber kein Muss. Ein Link "AGB", unter welchem auch die Datenschutzerklärung zu finden ist, wäre hingegen nicht ausreichend.

Datenschutzgrundsätze

Die für Online-Händler wichtigsten Datenschutzgrundsätze sind:

1. Zweckbindungsgrundsatz: Daten dürfen nur für den Zweck verwendet werden, für den Sie auch erhoben worden sind. Nur zu diesem ursprünglich festgelegten Zweck darf eine Verarbeitung der Daten erfolgen.
   
   
2. Datensparsamkeit: Nach § 3a BDSG ist die Erhebung personenbezogener Daten an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Es muss daher für den Kunden erkennbar sein, welche Dateneingaben freiwillig sind und es dürfen nur solche Daten obligatorisch erhoben werden, welche für den Erhebungszweck notwendig sind. So ist zum Beispiel die Erhebung des Geburtsdatums in vielen Fällen für eine Bestellung in einem Online-Shop nicht notwendig.
   
   
3. Verbot mit Erlaubnisvorbehalt: Im Datenschutzrecht gilt ein Verbot mit Erlaubnisvorbehalt, das heißt alles, was nicht ausdrücklich durch Gesetz oder Einwilligung des Kunden erlaubt ist, ist verboten. Kundendaten, gleich ob Namen und Adressen, Kaufverhalten oder Abrechnungsdaten dürfen nur in sehr eingeschränktem Umfang erhoben und verarbeitet werden.

Datenübermittlung ohne Einwilligung

So ist eine Datenerhebung, -verwendung und -übermittlung dann zulässig "wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist" (§ 28 Abs. 1 Nr. 1 BDSG). Dies bedeutet, dass Verarbeitung personenbezogener Daten dann ohne Einwilligung möglich ist, wenn diese zur Vertragserfüllung notwendig ist.

Beispiel: Schließt ein Verbraucher einen Kaufvertrag mit einem Online-Händler, so darf der Händler die Adressdaten des Kunden ohne Einwilligung einem Transportunternehmen übermitteln, da er hierdurch bloß seine Vertragspflichten erfüllt.

Datenübermittlung mit Einwilligung

Ist eine Datenverarbeitung nicht von Gesetzes wegen erlaubt, bedarf sie einer Einwilligung gemäß § 4a BDSG. Die Vorschrift sieht zwar grundsätzlich die Schriftform vor, eine Einwilligung kann nach § 13 Abs. 2 TMG aber auch elektronisch erklärt werden, wenn der Händler sicherstellt, dass

• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  
• die Einwilligung protokolliert wird,
  
• der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  
• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Eine Einwilligung muss stets ausdrücklich erfolgen, es ist nicht möglich, diese zum Beispiel nur in den Geschäftsbedingungen zu platzieren. Insbesondere stellen Formulierungen in einer Datenschutzerklärung wie "Durch Nutzung unserer Webseite willigen Sie ein, dass ... " keine wirksame datenschutzrechtliche Einwilligung dar.

Immer umfassende Information nötig

Es kommt also nicht bei sämtlichen Datenverarbeitungsvorgängen auf eine Einwilligung des Betroffenen an. In jedem Fall ist dieser aber im Rahmen der § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten sowie etwaige Widerspruchsrechte zu unterrichten.

Sanktionen bei Verstößen

Bei Verstößen gegen datenschutzrechtliche Vorschriften drohen staatliche Sanktionen in Form von Bußgeldern bis zu 300.000 Euro. Wer entgegen § 33 Abs. 1 BDSG den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, dem droht eine Geldbuße von bis zu 50.000 Euro.

Abmahnbarkeit von Datenschutzverstößen

Verstöße gegen das Datenschutzrecht können dem jeweiligen Unternehmen auch unzulässige Wettbewerbsvorsprünge bringen, weshalb derartige Verstöße durch Konkurrenten in der Vergangenheit bereits abgemahnt wurden. Hier käme unter anderem ein Verstoß gegen § 3a UWG in Betracht. Allerdings wäre es hierfür erforderlich, dass es sich um eine datenschutzrechtliche Vorschrift handelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.

Jedoch herrscht in der Rechtsprechung keine Einigkeit, ob Verstöße gegen das Datenschutzrecht gleichzeitig auch wettbewerbswidrig sind und damit abgemahnt werden können. So hatte das KG Berlin (Beschluss v. 29.4.2011, 5 W 88/11) entschieden, dass ein Mitbewerber nicht abmahnen kann, wenn auf einer Webseite der Facebook Like-Button eingebunden ist, aber hierüber keine Information in der Datenschutzerklärung steht. Das OLG Hamburg (Urteil v. 27.6.2013, 3 U 26/12) urteilte hingegen, dass das Fehlen einer Datenschutzerklärung abgemahnt werden kann. Und auch das LG Frankfurt a.M. sah Verstöße beim Webtracking als abmahnfähig an (LG Frankfurt a.M., Urteil v. 18.2.2014, 3-10 O 86/12).

Eine höchstrichterliche Klärung durch den BGH ist noch nicht erfolgt.

Seit dem 24.02.2016 können darüber hinaus, aufgrund einer Gesetzesneuerung Verbraucherschutz- und Wettbewerbsverbände, Datenschutzverstöße im Rahmen ihrer Verbandsklagebefugnis nach dem UKlaG abmahnen und gerichtlich geltend machen.

Abschließender Tipp

Online-Händler müssen auf korrekte Datenerhebungs-, -nutzungs- und -verarbeitungsvorgänge achten. Über diese muss transparent informiert werden, weiter müssen diese Informationen über einen sprechenden, ständig verfügbaren Link abrufbar sein. Die Abmahngefahr für datenschutzrechtliche Fehler ist in diesem Jahr gestiegen, daher ist es umso wichtiger, hier auf eine datenschutzkonforme Gestaltung zu achten.