E-Commerce - Datenschutz
VO 2018/1807
1. Einführung
Die Tatsache, dass sich im Internet nahezu alle Bewegungen des Anwenders protokollieren lassen, von der Verweildauer des Betrachters auf der Website des Anbieters bis hin zur Version und dem Typ der benutzten Browser-Software, eröffnet den Anbietern von Waren und Dienstleistungen neue, ungeahnte Möglichkeiten für das sogenannte "One-to-One-Marketing".
Es können in hohem Umfang Konsumentenprofile erstellt werden. Diese ermöglichen es den Anbietern, Kunden direkt und individuell je nach Interessen, Kaufgewohnheit und Kaufkraft anzusprechen. Dies führt zu hohen Anforderungen an den Datenschutz im E-Commerce.
2. Rechtsgrundlagen
In den §§ 11 - 15a TMG sind die Vorgaben für den im elektronischen Geschäftsverkehr einzuhaltenden Datenschutz geregelt.
Zudem ist die am 28.05.2019 in Kraft getretene "VO 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union" zu beachten.
Gemäß dem Handbuch zur Anwendung der Verordnung besteht folgendes Ziel:
"Um den grenzüberschreitenden Austausch von Daten weiter zu verbessern und die Datenwirtschaft anzukurbeln, haben das Europäische Parlament und der Rat im November 2018 auf der Grundlage eines Vorschlags der Europäischen Kommission (...) die Verordnung (EU) 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union 1 (...) angenommen. Die Verordnung gilt ab dem 28. Mai 2019. Der Grundsatz des freien Verkehrs personenbezogener Daten ist bereits in der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG 2 (...) festgelegt. Daher gibt es nun einen umfassenden Rahmen für einen gemeinsamen europäischen Datenraum und den freien Verkehr aller Daten innerhalb der Europäischen Union."
Das Handbuch ist als "Leitlinien zur Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union" unter folgendem Link veröffentlicht:
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52019DC0250&qid=1560349152512&from=EN
3. Anwendungsbereich
Der Anwendungsbereich des Datenschutzes nach den §§ 11 - 15a TMG erstreckt sich auf die Erhebung und Verwendung personenbezogener Daten. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Gemäß § 12 TMG darf der Diensteanbieter die vom Anwendungsbereich erfassten personenbezogenen Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dies nach dem Telemediengesetz oder einer andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, erlaubt ist oder der Nutzer eingewilligt hat.
Zu den Angaben über persönliche Verhältnisse zählen u.a.:
Name
Familienstand
Beruf
Einzelangaben über sachliche Verhältnisse sind:
Wohnort
Eigentumsverhältnisse
Informationen über besuchte Seiten im Internet, die Rückschlüsse auf Interessen und Vorlieben einer Person zulassen
Ausgeschlossen sind gemäß § 11 TMG die Erhebung und Verwendung von personenbezogenen Daten die
im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken erfolgt
oder
die innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.
Die Erhebung und Verwendung dieser Daten unterliegt den Vorgaben des allgemeinen Datenschutzes.
Nicht personenbezogene Daten, z.B. reine Maschinenangaben (IP-Adressen), können für Auswertungszwecke protokolliert werden, sofern kein Rückschluss auf den jeweiligen Nutzer möglich ist, also die Anonymität des Nutzers gesichert ist.
4. Vorgaben für personenbezogene Daten
4.1 Allgemein
In den §§ 14, 15 TMG sind die Vorgaben für die Erhebung und Verwendung der personenbezogenen Daten geregelt.
Dabei wird unterschieden zwischen Bestandsdaten und Nutzungsdaten:
Bestandsdaten sind die personenbezogenen Daten des Nutzers eines Teledienstes, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit ihm über die Nutzung von Telediensten erforderlich sind (§ 14 TMG). Bestandsdaten dürfen insofern nur zu diesen Zwecken erhoben bzw. verwendet werden.
Nutzungsdaten sind die personenbezogenen Daten, mit denen die Inanspruchnahme von Telemedien ermöglicht oder mithilfe derer abgerechnet werden kann (§ 15 TMG). Es handelt sich dabei insbesondere um Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie den Umfang der jeweiligen Nutzung sowie Angaben über die vom Nutzer in Anspruch genommenen Teledienste.
4.2 Bestandsdaten
Nach dem Erlaubnistatbestand des § 14 TMG dürfen Anbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben, verarbeiten und nutzen, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit ihm über die Nutzung von Telediensten erforderlich sind.
Aufgrund der strengen Zweckbindung ist eine Verwendung von Bestandsdaten für andere Zwecke (wie Zwecke der Beratung, Werbung oder Marktforschung) nach § 14 TMG nicht erlaubt. Jedoch können dieselben Daten, die als Bestandsdaten erhoben werden, nach Maßgabe von § 15 TMG ohne Einwilligung seitens des Nutzers erhoben werden. Die dort geregelten Erlaubnistatbestände hinsichtlich der Verarbeitung von über das Internet zugänglichen Daten sind allerdings abschließend.
4.3 Nutzungsdaten
Nutzungsdaten unterliegen gemäß § 15 TMG einem geringerem Schutz. Zulässig ist auch eine der folgenden Verwendungen:
Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien dürfen zusammengeführt werden, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist, d.h. es kann für den Nutzer eine einheitliche Rechnung aufgestellt werden.
Sie dürfen über das Vertragsende hinaus verwendet werden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten).
Abrechnungsdaten dürfen auch an andere Diensteanbieter oder Dritte übermittelt werden, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist.
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Die Übermittlung der Nutzungsdaten an Dritte ist - auch wenn dies pseudonymisiert geschieht - nicht zulässig. § 15 Abs. 5 S. 4 TMG erlaubt lediglich, dass Nutzungsdaten anonymisiert, d.h. ohne jeden Personenbezug und ohne Pseudonym zum Zwecke der Marktforschung anderer Diensteanbieter übermittelt werden.
5. Pflichten des Diensteanbieters
Der Diensteanbieter hat im Rahmen des Datenschutzes die in § 13 TMG geregelten Pflichten, so z.B.:
Unterrichtungspflichten:
Gemäß § 13 Abs. 1 TMG besteht eine umfassende Hinweispflicht des Diensteanbieters gegenüber dem Nutzer, die vor Beginn des Nutzungsvorgangs zu erfüllen ist.
Hinweis:
Die Unterrichtungspflicht bezieht sich auch auf automatisierte Verfahren, die eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erst vorbereiten. Der Nutzer ist danach beispielsweise über die Speicherung eines Cookies auf seinem Rechner hinzuweisen. Erforderlich ist ein konkreter Hinweis auf Zweck, Inhalt und Verfallsdatum des Cookies. Nicht ausreichend ist der pauschale Hinweis auf die Verwendung von Cookies oder der allgemeine Hinweis auf Nutzungsbedingungen bzw. Allgemeine Geschäftsbedingungen.
Einwilligung:
Die Einwilligung ist auch online möglich. Die Voraussetzungen dafür sind in § 13 Abs. 2 TMG geregelt.
Vor Erklärung seiner Einwilligung muss der Nutzer auf sein Recht auf jederzeitigen Widerruf mit Wirkung für die Zukunft hingewiesen werden. Eine Umgehung, etwa durch ausdrückliche Erklärung des Verzichtes auf die Widerrufsmöglichkeit ist allerdings nicht zulässig.
Erforderlich ist also grundsätzlich eine aktive Handlung des Nutzers. Allerdings muss sichergestellt sein, dass auch tatsächlich ein aktives Handeln erfolgt. Dies ist nicht der Fall, wenn in einem anklickbaren Feld in einem Formular die Standardeinstellung bereits mit Einwilligung versehen wird. Eine solche Voreinstellung entspricht nicht der aktiven Anwahl.
Auskunftserteilung:
Gemäß § 13 Abs. 7 TMG hat der Diensteanbieter dem Nutzer auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden. Der Inhalt der Auskunft bestimmt sich nach § 34 BDSG.
Um zu vermeiden, dass durch die Anfrage des Nutzers dessen Pseudonym nachträglich aufgedeckt wird, ist den Nutzern die Möglichkeit einer Auskunftserteilung unter Pseudonym einzuräumen. Dabei ist technisch sicherzustellen, dass nicht unberechtigte Dritte das Pseudonym verwenden (etwa durch die Vereinbarung eines Kennsatzes bei der Vergabe des Pseudonyms, der dann bei der Auskunftserteilung abgefragt wird).
Daneben muss der Diensteanbieter bei Kenntniserlangung von einer unrechtmäßigen Datenübermittlung bzw. -nutzung die in § 15a TMG aufgeführten Handlungsschritte ergreifen.
6. Sanktionen einer Verletzung des Datenschutzes
Kommt es im Rahmen des elektronischen Geschäftsverkehrs zu einer Verletzung der datenschutzrechtlichen Vorgaben, so kann dies bei Vorliegen der in § 16 Abs. 1 TMG aufgeführten Voraussetzungen als Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000,00 EUR geahndet werden.
Daneben können Mitbewerber wettbewerbsrechtliche Ansprüche und Betroffene zivilrechtliche Ansprüche (Unterlassungs- und Schadensersatzansprüche aus § 823 Abs. 2 BGB i.V.m. datenschutzrechtlichen Vorschriften) geltend machen.
E-Commerce - Datenschutz - Nutzungsprofile
Eßer/Kramer/von Lewinski: DSGVO / BDSG. Kommentar; 6. Auflage 2018
Wendehorst: Das neue Gesetz zur Umsetzung der Verbraucherrechterichtlinie; Neue Juristische Wochenschrift - NJW 2014, 577
