Datenschutz bei Online-Shops

Der Trend, Waren digital anzubieten – seien es digitale Produkte oder tatsächlich physische Waren – setzt sich fort und beschleunigte sich während der Pandemie sogar. Davon profitieren vor allem Großkonzerne, aber auch Einzelhändler oder Restaurants, die pandemiebedingte Einbußen im stationären Handel erleiden mussten und sich einen zusätzlichen digitalen Vertriebskanal erschlossen haben. Dabei müssen sie alle gleichermaßen die datenschutzrechtlichen Vorgaben aus der EU-Datenschutzgrundverordnung (DSGVO), des Bürgerlichen Gesetzbuches (BGB) und dem neuen Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) beachten und umsetzen. Dies auch aufgrund der Möglichkeit der Verarbeitung von Nutzerstatistiken und Erstellung von Persönlichkeitsprofilen. Daten selbst sind aktuell eine begehrte Ware. Die Anhäufung von personenbezogenen Daten ergibt sich bei einem Online-Shop teilweise ganz von selbst. Sie werden schließlich bereits verarbeitet, um die Webseite überhaupt anbieten zu können. Es gibt auch Wege, Daten zu verarbeiten, die über das technisch Notwendige hinausgehen. Worauf ist also mit Blick auf den Datenschutz bei Online-Shops zu achten?

Ziel eines Online-Shops

Ein Online-Shop kann für den Betreiber eine Vielzahl von Vorteilen mit sich bringen. Während ein Ladengeschäft eine feste, physische Adresse hat, wo sich Menschen aktiv hinbewegen müssen, ist der Online-Shop für alle und von überall aus jederzeit erreichbar. Damit kann ein Online-Shop-Betreiber dann natürlich auch den Umsatz gegebenenfalls entsprechend steigern. Das nicht nur für die Produkte, sondern eventuell sogar auch durch Affiliate-Links (Partner-Links, die die Grundlage für die Abrechnung von Vermittlungsprovisionen bilden). Da personenbezogene Daten solch begehrte Ware sind, hat so manch ein Online-Shop-Betreiber eventuell sogar die Idee, den Verkauf dieser Daten nebenher als weitere Umsatzquelle zu nutzen – in Unkenntnis der datenschutzrechtlichen Bußgeldrisiken. Ist Datenschutz also ein Hindernis? Nein, Datenschutz ist die Grundlage für das Vertrauen der Kunden und damit für das Geschäft! Man muss den Datenschutz nur korrekt umsetzen.

Cookies

Cookies sind ein beliebtes Mittel, um Informationen über die Webseiten-Besucher und (potentiellen) Käufer zu sammeln. Zum einen gibt es die technisch notwendigen Cookies, z. B für die Sprachwahl und den Warenkorb. Zum anderen gibt es auch die funktionellen Cookies. Das sind wohl die, die für Online-Shop-Betreiber, vor allem aber für Google, Facebook (jetzt: Meta) und andere Dienstanbieter, von besonderem Interesse sind. Folgende Informationen können diese Cookies liefern, die eventuell speziell für einen Online-Shop-Betreiber interessant sein können:

Angesehene Produkte

Mit Hilfe eines Cookies kann ein Online-Shop-Betreiber erkennen, welche der angebotenen Produkte für Besucher auf den ersten Blick besonders interessant erscheinen. Es gibt daneben Cookies, die spezifischere Daten liefern können. Bietet ein Online-Shop-Betreiber beispielsweise ein Produkt in verschiedenen Ausführen an, kann er herausfinden, welche Variante besonders viel oder wenig Zuspruch findet. Gibt es vielleicht eine Produktfarbe, die besonders populär ist? Hat ein besonders oft gekauftes Produkt bestimmte Maße oder Formen? Liegt ein spezielles Material besonders im Trend? Welche Varianten von Werbeanzeigen für dasselbe Produkt sind besonders erfolgreich und lohnen den Einsatz eines höheren Werbebudgets? Dies und noch viel mehr an Informationen können Cookies und die Auswertungs-Tools von Meta, Google Analytics und Co. einen Verantwortlichen, dem Online-Shop-Betreiber, liefern.

Warenkorb

Mithilfe bestimmter Cookies, bekommt ein Verantwortlicher Informationen darüber, welche Produkte es in den Warenkorb von Kunden schaffen. Weiterführend kann er erfahren, ob die Kunden folglich Kaufentscheidungen treffen, den Kauf „aufschieben“ oder sich gegen einen Kauf entscheiden.

Zahlungsmittel

Es ist für einen Online-Shop-Betreiber interessant, zu erfahren, wie Kunden für die Produkte bezahlen. Anhand solcher Kriterien kann er folglich eventuell feststellen, wo sich Kunden befinden bzw. in welchem Land sie sich befinden oder welcher Nationalität sie angehören. Deutschsprachige Menschen zahlen eventuell noch immer gern auf Rechnung, während sich in anderen Kulturen die Kreditkarte hoher Beliebtheit erfreut. Weiterführend kann der Betreiber dann natürlich anhand der personenbezogenen Daten, die er im Zuge des Zahlungsvorganges erhält, feststellen, in welchem Land seine Produkte besonders beliebt sind. Möglicherweise ist es dann lohnenswert, Produkte (teilweise) entsprechend im Design und in der Funktionalität anzupassen.

Affiliate-Links

Der Einsatz von Affiliate-Links funktioniert ebenfalls über Cookies (auch bekannt als: Drittanbieter-Cookies). Somit besteht auch hierbei die Möglichkeit für Dritte, zu den personenbezogenen Daten der Nutzer Zugang erhalten zu können. Technisch notwendig sind sie in keiner Weise.

Tracking

Bestimmte Cookies erlauben es einem Webseiten-Betreiber auch, Nutzer Webseiten-übergreifend zu „verfolgen“. Das bedeutet, dass ein bestimmtes Cookie bei Besuch der eigentlichen Seite gesetzt wird, was dann aber weiterhin Daten verarbeitet, während ein Nutzer andere Webseiten aufruft. So kann die Auswertung des Surf-Verhaltens bewirken, dass ein Online-Shop-Betreiber die Produktanzeige entsprechend anpassen kann. Auch solch einen Cookie darf ein Webseiten-Betreiber nur mit Einwilligung einsetzen.

Bedingungen und Voraussetzungen für einen datenschutzrechtlich zulässigen Einsatz von Cookies

Grundsätzlich muss das Setzen und Auslesen von Cookies von der anschließenden Verarbeitung der Daten unterschieden werden. Für das Setzen und Auslesen von Cookies auf dem Endgerät des Nutzers (PC, Smartphone, Tablet o. A.) bedarf es grundsätzlich einer Einwilligung nach § 25 TTDSG. Liegt eine Ausnahme vor, bedarf es keiner Einwilligung. Eine Ausnahme liegt insbesondere dann vor, wenn die Speicherung und der Zugriff auf die Information unbedingt erforderlich sind, um eine vom Nutzer ausdrücklich gewünschte Funktion (Telemediendienst) zur Verfügung zu stellen (z. B. Sprachwahl, Warenkorb, Videowiedergabe, Kartenansicht etc.).

Einwilligung oder berechtigtes Interesse für Einsatz der Cookies

Generell gilt also – auch in Bezug auf die seit 01.12.2021 geltende Bestimmung des § 25 Abs. 2 Nr. 2 TTDSG -, dass ein Webseiten-Betreiber bei technisch notwendigen Cookies keine Einwilligung einholen muss. Hier könnte sich ein Online-Shop-Betreiber also auf eine Ausnahme vom Einwilligungserfordernis nach TTDSG berufen. – Mehr zum Thema des Einsatzes von Cookies aufgrund einer Einwilligung oder von Ausnahmen können Interessierte auch hier lesen und noch detaillierter hier. –

Bei einem Online-Shop kann die Warenkorbfunktion als technisch notwendig betrachtet werden. Genauso verhält es sich mit der Zahlfunktion. Im Fall eines Online-Shops kann ein Verantwortlicher also auch diese Cookies als technisch notwendig betrachten und sie ohne Einwilligung einsetzen. Dabei muss er allerdings darauf achten, dass das Cookie erst aktiviert wird, wenn der Nutzer dieses benötigt. Sobald der Besucher also ein Produkt in den Warenkorb legt, kommt dieses Cookie zum Einsatz. Genauso verhält es sich mit dem Cookie zur Abwicklung von Zahlungen. Das entsprechende Cookie ist erst zu aktivieren, wenn der Kunde für die Produkte im Warenkorb zahlen möchte und nicht eher – und dann auch in Abhängigkeit des gewählten Zahlungsmittels. Auch bei Einbindung eines Kontaktformulars auf der Webseite, darf das Cookie hierfür nicht sofort aktiviert werden. Dieses darf erst zum Einsatz kommen, wenn der Besucher den Webseiten-Betreiber über das Kontaktformular kontaktieren möchte.

Kurz: Technisch nicht notwendige Cookies dürfen nur mit Einwilligung zum Einsatz kommen. – Worauf dabei zu achten ist, erläutern wir auch in diesem Beitrag. –  Des Weiteren gibt es auch von der Datenschutzkonferenz eine Orientierungshilfe von Ende Dezember 2021.

Cookies von Anbietern unsicherer Drittländer

Als unsicheres Drittland gilt ein Land außerhalb der EU mit einem niedrigeren Datenschutzstandard als die DSGVO verlangt. Aktuell gilt u. a. auch die USA als unsicheres Drittland. Genau dies ist ein Problem, da eine Vielzahl der Cookie-Dienstanbieter ihren Sitz in den USA haben. Folglich haben sie die Zugang zu den personenbezogenen Daten, die ein Webseiten-Betreiber bei Einsatz dieser Cookies erhebt. Aufgrund der umfassenden Zugriffsbefugnisse US-amerikanischer Behörden kann sich daraus eine rechtswidrige Verarbeitung von personenbezogenen Daten ergeben. Demnach gibt es momentan keinen Angemessenheitsbeschluss zur Übermittlung personenbezogener Daten in die USA (siehe auch Urteil des EuGH vom 16.07.2020 in der Rechtssache C‑311/18). – Dieser Beitrag geht näher auf dieses Thema ein und erklärt, weshalb die USA als unsicheres Drittland gilt. – Möchte ein Verantwortlicher also die Dienste eines Drittlandes ohne Angemessenheitsbeschluss nutzen, muss er genau untersuchen, welche Sicherheitsvorkehrungen er treffen muss, um das von der DSGVO verlangte Datenschutzniveau gewährleisten zu können.

– Auf der Webseite des Hessischen Beauftragten für Datenschutz und Informationsfreiheit finden Sie übrigens eine Liste mit nicht-EU-Ländern, die als sichere Drittländer gelten. –

Datenschutz beim Bezahlen mit Daten

Im Zuge der Umsetzung der EU-Richtlinie zu digitalen Inhalten hat der deutsche Gesetzgeber in § 327 bis 327s BGB mit Wirkung zum 01.01.2022 umfangreiche Regelungen zu Verbraucherverträgen über digitale Produkte eingeführt. Teil der Regelungen ist die Klarstellung, dass man mit seinen Daten bezahlen kann und einem zugleich aus der Ausübung von Datenschutzrechten keine Nachteile entstehen dürfen. Allerdings kann sich der Unternehmer z. B. beim Widerruf von Einwilligungen zur Datenverarbeitung durch eine fristlose Kündigung vom Dauervertrag (Abo-Vertrag o. Ä.) lösen (siehe § 327q BGB).

Datenschutzhinweis

Der Webseiten-Betreiber hat die Pflicht, über jegliche Verarbeitung personenbezogener Daten, die aufgrund eines Besuches auf der Webseite stattfindet, zu informieren. Setzt ein Webseiten-Betreiber optionale Cookies ein, besteht idealerweise beim Cookie-Banner die erste Möglichkeit für den Besucher, mehr zu erfahren. Dort muss ein Verantwortlicher dem Besucher auch die Möglichkeit geben, optionale Cookies abzulehnen oder deren Einsatz zuzustimmen. So oder so sollten all die Informationen zur Verarbeitung personenbezogener Daten beim Besuch der Webseite im Datenschutzhinweis zu finden sein. – Der Datenschutzhinweis auf der Webseite selbst ist übrigens auch eine ernst zu nehmende Quelle für die Verletzung datenschutzrechtlicher Pflichten, die zudem sofort jedem Webseiten-Besucher und der Aufsichtsbehörde auffallen kann. – Mehr dazu erfahren Sie hier. –

Weitere Datenschutzdokumentation

Beim Datenschutzhinweis und Cookie-Banner hört die datenschutzrechtliche Pflicht des Online-Shop-Betreibers nicht auf. Der Verantwortliche muss prüfen, wie er Anbieter von integrierten Cookies vertraglich und damit datenschutzkonform einbinden kann. Je nach der auf der Webseite eingebauten Funktion kommen hier Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 3 DSGVO oder Verträge zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht.

Auch im intern zu erstellenden und zu führenden Verzeichnis von Verarbeitungstätigkeiten muss die Verarbeitung personenbezogener Daten im Zuge des Online-Shops Eingang finden und mit Rechtsgrundlage, technischen Schutzmaßnahmen, Verarbeitungsdauer, Empfänger etc. entsprechend dokumentiert werden. Das Lösch– und Berechtigungskonzept sind hierfür entsprechend zu ergänzen oder es ist ein separates zu erstellen (je nachdem, wie ein Verantwortlicher es handhabt). Natürlich dürfen auch die möglichen Gefahren und Risiken in Bezug zum Datenschutz nicht außer Acht gelassen werden: Es sind angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu implementieren. Der Datenschutz und die DSGVO-Konformität hören bei diesen Dokumenten nicht auf und es gibt mit Sicherheit noch weitere zu beachtende Details diesbezüglich beim Betrieb eines Online-Shops, zu denen wir Sie gern beraten.

Fazit

Während Sie sich als Verantwortlicher darauf konzentrieren können, dass Ihr Online-Shop Gewinn bringend funktioniert, kümmern wir uns gern um den Datenschutz in Ihrer Einrichtung und für Ihren Online-Shop. Kontaktieren Sie uns, damit wir Sie zum Datenschutz beraten und bei Bedarf oder Wunsch einen externen Datenschutzbeauftragten stellen können.