Jeder Shopbetreiber muss sich mit dem Datenschutzrecht auseinandersetzen, da er zwangsläufig Daten seiner Kunden erhebt und verarbeitet. Dieses Rechtsgebiet birgt jedoch viele Fallstricke. Einer von ihnen ist die datenschutzrechtliche Einwilligung: In diesem Bereich werden aus Unwissenheit noch viele Fehler begangen.
Hier erfahren Sie, was Sie zur datenschutzrechtlichen Einwilligung wissen sollten.
Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten bedarf grundsätzlich einer Einwilligung, wenn keine besondere gesetzliche Ausnahme vorliegt. § 4a Abs. 1 BDSG legt dabei die Anforderungen an die Wirksamkeit einer Einwilligung fest. Danach gilt:
Im Online-Handel erfolgen Einwilligungen jedoch meist elektronisch. Dies ist nach § 13 Abs. 2 TMG möglich, wenn der Diensteanbieter (also der Shopbetreiber) sicherstellt, dass
Für die Einwilligung gilt ein enger Zweckbindungsgrundsatz, d.h. dass die Daten auch nur für die in der Einwilligung genannten Zwecke verwendet werden dürfen.
Des Weiteren muss die Einwilligung bestimmt genug sein. Daraus folgt, dass zu allgemein gehaltene Einwilligungen unter Umständen nicht den datenschutzrechtlichen Erfordernissen einer Einwilligung genügen.
Ein Kunde muss beim Einwilligen erkennen können, welche Daten aus welchem Grund erhoben und an wen diese weitergegeben werden.
Da jede Einwilligung vom Nutzer bewusst und eindeutig zu erfolgen hat, empfiehlt sich eine Ausgestaltung als Opt-in mit einer nicht vorangekreuzten Checkbox. Ein ausdrückliches Erfordernis, sämtliche Einwilligungen separat einzuholen, lässt das Datenschutzrecht aber nicht erkennen.
Werden jedoch sämtliche Einwilligungen mit einer einzigen Checkbox eingeholt, so kann dies für den Kunden zu unbestimmt sein. Auch Datenschutzklauseln müssen unter Umständen der AGB-Inhaltskontrolle standhalten, d.h. sie müssen dem Transparenzgebot entsprechen und dürfen den Vertragspartner nicht unangemessen benachteiligen.
Daher ist es ratsam, für jede Einwilligung eine Checkbox zu verwenden.
Eine Einwilligung allein in den AGB genügt damit nicht (s.a. OLG Köln zur Telefonwerbung). Bis vor Kurzem platzierten viele Online-Händler Einwilligungen noch direkt über den Bestell-Button.
Dies ist mit Inkrafttreten der Button-Lösung allerdings nicht mehr möglich, da sich diverse Pflichtinformationen unmittelbar über den Bestellbutton befinden müssen, trennende Elemente sind nicht mehr zulässig.
§ 7 UWG stellt ebenfalls Anforderungen an die Einwilligung, sofern sie Werbung via E-Mail oder Telefon betreffen. In diesem Fall muss eine "vorherige ausdrückliche Einwilligung" vorliegen, eine Opt-Out-Klausel genügt nicht (so der BGH). Da man im Streitfall das Vorliegen einer Einwilligung beweisen muss, empfiehlt sich das Double-Opt-in-Verfahren. Des Weiteren sind Newsletter-Einwilligungen wegen der zugrunde liegenden EU-Richtlinie 2002/58/EG grundsätzlich separat einzuholen (u.a. OLG München).
Einen ausführlichen Beitrag zu den Besonderheiten der Newsletter-Werbung finden Sie hier.
Das BDSG sieht bestimmte Ausnahmen vor, in denen Daten auch ohne vorherige Einwilligung verwendet werden dürfen.
Dies gilt gemäß § 28 Abs. 1 Nr. 1 BDSG etwa für das Erheben, Speichern, Verändern, oder Übermitteln personenbezogener Daten, sofern es die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Dies bedeutet, dass die Übermittlung der Daten, soweit es zur Erfüllung des Kaufvertrages notwendig ist (z.B. die Weiterleitung an das Transportunternehmen), keiner Einwilligung bedarf.
Eine Datenverarbeitung ohne Einwilligung ist auch möglich, soweit es zur Wahrung berechtigter Interessen erforderlich ist. Hierunter fällt etwa die Bonitätsprüfung, sofern der Händler in Vorleistung tritt - der Kunde also per Rechnung bezahlen will.
Dieses berechtigte Interesse ist aber keineswegs gegeben, wenn der Kunde per Vorkasse zahlen möchte. Eine Bonitätsprüfung ohne ausdrückliche Einwilligung in diesem Fall wäre also rechtswidrig.
Auch in diesen Fällen verlangen § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG aber eine umfassende Information des Betroffenen, welche sowohl Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten als auch Widerspruchsrechte umfasst. Dies kann in der Datenschutzerklärung geschehen, die von jeder Seite des Shops abrufbar ist.
Aus § 13 Abs. 2 Nr. 3 TMG folgt, dass sämtliche Einwilligungen in der Datenschutzerklärung wiederholt werden sollten, damit sie für den Kunden jederzeit abrufbar sind.
Wer den Betroffenen nicht oder nicht richtig in den Datenschutzinformationen unterrichtet, dem drohen Geldbußen bis zu 50.000 Euro (sowohl aus BDSG als auch aus TMG). Auch werden Datenschutzverstöße immer wieder abgemahnt und von diversen Instanzgerichten als unlautere Wettbewerbsvorsprünge gewertet.
Daher sollte stets auf eine Einhaltung der Datenschutzrechtes geachtet werden: Und dazu gehört auch eine mit den einschlägigen Bestimmungen konforme Einwilligung.