Hier folgt wie bereits neulich angekündigt der zweite Teil zum Thema "Datenschutz im Online-Shop". Im ersten Teil sind wir bereits auf die "Datenverarbeitung im Auftrag" eingegangen, die nach deutschem Recht die Verarbeitung oder Archivierung von Daten durch einen Dritten bedeutet.
Unabhängig davon, ob ein Unternehmen die Daten seiner Kunden auf unternehmenseigenen Servern verarbeitet oder ob es diese Prozesse an einen externen Outsourcing-Anbieter weitergibt, es zeichnet stets für den rechtlich einwandfreien Umgang mit diesen Informationen verantwortlich. In diesem Beitrag gibt die etracker GmbH die nächsten drei Empfehlungen für Shopbetreiber.
Immer dann, wenn personenbezogene Nutzungs- oder Interessenprofile beispielsweise zu CRM-Zwecken generiert und gespeichert werden, muss vom Kunden vor der Datenerhebung eine explizite Einwilligung eingeholt werden. Denn auch hier ist – ähnlich wie bei der Datenverarbeitung im Ausland – eine entsprechende Klausel in den AGBs oder Nutzungsbedingungen nicht ausreichend. Explizite Einwilligung bedeutet: Bei der Speicherung seiner Daten muss der Kunde sich ausdrücklich damit einverstanden erklären, dass sein Nutzungsprofil in Zusammenhang mit seinen personenbezogenen Daten gebracht wird.
Daraus resultiert, dass ein Online-Händler ohne solch eine Einwilligung nur die Daten speichern darf, die unmittelbar für den jeweiligen Einkauf relevant sind. Eine kombinierte Speicherung von beispielsweise Name, E-Mail- oder IP-Adresse und aufgerufenen Webseiten eines Kunden ist unzulässig. Sollte Beispielkunde Werner Schmidt dennoch personalisierte Mailings in seinem E-Mail-Briefkasten vorfinden, so kann er den entsprechenden Online-Händler wegen Missbrauch von personenbezogenen Daten zur Verantwortung ziehen.
Der Datenschutz toleriert das Setzen von Cookies, solange der Anbieter seine Kunden explizit darauf hinweist. Dabei ist diese Handhabung letztlich nicht nur eine Frage von datenschutzrechtlicher Konformität, sondern auch von Transparenz, Kundenorientierung und gutem Stil. Deshalb sollten die Besucher einer Website an einer prominenten Stelle darüber informiert werden, wann, wie und warum bei ihnen Cookies gesetzt werden.
Besonders gut eignen sich hierfür das Impressum oder – wenn vorhanden – die Datenschutzerklärung. Doch Vorsicht: Auch diese Regelung gilt nur, solange der Cookie nicht dazu verwendet wird, eindeutige Beziehungen zwischen personenbezogenen Daten und pseudonymen Nutzungsprofilen herzustellen.
Bei allen Daten, die zur Erstellung von Nutzungsprofilen erhoben werden, hat der Kunde grundsätzlich ein Widerspruchsrecht. Rückwirkend kann der Kunde sein Recht auf Widerspruch jedoch nur bei personenbezogenen Daten geltend machen. Wäre Werner Schmidt beispielsweise nicht länger mit seinem Online-Händler zufrieden, dann könnte er mit sofortiger Wirkung die Löschung seiner Adresse, seiner Kontodaten etc. veranlassen. Bei nicht personenbezogenen Informationen kann das Widerspruchsrecht nur für zukünftige Datenerfassungen und -speicherungen berücksichtigt werden.
Widerspricht der Nutzer der Erfassung pseudonymer Nutzungsdaten, trägt er nicht mehr zum gesammelten Datenschatz bei. Auch hier ein Hinweis: Möchte der Kunde von seinem Widerspruchsrecht Gebrauch machen und nicht länger zu den pseudonymen Nutzungsprofilen beitragen, reicht es nicht aus, ihm bestimmte Modifizierungen seines Browsers – beispielsweise das Blockieren von Cookies – vorzuschlagen. Aus datenschutzrechtlicher Sicht muss die Nichtspeicherung von Nutzungsdaten vom Website-Betreiber veranlasst und technisch umgesetzt werden.
Über den Autor: Oliver Krapp ist Geschäftsführer der etracker GmbH aus Hamburg. Mit innovativen Technologien und einem ausgewogenen Preis-Leistungsverhältnis ist etracker heute einer der führenden Web-Controlling Anbieter im internationalen Markt. etracker analysiert in Echtzeit jedes Detail des Besucherverhaltens auf Internetpräsenzen und liefert elementare Kennzahlen zur Steigerung der Kundenbindung, Optimierung von Online-Kampagnen und Aufdeckung von Klickbetrug. Als erstem Web-Controlling Unternehmen wurde der etracker GmbH nach einem aufwändigen Prüfverfahren durch den Hamburgischen Datenschutzbeauftragten die datenschutzrechtliche Konformität bescheinigt. Die Web-Controlling Lösung von etracker wurde bereits mehrfach ausgezeichnet, etwa mit dem „Innovation 2007“-Award – dem IT-Oscar der PCpro – und mit dem „Innovationspreis 2007 ITK“ der Initiative Mittelstand.