E-Commerce und Datenschutzrecht sind zwei Themen, die in der heutigen digitalen Welt untrennbar miteinander verbunden sind. Immer mehr Unternehmen verkaufen ihre Produkte und Dienstleistungen online, was zu einem enormen Wachstum im Bereich E-Commerce führt. Webshop-Anbieter wie Shopify machen es einfacher denn je, einen Online-Shop einzurichten und zu betreiben. Dies bringt jedoch auch einige rechtliche Herausforderungen mit sich, insbesondere in Bezug auf den Datenschutz.
Wann findet das Datenschutzrecht im E-Commerce Anwendung?
Das Datenschutzrecht gilt grundsätzlich für alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei ist es unerheblich, ob die Person direkt identifizierbar ist oder ob dazu weitere Informationen erforderlich sind. So hat der Europäische Gerichtshof (EuGH) entschieden, dass auch dynamische IP-Adressen als personenbezogene Daten dem Datenschutz unterliegen. Das Urteil erging vor der Datenschutz-Grundverordnung, inzwischen umfasst die Datenschutz-Grundverordnung (DSGVO) ausdrücklich den Schutz personenbezogener und personenbeziehbarer Daten.
Für Webshop-Betreiber bedeutet dies, dass sie die DSGVO beachten müssen, wenn sie personenbezogene Daten erheben, speichern oder verarbeiten. Dabei ist es nicht nur relevant, ob der Besucher des Webshops ein Webformular ausfüllt oder einen Kauf tätigt, sondern bereits der Besuch der Seite führt durch die Erfassung der IP-Adresse zur Verarbeitung personenbezogener Daten.
Nach den Vorgaben der DSGVO ist eine Verarbeitung dieser Daten daher nur zulässig, wenn ein Erlaubnistatbestand erfüllt ist. An erster Stelle ist hier die Einwilligung als Erlaubnistatbestand zu nennen, die wiederum ausdrücklich und insbesondere freiwillig erfolgen muss. Darüber hinaus kann die Datenverarbeitung beispielsweise auch zur Erfüllung eines Vertrages erforderlich und damit gerechtfertigt sein.
Die Datenübertragung in Drittstaaten
Ein weiterer wichtiger datenschutzrechtlicher Aspekt ist der Datentransfer in Drittstaaten. Hier müssen Webshop-Betreiber sicherstellen, dass sie die erforderlichen Datenschutzstandards einhalten und die Datenübermittlung rechtmäßig ist. Hierfür gibt es verschiedene Möglichkeiten, wie z.B. den Abschluss von Standardvertragsklauseln oder die Einholung einer ausdrücklichen Einwilligung in die Datenübermittlung.
Im besten Fall sollte ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission für den Drittstaat vorliegen und damit eine Datenübermittlung im Sinne der DSGVO grundsätzlich unbedenklich sein. Für die USA gab es einen solchen Beschluss, der jedoch vom EuGH mit der Begründung aufgehoben wurde, dass das Datenschutzniveau in den USA nicht dem der DSGVO entspreche.
Cookies und Cookie-Banner
Eine weitere wichtige Frage für Webshop-Betreiber ist, ob und wie Cookies in die Website eingebunden werden sollen. Cookies sind kleine (Text)Dateien, die auf dem Endgerät des Besuchers einer Webseite gespeichert werden und Informationen über das Nutzungsverhalten sammeln. Für Webshop-Betreiber kann der Einsatz von Cookies sinnvoll sein, um beispielsweise das Nutzerverhalten zu analysieren oder das Einkaufserlebnis zu verbessern.
Die Betreiber von Online-Shops müssen jedoch sicherstellen, dass die Verwendung von Cookies und die damit verbundene Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Dazu müssen sie wiederum die Einwilligung der Besucher einholen, bevor sie Cookies setzen oder personenbezogene Daten verarbeiten. Die Einwilligung muss freiwillig erfolgen, d.h. der Besucher muss eine echte Wahl haben, ob er seine Einwilligung geben will oder nicht. Eine Einwilligung ist auch dann ungültig, wenn sie unter Zwang oder mit unlauteren Mitteln eingeholt wurde.
Datenschutz im Webshop: Eine unverzichtbare Maßnahme zum Schutz der Kundendaten
Auch wenn es für manche Unternehmer eine unangenehme Begleiterscheinung des Betreibens eines Webshops sein mag, ist es ratsam, sich über die Anforderungen des Datenschutzes im Klaren zu sein und sicherzustellen, dass alle notwendigen Maßnahmen zum Schutz der personenbezogenen Daten der Kunden getroffen werden.
Shownotes
- EuGH, Urteil v. 16. Juli 2020, Rechtssache C 311/18 – „Schrems II“
- LG München I, Urteil v. 29. November 2022, Az.: 33 O 14776/19
People in this episode
Dennis Tölle
Dennis Tölle is a specialist lawyer for copyright and media law and a partner in the law firm TWW.LAW in Bonn. He is also the co-author of several specialist books on photography and data protection law. He is a Westphalian stranded in the Rhineland and has a slight penchant for technical devices from Cupertino. He drinks his coffee with milk and the inscriptions on his cups are a regular topic of discussion in the office.
Marwan El-Rifaai
Marwan El-Rifaai is a research assistant at the law firm TWW.LAW alongside his law studies at the University of Bonn. Both at university and at work, he has a particular interest in data protection law, which stems from his personal affinity for all things technical and digital. He prefers his coffee black and from a BVB cup.