Im Gespräch mit Rechtsanwalt Stefan Schicker, SKW Schwarz Rechtsanwälte, www.skwschwarz.de
Rechtsanwalt Stefan Schicker berät Online-Anbieter und Internet-Plattformen insbesondere bei der rechtskonformen Gestaltung der Unternehmenspräsenzen im Internet und im Markenrecht. Als Leiter des Arbeitskreises Legal Affairs des Bundesverbandes der Dienstleister für Onlineanbieter e. V. (BDOA) hat er engen Kontakt zu den Unternehmen der Branche aufgebaut und entwickelt ständig neue, praxisnahe Lösungen für komplexe juristische Probleme.
Herr Schicker, warum wird die Auseinandersetzung mit datenschutzrechtlichen Anforderungen für Online-Händler immer wichtiger?
In den Datenschutzgesetzen wie z. B. dem Bundesdatenschutzgesetz, dem Telemediengesetz und dem Telekommunikationsgesetz gibt es verschiedene Bußgeldvorschriften, wonach Strafen in Höhen von 25.000 bis zu mehreren hunderttausend Euro angedroht werden. Die Verfolgung von Verstößen gegen die Datenschutzgesetze wird zudem immer stärker durchgeführt. Rechtsbrüche im Datenschutzbereich werden endgültig ihre Stellung als „Kavaliersdelikte“ ablegen.
Zudem setzen sich Händler auch der Gefahr aus, dass Wettbewerber sie wegen solcher Verstöße mittels einer Abmahnung anschreiben lassen. In diesem Fall drohen auch noch hohe Kosten für die gegnerischen Anwälte.
Schließlich ist inzwischen auch bei vielen Kunden eine hohe Sensibilität für den verantwortungsvollen Umgang mit Daten entstanden. Grund dafür sind nicht zuletzt die immer häufiger auftretenden Datenmissbrauchsskandale. Anhand des Bekanntwerdens solcher Verfehlungen wird klar, welch kostbares Gut die persönlichen Daten in einer online-affinen Welt geworden sind. Es gilt zusehends, dass ein Online- Shop auf Benutzerseite umso besser akzeptiert wird, je transparenter der Umgang mit den Kundendaten geregelt ist.
Für Online-Händler ist somit der richtige Umgang mit personenbezogenen Daten keine freiwillige Option mehr. Schlagen Sie deshalb „zwei Fliegen mit einer Klappe“ und machen Sie den Datenschutz zu einem Marketing-Werkzeug, indem Sie die korrekte Einhaltung und den sensiblen Umgang mit Kundendaten offen und direkt ansprechen und so Vertrauen schaffen.
Womit befasst sich das Datenschutzrecht?
Das Datenschutzrecht greift nur dort, wo personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Sobald also bestimmte Daten mit einer Person in Verbindung gebracht werden können (z. B. Name, Adresse, Telefonnummer, E-Mail-Adresse etc.), müssen diese Regelungen beachtet werden. Allerdings gibt es keinen Schutz für Unternehmensdaten.
Welche Vorschriften enthält das Datenschutzrecht?
Im Datenschutz gilt, dass jeglicher Umgang mit personenbezogenen Daten verboten ist, soweit er nicht ausdrücklich gesetzlich erlaubt wurde. Es gibt aber eine Reihe von Ausnahmevorschriften, die in der Praxis eine wichtige Rolle spielen.
Ein weiterer Grundsatz ist, dass Daten nur zu dem Zweck verarbeitet werden dürfen, zu dem sie ursprünglich gesammelt wurden (so genannte Datensparsamkeit). Unternehmen müssen daher den Umgang mit personenbezogenen Daten auf das notwendige Minimum reduzieren.
In der Praxis stehen diese Grundsätze jedoch meist gegen die Interessen der Unternehmen, Kundendaten zur Nutzergewinnung, Verbesserung von Werbeaktionen oder zielgerichteter Werbung zu sammeln. Dies ist in gewissem Ausmaß möglich, bedarf in der Praxis jedoch einer speziellen Einwilligung seitens des Nutzers. Wichtig ist dabei weiterhin, dass der Nutzer vor Erhebung der Daten umfassend informiert wird. Die Unterrichtung muss in allgemein verständlicher Form erfolgen und genau darlegen, was mit den gesammelten Daten passieren wird. Auch ist der Kunde darauf hinzuweisen, dass er jederzeit Auskunft über „seine“ Daten erhalten und deren Löschung verlangen kann.
Sofern in einem Unternehmen mehr als neun Personen beschäftigt werden, muss ein betrieblicher Datenschutzbeauftragter ernannt werden. Dessen Aufgabe ist es vor allem, im Unternehmen dafür zu sorgen, dass die gesetzlichen Vorschriften eingehalten werden.
Weiterhin muss ein Verzeichnis vorgehalten werden, aus dem ersichtlich ist, wie Daten im Unternehmen verarbeitet werden. Hieraus soll sich auch ergeben, wie die Daten gegen Zugriffe von Unbefugten geschützt sind. Dieser Punkt gewinnt zunehmend an Interesse.
Diese Regelungen sind stark geprägt durch europäische Vorgaben. In den Ländern der Europäischen Union herrscht dadurch ein einheitliches Schutzniveau für Daten. Dadurch können Daten auf vergleichbare Weise an Unternehmen in anderen Mitgliedsstaaten weitergegeben werden wie innerhalb Deutschlands. Für andere Länder, insbesondere die wichtigen Länder USA und Indien, gilt diese Privilegierung hingegen nicht. Die Weitergabe von Daten in solche Länder darf nur unter Einhaltung spezieller Voraussetzungen erfolgen.
Welche Handlungsempfehlungen können Sie Online-Händlern konkret geben?
Beim Versand von Newslettern sollten Sie sich für ein so genanntes Double-Opt-In-Verfahren entscheiden. Der Kunde kann sich für einen Newsletter anmelden, indem er seine E-Mail-Adresse eingibt. Der Bestellvorgang wird aber erst abgeschlossen, wenn er auf eine ihm zugesandte E-Mail reagiert. Auf diese Weise ist sichergestellt, dass kein Dritter die Anmeldung vorgenommen hat. Weisen Sie Ihre Kunden am besten schon vor der Anmeldung auf das Double-Opt-In-Verfahren hin. Sie vermeiden damit Fehlanmeldungen und steigern das Vertrauen in seriösen Datenumgang.
Beim Ausfüllen von Formularen gilt generell wegen des Prinzips der Datensparsamkeit, dass Sie die Nutzer auf Ihrer Web-Seite darauf hinweisen sollten, welche Felder zwingend ausgefüllt werden müssen und welche Eingaben freiwillig sind. Kennzeichnen Sie alle Pflichtfelder mit einem Stern und weisen Sie an einem zentralen Platz der Web-Seite darauf hin, dass es sich bei den gekennzeichneten Feldern um Pflichtangaben handelt.
Ein gängiges Vorgehen ist auch die Speicherung von IP-Adressen der Benutzer. Dies dient insbesondere dem Web-Controlling. Viele Anbieter von Web- Controlling-Lösungen verarbeiten die IP-Adressen. Oft werden diese sogar an Unternehmen außerhalb der EU weitergegeben. Aus juristischer Sicht ist noch nicht abschließend geklärt, ob IP-Adressen personenbezogene Daten darstellen. Eine Vielzahl der Gerichte geht jedoch derzeit davon aus. Fragen Sie bei Ihrem Web-Controlling-Anbieter nach, ob dieser die Daten innerhalb der EU unter Einhaltung der Datenschutzgesetze verarbeitet und ob er zur Erstellung seiner Statistiken die IP-Adressen speichert bzw. weiterleitet.
Generell gilt, dass Sie die Erhebung und Speicherung von Daten auf und im Zusammenhang mit Ihrer Web-Seite Ihren Kunden transparent darlegen müssen. Am besten eignet sich hierfür eine so genannte Datenschutzerklärung, die gut sichtbar auf Ihrer Online-Präsenz abgerufen werden kann. Dort sollten alle datenschutzrelevanten Handlungen zusammengefasst werden.
Welche Trends sind im Datenschutzbereich derzeit zu beachten?
Der Gesetzgeber greift derzeit das gesteigerte öffentliche Interesse am Datenschutz auf. So sind zwei Gesetze in der Entstehung. Zum einen werden die Regelungen für die Bonitätsprüfung und die Bewertung von Kunden angepasst. Ein zweiter Gesetzesentwurf regelt den Umgang mit Daten zu Marketing- Zwecken. Insgesamt ist zu erwarten, dass der Datenschutz definitiv noch weiter in den Vordergrund rücken wird. Für Unternehmen entwickelt sich der Datenschutz daher zu einem Instrument, um die Kundenbindung zu stärken und sich einen Wettbewerbsvorsprung zu schaffen.
Internet: www.skwlaw.de