Blog 9 minuten

E-Commerce und Datenschutz: Was Shop-Betreiber beachten müssen

Sabine Heukrodt-Bauer
June 24, 2021

Nicht erst seit COVID-19 steckt der klassische Offline-Vertrieb in einer Krise. Der eindeutige Gewinner: B2B Unternehmen mit einem Webshop. Seit Beginn der Pandemie ist ein Anstieg der Online-Verkäufe um 52 % zu verzeichnen. Die Zahl der Online-Käufer stieg um 8,8 %.

Aber warum setzen dann nicht alle B2B-Unternehmen auf E-Commerce, wenn es doch so viele Vorteile bietet? Insbesondere viele Unternehmen aus der DACH-Region nehmen die Vorteile, die der E-Commerce mit sich bringt, noch nicht wahr.

Für viele, vor allem kleine und mittelständische Betriebe, ist der digitale Vertrieb mit all den zusätzlichen Regeln und Gesetzen ein Mysterium. Da scheint es einfacher und sicherer, es gar nicht erst zu versuchen.

Sabine Heukrodt-Bauer, Fachanwältin für IT-Recht und gewerblichen Rechtsschutz bei RESMEDIA, wird Ihnen in diesem Artikel aufzeigen, dass es gar nicht so kompliziert sein muss. Sie wird Ihnen Schritt für Schritt erklären, was Sie als Shop-Betreiber im E-Commerce und Datenschutz beachten müssen.

Möchten Sie sich die Informationen lieber als On-Demand Webinar anschauen? Nachfolgend finden Sie diesen Artikel als On-Demand Video:

Privacy Shield und Cookie-Banner im E-Commerce

Als Onlineshop-Betreiber sollten Sie sich derzeit bezüglich E-Commerce und Datenschutz mit zwei Themen auseinandersetzen:

  • Cookie Banner
  • Privacy Shield

Das Risiko, das mit einer Missachtung der aktuellen Regelungen einhergeht, ist nicht zu unterschätzen, denn insbesondere in diesen Bereichen drohen zurzeit hohe Bußgelder.

Datenschutzbehörden behalten Shop-Betreiber verstärkt im Blick und Ihre Kunden sind sich durch die mediale Aufklärung sehr bewusst, was mit ihren Daten passieren darf und was nicht.

Cookie-Banner: Warum sollten Sie sie einrichten und wie

Seit 2019 das Urteil des Gerichtshofs der Europäischen Union (EuGH) zum Unternehmen Planet49 verkündet wurde, sind Cookie-Banner aus dem Internet nicht mehr wegzudenken. Der Fall bezog sich auf ein Gewinnspiel des Unternehmens.

Bei Teilnahme am Gewinnspiel mussten die Nutzer Werbeeinwilligungen auch für Sponsoren abgeben, wobei die Checkbox dafür bereits im Vorhinein angeklickt war. Der EuGH entschied jedoch, dass Werbeeinwilligungen aktiv erteilt werden müssen und Checkboxen nicht vorab aktiviert sein dürfen.

Der EuGH hatte diese Sache auf Vorlage des Bundesgerichtshofs (BGH) entschieden. Entsprechend den Vorgaben des EuGHs urteilte der BGH im Mai 2020 entsprechend wie folgt:

Für das Setzen von Werbe-Cookies wird eine Einwilligung benötigt.

Konsequenzen aus den Urteilen für Webshop-Betreiber:

  • Es gilt nicht als wirksame Einwilligung, wenn das Häkchen in einer Checkbox bereits vorab gesetzt ist.
  • Die rechtlichen Anforderungen gelten auch für Cookies, die Daten ohne konkreten Personenbezug sammeln. Auch für diese ist eine Einwilligung erforderlich. Dazu gehören z. B. Hidden Identifier, die ermitteln, mit welchem Browser/Gerät die Nutzer in Webshops unterwegs sind.
  • Detaillierte Cookie-Informationen und eine Liste der verwendeten Cookies müssen in der Datenschutzerklärung aufgeführt werden. Der Nutzer muss wissen, welche Cookies gesetzt werden, wie der Anbieter der Cookies heißt, was diese Cookies machen und wie lange sie laufen.

Welche Cookie-Arten gibt es und für welche muss eine Einwilligung eingeholt werden?

Hierbei wird zwischen funktionalen Cookies und Werbe-Cookies unterschieden.

Funktionale Cookies sind z. B. Warenkorb-Cookies oder Log-in-Cookies. Diese werden gebraucht, damit ein Webshop überhaupt erst funktioniert und aktualisiert wird. Derartige Cookies haben mit dem Zweck „Werbung“ nichts zu tun.

Für diese Cookies ist keine Einwilligung erforderlich, der Webshop-Betreiber muss die Nutzer lediglich über diese in der Datenschutzinformation informieren.

Rechtsgrundlage: berechtigtes Interesse des Unternehmens an der user-freundlichen Gestaltung der Webseite (Art. 5 Abs. 3 ePrivacyRiLi in Verbindung mit Art. 6 I f DSGVO).

Diese Cookies werden trotzdem häufig in den Cookie-Bannern miterwähnt, auch wenn es rein rechtlich nicht erforderlich ist.

Werbe-Cookies sind z. B. Google Analytics, Facebook Custom Audiences, Google Ads Remarketing über Google AdWords, DoubleClick etc.

Diese Cookies werden zu Werbezwecken gesetzt und sie dienen damit der Umsatzsteigerung.

Für diese ist immer eine Einwilligung erforderlich.

Wie ist das Cookie Banner einzurichten?

Es bedarf eines Hinweises, dass Cookies eingesetzt werden und warum. Ein Link zu den Cookie-Details (Informationen zu den einzelnen Cookies) ist erforderlich. Hier kann der Shop-Nutzer nachschauen, was die einzelnen Cookies sind, welchen Zweck sie verfolgen, von wem sie sind und wie lange sie laufen.

Die Datenschutzinformationen müssen verlinkt werden. Darüber hinaus müssen Einstellungen ermöglicht werden, damit sich der Webshop-Nutzer über Cookies informieren kann und gegebenenfalls einzelne Cookies einwilligen oder ablehnen kann. (Einzel-Einwilligungen & Widerruf ermöglichen).

Die Zustimmung der Cookies kann entweder mit „Alle akzeptieren/ablehnen“ eingeholt werden oder auch gruppenweise (z. B. Cookies gruppiert in „Essenziell“, „Marketing“, „Externe Medien“). Außerdem ist ein Link zum Impressum erforderlich.

Hier ein Beispiel, wie Sie ein Cookie Banner in Ihrem Webshop gestalten könnten:

Datenschutz und E-Commerce Beispiel Cookie Banner

Checkliste für die Cookie-Banner Erstellung:

  • Kein „Scharfschalten“ der Werbe-Cookies, bevor die Einwilligung erteilt wurde.
  • Nachweis der Einwilligung: Protokollierung im Banner-Tool/ Nutzung eines Banners
  • Einwilligung muss aktiv erteilt werden (keine vorab gesetzten Häkchen).
  • Widerrufsmöglichkeit: Link in der Datenschutzinformation platzieren, ggf. zusätzlich Link in die Navigation der Webseite „Cookie-Einstellungen“.
  • Umfassende Datenschutzerklärung mit detaillierter Cookie-Liste in die Datenschutzinformation aufnehmen.
  • Datenschutzinformation und Impressum im Banner verlinken.

Die Banner sind meistens so gestaltet, dass der Nutzer auf der Website nicht weitersurfen kann, sollte er sich nicht für eine Einwilligung oder Ablehnung entschieden haben. Deswegen ist es sehr wichtig, Impressum und Datenschutzinformationen als Link einzubauen. Diese beiden Seiten sind nämlich rechtlich gesehen existenzielle Seiten, auf die der Nutzer immer Zugriff haben muss.

Sabine Heukrodt-Bauer | Fachanwältin für IT-Recht & gewerblichen Rechtsschutz bei RESMEDIA

Privacy Shield: Übertragung von Daten in die USA

Neben den Cookie-Bannern sollten sich Onlineshop-Betreiber beim Thema E-Commerce und Datenschutz auch mit der Übertragung von personenbezogenen Daten an Drittländer beschäftigen. Dies ist zum Beispiel der Fall bei der Nutzung von sozialen Netzwerken oder Google Analytics, denn hier sind zumeist US-Anbieter involviert.

 

Was ist das Privacy Shield und worin liegt dabei das Problem?

Das EU-U.S. und Swiss-U.S. Privacy Shield Framework wurde vom U.S. Department of Commerce, der Europäischen Kommission und der Schweizer Landesbehörde entwickelt. Es soll Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus an die Hand geben, mit dem sie Datenschutzanforderungen erfüllen können.

Dies bezieht sich auf Situationen, in denen Unternehmen personenbezogene Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten übertragen.

Die Zusammenarbeit mit US-Unternehmen ist immer dann, wenn personenbezogene Daten an diese transferiert werden, praktisch unzulässig. Nach der DSGVO: Immer, wenn ein Webshop-Betreiber personenbezogene Daten verarbeitet, braucht er eine Rechtsgrundlage, und das Privacy Shield ist bzw. war eine solche Rechtsgrundlage.

Dabei ist eine Übermittlung von personenbezogenen Daten in Drittländer (= Länder außerhalb der EU oder des EWR) gemäß Art. 44 DSGVO nur zulässig, wenn garantiert werden kann, dass im Zielland ein angemessenes Datenschutzniveau existiert.

Die USA und Schweiz sind zum Beispiel solche Drittländer. Für diese wird eine besondere Rechtsgrundlage benötigt, wenn man ihnen Daten liefert (z. B. wenn ein E-Mail-Marketing-Anbieter aus diesen Ländern genutzt wird).

Sabine Heukrodt-Bauer | Fachanwältin für IT-Recht & gewerblichen Rechtsschutz bei RESMEDIA

Eine solche Garantie kann nach Art. 45 DSGVO mit einem Angemessenheitsbeschluss der EU-Kommission entstehen. Der Privacy Shield ist ein solcher Angemessenheitsbeschluss in Bezug auf die USA. Die EU hat beschlossen, wenn ein Unternehmen in der USA unter diesem Privacy Shield zertifiziert ist, dann können deutsche Unternehmen mit ihm zusammenarbeiten.

Dies galt bisher. Was ist dabei aber das Problem für zukünftigen Datenschutz im E-Commerce?

Die Klage von Max Schrems gegen Facebook führte zu dem Urteil, dass der EuGH das Privacy-Shield-Abkommen für ungültig erklärte (Urteil vom 16.07.2020).

Grund dafür sind die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten innerhalb von US-Firmen. US-Unternehmen können nach dem US-Recht verpflichtet sein, den Behörden in den USA Zugriff auf ihre Server zu gewähren (z. B. nach dem Patriot Act oder Cloud Act). Dies kann durch das Privacy Shield Abkommen nicht verhindert werden. Das Privacy Shield Abkommen ist demnach laut EuGH unzulässig.

Aktuell gibt es also keine Rechtsgrundlage für die Datenverarbeitung in den USA bzw. auf Servern von US-Unternehmen, da der EuGH diesen Angemessenheitsbeschluss der EU-Kommission zurückgezogen hat.

Welche Anwendungen sind davon betroffen?

Alle Anwendungen, bei denen personenbezogene Daten an US-Unternehmen weitergeleitet werden:

  • Social-Media-Kanäle
  • Google Analytics
  • E-Mail-Anwendungen
  • CRM
  • Usw.

Alternativen zum Privacy Shield

  • Einwilligung der Betroffenen 49 DSVGO

Diese Alternative ist jedoch kritisch anzusehen, da sie für Einzelfälle konzipiert ist und nicht als Grundlage für laufende Datenübertragungen dienen kann.

Außerdem informieren US-Unternehmen, insbesondere was die Social-Media-Kanäle angeht, nicht wirklich darüber, welche Daten sie überhaupt sammeln und was sie mit diesen Daten machen.

Wenn deutsche Unternehmen die Daten überhaupt erst nicht erhalten, können sie auch nicht transparent an die Webshop-Nutzer weitergeben werden. Somit kann überhaupt keine informierte Einwilligung eingeholt werden.

  • Binding Corporate Rules (BCR) Art. 47 DSGVO

Als Unternehmen erstellt man demnach eine Art „Gesetz“, wie der Datenschutz gehandhabt werden muss. Ähnlich wie ein Zertifizierungsverfahren muss dies dann von der Aufsichtsbehörde genehmigt werden.

Das Problem hierbei: Dies ist sehr teuer und zeitintensiv und demnach eventuell machbar für große Konzerne, nicht aber für KMUs.

  • Standard Contractual Clauses (SCC) Art. 46 DSGVO

Diese Alternative wird zur Zeit viel diskutiert, da die meisten Unternehmen wahrscheinlich SCC umsetzen werden. Hierbei geht es um bestimmte Vertragsklauseln der EU-Kommission, die genutzt werden können, um mit einem US-Unternehmen einen Vertrag über eine Zusammenarbeit zu schließen.

Es werden Verträge vorbereiten und diese müssen auch von der Aufsichtsbehörde genehmigt werden.

Das Problem hierbei: Diese Standardvertragsklauseln waren bereits Gegenstand des zuvor genannten EuGH Urteils. Der EuGH hat bereits darauf hingewiesen, dass es egal ist, ob ein deutsches Unternehmen einen Angemessenheitsbeschluss wie im Privacy Shield oder Standardvertragsklauseln hat – ein Unternehmen aus der USA kann sich – egal mit welchen Klauseln – nicht verpflichten, den Behörden in den USA Zugriff auf ihre Server zu verweigern.

SCC allein lösen das Problem also nicht, deswegen bedarf es hier weiterer, zusätzlicher z. B. technischer Absicherungen. Beispiel hierfür könnte eine Datenverschlüsselung sein, sodass der US-Anbieter von vornherein keinen Zugriff auf die Daten hat.

Die EU-Kommission hat am 04.06.2021 neue Standarddatenschutzklauseln für Datenübermittlungen in Drittländer veröffentlicht, die am 27.6.2021 in Kraft treten.  Die neuen Klauseln sind nach einer Übergangsfrist von drei Monaten ab dem 27.9.2021 für neue Datenübermittlungen einzusetzen. Die „alten“ Standardvertragsklauseln dürfen ab diesem Zeitpunkt nicht mehr genutzt werden.

Was können Sie als Unternehmen also tun?

Sie müssen sich jetzt überlegen, welche Alternative zu wählen ist. Im Prinzip gibt es letztendlich nur zwei Optionen:

  1. Wechsel des Anbieters, soweit dies möglich ist. Hiermit ist der Wechsel auf ein EU-Unternehmen oder eines Drittlands mit Angemessenheitsbeschluss gemeint, mit einem Anbieter, bei dem ein solches Problem nicht besteht, wie z.B die Schweiz.
  2. Umstellung auf die neuen Standarddatenschutzklauseln mit zusätzlichen Sicherheiten/technischen Absicherungen (z. B. Verschlüsselungen, damit Sie als Daten Exporteur der Einzige sind, der die Daten, selbst wenn sie auf einem US-Server liegen, entschlüsseln kann.

Ein ausführliches Whitepaper zum Thema Privacy Shield mit einer Schritt-für-Schritt Anleitung für einen SCC Wechsel finden Sie auf der RESMEDIA Webseite.

Abschließende Worte zum Datenschutz im E-Commerce

Datenschutz im E-Commerce klingt zunächst wie eine unüberwindbare Herausforderung. Wenn Sie diese jedoch Schritt für Schritt in Angriff nehmen, profitiert nicht nur Ihr Unternehmen, sondern auch Ihre Kunden.

Denn: Sie ermöglichen Ihren Kunden Transparenz im Umgang mit ihren Daten. Viele Shop-Nutzer haben Bedenken, ihre Daten preiszugeben aus Angst, dass diese zu Werbezwecken missbraucht oder an Dritte weitergegeben werden. Mit einem deutlich formulierten Cookie-Banner und allen nötigen Verlinkungen können Sie Ihren Kunden diese Angst nehmen.

Lesen Sie außerdem unseren Artikel über technische Möglichkeiten, Ihre E-Commerce Sicherheit zu stärken.

Im Interview mit Sana Commerce

Sabine Heukrodt-Bauer ist Gründerin der auf IT-Recht spezialisierten Kanzlei RESMEDIA Mainz.

Sie ist Sprecherin auf diversen Events und Kongressen der IT-Branche und hat seit 2015 einen Lehrauftrag für IT-Recht an der Johannes Gutenberg-Universität Mainz. Sie ist Referentin der Haufe-Akademie.

Sie veröffentlicht regelmäßig Artikel zu aktuellen Themen im IT-Recht und E-Commerce und ist seit 2005 Autorin für die INTERNET WORLD Business.

Sie ist die Vorsitzende des gemeinsamen Vorprüfungsausschusses der Rechtsanwaltskammern Koblenz und Zweibrücken für die Erlangung der Bezeichnung „Fachanwalt für Informationstechnologie“.

Sabine Heukrodt-Bauer ist Aufsichtsratsmitglied der DC AG.

Sabine Heukrodt-Bauer | Fachanwältin für IT-Recht & gewerblichen Rechtsschutz bei RESMEDIA

Keine Angst

vor E-Commerce!

Wir begleiten Sie Schritt für Schritt bei Ihrem E-Commerce Projekt