Datenschutz im Online-Handel – Was müssen Webshop-Betreiber beachten?

Boom der Webshops

Im Jahr 2021 erzielte das Onlinegeschäft in Deutschland einen Umsatz von rund 99,1 Milliarden Euro. Dies ist eine Steigerung von knapp 19 % im Vergleich zum Vorjahr.

In Anbetracht der fortschreitenden Digitalisierung und nur langsam abklingenden Pandemie, ist davon auszugehen, dass dieser Trend sich auch in den nächsten Jahren fortsetzen wird. Betreiber von Webshops müssen dabei jedoch zunehmenden gesetzlichen Anforderungen gerecht werden, dazu gehört auch die Umsetzung der datenschutzrechtlichen Vorgaben.

Wieso sollten sich Webshop-Betreiber mit Datenschutz beschäftigen?

Zunächst werden in der Regel bereits durch den reinen Besuch einer Webseite personenbezogene Daten, nämlich die IP-Adresse, verarbeitet. Gleichzeitig verwendet heutzutage so gut wie jede Webseite Cookies und andere Webanalyse – sowie Trackingtechnologien. Cookies sind kleine Textdateien, die auf Endgeräten wie dem Rechner oder Smartphone gespeichert werden, um beispielsweise die Webseite in der richtigen Auflösung darzustellen oder die Inhalte eines Warenkorbs zu speichern. Cookies werden aber auch eingesetzt, um die Nutzungshäufigkeit und die Anzahl der Besucher von Webseiten zu ermitteln oder auch um Nutzer über Webseiten hinweg zu „verfolgen“ oder bei einem weiteren Besuch wiederzuerkennen. Bei dieser Art von Cookies handelt es sich insofern um etablierte Marketinginstrumente, die personenbezogene Daten verarbeiten. Spätestens jedoch, wenn ein Kunde das Kontaktformular für Anfragen nutzt, sich für den Erhalt eines Newsletters anmeldet oder sich dazu entschieden hat ein Produkt in einem Webshop zu bestellen, werden seine personenbezogenen Daten benötigt, um seine Anfrage zu beantworten, ihm regelmäßige Informationen zukommen zu lassen oder um die Zahlung und Lieferung abzuwickeln.

Werden für einzelne Funktionen der Webseite Dienstleister eingesetzt, die personenbezogene Daten der Nutzer verarbeiten, z.B. für den Newsletter Versand, so ist auch hierbei eine datenschutzkonforme Anbindung dieser Dienstleister sicherzustellen.

Bei Missachtung der datenschutzrechtlichen Vorschriften drohen nicht nur Sanktionen, wie Bußgelder, Abmahnungen durch Wettbewerber sowie tendenziell immer mehr Schadenersatzansprüche von Betroffenen. Auch die Reputation des Onlineshops (und damit des Unternehmens) kann nachhaltigen Schaden nehmen. Jedoch muss die Motivation, sich mit dem Thema Datenschutz zu befassen nicht in erster Linie in der Befürchtung begründet sein, sanktioniert zu werden. Vielmehr kann es auch ein Wettbewerbsvorteil sein und positiv in das Marketing einfließen, wenn der Schutz personenbezogener Daten beim Betrieb des Onlineshops ernst genommen und sichergestellt wird.

Brauchen Webshops einen Cookie Banner?

Webshops sind nicht automatisch verpflichtet einen Cookie Banner (in der Regel als Teil eines Consent Management Systems) zu haben. Der Zweck eines solchen Banners ist es, über diesen notwendigen Einwilligungen der Nutzer einzuholen und zugleich auch die Möglichkeit zu gewähren, die erteilte Einwilligung jederzeit zu widerrufen. Insofern brauchen nur solche Webseiten einen Cookie Banner, die Cookies oder Trackingtechnologien einsetzen, für die eine Einwilligung des Nutzers notwendig ist. Ist das nicht der Fall, kann und sollte aus Gründen der Transparenz auf einen Cookie Banner verzichtet werden. Anderenfalls könnte der missverständliche Eindruck erweckt werden, der Besucher hätte eine Auswahlmöglichkeit, obwohl diese gar nicht besteht.

Für welche Cookies bedarf es einer Einwilligung?

In welchen Fällen es einer Einwilligung des Nutzers bedarf, bestimmt sich nach der Datenschutzgrundverordnung (DSGVO) und dem Telekommunikations- und Telemediendatenschutzgesetz (TTDSG).

Die Datenschutzgrundverordnung dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn die DSGVO enthält eine Rechtsgrundlage für die Verarbeitung. Eine dieser Rechtsgrundlagen kann die Einwilligung der betroffenen Person, also des Besuchers der Webseite, sein. Mittlerweile ist höchstrichterlich entschieden, dass Cookies, die nicht zwingend technisch notwendig für den Betrieb einer Webseite sind, nur mit einer Einwilligung des Nutzers gesetzt werden dürfen (EuGH, Urteil vom 01.10.2019 – C-673/17; BGH, Urteil vom 28.05.2020 – I ZR 7/16). Als zwingend technisch erforderlich gelten beispielsweise Cookies zur Spracheinstellung, dem Login-Status oder Warenkorbinhalten sowie Cookies, die eine fehlerlose Darstellung der Webseite oder eine Überlastung verhindern. Die Ausrichtung des TTDSG unterscheidet sich von der der DSGVO. Das TTDSG regelt den Bereich der Telemedien. Telemedien sind u.a. Internetangebote und damit auch Webshops. Das TTDSG bezweckt dabei neben anderen Aspekten den Schutz der Endeinrichtungen von Endnutzern. (Unser Webinar zum TTDSG).

Das bedeutet, die Nutzer sollen vor unbefugten Zugriffen auf ihre Endgeräte geschützt werden und dies vollkommen unabhängig davon, ob der Zugriff zu einer Verarbeitung personenbezogener Daten führt oder nicht. Das TTDSG setzt somit Art. 5 Abs. 3 S.1 der E-Privacy-Richtlinie fast wortwörtlich um und knüpft insofern einen Schritt vor der DSGVO an bzw. geht über ihren Anwendungsbereich hinaus. Entscheidend ist demnach bereits ob Informationen – z.B. Cookies- in der Endeinrichtung des Endnutzers gespeichert werden oder ein Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgt. Hierzu verlangt § 25 Abs. 1 S. 1 TTDSG grundsätzlich eine Einwilligung. § 25 Abs. 2 Nr. 2 TTDSG sieht für den Betrieb einer Webseite eine Ausnahme hiervon vor. Demnach ist eine Einwilligung nicht notwendig, wenn die Speicherung der Information in der Endeinrichtung oder der Zugriff auf die in der Endeinrichtung des Nutzers gespeicherten Informationen unbedingt erforderlich ist, damit der Webseitenanbieter einen durch den Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Hier kommt neben dem objektiven Faktor der technischen Erforderlichkeit, der bereits aus der o.g. Rechtsprechung bekannt ist, also noch ein subjektiver Faktor, nämlich ein vom Endnutzer ausdrücklich gewünschter Telemediendienst hinzu. Es gilt also die Absicht des Nutzers zu bewerten, wenn dieser den Webshop über seinem Browser aufruft. Entscheidend ist dabei, dass Webshops Telemedien sind, die in der Regel aus einer ganzen Reihe von Telemediendiensten bestehen, die jeweils separat voneinander zu betrachten sind.
Verfügt ein Shop z.B. über eine Chatfunktion ist dies ein eigener Telemediendienst. Damit der Chat in der konkreten Umsetzung funktionieren kann, ist es oft notwendig ein Cookie zu setzen, also auf das Endgerät des Nutzers zuzugreifen. Jedoch kann beim Aufruf der Webseite durch den Nutzer nicht davon ausgegangen werden, dass dieser wünscht in dem Shop eine Chatfunktion vorzufinden und zu nutzen. Stattdessen wird die Absicht des Nutzers regelmäßig zunächst darin gelegen haben, sich über die Angebote zu informieren und ggf. etwas zu bestellen. Ist es für diesen Wunsch, also die Darstellung des Angebots und anschließend zur Bestellung der Waren, erforderlich auf das Endgerät zuzugreifen und dort z.B. einen Cookie zur Speicherung von Warenkorbinhalten oder zur Auswahl von Zahlungsoptionen zu platzieren, ist demnach keine Einwilligung notwendig. Entdeckt der Nutzer während seines Besuchs hingegen die Chatfunktion und entscheidet sich dazu diese nutzen zu wollen, bedarf es einer Einwilligung, bevor der für die Funktion notwendige Cookie gesetzt wird.

In den allermeisten Fällen dürfte die Speicherung von Informationen im Endgerät oder der Zugriff auf in einem Endgerät des Nutzers gespeicherte Informationen auch eine Verarbeitung personenbezogener Daten nach sich ziehen. In diesem Fall kann sowohl die DSGVO als auch das TTDSG eine Einwilligung voraussetzen. Dennoch wird es in Zukunft für Webshop-Betreiber wichtig sein, die unterschiedlichen Ansätze zu verstehen. Ggf. kommen in Zukunft mehr Cookies und Analysetechnologien ohne die Verarbeitung personenbezogener Daten aus. Für diesen Fall darf nicht vergessen werden, dass nach dem TTDSG trotzdem eine Einwilligung erforderlich sein kann.  

Ist eine Einwilligung sowohl nach DSGVO als auch nach TTDSG erforderlich, muss hierzu nur eine Einwilligung eingeholt werden. Die Voraussetzungen für die Einwilligung sind deckungsgleich und sollten bei der Ausgestaltung des Cookie-Banners beachtet werden.

Wie sollte ein Cookie-Banner ausgestaltet sein?

Die gestalterischen Anforderungen an den Cookie-Banner leiten sich von den Anforderungen an eine wirksame Einwilligung ab. Zunächst muss eine Einwilligung durch eine aktive, bestätigende Handlung erteilt werden. Unzulässig sind deshalb bereits vorangekreuzte Kästchen (sog. Opt-Out-Verfahren). Ebenfalls keine wirksame Einwilligung stellt das bloße Wegklicken des Cookie Banners mittels einer „X“- oder „Ok“-Schaltfläche dar. Auch das Herunterscrollen oder der weitere Besuch („Surfen“) auf der Webseite stellen keine aktive Einwilligungshandlung dar.

Cookies und andere Technologien, die einer Einwilligung bedürfen, dürfen also erst dann auf der Webseite aktiv geschaltet werden, wenn der Nutzer seine Entscheidung bzgl. der Einwilligung getroffen hat also mit dem Cookie-Banner interagiert hat und dabei der Aktivierung der Cookies / Technologien aktiv, z.B. durch Setzen eines Häkchens oder Schieben eine Schiebereglers in Position „grün“, zugestimmt hat. Ferner muss jede Einwilligung freiwillig und bezogen auf den bestimmten Fall erteilt werden. Um die Freiwilligkeit zu wahren, sollte der Nutzer die Einwilligung deshalb so einfach ablehnen können, wie er sie auch erteilen kann. Leider ist es immer noch gängig, auf der ersten Ebene des Cookie Banners nur ein „Alle Akzeptieren“ und ein „Einstellungen“ Button zu implementieren. Um alle optionalen Cookies abzulehnen oder um individuelle Einstellungen vorzunehmen, sind hier also mindestens zwei Klicks notwendig. Um alle Cookies zu akzeptieren hingegen nur ein Klick. Nach Ansicht der Datenschutzaufsichtsbehörden liegt eine wirksame Einwilligung dann regelmäßig nicht vor.

Um den Ansprüchen an die Freiwilligkeit gerecht zu werden, sollten Cookie-Banner damit im Ergebnis drei Schaltflächen auf der ersten Ebene haben:

• „Alle zustimmen“
• „Alle optionalen ablehnen“ / „ohne Zustimmung fortfahren“.
• „individuelle Einstellungen“

Die dritte Option „individuelle Einstellungen“ sollte vorhanden sein, damit der Nutzer seine Einwilligung auch für den bestimmten Fall erteilen kann. Hier sollte sich eine entsprechende Liste abrufen lassen, in der zwischen den Verarbeitungszwecken sämtlicher optionalen Cookies unterschieden wird (z.B. Marketing, Personalisierung, Statistik usw.) und die Einwilligung für jeden einzelnen Zweck gesondert und aktiv, z.B. mittels einer Checkbox, erteilt werden kann. Eine Bündelung von Verarbeitungszwecken sollte vermieden werden.

Umstritten sind die Anforderungen an die grafische Gestaltung, insbesondere an die Farbwahl. Zunächst sollte sich der gesamte Cookie-Banner farblich vom Rest der Webseite abheben, sodass der Nutzer diesen sofort zur Kenntnis nimmt. Oftmals wird durch die Gestaltung des Banners versucht, den Nutzer in seiner Entscheidung zu leiten (sog. Nudging) oder sogar entgegen seinen Interessen zu beeinflussen (sog. Dark Patterns). So wird beispielweise bei vielen Bannern der „Alle akzeptieren“-Button farblich hervorgehoben oder mit einer größeren Schrift als der „Ablehnen“-Button versehen. In solchen Fällen kann die Bewertung von Behörden und Gerichten, zu dem Ergebnis führen, dass der Nutzer derartig beeinflusst wurde, dass er seine Einwilligung nicht freiwillig erteilt hat. Wer Rechtssicherheit möchte, sollte somit generell auf Beeinflussungsversuche verzichten oder sich zumindest beraten lassen. Letztlich muss eine Einwilligung auch stets in informierter Weise erteilt werden. Hierzu ist es erforderlich dem Nutzer vor seiner Entscheidung die Möglichkeit zu geben, sich umfassend über die Zwecke des Zugriffs auf sein Endgerät, damit verbundene Datenverarbeitungsvorgänge und die beteiligten Akteure zu informieren. Insofern sollte auf der ersten Ebene des Cookie Banners bereits mindestens über folgendes informiert werden:

• die Identität des Verantwortlichen,
• die Zwecke für die die Cookies gesetzt werden sollen,
• die Daten, die erhoben und verwendet werden,
• das Bestehen eines Rechts, die Einwilligung zu widerrufen
• und Angaben zu möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien nach Artikel 46.

Entscheidend ist, dass die Hinweise vollständig gelesen werden können, bevor einwilligungsbedürftige Cookies gesetzt werden. Darüber hinaus empfiehlt es sich in den Cookie-Banner eine Verlinkung zu den Datenschutzhinweisen der Webseite aufzunehmen.

Ein Hinweis zu Consent-Management-Plattformen: In der Zwischenzeit gibt es viele Anbieter, die damit werben für Webseiten rechtskonforme Cookie Banner zu implementieren. An dieser Stelle gilt aber der Grundsatz: Vertrauen ist gut, Kontrolle ist besser. Denn die Verantwortlichkeit für die Wirksamkeit die eingeholten Einwilligungen verbleibt allein bei dem Betreiber der Webseite.

Brauchen Webshops Datenschutzhinweise?

Da kein Webshop ohne die Verarbeitung personenbezogener Daten auskommen wird, werden in jedem Fall auch Datenschutzhinweise notwendig.

Was müssen die Datenschutzhinweise enthalten?

Webshops müssen ihren Kunden die Datenschutzhinweise in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung stellen.

Die Datenschutzhinweise sollten in jedem Fall die Informationen nach Art. 13 DSGVO enthalten:

• Den Namen und die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten (falls einer bestellt ist)
• Ein Hinweis auf die Betroffenenrechte gem. Art. 15 – 21 DSGVO und wie der Kunde diese gegenüber dem Webshop-Betreiber geltend machen kann
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde und die Kontaktdaten der zuständigen Aufsichtsbehörde
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• die Zwecke, für die personenbezogenen Daten verarbeitet werden und auf welche Rechtsgrundlagen sich der Shop-Betreiber für die einzelnen Datenverarbeitungen beruft

Die Zwecke der Verarbeitung bestimmen sich danach, wie der Shop ausgestaltet ist bzw. welche Funktionen dem Kunden angeboten werden. Auf der Hand liegt der eigentliche Zweck eines Webshops: Das Angebot von Produkten und die Möglichkeit des Kunden sich über diese zu informieren und zu bestellen.

• Weitere mögliche Datenverarbeitungen mit Zwecken, die über den eigentlichen Zweck hinausgehen, sind z.B. Cookies (technisch notwendige und optionale, für die eine Einwilligung der Kunden benötigt wird)
• Sonstige Tracking Software (z.B. Google Analytics oder Hotjar)
• Die Option ein Benutzerkonto anzulegen oder sich für einen Newsletter anzumelden
• Die Einbindung von Social Media Plugins (z.B. von Facebook, Instagram, Twitter, YouTube usw.)
• Die Einbindung eines Chats oder eines Kontaktformulars, um mit dem Kunden zu kommunizieren
• Die Teilnahme an Gewinnspielen
• Der Einsatz von Zahlungsdienstleistern und Auskunfteien zur Bonitätsprüfung von Kunden, die Waren auf Rechnung bestellen (Hierzu mehr Details im nächsten Blogbeitrag)

Für jedes dieser Features muss ebenfalls eine Rechtsgrundlage angeführt werden. Beruht eine Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO muss auf das Widerrufsrecht hingewiesen werden. Beruht eine Verarbeitung auf einem berechtigen Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO sollte dieses Interesse transparent dargelegt und auf das Widerspruchsrecht hingewiesen werden.

Werden für den Betrieb der Webseite und der implementierten Features Dienstleister eingebunden und werden an diese oder sonstige Dritte Kundendaten übermittelt, sind mindestens die Kategorien dieser Empfänger zu nennen. Z.B.: Zahlungsdienstleister, Versandunternehmen oder Betreiber von Social Mediakanälen.

Brauchen Webshops einen Datenschutzbeauftragen?

Verantwortliche müssen einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Gemeint ist hier jegliche IT-gestützte Datenverarbeitung. Damit ein Mitarbeiter als eine der 20 Personen zählt, soll es bereits ausreichend sein, wenn dieser im Rahmen seiner konkreten Tätigkeit die Kompetenz hat, sich personenbezogene Daten anzeigen zu lassen.

Ebenfalls nicht entscheidend ist, ob der Mitarbeiter nur Vorarbeiten oder Nacharbeiten erledigt. Damit würden z.B. alle Mitarbeiter eines Webshops zu den 20 Personen gehören, die Adresslabels ausdrucken und auf Pakete kleben. Darüber hinaus z.B. auch Mitarbeiter der Personal- oder Finanzbuchhaltung.

Wer Rechtssicherheit möchte und mindestens 20 Personen beschäftigt, die in regelmäßigen Kontakt mit personenbezogenen Daten kommen, sollte deshalb in jedem Fall einen Datenschutzbeauftragten bestellen. Unabhängig von einer möglichen Bestellpflicht, kann stets auch freiwillig ein Datenschutzbeauftragter bestellt werden, was bei der Umsetzung der datenschutzrechtlichen Anforderungen helfen wird. Denn der Datenschutzbeauftragte hat die Aufgabe, den Verantwortlichen und alle Beschäftigten diesbezüglich zu unterrichten und zu beraten.

Zur Klarstellung: Vollkommen unabhängig davon, ob ein Datenschutzbeauftragter bestellt ist oder nicht, die Anforderungen des Datenschutzes müssen in jedem Fall umgesetzt werden.

Auf was ist sonst noch zu achten?

Nicht die Einwilligung mit den Datenschutzhinweisen verwechseln: Oft wird eine Bestätigung des Kunden eingefordert, dass dieser die Datenschutzhinweise zur Kenntnis genommen hat. Dies ist nicht notwendig. Die Datenschutzhinweise einfach abrufbar auf der Webseite zu implementieren und damit zu ermöglichen, dass diese zur Kenntnis genommen werden können, reicht vollkommen aus. Eine aktive Bestätigung des Kunden muss nur im Rahmen einer Einwilligung eingeholt werden z.B. für einen Newsletter.

Funktionen der Webseite auf Datenminimierung prüfen: Einer der Grundsätze für die Verarbeitung personenbezogener Daten verlangt, dass die Verarbeitung nur so weit erfolgen soll, wie dies zur Erreichung des angestrebten Zwecks erforderlich ist. Oft werden z.B. im Rahmen des Bestellvorgangs mehr Daten als eigentlich für diesen notwendig wären abgefragt, wie etwa das volle Geburtsdatum. Aber Achtung: Für Datenerhebungen, die nicht zwingend erforderlich sind, um den Vertrag mit dem Kunden zu erfüllen, bedarf es einer gesonderten Rechtsgrundlage, wie z.B. einer Einwilligung. So hat z.B. hat das Verwaltungsgericht Hannover kürzlich entschieden, dass das volle Geburtsdatum von Online-Kunden nur im Ausnahmefall abgefragt werden darf. Zur Bestätigung der Geschäftsfähigkeit reicht es aus, dass der Kunde eine entsprechende Checkbox anklickt (VG Hannover, Urteil vom 09.11.2021 – 10 A 502/19).

Dienstleistermanagement: Um einen Webshop zu betreiben, werden meist Dienstleister eingebunden (z.B. für den Versand, die Zahlungsabwicklung oder das Hosting der Webseite). Diese Dienstleister verarbeiten im Auftrag des Webshop-Betreibers personenbezogene Daten, sodass eine Vereinbarung über die Auftragsverarbeitung gem. Art. 28 DSGVO abzuschließen ist.

Zum Autor

David Schmidt hat Wirtschaftsrecht in Aachen und Köln studiert und sich auf das Thema Compliance spezialisiert. Seit Juli 2021 ist er Berater für Datenschutz bei der migosens GmbH. In der Beratung ist ihm wichtig, den Datenschutz nicht als Hindernis, sondern als Interesse der Allgemeinheit sowie als Wettbewerbsvorteil für Unternehmen zu positionieren.