Beiträge

EuGH: IP-Adressen sind personenbezogene Daten

, ,

Der Europäische Gerichtshof hat in einer jüngst veröffentlichten Entscheidung eine der umstrittensten Fragen des Datenschutzrechts nunmehr höchstrichterlich beantwortet: das Gericht hat bestätigt, dass die IP-Adresse zu den personenbezogenen Daten gehört.

Zankapfel IP-Adresse: rechtliche Einordnung

Eine IP-Adresse ist eine Adresse, die in Computernetzen, die – wie z. B. dem Internet – angeschlossenen Endgeräten (Computer, Smartphone usw.) zugewiesen wird. Mittels dieser „Hausnummer“ können Daten zwischen den beteiligten Geräten übermittelt werden.

Zwischen Behörden und Gerichten sowie Diensteanbietern und rechtswissenschaftlichen und technischen Fachleuten war umstritten, ob eine solche Adresse zu den personenbezogenen Daten gehört. Personenbezogene Daten sind gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Stein des Anstoßes und Kern der rechtlichen Auseinandersetzung war die Frage, was eine „bestimmbare“ natürliche Person ist. Denn die Information, welchem Netzteilnehmer zu welcher Zeit eine bestimmte IP-Adresse zugewiesen war, liegt in der Regel nur dem Zugangsprovider vor. Der Betreiber einer Internetseite hat in der Regel nicht die Möglichkeit, auf die Daten des Providers zu zugreifen. Für ihn ist die Person also nicht bestimmbar. Für die Aufsichtsbehörden war dieser Umstand nicht relevant. „Bestimmbar“ im Sinne des Gesetzes bedeutet nach Ansicht der Aufsichtsbehörden, dass es rein faktisch möglich ist, eine solche Zuordnung vorzunehmen, und zwar unabhängig von tatsächlich gegebenen Zugriffsmöglichkeiten. Diese Ansicht lag auch einem viel beachteten Beschluss des so genannten Düsseldorfer Kreises (ein informelles Gremium der Aufsichtsbehörden für den Datenschutz im Bereich Telemedien) aus dem November 2009 zu Grunde. Nach diesem Beschluss wurden Anforderungen an die Rechtmäßigkeit von Webanalyse-Werkzeugen (wie beispielsweise „Google Analytics“) aufgestellt, die sich an der Einordnung von IP-Adressen als personenbezogene Daten orientierten (wir berichteten). Das sahen freilich verschiedene Online-Anbieter anders. Der Datenschutzbeauftragte der für den Vertrieb der Google-Dienste in Deutschland zuständigen Google Germany GmbH wandte sich beispielsweise bereits vor längerer Zeit vehement gegen die Einordnung von IP-Adressen als personenbezogen (Meyerdierks: „Sind IP-Adressen personenbezogene Daten?“ in der Zeitschrift MMR 2009, S. 8).

EugH: IP-Adresse ist personenbezogen

Der europäische Gerichtshof hatte nunmehr zu der Frage zu entscheiden, ob ein Internet-Provider verpflichtet werden kann, ein Filtersystem zur Verhinderung des illegalen Zugänglichmachens urheberrechtlich geschützter Werke (Filesharing) einzurichten. In Randziffer 51 des Urteils lautet es:

„Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen.“ (Urteil vom 24. November 2011; Rechtssache C-70/10)

Augenscheinlich tendiert der europäische Gerichtshof dazu, IP-Adressen generell als personenbezogene Daten anzusehen. Damit wäre höchstrichterlich geklärt, dass die IP-Adresse zu den personenbezogenen Nutzungsdaten gehört.

Handlungsbedarf: unverzügliche Löschung und Datensparsamkeit

IP-Adressen genießen daher den Schutz des § 15 Telemediengesetz (TMG). Danach sind Nutzungsdaten unverzüglich nach Beendigung des Nutzungsvorgangs zu löschen, wenn sie nicht zu Abrechnungszwecken benötigt werden. Im Klartext: beispielsweise darf im Logfile eines Webservers keine dauerhafte Speicherung vollständiger IP-Adressen erfolgen. Auch Webanalysemaßnahmen dürfen nur dann unter Verwendung der vollständigen IP-Adresse erfolgen, wenn dem Nutzer eine einfache und praktisch umsetzbare Möglichkeit des Widerspruchs gegeben ist, der Nutzer auf sein Widerspruchsrecht hingewiesen wurde und wenn keine Zusammenführung mit anderen personenbezogenen Daten des Nutzers erfolgt.

Die Entscheidung des Europäischen Gerichtshofs lässt allerdings noch ein kleines denkbares „Schlupfloch“: das Urteil des EuGH betraf eine IP-Adresse in den Händen des Internet-Providers. Daher könnte noch diskutiert werden, ob die IP-Adresse in den Händen eines „normalen“ Internetseitenbetreibers möglicherweise anders einzustufen wäre. Diensteanbietern ist jedoch anzuraten, die Entscheidung des EuGH ernstzunehmen. Zweckmäßigerweise sollte geprüft werden, ob die vollständige Erhebung der IP-Adresse zwingend notwendig ist und ob überall dort, wo dies nicht der Fall ist, eine Anonymisierung erfolgen kann. Hier ist beispielsweise an die Kürzung der erhobenen Adressen um die letzten drei Ziffern zu denken. Überdies sollten Diensteanbieter das Thema „Löschungsfristen“ sorgfältig prüfen. Zwar hat der Bundesgerichtshof entschieden, dass eine unverzügliche Löschung nicht mehr benötigter Nutzungsdaten nicht einer „sofortigen“ Löschung entspricht (BGH, Urteil vom 13.1.2011 – AZ: III ZR 146/1). In der Praxis bedeutet dies, dass ein Diensteanbieter etwaig erhobene IP-Adressen nicht sofort nach Beendigung des Nutzungsvorgangs, sondern im Rahmen einer regelmäßigen Anonymisierung oder Löschung neutralisieren oder löschen muss. Die Frist sollte hierbei jedoch keinesfalls zu lang angesetzt werden.

Das Telemediengesetz sieht für Verstöße gegen die datenschutzrechtlichen Verpflichtungen Geldbußen von bis zu 50.000 € vor. Darüber hinaus sind Maßnahmen der Aufsichtsbehörden und die Umsetzung von behördlichen Auflagen oftmals deutlich teurer und mit wesentlich mehr Aufwand verbunden, als eine von Anfang an durchdachte Gestaltung der IT-Infrastruktur. Datenschutz ist daher nicht nur eine lästige Pflicht, sondern eine Selbstverständlichkeit, die von allgemeingültigen gesetzlichen „Spielregeln“ ebenso verbindlich geregelt ist wie das Steuerrecht. Professionelle Diensteanbieter sollten daher auch in Datenschutzfragen professionell aufgestellt sein.

Sie haben Fragen zum Datenschutzrecht? Sie benötigen Unterstützung durch einen sach-und rechtskundigen betrieblichen Datenschutzbeauftragten? Für alle Fragen des Datenschutzrechts, aber natürlich auch andere Bereiche des IT-Rechts steht Ihnen BBS als kompetenter und praxisorientierter Partner zur Verfügung. Was können wir für Sie tun?

Aufsichtsbehörde sucht Datenschutzverstöße künftig automatisiert

, , ,

Online-Datenschutz: google-analytics, Facebook und die Folgen

Ob es um die Nutzung des Webtracking-Tools google-analytics ging oder um die Einbindung des Facebook-Buttons, um die § 13 Abs. 1 Telemediengesetz (TMG) erforderliche Datenschutzerklärung oder die Gestaltung der Einwilligung des Nutzers zur Verwendung seiner Daten für Zwecke der Werbung und Marktforschung (opt-in) – Betreiber von Internetseiten müssen gegenwärtig einige rechtliche Herausforderungen meistern.

Aufsichtsbehörden bislang eher zurückhaltend

Da war es gut, dass die Aufsichtsbehörden in der Vergangenheit eher passiv mit dem Thema Datenschutz im Internet gegangen sind. Nur in extremen Fällen sind bislang die Behörden eingeschritten. Selbst wenn eine Aufsichtsbehörde tätig wurde, hatte dies in der Vergangenheit selten handfeste Folgen. Die durchaus möglichen Bußgelder wurden nur sehr zurückhaltend verhängt.

Neue Software findet Verstöße automatisiert

Das könnte sich nun grundlegend ändern:

Der Bundesdatenschutzbeauftragte Peter Schaar hat am 25.03.2011 ein vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickeltes Werkzeug zur automatisierten Erkennung von Datenschutzverstößen auf Internetseiten vorgestellt. Das Tool soll unter der Bezeichnung „Privacy Violation Detector“ (Prividor) für die Datenschutzaufsicht zum Einsatz kommen.

Zu den erkannten Rechtsverstößen gehören beispielsweise problematische Tracking-Dienste und die Verwendung unverschlüsselter Online-Formulare.

Zunächst soll das Tool nur vom Datenschutzbeauftragten des Bundes eingesetzt werden. Da der Bundesdatenschutzbeauftragte vorrangig für die Bundesbehörden zuständig ist, steht ein Einsatz den Internetseiten privater Anbieter noch nicht unmittelbar bevor. Es wird jedoch allenfalls eine Frage der Zeit sein, bis die für private Telemedien zuständigen Datenschutzbeauftragten der Länder mit Prividor auf die Jagd nach privaten Rechtsverletzungen gehen.

Angst vor Abmahnwelle

Der Bundesdatenschutzbeauftragte kann sich vorstellen, Prividor als Open-Source-Software jedermann bereitzustellen. Diese Ankündigung führte zu einiger Unruhe. Es wird befürchtet, dass Abmahn-Anwälte mit Prividor neue abzumahnende Rechtsverstöße bequem und in großer Zahl automatisiert auffinden und bearbeiten können.

Im Hinblick auf den Facebook-Button kann zwar in dieser Hinsicht ein neues, für online Anbieter positives Urteil aus Berlin verzeichnet werden:

Landgericht Berlin: Facebook-Button nicht wettbewerbswidrig

Das Landgericht Berlin hat (Beschluss v. 13.03.2011, Aktenzeichen: 91 O 25/11) entschieden, dass die Integration des „Gefällt mir“-Buttons der Plattform facebook auf der Internetseite eines Onlinehändlers ohne Hinweis auf die damit einhergehende Datenübermittlung nicht wettbewerbswidrig ist. Der datenschutzrechtlich einschlägige § 13 TMG stelle keine Marktverhaltensnorm im Sinne von § 4 Nr. 11 UWG dar. Ein Verstoß gegen § 13 TMG könne daher – so das Gericht – nicht von Wettbewerbern mit Abmahnungen, einstweiligen Verfügungen oder Klagen verfolgt werden. Natürlich können Betroffene ihre eigenen Rechte wegen des Rechtsverstoßes gegen den Betreiber der Internetseite geltend machen.

Keine Entwarnung

Die Berliner Entscheidung ist mit Vorsicht zu genießen. Die Frage, ob datenschutzrechtliche Bestimmungen Marktverhaltensnormen sind, ist nicht höchstrichterlich entschieden. Es ist denkbar, dass andere Gerichte und insbesondere übergeordnete Instanzen die Rechtslage anders einschätzen als das Landgericht Berlin. Nach der letzten großen Reform des Wettbewerbsrechts wurde der Verbraucherschutz als wesentliches Ziel des Gesetzes gegen den Unlauteren Wettbewerb in § 1 UWG aufgenommen. Datenschutz und Verbraucherschutz sind eng verwobene Regelungsbereiche. Eine anderweitige Einschätzung als die des Landgerichts Berlin lässt sich daher durchaus begründen. Von Entwarnung kann daher bis zu einer klärenden Entscheidung des Bundesgerichtshofs (oder des Gesetzgebers) keine Rede sein.

Sie möchten sicher gehen? Ihr Online-Auftritt soll praxisgerecht und profitabel sein, aber auch die datenschutzrechtlichen Anforderungen erfüllen? BBS hilft. Bei Fragen zum Datenschutz, aber auch zu allen anderen Herausforderungen im Bereich des IT- und Wettbewerbsrechts sind wir Ihr direkter und kompetenter Ansprechpartner. Sprechen Sie uns an.

 

 

Google-Analytics: Aufsichtsbehörde wird tätig

, ,

Aufsichtsbehörde schreibt Unternehmen wegen google-analytics an

Erst vor kurzem berichteten wir über neues zum Datenschutz im Bereich des Webtracking (Analyse des Nutzerverhaltens auf Internetseiten). Gegenstand unserer Meldung war der Abbruch der Gespräche über den Tracking-Dienst Google-Analytics. Der hamburgische Datenschutzbeauftragte Johannes Caspar wollte die Gespräche mit dem amerikanischen Internetdienstanbieter nicht mehr weiterführen. Seine Begründung: Google gebe sich nicht ausreichend Mühe, um die deutschen Rechtsvorschriften zum Datenschutz einzuhalten: „Was Google anbietet, reicht nicht“ (Johannes Caspar in einem Interview mit der Frankfurter Allgemeinen Zeitung).

Die rechtliche Problematik von Tracking-Diensten war den Behörden schon geraume Zeit bekannt. Weit verbreitete Web-Analyse-Lösungen entsprechen nicht den deutschen Rechtsvorschriften, weil personenbezogene Daten ohne die hierfür erforderliche Rechtsgrundlage erhoben und verarbeitet werden und weil die hier geltenden besonderen Bestimmungen nicht eingehalten werden.

Trotz intensiver Berichterstattung und obwohl Datenschutzexperten schon seit langem auf dieses Problem hingewiesen haben, tat sich bei den betroffenen Unternehmen bislang wenig. Möglicherweise war die Möglichkeit der kostenlosen Nutzung nicht den inländischen Rechtsvorschriften entsprechender Dienste doch zu verlockend.

400 Websites untersucht

Dies scheint sich nun zu ändern: der rheinland-pfälzische Landesbeauftragte für Datenschutz (und damit Aufsichtsbehörde für den Bereich der Telemedien im Bundesland Rheinland-Pfalz) hat 25 der 100 größten Unternehmen in Rheinland-Pfalz angeschrieben und zu einer Stellungnahme über die Nutzung von Google-Analytics aufgefordert.

Nach Einschätzung der Aufsichtsbehörde verstoßen Nutzer dieses Tracking-Dienstes gegen geltende Rechtsvorschriften:

Bei beinahe 60 % der 400 von der Aufsichtsbehörde untersuchten Internetseiten, bei denen Google Analytics zum Einsatz kommt, fehlte bereits die für die Datenerhebung notwendige Einwilligung.

Verstoß gegen Vorschriften zur Auftragsdatenverarbeitung

Die der Nutzung von Google-Analytics zu Grunde liegende Vereinbarung gewähre den Anwendern des Tracking-Dienstes außerdem nicht die nach deutschem Recht erforderlichen Kontrollrechte und entspreche daher nicht den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung.

Dies zeige „wieder einmal, dass Internet-Angebote in weiten Teilen ohne die nötige Sensibilität für den Datenschutz und die Rechte der Nutzer betrieben werden. Es kann nicht sein, dass sich Anbieter von Webseiten mit Verweis auf Dienstleister wie Google aus ihrer datenschutzrechtlichen Verantwortung stehlen!“ (So die Verlautbarung in der Pressemitteilung der Datenschutzaufsichtsbehörde)

Dringender der Handlungsbedarf

Die nunmehr erfolgten ersten Schritte der Aufsichtsbehörde waren vorhersehbar. Die Einschätzung des Landesdatenschutzbeauftragten Rheinland-Pfalz und die Begründung seines Einschreitens entsprechen der von uns bereits vor Wochen veröffentlichten Einschätzung: qualifiziert man IP-Adressen als personenbezogene Daten, müssen die Vorschriften des Bundesdatenschutzgesetzes und des Telemediengesetzes eingehalten werden. Bei einer solchen Auftragsdatenverarbeitung (der Trackingdienst-Anbieter verarbeitet Daten für den Websitebetreiber) ist der Auftraggeber für die Einhaltung der gesetzlichen Vorschriften verantwortlich. Er muss daher die Möglichkeit haben, die Auftragsdatenverarbeitung effektiv zu kontrollieren und zu steuern. Darüber hinaus müssen die gesetzlichen Sondervorschriften für solche Datenverarbeitungen eingehalten werden (§11 BDSG).

Betreiber von Internetseiten tun gut daran, ihren Dienst umgehend auf die Einhaltung der inländischen Datenschutzvorschriften zu überprüfen und etwaige Lücken zu schließen. Eine rechtliche Auseinandersetzung mit den Aufsichtsbehörden kostet nicht nur Zeit und Nerven. Am Ende kann eine Untersagungsverfügung oder ein Ordnungsgeld stehen.

Die (meist durchaus überschaubaren) Kosten einer rechtskonformen Lösung können hierbei kein Argument für die Auswahl rechtlich unsicherer Dienste sein. Es geht nicht „nur“ um die Einhaltung von Gesetzen, sondern um das wertvollste, was ein E-Commerce-Anbieter zu verlieren hat: das Vertrauen seiner Nutzer und seinen guten Ruf.

Auch BBS nutzt daher keine Analysedienste, die intransparente Datenübermittlungen ins Ausland erfordern. Die Einhaltung geltender Rechtsvorschriften ist für uns eine Selbstverständlichkeit. Wir sind aber auch der Meinung, dass insbesondere die Internetseiten eines Rechtsanwalts einen besonders vertrauensvollen Umgang mit personenbezogenen Daten gewährleisten müssen.

Auf unseren Internetseiten kommt daher der Dienst des Hamburger Anbieters etracker zum Einsatz, der eine rechtskonforme Auswertung des Nutzungsverhaltens ermöglicht. Dies ergab auch eine Prüfung des Dienstes durch den Hamburgischen Datenschutzbeauftragten.

Sie haben Fragen zum Datenschutz? Sie möchten Ihren Internetauftritt rechtssicher gestalten? Und wir bieten praxisorientierte und kaufmännisch sinnvolle Lösungen für eine rechtssichere Gestaltung. Dabei verstehen wir nicht nur etwas von den Rechtsgrundlagen. Wir begleiten seit Jahren als Rechtsanwälte Projekte im Bereich Datenschutz und Informationstechnologie und sind daher auch mit den technischen Hintergründen vertraut. Was können wir für Sie tun?

Wichtig für Shopbetreiber: Datenschützer bricht Verhandlungen über Google Analytics ab

, ,

 

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat die nunmehr seit September 2009 stattfindenden Verhandlungen mit Google über den Webtracking-Dienst „Google Analytics“ abgebrochen. Caspar begründete den Abbruch laut einem Bericht der Frankfurter Allgemeinen Zeitung (FAZ) mit mangelndem Entgegenkommen auf der Seite von Google.

Unter Web-Tracking bzw. Web-Analytics versteht man die Analyse des Verhaltens von Benutzern auf einer Internetseite.

Der Hintergrund: IP-Adresse als personenbezogenes Datum

Die ständige Zusammenkunft der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“) hatte auf ihrer Sitzung am 26. und 27. November 2009 beschlossen, „dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind“ (Beschluss als PDF). Diese lapidare Feststellung hat für Betreiber von Internetangeboten, insbesondere Web-Shops, in Deutschland weitreichende Folgen.

Grundlage der Einschätzung der Aufsichtsbehörden war die rechtliche Beurteilung von IP-Adressen. Es war umstritten, ob diese numerische Kennzeichnung von Netzwerkteilnehmern zu den personenbezogenen Daten zu zählen ist. Schließlich weiß in der Regel nur der jeweilige Internetprovider, welchem Kunden zu welcher Zeit eine dynamische IP-Adresse zugewiesen war. Nach Einschätzung der Vertreter der einen Meinung ist die IP-Adresse deshalb auch nicht personenbezogen, da an die Providerdaten der normale Betreiber einer Internetseite nicht herankommt.

Die Vertreter der Gegenansicht – und hierzu gehören auch die Aufsichtsbehörden – meinen, dass das Bundesdatenschutzgesetz eine andere Beurteilung erfordert: nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind alle Daten personenbezogen, die Hinweis auf eine gestimmte oder bestimmbare natürliche Personen geben können. Dabei kommt es nicht darauf an, ob derjenige, der Daten erhebt, den Personenbezug selbst herstellen kann. Personenbezogen sind nach Ansicht der Aufsichtsbehörden alle Daten, die auch bei Herstellung einer Querverknüpfung mit bei Dritten gespeicherten Daten Aufschluss auf eine existierende Person geben können – hierzu gehören daher auch IP-Adressen.

Widerspruchsrecht des Nutzers

Wenn es sich bei IP-Adressen um personenbezogene Daten handelt, ist dem Betroffenen ein Widerspruchsrecht einzuräumen. Die Betroffenen müssen der Erhebung ihrer IP-Adresse zu Zwecken der Optimierung von Internetangeboten einfach widersprechen können. Der Widerspruch muss zuverlässig umgesetzt werden. Und genau hier sah der Hamburgische Datenschutzbeauftragte das Problem: für Google Analytics hatte der Anbieter zwar Browser-Plugins bereitgestellt, mit denen die Erfassung der IP-Adressen vermieden werden können sollte. Diese Plugins sind jedoch nicht für jeden Browser verfügbar und die durch das Plugin erfolgte Sperrwirkung verhältnismäßig leicht zu umgehen.

Bereits im Vorfeld wurde die von Google angebotene Web-Analytics-Lösung kritisch beurteilt. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein stellt zu diesem Thema seit längerem umfangreiche Informationen zur Verfügung.

Seitenbetreiber ist verantwortlich

Die Analyse des Nutzerverhaltens ist für die Anpassung von Internetangeboten an die Anforderungen und Bedürfnisse der Nutzer unerlässlich. Für den Betreiber des Internetangebots lauern hier jedoch erhebliche rechtliche Gefahren. Anders als in von einigen Anbietern bereitgestellten vorformulierten Datenschutztexten angedeutet, ist nämlich keineswegs der Betreiber des Tracking-Dienstes, sondern vielmehr der Betreiber der Internetseite für die Datenerhebung und Datenverarbeitung im Rahmen des Trackings verantwortlich. Es handelt sich dabei um eine Datenverarbeitung, die der Tracking-Dienst im Auftrag des Betreibers der Internetseite durchführt. Für derartige Auftragsdatenverarbeitungen existieren detaillierte Regelungen in § 10 BDSG, die von allen inländischen Betreibern von Websites einzuhalten sind. Diese Vorschrift fordert beispielsweise, dass eine schriftliche Vereinbarung zur Datenverarbeitung vorliegt. Der Auftragnehmer darf dabei mit den personenbezogenen Daten nur das machen, was der Betreiber der Internetseite vorgibt. Die Einhaltung dieser Weisungen hat der Auftraggeber zu kontrollieren.

Rechtskonforme Alternativen verfügbar

Die Einhaltung dieser Vorgaben im Bereich des Web-Tracking ist durchaus möglich. So bietet beispielsweise der Hamburger Anbieter „etracker“ den Abschluss einer schriftlichen Vereinbarung an und stellt eine einfache Möglichkeit bereit, den Rechner (oder besser gesagt: den Internetbrowser) des Nutzers von der Datenerfassung auszuschließen. Außerdem wird eine Funktion bereitgestellt, die IP-Adressen der Nutzer nur verkürzt zu speichern. Da auch der Provider auf Basis einer derart verkürzten Adresse keine Zuordnung zu einem bestimmten Nutzer vornehmen kann, handelt es sich bei diesen Datensätzen auch nicht um personenbezogene Daten.

Profis wählen Anbieter umsichtig aus

Wie in vielen anderen Bereichen gilt auch beim Web-Tracking: nicht alles, was kostenlos oder verbreitet ist, ist auch richtig und rechtlich einwandfrei. Insbesondere im Bereich des E-Commerce müssen sensible Daten wie beispielsweise Zahlungsinformationen über das Internet übermittelt werden. Die Auswahl zuverlässiger Partner und die Beachtung der rechtlichen Vorgaben sollte dabei im Online-Business genauso selbstverständlich sein wie im Offlinebereich. Dies liegt nicht zuletzt auch im Interesse der E-Commerce-Anbieter. Denn sie haften, wenn auf ihren Internetseiten – und zwar auch durch vom Anbieter herangezogene Dritte – erhobene Daten in falsche Hände geraten oder entgegen den gesetzlichen Vorschriften verarbeitet werden. Wir raten daher zu einer sorgfältigen und professionellen Auswahl der für die Optimierung und den Betrieb des Internetangebots herangezogenen Dienstleister. Nicht alles, was umsonst ist, ist auch gut. Offene Flanken im Datenschutz sind nicht nur peinlich, sondern möglicherweise auch geschäftsschädigend.

Bei der Auswahl sollte auch ein besonderes Augenmerk auf den denkbaren Ernstfall gelegt werden. Die Rechtsfolgen der Einbeziehung von Allgemeinen Geschäftsbedingungen ausländischer Anbieter sind oftmals nur schwer absehbar. Wer beispielsweise der Einbeziehung US-amerikanischen Rechts zustimmt, kann die Rechtsfolgen der Einbeziehung dieser Normen oftmals nur schwer absehen. Darüber hinaus ist die Geltendmachung und Durchsetzung von Ansprüchen vor ausländischen Gerichten alleine aufgrund der unterschiedlichen Verfahrensvorschriften oftmals erschwert und mit möglicherweise hohen Kosten verbunden. Ein verlässlicher Ansprechpartner im Inland bietet hier taktische und kaufmännische Vorteile.

Nicht nur der gute Ruf steht auf dem Spiel

Verstöße gegen die Datenschutzvorschriften können nicht nur das Risiko von Bußgeldern und Imageschäden verursachen. Erfahrungsgemäß ist insbesondere in größeren Unternehmen die Anpassung der Geschäftsprozesse und Systeme in der Folge von Datenschutzverstößen mit wesentlichem Aufwand und damit auch wesentlichen Kosten verbunden. Eine umsichtige Planung und regelmäßige Selbstkontrolle sind daher meistens auch auf der Kostenseite günstiger als kurzfristige Ersparnisse durch die Wahl der „billigsten“ Lösung.

Sie haben Fragen zum Datenschutz und möchten Rechtsverstöße vermeiden? Wir bieten kompetente und praxiserprobte Beratung und Lösungen für E-Commerce-Anbieter. Sprechen Sie uns gerne an!