Dass die Zukunft des Handels sich immer mehr auf den E-Commerce verlagert, ist in allen Branchen zu beobachten. Die neuen Verkaufswege stellen aber neue Herausforderungen, die nicht immer einfach anzugehen sind. Vor allem in Sachen Datenschutz im E-Commerce gibt es viele Fragezeigen für Verbraucher und Anbieter. Anhand von Praxistipps lässt sich leicht erkennen, wo der Fokus liegen sollte.
Kostenloses Whitepaper
Datenschutz ist ein Bereich, der die Gemüter in Wallung bringt. Denn wo die einen strikte Regelungen fordern, sehen die anderen eine Chance, die Wirtschaft anzukurbeln. Wo genau die Grenzen gezogen werden, das liegt rein rechtlich gesehen vor allem in den Händen der Gesetzgeber. Die korrekte Umsetzung von rechtlichen Vorgaben liegt allerdings bei den Online-Plattformen. Darüber hinaus ist der richtige Umgang mit Daten aber auch ein Tool bei der Kundengewinnung und Kundenbindung. Wer darauf verzichtet, dieses Tool gewinnbringend einzusetzen, verschenkt hohes Umsatzpotenzial.
Wie aber sieht der Datenschutz im E-Commerce im Arbeitsalltag aus? Die Fachgruppe E-Commerce im Bundesverband Digitale Wirtschaft (BVDW) e.V. hat ein kostenloses Whitepaper zusammengestellt, das darüber einen umfassenden Überblick gibt. Die Fachleute der Expertengruppe haben insgesamt 25 Beispiele zusammengestellt, die anhand von praxisnahen Szenarien aufzeigen, wie sich Datenschutz im Business umsetzen lässt. Der Fokus liegt auf den rechtlichen Anforderungen, die deutsche Unternehmen erfüllen müssen, vor allem mit Blick auf personenbezogene Daten.
Wie aber sieht der Datenschutz im E-Commerce im Arbeitsalltag aus? Die Fachgruppe E-Commerce im Bundesverband Digitale Wirtschaft (BVDW) e.V. hat ein kostenloses Whitepaper zusammengestellt, das darüber einen umfassenden Überblick gibt. (#01)
Warum ist das Datenschutz-Management relevant?
Unternehmen aller Größe sind immer mehr drauf angewiesen, mit einem gut durchdachten Datenmanagement zu arbeiten. Diese Daten liegen dabei in ganz unteschiedlichen Formen vor:
- Kundendaten
- Sensordaten
- Rechnerische Auswertungen
Selbst produzierte und erfasste Daten sind dabei vor allem für den internen Gebrauch relevant. Werden diese nach außen weitergetragen, liegt der Schaden zumeist lediglich bei der Firma selber. Hier ein gutes Datenmanagement zu nutzen, ist also wichtig, um hauseigene Informationen zu schützen. Was aber ist mit den Daten, die durch Kunden oder Geschäftspartner zur Verfügung gestellt werden? Klassische Beispiele dafür sind Namen, Adressen oder Telefonnummern. Diese sogenannten „personenbezogenen Daten“ werden in Deutschland gesondert behandelt.
Sie unterliegen einem speziellen rechtlichen Schutz. Kommen entsprechende Daten also zum Einsatz, müssen die rechtlichen Rahmenbedingungen geschaffen sein, diese korrekt zu handhaben. Werden die Vorgaben ignoriert oder inkorrekt umgesetzt, führt dies zu Abmahnungen und Bußgeldstrafen. Im schlimmsten Fall kann eine Anklage erfolgen. Auch ein Lizenzentzug für die Branchentätigkeit ist denkbar.
Hinweis
Die wichtigsten Vorgaben für den Datenschutz im E-Commerce finden sich im Bundesdatenschutzgesetz (BDSG), im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG).
Video: Was Sie über E-Commerce-Recht wissen müssen
Datenschutz-Managements?
Welche Gesetzesvorlagen für den individuellen Ablauf gelten, wird durch mehrere Faktoren bestimmt. So ist es unter anderem relevant, wie die Daten erhoben werden und welche Daten für das Datenmanagement vorhanden sind. Der wichtigste Grundsatz ist, dass alles verboten ist, wenn es nicht ausdrücklich erlaubt ist.
Die Einwilligung zur Datenaufnahmen muss immer schriftlich durch den Kunden oder Geschäftspartner erteilt werden. Da diese Einwilligung für den Datenschutz im E-Commerce in elektronischer Form geschieht, gibt es weitere Vorgaben zu beachten. Auch die Möglichkeit, im Detail einzusehen, wozu die gesammelten Daten verwendet werden, muss zur Verfügung stehen.
Sind die Daten aufgenommen, muss das System bestimmte Anforderungen erfüllen, um die Datensicherheit zu gewährleisten:
- Kontrollierter Zugang
- Kontrollierter Datenzugriff
- Kontrolle der Weitergabe
- Eingabekontrolle
- Verfügbarkeitskontrolle
Diese Vorgaben sind dabei nicht nur als notwendiges Übel anzusehen. Sind die benötigten Systeme implementiert, lässt sich die Datenqualität leicht überwachen. Entsprechend sind die Ergebnisse einer internen Datenanaylse sehr genau und hochwertig.
So ist es unter anderem relevant, wie die Daten erhoben werden und welche Daten für das Datenmanagement vorhanden sind. Der wichtigste Grundsatz ist, dass alles verboten ist, wenn es nicht ausdrücklich erlaubt ist.(#02)
Was passiert, wenn der Datenschutz inkorrekt umgesetzt wird?
Ein Verstoß gegen Datenschutz-Vorgaben wird in erster Distanz nahezu immer mit einem Bußgeld belegt. Dabei kann es sich pro Verstoß um einen Betrag von bis zu 300 Euro handeln. Darüber hinaus wird berechnet, welche wirtschaftlichen Vorteile der Händler durch den Verstoß erhalten hat. Diese müssen entsprechend an den Gesetzgeber abgetreten werden.
Ist nachweisbar, dass der Verstoß vorsätzlich war, kann es in bestimmten Fällen sogar zu einer Haftstrafe kommen. Die Obergrenze liegt hier bei zwei Jahren. Darüber hinaus wird das Unternehmen in solchen Fällen oft mit Sanktionen und Restriktionen belegt.
Was sollte man als Unternehmen beachten? Drei Fallbeispiele
Welche konkreten Faktoren im eigenen Untenehmen eine Rolle spielen, muss individuell betrachtet werden. Neben den bereits genannten Grundlagen ist es daher sinnvoll, sich darüber hinaus mit dem Thema Datenschutz im E-Commerce eingehend zu beschäftigen. Da nicht jedes Unternehmen gleich aufgestellt ist, ist es schwer, eine allgemeine Aussage zu treffen. Im Folgenden jedoch drei Szenarien, die einen Aufschluss darüber geben, wie das Thema richtig anzugehen ist.
Datenschutzbeauftragte anstellen
Die Zahl der Mitarbeiter, die täglich mit personenbezogenen Daten in Kontakt kommen, sollte stetig überwacht werden. Denn über § 4f BDSG ist geregelt, ab wann ein Datenschutzbeauftragter im Unternehmen vorhanden sein muss:
- Sobald mehr als zehn Mitarbeiter im Datenmanagement mit der automatisierten Datenverarbeitung der personenbezogenen Daten in Kontakt kommen.
- Sobald mindestens 20 Mitarbeiter im Arbeitsalltag mit den personenbezogenen Daten arbeiten: Datenanalyse, Datenaufbereitung, Test auf Datenqualität usw.
Da es nicht immer möglich ist, einen Datenschutzbeauftragten zu ernennen, der innerhalb des relevanten Personenkreises keinen Interessenkonflikt darstellen könnte, ist es denkbar, den Datenschutzbeauftragten extern zu benennen.
Datenvermeidung und Datensparsamkeit
Der §3a BDSG befasst sich mit der Datenvermeidung und der Datensparsamkeit. Ob die Vorgaben für das eigene Unternehmen relevant sind, lässt sich über einige Fragen herausfinden:
- Werden alle aufgezeichneten Daten wirklich benötigt?
- Wie lange werden die Daten benötigt?
- In welchen Bereichen werden die Daten benötigt?
So kann es sein, dass die personenbezogenen Daten lediglich für eine einzige Transaktion benötigt werden; zum Beispiel für den einmaligen Lizenzerwerb. Was aber, wenn die Daten für eine mögliche zukünftige Bestellung weiterhin relvant sind oder im Rahmen eines Kundenkontos hinterlegt wurden?
Hier muss man sich informieren, welche Daten durch den Gesetzgeber als Notwendigkeit angesehen werden und welche eben nicht. Auch die Frage nach der Dauer der Speicherung ist relevant. Hier muss man sich im Klaren sein, wie die Daten gespeichert werden. Handelt es sich um einen aktiven Bestand von Kunden und Geschäftspartnern? Oder liegen die Informationen lediglich im Zeitrahmen der gesetzlichen Aufbewahrungsfrist vor?
Auch Informationen aus verschiedenen Eingabekriterien werden jeweils anders behandelt. Freiwillige Angaben unterliegen anderen Vorgaben, als durch den Händler vorgeschriebene Angaben.
Der §3a BDSG befasst sich mit der Datenvermeidung und der Datensparsamkeit. (#03)
Zusammenarbeit mit externen Partnern
Schnell ist es passiert, dass die täglich eingehende Datenflut die eigene Arbeitskapazität überschreitet. Im Rahmen der Expansion muss eine wirtschaftliche Entscheidung getroffen werden. Sollen die personenbezogenen Daten in ihrer Gesamtheit firmenintern bearbeitet werden? Oder soll die Arbeitslast auf ein externe Datenverbreitung umgelegt werden? Beide Seiten haben natürlich Vorteile und Nachteile zu bieten. Wichtig ist jedoch, dass es für den Fall der Datenauslagerung sehr genaue Vorschriften nach § 11 BDSG zu beachten gibt.
Unter anderem muss man ich vor der Zusammenarbeit danach erkundigen, ob der Vertragspartner die gesetzlichen Vorgaben für den Datenschutz im E-Commerce einhält. Auch eine anhaltende Datenschutzkontrolle muss durch das Unternehmen vorgenommen werden.
Fazit: Datenschutz ist nicht gleich Datenschutz
Die enorme Komplexität des Themas führt dazu, dass jedes Unternehmen ganz genau hinschauen muss. Denn was für die eine E-Commerce-Plattform gut und recht ist, kann bei der nächsten für echte Probleme sorgen. Neben den aktuellen Vorgaben ist zu beachten, dass sich der gesetzliche Bereich in ständigem Wandel befindet. Eine anhaltende Qualitätskontrolle ist daher unerlässlich.
Eine externe Datenschutzberatung ist ab einer bestimmten Firmengröße ratsam. Schnell verliert man die wichtigen Fakten aus den Augen, und ein Bußgeldverfahren steht vor der Tür. Das kostet nicht nur Geld, es resultiert auch schnell in sinkenden Umsatzzahlen. Ein ruiniertes Image ist nur schwer zu reparieren.
Bildnachweis:©Shutterstock – Titelbild:ranjith ravindran – #01: Black Jack – #02:Gorodenkoff – #03:ra2studio
