datenschutz-nord-umgang-mit-verbraucherdaten-im-onlinehandel
Dieses Dokument ist Teil der Anfrage „Gutachten des Sachverständigenrats für Verbraucherfragen“
amazon zalando Hello Fresh Douglas Expedia Toys'R'us Weltbild
Es ist deutlich
erkennbar, wer (-) über
die + über DSE und + über + über Impressum nicht + über
- +
verantwortliche Impressum Impressum Impressum ganz klar ob USA Impressum
Stelle des oder D
Webshops ist.
Über die
Zweckbestimmun
g der Erhebung,
Verarbeitung oder + + + + + + +
Nutzung der
Daten wird
informiert.
Der Nutzer wird
über
Rechtsvorschrifte
- nur Verweis auf - nur Verweis - nur Verweis
n unterrichtet, auf - - - -
BDSG und TMG auf BDSG auf BDSG
deren Grundlage
die Daten
erhoben werden.
amazon zalando Hello Fresh Douglas Expedia Toys'R'us Weltbild
Es wird klar
+ (problematisch,
zwischen + (aber
weitreichende
freiwilligen und + Sternchenverme + + + +
automatisierte
Pflichtangaben rk fehlt)
Datenerhebung)
unterschieden.
Der Nutzer weiß, +
ob, in welchem (problematisch +/ - (ob und
Zusammenhang sind teilweise in - (allg.
+/ - (keine
und welche seiner widersprechende welchem Verweis auf
- + + abschließende
Daten an einen Dienstleister b. Zusammenhang, Kundenservi
Aufzählung)
Dritten d. aber nicht welche ce)
übermittelt Kreditkartenzahl Daten)
werden. ung)
amazon zalando Hello Fresh Douglas Expedia Toys'R'us Weltbild
Der Nutzer hat
die Möglichkeit + (Umfang im
einer Verhältnis zu
+ + + - + +
Weiterverwendun Nutzung sehr
g seiner Daten zu Beschränkt)
widersprechen.
Der Nutzer wird
über mögliche
Weiterverwendun + + + + + + +
gen seiner Daten
informiert.
Gütesiegel/Zertifikate…
...sind auf der
Webseite - + - + + + +
vorhanden:
Trusted Shops o + o o o o o
TÜV Süd o o o o + o o
EHI o o o + o o +
internet privacy
o o o o o o o
standards
amazon zalando Hello Fresh Douglas Expedia Toys'R'us Weltbild
Auszeichnun
gen von:
TÜV
vir (Verband
eKomi, Saarland
Internet
Deutschland (Service
Reisevertrieb),
… o o o Test, Internet ekomi tested,
IATA
World Business Preis/Leistun
(Accredited
2014 und 2015 g),
Agent)
Trustpilot,
Ehrlicher
Händler
...setzen die
Weitergabe von
o + o wahrscheinlich nicht ersichtlich wahrscheinlich -
Daten an Dritte
voraus.
über die
Weitergabe wird o - (vor Kauf) o (-) o (-) o
belehrt
wo wird belehrt o o o (-) o (-) o
weitere elektronische Vertriebswege/ Netzwerke
App + + + + + + +
Facebook + + + + + + +
Instagram + + + + + (+) nicht D +
amazon zalando Hello Fresh Douglas Expedia Toys'R'us Weltbild
+ (nicht auf
Twitter + + + Webseite + (+) nicht D +
vermerkt)
google+ + + + + + + +
Logistikblog,
Blog + + + + (+) nicht D +
Watchblog,
Youtube, Youtube, Youtube,
… o o o Youtube
Pinterest Pinterest Pinterest
datenschutz Alt Anhang 2: Ergebnisse der Interviews Berliner Beauftragter für Datenschutz und Informationsfreiheit Die Befragung von Herrn Dr. Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit (folgend: Berliner Datenschutzbeauftragter), hat folgendes ergeben: Bestellprozess Über Bestellformulare würden nicht exzessiv Daten von Kunden erhoben, auch wenn teilweise noch das Geburtsdatum von Shops erhoben wird. Problematisch sei vielmehr, dass zwar schon vermehr aber noch nicht flächendeckend die Bestellung ohne Registrierung möglich sei. Es bleibe für den Betroffenen intransparent, welche datenschutzrechtlichen Folgen eine Registrierung hat. Welche Daten würden hierbei zu welchem Zweck und für welchen Zeitraum gespeichert. Insbesondere im Hinblick auf Zahlungsdaten kann der Betroffene ein erhebliches Interesse haben, dass diese nur so kurz wie möglich bereitgehalten werden, da IT-Sicherheitsprobleme und Datenpannen für Betroffene empfindliche Folgen haben können. Datenschutzerklärung Ein Hauptproblem läge in einer transparenten und umfassenden Belehrung des Betroffenen durch die Shop-Betreiber. Es sei dem Berliner Datenschutzbeauftragten noch kein Shop bekannt der hier mustergültig sei und ohne Beanstandung geblieben sei. Eine hinreichende Belehrung sei aber Grundvoraussetzung dafür, dass Betroffene Rechte wahrnehmen können bzw. eine eigenverantwortliche Wahl treffen können. Durch sehr allgemeine und unbestimmte Formulierungen blieben Datenschutzerklärungen für den Betroffenen oft eine „Black-Box“ die er akzeptieren kann oder nicht. Nur unzureichend seien Datenschutzerklärungen zudem bei der Belehrung über Betroffenenrechte oder der Benennung von _datenschutzrechtlichen Ansprechpartnern. Die Datenschutzerklärungen stünden zudem in der Tradition US-amerikanischer Rechtssystematik und werde von Unternehmen teilweise auch als Alibi verwendet, um Prozesse im Gegenzug weniger transparent und betroffenenfreundlich gestalten zu müssen. Es sei daher wichtig, sehr umfangreichen und schwer verständlichen Erklärungen entgegenzuwirken. Es müsse an alternativen Wegen zur Information der Betroffenen gearbeitet werden, z.B. durch eine verstärkte grafische Darstellung. Cookies, Tracking, Werbung Ein weiterer Schwerpunkt problematischer Datenverarbeitung bei Web-Shops stellen Cookies und die Verknüpfung mit weitreichenden Werbenetzwerken dar. Cookies erfreuen sich einer stetigen Beliebtheit bei Shop-Betreibern. Technische Vorgänge und Hintergründe seien hier größtenteils völlig unbekannt. Das gesamte Thema bedürfe einer grundlegenden Aufarbeitung. Aufsichtsbehörden stehen auch hier noch am Anfang, haben das Problem aber bereits erkannt. Auch bei inzwischen
datenschutz AG haben. Auch wenn Verträge keinem Ausfallrisiko unterliegen oder anderweitig abgesichert sind, würden pauschal Abfragen durchgeführt. Einwilligung Einwilligungslösungen würden von Online-Shops nicht weitreichend eingesetzt. Sofern Shops versuchen, dieses Instrument zu nutzen, würden zumeist grundlegende Rechtmäßigkeitsanforderungen missachtet. Die mangelnde Transparenz in der Datenschutzerklärung wirke auch in die Qualität der Einwilligungstexte hinein, indem diese über floskelhafte Formulierungen nicht hinausgehen. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (folgend: ULD) wurden Frau Marit Hansen und Herr Sven Polenz befragt. Die Befragung hat folgendes ergeben: Problemschwerpunkte Problemschwerpunkte bei der Datenverarbeitung von Online-Shops liegen in folgenden Bereichen: --- Mängel in der Datenschutzerklärung, --- zu viele unmittelbar bei Kunden erhobene Daten, --- mangelhafte Einwilligungserklärungen, --- Werbung/ Tracking/ Cookies, --- rechtswidriger Datentransfer zwischen Shops und Auskunfteien. Mängel in der Datenschutzerklärung Datenschutzerklärungen haben den Nutzer umfassend zu belehren. Dies geschehe in den seltensten Fällen. Das ULD habe noch keinen Shop geprüft, bei dem im Ergebnis die Datenschutzerklärung unbeanstandet geblieben sei. Bei kleineren Shop- Anbietern fehlen Datenschutzerklärungen vereinzelt völlig. Sofern eine Datenschutzerklärung vorhanden ist, scheitert diese schon an einer klaren Beschreibung der stattfindenden Datenverarbeitungsprozesse. Neben den unten im Besonderen angesprochenen Problemkreisen, fehlt es an einer Belehrung über die Datenübermittlung in Drittstaaten. Hierüber wird gar nicht oder unzureichend belehrt. Insbesondere fehlen jegliche Angaben über das im Drittstaat herrschende Datenschutzniveau. Das ULD hält dies für erforderlich, da andernfalls der Betroffene die Tragweite der Entscheidung nicht überblicken könne. Dabei sei eine Übermittlung in Drittstaaten an der Tagesordnung. Betroffen seien zumeist Cloud- und Tracking-Dienste sowie Content-Delivery-Networks (CDN). Akamai sei hier einer der größten Anbieter. Diese Dienste sind sehr weit verbreitet, stark vernetzt und erheben weitreichend Daten. Andererseits bleiben sie für den Nutzer völlig unbekannt. Die extreme Unschärfe der Verarbeitungszecke, auch erreicht durch allgemeine Öffnungsklauseln („für sonstige Zwecke“ oder für „Werbung“) in den Seite 58 Umgang mit Verbraucherdaten durch Online-Shops
datenschutz AG Datenschutzerklärungen, sei darauf zurückzuführen, dass Unternehmen, jedenfalls der Verfasser der Erklärung, selbst nicht genau wissen, welche Datenverarbeitungsvorgänge bestehen. Sofern sich der Shop-Betreiber auf die Beschreibung eines Verfahrens festlegt, besteht zudem die Gefahr, dass es falsch beschrieben wird bzw. sich durch Änderungen der Prozesse in der Zukunft überholt, ohne gleichzeitig die Datenschutzerklärung nachzuziehen. Diese Flexibilität möchte sich das Unternehmen gern erhalten. Kleine und mittelständische Shop-Betreiber wären oft unzureichend über die selbst genutzte IT-Struktur (z.B. Cloud-Dienste oder Applikationen) informiert. Wichtiger seien zumeist der Preis und eine unkomplizierte Funktionalität. Datenverarbeitungsvorgänge sind dann selbst dem Betreiber unbekannt. Unmittelbar bei Kunden erhobene Daten Im Bereich der unmittelbar beim Kunden erhobenen Daten sieht das ULD große Schwächen bei Shop-Betreibern. Bestellformulare seien zumeist nicht datensparsam gestaltet (Anrede, vollständiger Vornahme, Geburtsdatum). Eine pseudonyme Nutzung von Diensten, die insbesondere nicht den Versand von Produkten erfordern (z.B. E-Books), sei am Markt praktisch nicht vorhanden. Zudem sehen Webseiten oft eine Registrierung vor, ohne eine „Gast-Bestellung“ zu ermöglichen. Man habe festgestellt, dass diese Unternehmen auch dementsprechend werbeintensiv mit den Daten verfahren, da mit der Registrierung eine dauerhafte Kundenbeziehung erstrebt ist. Amazon lässt daher eine Löschung einzelner Bestellungen aus dem Account nicht zu, sondern bietet für diesen Fall nur eine vollständige Vertragsbeendigung an. Der Luxemburgische Datenschutzbeauftragte habe dies unbeanstandet gelassen. Als Argument für eine Registrierung führen Unternehmen zumeist Sicherheitsgründe an, die die Identifizierung des Kunden sicherstellen sollen. Nach Auffassung des ULD ist eine Registrierung weder dafür geeignet, noch das mildeste Mittel. Das ULD setzt sich daher für einen verstärkten Einsatz des „neuen“ Personalausweises als Identifikationsmittel ein. Dies würde auch eine Altersverifikation im ausreichenden Maß sicherstellen. Kritikwürdig seien auch der Umgang und das Angebot von Zahlungsverfahren in Shops. Als datensparsamste Zahlungsart sollte die Vorauskasse standardmäßig angeboten werden. Eine Weiterentwicklung in dem Bereich und alternative Modelle sind hier nicht erkennbar. Einwilligungserklärungen Einwilligungserklärungen entsprechen zumeist nicht den Anforderungen des $ 13 Abs. 2 TMG. Belehrungen über den Zweck der Verarbeitung seien aus den ähnlichen Gründen mangelhaft, wie die Datenschutzerklärungen (z.B. Belehrung über die Übermittlung von Daten in Drittstaaten). Unternehmen verweisen allgemein auf die bestehenden Richtlinien und AGB. Hierbei wird argumentiert, diese seien Grundlage des Vertrages und der Nutzer habe bei Vertragsschluss in diese „eingewilligt“. Selbst den formalen Anforderungen des $ 13 Abs. 2 TMG halten diese Erklärungen aber nicht stand (Hervorhebung, jederzeitige Abrufbarkeit.. Zudem unterliegen die Datenschutzerklärung und darin enthaltende Einwilligungen der AGB-Kontrolle, so dass z.B. häufig vorkommende Vermischung von Post- und E-Mail-Werbung zur Intransparenz und damit zur Rechtswidrigkeit der Erklärung führt. Seite 5g Umgang mit Verbraucherdaten durch Online-Shops
datenschutz AG Cookies/ Tracking/ Werbung Der umfassende, teilweise exzessive Einsatz von Cookies sei bei Online-Shops weit verbreitet. Der enorme Umfang schließe eine transparente Belehrung von Beginn an aus. Notwendig sei der Einsatz für den Betrieb der Webseite nicht. Cookies werden nicht nur genutzt, um die Webseite den Bedürfnissen des Nutzers anzupassen oder einen Service anzubieten (z.B. eingeloggt bleiben). Vielmehr wird aus dem Klick- Verhalten des Nutzers heraus die Webseite optimiert (z.B. Abbruchraten, -gründe) und umfassende Profile über den Nutzer angelegen, um Angebote und Werbung individualisieren zu können. Auch hier wird umfassend auf Drittdienstleister zurückgegriffen. Welche Informationen hier verkettet und ausgewertet würden, sei völlig unklar. Widerspruchlösungen für damit zusammenhängende Cookies seien unzureichend. Der pauschale Verweis auf Einstellungsmöglichkeiten im Browser hilft oft nicht weiter. Besonders kritisch merkte das ULD hierzu an, dass individuelle Schutzmaßnahmen durch Browserkonfigurationen und anderen Funktionalitäten zur nutzerseitigen, technischen Datentransferkontrolle nicht zielführend seien. Sofern Einstellungen hier zu restriktiv gewählt würden, ist eine Nutzung - oft technisch nicht nachvollziehbar - gar nicht mehr möglich. Bei vielen Webseiten hat der Nutzer nur die Möglichkeit entweder alle Cookies zu akzeptieren oder ganz auf die Bestellung zu verzichten. Das ULD sieht sich nach der jetzigen Gesetzeslage zwar nicht gehindert, Maßnahmen zu ergreifen und Bußgelder gegen einen solchen Einsatz von Cookies zu verhängen, jedoch sollten gesetzliche Anforderungen hier dringend konkretisiert werden. Inwieweit weitergehende Technologien, als Kompensation zur Cookie-Technologie, bereits im Einsatz sind, kann nicht abgeschätzt werden. Solche Datenverarbeitungsvorgänge sind bei der Nutzung der Webseite nicht sichtbar und können nur bei Vor-Ort-Prüfungen auf den Systemen der Shop-Betreiber vom ULD eingesehen werden. Auskunfteien Scoring sei ein großes Problem bei Online-Shops. Das ULD weißt hier einen Tätigkeitsschwerpunkt auf. Eine Nutzung von Auskunfteien bei der Vertragsanbahnung ist im Markt sehr weit verbreitet. Dies betrifft sowohl den Bezug von Scorewerten, als auch die Meldung von Daten an die Auskunfteien. Datenschutzerklärungen würden hier oft keine oder unzureichende Feststellungen treffen. Eine erste Vorprüfung der Bonität eines Kunden nehmen Shops teilweise schon anhand der über die IP-Adresse bekannten Ortsdaten des Nutzers vor - entsprechend würden Zahlungsbedingungenen angepasst. Bei der Meldung von Daten an Auskunfteien verfolgen Unternehmen ganz unterschiedliche Strategien. Von der Meldung „Vertrag erfolgreich durchgeführt“ bis hin zur umfassenden Übermittlung von Vertragsdaten ist alles möglich. Da mit dem Bezug von Scorewerten Kosten für Shop-Betreiber verbunden sind, sind Unternehmen teilweise bereit, sehr umfassend Daten an die Auskunfteien zu übermitteln, da sich hierdurch die Kosten erheblich reduzieren können. Unternehmen beriefen sich hierbei auf $ 28 BDSG und halten die Regelungen des $ 28a f. BDSG für nicht abschließend. Das ULD stuft die vorhandenen gesetzlichen Regelungen zum Scoring als unzureichend ein. Dies dürfte sich auch nicht durch die Datenschutzgrundverordnung ändern. Verbleibender, nationaler Gesetzgebungsspielraum müsse hier genutzt werden. Seite 60 Umgang mit Verbraucherdaten durch Online-Shops
