datenschutz-nord-umgang-mit-verbraucherdaten-im-onlinehandel

Dieses Dokument ist Teil der Anfrage „Gutachten des Sachverständigenrats für Verbraucherfragen

/ 82
PDF herunterladen
amazon       zalando         Hello Fresh     Douglas        Expedia          Toys'R'us      Weltbild


Es ist deutlich
erkennbar, wer                                                                      (-) über
die                            + über DSE und         + über         + über    Impressum nicht       + über
                        -                                                                                            +
verantwortliche                  Impressum          Impressum      Impressum   ganz klar ob USA    Impressum
Stelle des                                                                          oder D
Webshops ist.

Über die
Zweckbestimmun
g der Erhebung,
Verarbeitung oder       +             +                 +             +               +                +             +
Nutzung der
Daten wird
informiert.
Der Nutzer wird
über
Rechtsvorschrifte
                               - nur Verweis auf   - nur Verweis                                  - nur Verweis
n unterrichtet, auf     -                                              -              -                              -
                               BDSG und TMG          auf BDSG                                       auf BDSG
deren Grundlage
die Daten
erhoben werden.
55

amazon          zalando    Hello Fresh        Douglas            Expedia          Toys'R'us       Weltbild




Es wird klar
                    + (problematisch,
zwischen                                               + (aber
                     weitreichende
freiwilligen und                           +      Sternchenverme          +                  +                +               +
                     automatisierte
Pflichtangaben                                        rk fehlt)
                    Datenerhebung)
unterschieden.




Der Nutzer weiß,                                                           +
ob, in welchem                                                      (problematisch      +/ - (ob und
Zusammenhang                                                             sind           teilweise in                        - (allg.
                                                                                                           +/ - (keine
und welche seiner                                                  widersprechende       welchem                         Verweis auf
                            -              +            +                                                abschließende
Daten an einen                                                      Dienstleister b. Zusammenhang,                       Kundenservi
                                                                                                          Aufzählung)
Dritten                                                                   d.         aber nicht welche                       ce)
übermittelt                                                        Kreditkartenzahl       Daten)
werden.                                                                  ung)
56

amazon        zalando   Hello Fresh   Douglas   Expedia   Toys'R'us   Weltbild


Der Nutzer hat
die Möglichkeit      + (Umfang im
einer                Verhältnis zu
                                       +            +          +          -         +           +
Weiterverwendun      Nutzung sehr
g seiner Daten zu     Beschränkt)
widersprechen.

Der Nutzer wird
über mögliche
Weiterverwendun         +              +           +            +        +          +           +
gen seiner Daten
informiert.
Gütesiegel/Zertifikate…
...sind auf der
Webseite                -              +            -          +         +          +           +
vorhanden:
      Trusted Shops     o              +           o           o         o          o           o
        TÜV Süd           o            o           o           o         +          o           o
               EHI        o            o           o           +         o          o           +
  internet privacy
                          o            o           o           o         o          o           o
        standards
57

amazon       zalando       Hello Fresh      Douglas           Expedia           Toys'R'us        Weltbild



                                                                                                                       Auszeichnun
                                                                                                                         gen von:
                                                                                                                           TÜV
                                                                                   vir (Verband
                                                                    eKomi,                                               Saarland
                                                                                      Internet
                                                                 Deutschland                                             (Service
                                                                                  Reisevertrieb),
                 …       o             o              o          Test, Internet                           ekomi           tested,
                                                                                        IATA
                                                                World Business                                         Preis/Leistun
                                                                                   (Accredited
                                                                2014 und 2015                                               g),
                                                                                       Agent)
                                                                                                                        Trustpilot,
                                                                                                                         Ehrlicher
                                                                                                                         Händler


...setzen die
Weitergabe von
                         o              +             o         wahrscheinlich    nicht ersichtlich   wahrscheinlich         -
Daten an Dritte
voraus.
            über die
   Weitergabe wird       o         - (vor Kauf)       o               (-)                o                 (-)              o
             belehrt
    wo wird belehrt      o             o              o               (-)                o                 (-)              o
weitere elektronische Vertriebswege/ Netzwerke
App                      +             +              +               +                  +                  +               +
Facebook                 +             +              +               +                  +                  +               +
Instagram                +             +              +               +                  +             (+) nicht D          +
58

amazon         zalando   Hello Fresh    Douglas       Expedia     Toys'R'us     Weltbild

                                                  + (nicht auf
Twitter        +            +           +          Webseite         +        (+) nicht D      +
                                                  vermerkt)

google+        +            +           +              +            +            +            +
          Logistikblog,
Blog                        +           +              +            +        (+) nicht D      +
          Watchblog,

                                                   Youtube,      Youtube,                  Youtube,
…              o            o           o                                     Youtube
                                                   Pinterest     Pinterest                 Pinterest
59

datenschutz Alt

Anhang 2: Ergebnisse der Interviews

Berliner Beauftragter für Datenschutz und Informationsfreiheit

Die Befragung von Herrn Dr. Dix, Berliner Beauftragter für Datenschutz und
Informationsfreiheit (folgend: Berliner Datenschutzbeauftragter), hat folgendes
ergeben:

Bestellprozess

Über Bestellformulare würden nicht exzessiv Daten von Kunden erhoben, auch wenn
teilweise noch das Geburtsdatum von Shops erhoben wird. Problematisch sei
vielmehr, dass zwar schon vermehr aber noch nicht flächendeckend die Bestellung
ohne Registrierung möglich sei. Es bleibe für den Betroffenen intransparent, welche
datenschutzrechtlichen Folgen eine Registrierung hat. Welche Daten würden hierbei
zu welchem Zweck und für welchen Zeitraum gespeichert. Insbesondere im Hinblick
auf Zahlungsdaten kann der Betroffene ein erhebliches Interesse haben, dass diese
nur so kurz wie möglich bereitgehalten werden, da IT-Sicherheitsprobleme und
Datenpannen für Betroffene empfindliche Folgen haben können.

Datenschutzerklärung

Ein Hauptproblem läge in einer transparenten und umfassenden Belehrung des
Betroffenen durch die Shop-Betreiber. Es sei dem Berliner Datenschutzbeauftragten
noch kein Shop bekannt der hier mustergültig sei und ohne Beanstandung geblieben
sei. Eine hinreichende Belehrung sei aber Grundvoraussetzung dafür, dass Betroffene
Rechte wahrnehmen können bzw. eine eigenverantwortliche Wahl treffen können.
Durch sehr allgemeine und unbestimmte Formulierungen blieben
Datenschutzerklärungen für den Betroffenen oft eine „Black-Box“ die er akzeptieren
kann oder nicht.

Nur unzureichend seien Datenschutzerklärungen zudem bei der Belehrung über
Betroffenenrechte oder der Benennung von _datenschutzrechtlichen
Ansprechpartnern.

Die Datenschutzerklärungen stünden zudem in der Tradition US-amerikanischer
Rechtssystematik und werde von Unternehmen teilweise auch als Alibi verwendet,
um Prozesse im Gegenzug weniger transparent und betroffenenfreundlich gestalten
zu müssen. Es sei daher wichtig, sehr umfangreichen und schwer verständlichen
Erklärungen entgegenzuwirken. Es müsse an alternativen Wegen zur Information
der Betroffenen gearbeitet werden, z.B. durch eine verstärkte grafische Darstellung.

Cookies, Tracking, Werbung

Ein weiterer Schwerpunkt problematischer Datenverarbeitung bei Web-Shops stellen
Cookies und die Verknüpfung mit weitreichenden Werbenetzwerken dar. Cookies
erfreuen sich einer stetigen Beliebtheit bei Shop-Betreibern. Technische Vorgänge
und Hintergründe seien hier größtenteils völlig unbekannt. Das gesamte Thema
bedürfe einer grundlegenden Aufarbeitung. Aufsichtsbehörden stehen auch hier
noch am Anfang, haben das Problem aber bereits erkannt. Auch bei inzwischen
60


61

datenschutz AG

haben. Auch wenn Verträge keinem Ausfallrisiko unterliegen oder anderweitig
abgesichert sind, würden pauschal Abfragen durchgeführt.

Einwilligung

Einwilligungslösungen würden von Online-Shops nicht weitreichend eingesetzt.
Sofern Shops versuchen, dieses Instrument zu nutzen, würden zumeist grundlegende
Rechtmäßigkeitsanforderungen missachtet. Die mangelnde Transparenz in der
Datenschutzerklärung wirke auch in die Qualität der Einwilligungstexte hinein,
indem diese über floskelhafte Formulierungen nicht hinausgehen.

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (folgend:
ULD) wurden Frau Marit Hansen und Herr Sven Polenz befragt. Die Befragung hat
folgendes ergeben:

Problemschwerpunkte

Problemschwerpunkte bei der Datenverarbeitung von Online-Shops liegen in
folgenden Bereichen:

--- Mängel in der Datenschutzerklärung,

--- zu viele unmittelbar bei Kunden erhobene Daten,
--- mangelhafte Einwilligungserklärungen,

--- Werbung/ Tracking/ Cookies,

--- rechtswidriger Datentransfer zwischen Shops und Auskunfteien.

Mängel in der Datenschutzerklärung

Datenschutzerklärungen haben den Nutzer umfassend zu belehren. Dies geschehe in
den seltensten Fällen. Das ULD habe noch keinen Shop geprüft, bei dem im Ergebnis
die Datenschutzerklärung unbeanstandet geblieben sei. Bei kleineren Shop-
Anbietern fehlen Datenschutzerklärungen vereinzelt völlig. Sofern eine
Datenschutzerklärung vorhanden ist, scheitert diese schon an einer klaren
Beschreibung der stattfindenden Datenverarbeitungsprozesse. Neben den unten im
Besonderen angesprochenen Problemkreisen, fehlt es an einer Belehrung über die
Datenübermittlung in Drittstaaten. Hierüber wird gar nicht oder unzureichend
belehrt. Insbesondere fehlen jegliche Angaben über das im Drittstaat herrschende
Datenschutzniveau. Das ULD hält dies für erforderlich, da andernfalls der Betroffene
die Tragweite der Entscheidung nicht überblicken könne. Dabei sei eine
Übermittlung in Drittstaaten an der Tagesordnung. Betroffen seien zumeist Cloud-
und Tracking-Dienste sowie Content-Delivery-Networks (CDN). Akamai sei hier
einer der größten Anbieter. Diese Dienste sind sehr weit verbreitet, stark vernetzt
und erheben weitreichend Daten. Andererseits bleiben sie für den Nutzer völlig
unbekannt.

Die extreme Unschärfe der Verarbeitungszecke, auch erreicht durch allgemeine
Öffnungsklauseln („für sonstige Zwecke“ oder für „Werbung“) in den

Seite 58

Umgang mit Verbraucherdaten durch Online-Shops
62

datenschutz AG

Datenschutzerklärungen, sei darauf zurückzuführen, dass Unternehmen, jedenfalls
der Verfasser der Erklärung, selbst nicht genau wissen, welche
Datenverarbeitungsvorgänge bestehen. Sofern sich der Shop-Betreiber auf die
Beschreibung eines Verfahrens festlegt, besteht zudem die Gefahr, dass es falsch
beschrieben wird bzw. sich durch Änderungen der Prozesse in der Zukunft überholt,
ohne gleichzeitig die Datenschutzerklärung nachzuziehen. Diese Flexibilität möchte
sich das Unternehmen gern erhalten. Kleine und mittelständische Shop-Betreiber
wären oft unzureichend über die selbst genutzte IT-Struktur (z.B. Cloud-Dienste oder
Applikationen) informiert. Wichtiger seien zumeist der Preis und eine unkomplizierte
Funktionalität. Datenverarbeitungsvorgänge sind dann selbst dem Betreiber
unbekannt.

Unmittelbar bei Kunden erhobene Daten

Im Bereich der unmittelbar beim Kunden erhobenen Daten sieht das ULD große
Schwächen bei Shop-Betreibern. Bestellformulare seien zumeist nicht datensparsam
gestaltet (Anrede, vollständiger Vornahme, Geburtsdatum). Eine pseudonyme
Nutzung von Diensten, die insbesondere nicht den Versand von Produkten erfordern
(z.B. E-Books), sei am Markt praktisch nicht vorhanden. Zudem sehen Webseiten oft
eine Registrierung vor, ohne eine „Gast-Bestellung“ zu ermöglichen. Man habe
festgestellt, dass diese Unternehmen auch dementsprechend werbeintensiv mit den
Daten verfahren, da mit der Registrierung eine dauerhafte Kundenbeziehung
erstrebt ist. Amazon lässt daher eine Löschung einzelner Bestellungen aus dem
Account nicht zu, sondern bietet für diesen Fall nur eine vollständige
Vertragsbeendigung an. Der Luxemburgische Datenschutzbeauftragte habe dies
unbeanstandet gelassen. Als Argument für eine Registrierung führen Unternehmen
zumeist Sicherheitsgründe an, die die Identifizierung des Kunden sicherstellen sollen.
Nach Auffassung des ULD ist eine Registrierung weder dafür geeignet, noch das
mildeste Mittel. Das ULD setzt sich daher für einen verstärkten Einsatz des „neuen“
Personalausweises als Identifikationsmittel ein. Dies würde auch eine
Altersverifikation im ausreichenden Maß sicherstellen. Kritikwürdig seien auch der
Umgang und das Angebot von Zahlungsverfahren in Shops. Als datensparsamste
Zahlungsart sollte die Vorauskasse standardmäßig angeboten werden. Eine
Weiterentwicklung in dem Bereich und alternative Modelle sind hier nicht erkennbar.

Einwilligungserklärungen

Einwilligungserklärungen entsprechen zumeist nicht den Anforderungen des $ 13
Abs. 2 TMG. Belehrungen über den Zweck der Verarbeitung seien aus den ähnlichen
Gründen mangelhaft, wie die Datenschutzerklärungen (z.B. Belehrung über die
Übermittlung von Daten in Drittstaaten). Unternehmen verweisen allgemein auf die
bestehenden Richtlinien und AGB. Hierbei wird argumentiert, diese seien Grundlage
des Vertrages und der Nutzer habe bei Vertragsschluss in diese „eingewilligt“. Selbst
den formalen Anforderungen des $ 13 Abs. 2 TMG halten diese Erklärungen aber nicht
stand (Hervorhebung, jederzeitige Abrufbarkeit.. Zudem unterliegen die
Datenschutzerklärung und darin enthaltende Einwilligungen der AGB-Kontrolle, so
dass z.B. häufig vorkommende Vermischung von Post- und E-Mail-Werbung zur
Intransparenz und damit zur Rechtswidrigkeit der Erklärung führt.

Seite 5g

Umgang mit Verbraucherdaten durch Online-Shops
63

datenschutz AG

Cookies/ Tracking/ Werbung

Der umfassende, teilweise exzessive Einsatz von Cookies sei bei Online-Shops weit
verbreitet. Der enorme Umfang schließe eine transparente Belehrung von Beginn an
aus. Notwendig sei der Einsatz für den Betrieb der Webseite nicht. Cookies werden
nicht nur genutzt, um die Webseite den Bedürfnissen des Nutzers anzupassen oder
einen Service anzubieten (z.B. eingeloggt bleiben). Vielmehr wird aus dem Klick-
Verhalten des Nutzers heraus die Webseite optimiert (z.B. Abbruchraten, -gründe)
und umfassende Profile über den Nutzer angelegen, um Angebote und Werbung
individualisieren zu können. Auch hier wird umfassend auf Drittdienstleister
zurückgegriffen. Welche Informationen hier verkettet und ausgewertet würden, sei
völlig unklar. Widerspruchlösungen für damit zusammenhängende Cookies seien
unzureichend. Der pauschale Verweis auf Einstellungsmöglichkeiten im Browser hilft
oft nicht weiter. Besonders kritisch merkte das ULD hierzu an, dass individuelle
Schutzmaßnahmen durch Browserkonfigurationen und anderen Funktionalitäten
zur nutzerseitigen, technischen Datentransferkontrolle nicht zielführend seien.
Sofern Einstellungen hier zu restriktiv gewählt würden, ist eine Nutzung - oft
technisch nicht nachvollziehbar - gar nicht mehr möglich. Bei vielen Webseiten hat
der Nutzer nur die Möglichkeit entweder alle Cookies zu akzeptieren oder ganz auf
die Bestellung zu verzichten. Das ULD sieht sich nach der jetzigen Gesetzeslage zwar
nicht gehindert, Maßnahmen zu ergreifen und Bußgelder gegen einen solchen
Einsatz von Cookies zu verhängen, jedoch sollten gesetzliche Anforderungen hier
dringend konkretisiert werden. Inwieweit weitergehende Technologien, als
Kompensation zur Cookie-Technologie, bereits im Einsatz sind, kann nicht
abgeschätzt werden. Solche Datenverarbeitungsvorgänge sind bei der Nutzung der
Webseite nicht sichtbar und können nur bei Vor-Ort-Prüfungen auf den Systemen
der Shop-Betreiber vom ULD eingesehen werden.

Auskunfteien

Scoring sei ein großes Problem bei Online-Shops. Das ULD weißt hier einen
Tätigkeitsschwerpunkt auf. Eine Nutzung von Auskunfteien bei der
Vertragsanbahnung ist im Markt sehr weit verbreitet. Dies betrifft sowohl den Bezug
von Scorewerten, als auch die Meldung von Daten an die Auskunfteien.
Datenschutzerklärungen würden hier oft keine oder unzureichende Feststellungen
treffen. Eine erste Vorprüfung der Bonität eines Kunden nehmen Shops teilweise
schon anhand der über die IP-Adresse bekannten Ortsdaten des Nutzers vor -
entsprechend würden Zahlungsbedingungenen angepasst. Bei der Meldung von
Daten an Auskunfteien verfolgen Unternehmen ganz unterschiedliche Strategien.
Von der Meldung „Vertrag erfolgreich durchgeführt“ bis hin zur umfassenden
Übermittlung von Vertragsdaten ist alles möglich. Da mit dem Bezug von
Scorewerten Kosten für Shop-Betreiber verbunden sind, sind Unternehmen teilweise
bereit, sehr umfassend Daten an die Auskunfteien zu übermitteln, da sich hierdurch
die Kosten erheblich reduzieren können. Unternehmen beriefen sich hierbei auf $ 28
BDSG und halten die Regelungen des $ 28a f. BDSG für nicht abschließend. Das ULD
stuft die vorhandenen gesetzlichen Regelungen zum Scoring als unzureichend ein.
Dies dürfte sich auch nicht durch die Datenschutzgrundverordnung ändern.
Verbleibender, nationaler Gesetzgebungsspielraum müsse hier genutzt werden.

Seite 60

Umgang mit Verbraucherdaten durch Online-Shops
64

Zur nächsten Seite