datenschutz Alt

Anhang 2: Ergebnisse der Interviews

Berliner Beauftragter für Datenschutz und Informationsfreiheit

Die Befragung von Herrn Dr. Dix, Berliner Beauftragter für Datenschutz und
Informationsfreiheit (folgend: Berliner Datenschutzbeauftragter), hat folgendes
ergeben:

Bestellprozess

Über Bestellformulare würden nicht exzessiv Daten von Kunden erhoben, auch wenn
teilweise noch das Geburtsdatum von Shops erhoben wird. Problematisch sei
vielmehr, dass zwar schon vermehr aber noch nicht flächendeckend die Bestellung
ohne Registrierung möglich sei. Es bleibe für den Betroffenen intransparent, welche
datenschutzrechtlichen Folgen eine Registrierung hat. Welche Daten würden hierbei
zu welchem Zweck und für welchen Zeitraum gespeichert. Insbesondere im Hinblick
auf Zahlungsdaten kann der Betroffene ein erhebliches Interesse haben, dass diese
nur so kurz wie möglich bereitgehalten werden, da IT-Sicherheitsprobleme und
Datenpannen für Betroffene empfindliche Folgen haben können.

Datenschutzerklärung

Ein Hauptproblem läge in einer transparenten und umfassenden Belehrung des
Betroffenen durch die Shop-Betreiber. Es sei dem Berliner Datenschutzbeauftragten
noch kein Shop bekannt der hier mustergültig sei und ohne Beanstandung geblieben
sei. Eine hinreichende Belehrung sei aber Grundvoraussetzung dafür, dass Betroffene
Rechte wahrnehmen können bzw. eine eigenverantwortliche Wahl treffen können.
Durch sehr allgemeine und unbestimmte Formulierungen blieben
Datenschutzerklärungen für den Betroffenen oft eine „Black-Box“ die er akzeptieren
kann oder nicht.

Nur unzureichend seien Datenschutzerklärungen zudem bei der Belehrung über
Betroffenenrechte oder der Benennung von _datenschutzrechtlichen
Ansprechpartnern.

Die Datenschutzerklärungen stünden zudem in der Tradition US-amerikanischer
Rechtssystematik und werde von Unternehmen teilweise auch als Alibi verwendet,
um Prozesse im Gegenzug weniger transparent und betroffenenfreundlich gestalten
zu müssen. Es sei daher wichtig, sehr umfangreichen und schwer verständlichen
Erklärungen entgegenzuwirken. Es müsse an alternativen Wegen zur Information
der Betroffenen gearbeitet werden, z.B. durch eine verstärkte grafische Darstellung.

Cookies, Tracking, Werbung

Ein weiterer Schwerpunkt problematischer Datenverarbeitung bei Web-Shops stellen
Cookies und die Verknüpfung mit weitreichenden Werbenetzwerken dar. Cookies
erfreuen sich einer stetigen Beliebtheit bei Shop-Betreibern. Technische Vorgänge
und Hintergründe seien hier größtenteils völlig unbekannt. Das gesamte Thema
bedürfe einer grundlegenden Aufarbeitung. Aufsichtsbehörden stehen auch hier
noch am Anfang, haben das Problem aber bereits erkannt. Auch bei inzwischen



datenschutz AG

haben. Auch wenn Verträge keinem Ausfallrisiko unterliegen oder anderweitig
abgesichert sind, würden pauschal Abfragen durchgeführt.

Einwilligung

Einwilligungslösungen würden von Online-Shops nicht weitreichend eingesetzt.
Sofern Shops versuchen, dieses Instrument zu nutzen, würden zumeist grundlegende
Rechtmäßigkeitsanforderungen missachtet. Die mangelnde Transparenz in der
Datenschutzerklärung wirke auch in die Qualität der Einwilligungstexte hinein,
indem diese über floskelhafte Formulierungen nicht hinausgehen.

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (folgend:
ULD) wurden Frau Marit Hansen und Herr Sven Polenz befragt. Die Befragung hat
folgendes ergeben:

Problemschwerpunkte

Problemschwerpunkte bei der Datenverarbeitung von Online-Shops liegen in
folgenden Bereichen:

--- Mängel in der Datenschutzerklärung,

--- zu viele unmittelbar bei Kunden erhobene Daten,
--- mangelhafte Einwilligungserklärungen,

--- Werbung/ Tracking/ Cookies,

--- rechtswidriger Datentransfer zwischen Shops und Auskunfteien.

Mängel in der Datenschutzerklärung

Datenschutzerklärungen haben den Nutzer umfassend zu belehren. Dies geschehe in
den seltensten Fällen. Das ULD habe noch keinen Shop geprüft, bei dem im Ergebnis
die Datenschutzerklärung unbeanstandet geblieben sei. Bei kleineren Shop-
Anbietern fehlen Datenschutzerklärungen vereinzelt völlig. Sofern eine
Datenschutzerklärung vorhanden ist, scheitert diese schon an einer klaren
Beschreibung der stattfindenden Datenverarbeitungsprozesse. Neben den unten im
Besonderen angesprochenen Problemkreisen, fehlt es an einer Belehrung über die
Datenübermittlung in Drittstaaten. Hierüber wird gar nicht oder unzureichend
belehrt. Insbesondere fehlen jegliche Angaben über das im Drittstaat herrschende
Datenschutzniveau. Das ULD hält dies für erforderlich, da andernfalls der Betroffene
die Tragweite der Entscheidung nicht überblicken könne. Dabei sei eine
Übermittlung in Drittstaaten an der Tagesordnung. Betroffen seien zumeist Cloud-
und Tracking-Dienste sowie Content-Delivery-Networks (CDN). Akamai sei hier
einer der größten Anbieter. Diese Dienste sind sehr weit verbreitet, stark vernetzt
und erheben weitreichend Daten. Andererseits bleiben sie für den Nutzer völlig
unbekannt.

Die extreme Unschärfe der Verarbeitungszecke, auch erreicht durch allgemeine
Öffnungsklauseln („für sonstige Zwecke“ oder für „Werbung“) in den

Seite 58

Umgang mit Verbraucherdaten durch Online-Shops

datenschutz AG

Datenschutzerklärungen, sei darauf zurückzuführen, dass Unternehmen, jedenfalls
der Verfasser der Erklärung, selbst nicht genau wissen, welche
Datenverarbeitungsvorgänge bestehen. Sofern sich der Shop-Betreiber auf die
Beschreibung eines Verfahrens festlegt, besteht zudem die Gefahr, dass es falsch
beschrieben wird bzw. sich durch Änderungen der Prozesse in der Zukunft überholt,
ohne gleichzeitig die Datenschutzerklärung nachzuziehen. Diese Flexibilität möchte
sich das Unternehmen gern erhalten. Kleine und mittelständische Shop-Betreiber
wären oft unzureichend über die selbst genutzte IT-Struktur (z.B. Cloud-Dienste oder
Applikationen) informiert. Wichtiger seien zumeist der Preis und eine unkomplizierte
Funktionalität. Datenverarbeitungsvorgänge sind dann selbst dem Betreiber
unbekannt.

Unmittelbar bei Kunden erhobene Daten

Im Bereich der unmittelbar beim Kunden erhobenen Daten sieht das ULD große
Schwächen bei Shop-Betreibern. Bestellformulare seien zumeist nicht datensparsam
gestaltet (Anrede, vollständiger Vornahme, Geburtsdatum). Eine pseudonyme
Nutzung von Diensten, die insbesondere nicht den Versand von Produkten erfordern
(z.B. E-Books), sei am Markt praktisch nicht vorhanden. Zudem sehen Webseiten oft
eine Registrierung vor, ohne eine „Gast-Bestellung“ zu ermöglichen. Man habe
festgestellt, dass diese Unternehmen auch dementsprechend werbeintensiv mit den
Daten verfahren, da mit der Registrierung eine dauerhafte Kundenbeziehung
erstrebt ist. Amazon lässt daher eine Löschung einzelner Bestellungen aus dem
Account nicht zu, sondern bietet für diesen Fall nur eine vollständige
Vertragsbeendigung an. Der Luxemburgische Datenschutzbeauftragte habe dies
unbeanstandet gelassen. Als Argument für eine Registrierung führen Unternehmen
zumeist Sicherheitsgründe an, die die Identifizierung des Kunden sicherstellen sollen.
Nach Auffassung des ULD ist eine Registrierung weder dafür geeignet, noch das
mildeste Mittel. Das ULD setzt sich daher für einen verstärkten Einsatz des „neuen“
Personalausweises als Identifikationsmittel ein. Dies würde auch eine
Altersverifikation im ausreichenden Maß sicherstellen. Kritikwürdig seien auch der
Umgang und das Angebot von Zahlungsverfahren in Shops. Als datensparsamste
Zahlungsart sollte die Vorauskasse standardmäßig angeboten werden. Eine
Weiterentwicklung in dem Bereich und alternative Modelle sind hier nicht erkennbar.

Einwilligungserklärungen

Einwilligungserklärungen entsprechen zumeist nicht den Anforderungen des $ 13
Abs. 2 TMG. Belehrungen über den Zweck der Verarbeitung seien aus den ähnlichen
Gründen mangelhaft, wie die Datenschutzerklärungen (z.B. Belehrung über die
Übermittlung von Daten in Drittstaaten). Unternehmen verweisen allgemein auf die
bestehenden Richtlinien und AGB. Hierbei wird argumentiert, diese seien Grundlage
des Vertrages und der Nutzer habe bei Vertragsschluss in diese „eingewilligt“. Selbst
den formalen Anforderungen des $ 13 Abs. 2 TMG halten diese Erklärungen aber nicht
stand (Hervorhebung, jederzeitige Abrufbarkeit.. Zudem unterliegen die
Datenschutzerklärung und darin enthaltende Einwilligungen der AGB-Kontrolle, so
dass z.B. häufig vorkommende Vermischung von Post- und E-Mail-Werbung zur
Intransparenz und damit zur Rechtswidrigkeit der Erklärung führt.

Seite 5g

Umgang mit Verbraucherdaten durch Online-Shops

datenschutz AG

Cookies/ Tracking/ Werbung

Der umfassende, teilweise exzessive Einsatz von Cookies sei bei Online-Shops weit
verbreitet. Der enorme Umfang schließe eine transparente Belehrung von Beginn an
aus. Notwendig sei der Einsatz für den Betrieb der Webseite nicht. Cookies werden
nicht nur genutzt, um die Webseite den Bedürfnissen des Nutzers anzupassen oder
einen Service anzubieten (z.B. eingeloggt bleiben). Vielmehr wird aus dem Klick-
Verhalten des Nutzers heraus die Webseite optimiert (z.B. Abbruchraten, -gründe)
und umfassende Profile über den Nutzer angelegen, um Angebote und Werbung
individualisieren zu können. Auch hier wird umfassend auf Drittdienstleister
zurückgegriffen. Welche Informationen hier verkettet und ausgewertet würden, sei
völlig unklar. Widerspruchlösungen für damit zusammenhängende Cookies seien
unzureichend. Der pauschale Verweis auf Einstellungsmöglichkeiten im Browser hilft
oft nicht weiter. Besonders kritisch merkte das ULD hierzu an, dass individuelle
Schutzmaßnahmen durch Browserkonfigurationen und anderen Funktionalitäten
zur nutzerseitigen, technischen Datentransferkontrolle nicht zielführend seien.
Sofern Einstellungen hier zu restriktiv gewählt würden, ist eine Nutzung - oft
technisch nicht nachvollziehbar - gar nicht mehr möglich. Bei vielen Webseiten hat
der Nutzer nur die Möglichkeit entweder alle Cookies zu akzeptieren oder ganz auf
die Bestellung zu verzichten. Das ULD sieht sich nach der jetzigen Gesetzeslage zwar
nicht gehindert, Maßnahmen zu ergreifen und Bußgelder gegen einen solchen
Einsatz von Cookies zu verhängen, jedoch sollten gesetzliche Anforderungen hier
dringend konkretisiert werden. Inwieweit weitergehende Technologien, als
Kompensation zur Cookie-Technologie, bereits im Einsatz sind, kann nicht
abgeschätzt werden. Solche Datenverarbeitungsvorgänge sind bei der Nutzung der
Webseite nicht sichtbar und können nur bei Vor-Ort-Prüfungen auf den Systemen
der Shop-Betreiber vom ULD eingesehen werden.

Auskunfteien

Scoring sei ein großes Problem bei Online-Shops. Das ULD weißt hier einen
Tätigkeitsschwerpunkt auf. Eine Nutzung von Auskunfteien bei der
Vertragsanbahnung ist im Markt sehr weit verbreitet. Dies betrifft sowohl den Bezug
von Scorewerten, als auch die Meldung von Daten an die Auskunfteien.
Datenschutzerklärungen würden hier oft keine oder unzureichende Feststellungen
treffen. Eine erste Vorprüfung der Bonität eines Kunden nehmen Shops teilweise
schon anhand der über die IP-Adresse bekannten Ortsdaten des Nutzers vor -
entsprechend würden Zahlungsbedingungenen angepasst. Bei der Meldung von
Daten an Auskunfteien verfolgen Unternehmen ganz unterschiedliche Strategien.
Von der Meldung „Vertrag erfolgreich durchgeführt“ bis hin zur umfassenden
Übermittlung von Vertragsdaten ist alles möglich. Da mit dem Bezug von
Scorewerten Kosten für Shop-Betreiber verbunden sind, sind Unternehmen teilweise
bereit, sehr umfassend Daten an die Auskunfteien zu übermitteln, da sich hierdurch
die Kosten erheblich reduzieren können. Unternehmen beriefen sich hierbei auf $ 28
BDSG und halten die Regelungen des $ 28a f. BDSG für nicht abschließend. Das ULD
stuft die vorhandenen gesetzlichen Regelungen zum Scoring als unzureichend ein.
Dies dürfte sich auch nicht durch die Datenschutzgrundverordnung ändern.
Verbleibender, nationaler Gesetzgebungsspielraum müsse hier genutzt werden.

Seite 60

Umgang mit Verbraucherdaten durch Online-Shops



datenschutz AG

ihr anerkannten Gütesiegelanbieter (EHI, Trusted Shops, TÜV, datenschutz cert)
kontrolliert.

Die Befragung hat folgendes ergeben:

Vorbemerkung

Frau Dr. Karper wies darauf hin, dass die Prüferfahrung der Mitglieder des
Monitoring Boards nur einen Teilausschnitt der am Markt befindlichen Shop-
Betreiber abdecken kann, nämlich diejenigen, die den Verbraucher- und Datenschutz
tatsächlich umsetzen wollen und nicht nur irgendein „buntes Logo“ als Zertifikat
anstreben. Unternehmen, die Kontakt mit den Gütesiegelanbietern aufnehmen, um
ein Zertifikat zu erlangen, sind zumeist daten- und verbraucherschutzrechtlich
bereits gut aufgestellt.

Darüber hinaus sei in den letzten Jahren eine Akzentverschiebung zu bemerken.
Datenschutzrechtliiche Probleme würden verstärkt als Thematik des
Verbraucherschutzes gesehen. Die Beschwerden von Verbrauchern würden immer
weniger klassische E-Commerce-Themen (Widerrufsbelehrung etc.), sondern
nunmehr die Datenverarbeitung der Shops betreffen. Die Gütesiegelanbieter haben
sich daher auf einheitliche Standards geeinigt, die vom Leitgedanken der
Datensparsamkeit geprägt sind. Ein zunehmender Druck, sich entsprechenden
Gütesiegeln und den damit verbundenen Anforderungen zu unterwerfen, sei bei
kleinen und mittelständischen Unternehmen zu spüren. Diese Unternehmen
müssten sich Verbrauchervertrauen noch erarbeiten. Größere Marktteilnehmer sind
hingegen hierauf eher nicht angewiesen.

Mängel in der Datenschutzerklärung

Die Datenschutzerklärung weise zumeist schon Ungenauigkeiten bei der
Beschreibung der Datenverarbeitungsprozesse auf. Es werde zu unkonkret
beschrieben, welche Daten im Detail für welchen Zweck verarbeitet würden. Der
allgemeine Hinweis auf die „Verwendung zu Marketingzwecken“ oder das Anführen
von „Beispielen“ reiche nicht aus. Eine weitreichende Übermittlung von Daten an
Dritte, insbesondere mit Sitz in Drittstaaten, sei hingegen zumindest nicht als
offensichtlich festzustellen. In der Diskussion um Anforderungen an Shop-Betreiber
seien aber auch noch Punkte offen. Es gestalte sich z.B. schwierig, einen
gemeinsamen Austausch zum Thema der Belehrung über externe
Zahlungsdienstleister (PayPal, Sofort Überweisung etc.) anzustoßen.
Zertifizierungsreglungen sähen derzeit vor, dass ein Shop alternative
Bezahlverfahren anbieten müsse. Hierbei spielten primär zivilrechtliche und nicht
datenschutzrechtliche Vorgaben eine Rolle. Wünschenswert wäre es laut Frau Dr.
Karper zudem, wenn Shop-Betreiber darüber informieren würden, was mit Daten
während der Eingabe im Bestellformular geschieht. Werden diese bereits mit dem
Klick auf „weiter“ übermittelt? Was passiert mit den Daten, sofern keine Bestellung
erfolgt?

Einwilligungserklärungen

Einwilligungserklärungen spielen für die Datenverarbeitung laut Frau Dr. Karper eher
keine Rolle, da der Vertragszweck in der Regel die Datenverarbeitung legitimiert.

Seite 62

Umgang mit Verbraucherdaten durch Online-Shops

datenschutz AG

Allerdings nur, solange sich der Shop-Betreiber an diese strenge Zweckbindung halte.
Sofern Shop-Betreiber Einwilligungen einholen, geschehe dies in schätzungsweise
/3 der Fälle im kleinen und mittelständischen Bereich allerdings nicht
rechtskonform (z.B. mangels Hervorhebung im Text, mangels Belehrung über die
Datenverarbeitung). Die Gütesiegel haben hier klare und strenge Vorgaben an
Einwilligungserklärungen, die vor einer Zertifizierung umgesetzt sein müssen.

Cookies/ Tracking/ Werbung

Cookies seien ein weiterhin weitverbreitetes Werkzeug für Shop-Betreiber. Die
Belehrung über statische Webseiten-Banner sei nicht geeignet, um den Verbraucher
besser aufzuklären. Verbraucher würden das Banner eher als störend wahrnehmen.
Rechtskonforme Opt-In und Opt-Out-Lösungen würden die meisten Banner ohnedies
nicht umsetzen. Erklärungen zu dem Einsatz von Cookies seien daher in der
Datenschutzerklärung gut platziert, da sie hier den interessierten Verbraucher
erreichen. Hier müssten Unternehmen dann auch umfassend über die eingesetzten
Cookies - im Detail — belehren. Mängel sind hier nach Ansicht von Frau Dr. Karper
nicht selten.

Auskunfteien

Die rechtskonforme Umsetzung der Datenverarbeitung bei der Nutzung von Scoring-
Diensten sei ein großes Problem bei Online-Shops. Sofern Verbraucher überhaupt auf
Bonitätsprüfungen hingewiesen werden, würden bestehende Erklärungen zumeist
keine detaillierten Aussagen zu den einzelnen Datenverarbeitungsvorgängen
enthalten. Da das Gesetz hierzu keine speziellen, ausdrücklichen Vorgaben trifft,
seien Unternehmen hier auch eher verunsichert.

E-Mailwerbung

Vor allem kleinere Shops stützten das Newslettermarketing zumeist auf die
Ausnahme des $ 7 Abs. 3 UWG ohne auf ein ausdrückliche Opt-In des Verbrauchers zu
bestehen. Hierüber würden diese bei der Erhebung der E-Mailadresse aber nicht
transparent belehrt obwohl dies zwingend erforderlich sei. Auf dem Weg zu einer
Gütesiegelvergabe müsse dies entsprechend behoben werden.

Social Plugins

Anforderungen an Shop-Betreiber seien in den Gütesiegel-Kriterien klar definiert. Die
Umsetzung der 2-Klick- bzw. der Shariff-Lösung sei demnach zwingend erforderlich
für die Vergabe eines Gütesiegels. Unternehmen hätten dennoch oft Bedenken diese
zu implementieren, da befürchtet wird, Nutzer könnten dieses Verfahren als zu
umständlich wahrnehmen. Gerade mit Einführung der Shariff-Lösung ist diese
Haltung aber nicht mehr nachvollziehbar.

Forschungsprojekt: Zertifizierte Sicherheit für Apps (ZertApps)

Apps spielten für Shop-Betreiber eine immer größer werdende Rolle. Im Rahmen des
zweijährigen, vom Bundesministerium für Bildung und Forschung geförderten
Projektes wurden u.a. vom Frauenhofer SIT, der TU-Darmstadt sowie von namhaften
Softwareentwicklen und einer Zertifizierungsstele neue Prüf- und
Zertifizierungsverfahren entwickelt, um die Sicherheit und den Datenschutz von
mobilen Anwendungen zu erhöhen. Ziel ist eine Prüfung und anschließende

Seite 63

Umgang mit Verbraucherdaten durch Online-Shops

datenschutz AG

Zertifizierung einer App, um u.a. das Vertrauen der Nutzer in den Datenschutz und
die Datensicherheit zu erhöhen. Das Forschungsprojekt wurde im November 2015
erfolgreich abgeschlossen und sieht abgestufte Prüfverfahren vor. Das Konzept sieht
von vereinfachten automatisierten Prüf-Tools über automatisierte Testwerkzeuge bis
hin zur datenschutzrechtlichen Prüfungen der App durch einen Sachverständigen
abstufbare Prüftiefen vor. Auch Apps für mobiles Shopping sind nach dem hierzu
aufgestellten Konzept prüfbar.

Verbraucherzentrale Bundesverband e.V. (vzbv)

Das Interview wurde mit Florian Glatzner, Referent im Team digitales und Medien,
geführt. Herr Glatzner weist darauf hin, dass der vzbv zurückliegend keine eigenen
empirischen Untersuchungen bei Online-Shops durchgeführt hat. Dennoch sei der
vzbv über die einzelnen Verbraucherzentralen punktuell fortlaufend mit den
einschlägigen Themen befasst. Der vzbv plane in diesem Bereich mit dem Projekt
„Marktwächter digitale Welt“ eine weitreichende Verbesserung. Ziel sei es, durch
eine intensive Vernetzung, Testkäufe und gezielte Marktbeobachtung ein
umfassendes und aktuelles Lagebild zu erhalten.

Die Befragung hat folgendes ergeben:

Herr Glatzner bestätigt, dass über Bestellformulare der Online-Shops nur noch
restriktiv Daten erhoben würden. Kritische Daten wären nur noch das Geburtsdatum
und die Telefonnummer.

Daten im Bestellprozess

Positiv sei auch zu vermerken, dass Shops immer häufiger „Gästeaccounts“ anböten,
auch wenn dies flächendeckend noch nicht erfolge. Die Shop-Betreiber klärten in
diesem Punkt oft nur unzureichend darüber auf, welche datenschutzrechtlichen
Folgen an eine Registrierung geknüpft sind. „Zwangsregistrierungen“ könnten auch
zu IT-Sicherheitsproblemen führen, da Trivialpasswörter gewählt würden bzw. über
gehackte E-Mail-Konten Bestellungen ausgelöst werden können.

Datenschutzerklärung

Nach Wahrnehmung von Herrn Glatzner seien Datenschutzerklärungen mittlerweile
in Shops ein weitverbreitetes Mittel zur Verbraucherinformation. Probleme bei der
Erreichbar- und Verfügbarkeit sind nicht ersichtlich. Umfang und Qualität von
Datenschutzerklärungen sind sehr unterschiedlich und hingen stark vom Einzelfall
ab. Problematisch sei vor allem, dass Datenverarbeitungsvorgänge unklar blieben, da
unbestimmte Formulierungen weit verbreitet seien (z.B. Datennutzung zur
Verbesserung des Dienstes). Aus den Datenschutzerklärungen sei dem Verbraucher
auch unklar, welche Daten zwingend erforderlich seien und welche Daten darüber
hinaus genutzt würden. Eine klare Trennung sei hier aber unerlässlich. Klare und
transparente Einwilligungserklärungen seien daher in Datenschutzerklärungen nicht
anzufinden. Erschwerend komme zudem hinzu, dass Datenschutzerklärungen immer
umfangreicher würden und Verbraucher daher regemäßig überfordern würden. Dies

Seite 64

Umgang mit Verbraucherdaten durch Online-Shops

datenschutz AG

gilt vor allem für die Lesbarkeit auf mobilen Endgeräten. Hier gilt es in Zukunft
alternative Wege zu finden (z.B. Einsatz von icons).

Impressum, Newsletter

Mängel im Impressum und beim Newsletterversand seien weniger häufig. Einen
neuen Trend stellten umfangreiche Trackingmaßnahmen beim Öffnen des
Newsletters dar. Konkrete empirische Daten lägen nicht vor. Die Möglichkeiten für
Shop-Betreiber seien aber weitreichend. Insbesondere würden über die E-Mail auch
weitreichende Webseiten-Trackingmaßnahmen unterstützt.

Bonitätsprüfungen

Bonitätsprüfungen spielten weiterhin eine große Rolle und würden sehr
unterschiedlich von Unternehmen eingesetzt. Dies betrifft vor allem den Zeitpunkt
der Prüfung (vor Auswahl der Zahlungsoption) und der transparenten Belehrung der
Verbraucher über die eingesetzten Auskunfteien und stattfindenden
Datenverarbeitungsprozesse.

Cookies, Tracking, Werbung

Der Einsatz von Cookies sei für Webseiten-Betreiber immer noch das erste Mittel der
Wahl, insbesondere um das Nutzerverhalten zu erfassen und zu analysieren. Es
könne nur vermutet werden, dass die Daten für Werbezwecke genutzt werden und
teilweise hierbei große Netzwerke zum Einsatz kommen. Datenschutzerklärungen
seien hier teilweise sehr pauschal und unbestimmt formuliert. Klare Opt-In und Opt-
Out Lösungen seien hier nicht etabliert. Positiv sei anzumerken, dass Google
Analytics von Webseiten-Betreiber zumeist inzwischen rechtskonform eingesetzt
würden. Völlig unklar ist derzeit noch, ob und inwiefern von Unternehmen bereits
heute alternative Technologien eingesetzt werden (z.B. Fingerprint) um Nutzer zu
identifizieren. Die Datenverarbeitung ist für den Verbraucher hier gar nicht mehr
nachvollziehbar.

Zahlungsarten

Nur unzureichend diskutiert werde der Einsatz von Zahlungsdienstleistern.
Datenverarbeitungsprozesse sind hier nicht klar erkennbar. So setzen Unternehmen
im Lastschriftverfahren teilweise Paypal ein, ohne den Nutzer hierüber zu
informieren. Ähnlich verhalte es sich beim Rechnungskauf. Am Markt seien keine
hinreichenden Tendenzen zu erkennen, Zahlungsdienstleistungen unter dem
Blickwinkel des Datenschutzrechts zu entwickeln oder anzuwenden. Anonyme
Internetnutzung wird jedoch nur dann möglich bleiben, wenn auch anonyme
Zahlungsarten möglich sind.

Gütesiegel

Beim Einsatz von Gütesiegeln spiele der Verbraucherschutz eine große Rolle. Für den
Verbraucher seien die Kriterien der Siegel zumeist nicht nachvollziehbar. Es müsse
transparenter werden, ob nur gesetzliche Mindestanforderungen oder darüber
hinausgehende Maßnahmen vom Shop umgesetzt würden.

Seite 65

Umgang mit Verbraucherdaten durch Online-Shops