Jetzt zu Weihnachten und durch die Einschränkung des stationären Handels durch Corona boomt der E-commerce und Onlinehandel wie nie zuvor. Die meisten Onlinehändler bedienen sich dabei verschiedener externer Dienstleister um Nebenleistungen wie Zahlungsabwicklung, Transport, Garantiebearbeitung etc. abzuwickeln.
Das bringt besondere Herausforderungen an den legalen Datentransfer und die korrekte Datenerhebung mit sich. Die allgemeinen Grundsätze der DSGVO, einer verbindlichen Rechtsnorm, müssen ohnehin von jedem umgesetzt werden, der in irgendeiner Form personenbezogene Daten erfasst und verarbeitet.
Zu beantworten sind die spezifischen Fragen:
Welche Daten dürfen im Zusammenhang mit einem Bestellvorgang überhaupt erfasst werden?
Welcher externe Dienstleister darf korrekterweise welche Daten erhalten?
Welche datenschutzrechtlichen Absicherungsmaßnahmen sind unerlässlich?
Für die Datenerhebung im Rahmen eines Bestellvorganges gibt es zwei Kategorien. Einmal die für die Durchführung des Auftrages inkl. Lieferung unbedingt nötigen Daten und zum anderen die Daten die ein „nice to have“ wären, um nachfolgen Werbung zielgerichtet platzieren zu können.
Zu den essentiellen Daten, die im Formular als Pflichteingaben gekennzeichnet werden können gehören:
• Name
• Liefer- und Rechnungsadresse
• E-Mail
• Zahlungs- und Bezahldaten
• Telefonnummer
Nice to have Daten dürfen nicht als Pflichtdaten gekennzeichnet werden, sondern sollten offen als optional ausgewiesen werden. Am besten nicht mit den Pflichteingaben zusammen erheben. Das sind z.B.:
• Geburtsdatum
• Geschlecht
• Hobbies
• Familienstand
• Beruf
Diese Daten sind für den reinen Bestell- und Liefervorgang nicht relevant, können also auch nicht zum Auftrag hinzugerechnet werden. Daher besteht keine Notwendigkeit zur Pflichteingabe. Dass ein Kunde automatisch davon ausgehen muss, dass eine Bestellung auch automatisch eine Profilierung und Werbung nach sich zieht, ist ziemlich unwahrscheinlich.
Die Rechtsgrundlage für die essentiellen Daten ist in jedem Fall Art. 6,1,b der DSGVO, nämlich die Vertragsanbahnung und Vertragsabwicklung. Das muss auch in der Transparenzerklärung für die Vertragskommunikation und der Datenschutzerklärung für die Webseite deutlich gemacht werden. Immer wieder findet man auch das berechtigte Interesse nach Art. 6.1, f der DSGVO als Grundlage für den Verkaufsvorgang. Das kann nur funktionieren, wenn das berechtigte Interesse höher wiegt als das Schutzinteresse des Käufers, also der betroffenen Person. Formulierungen wie“ im Interesse des Wohlergehens unserer Mitarbeiter und unseres Unternehmens“ dürften wohl eher nicht dazu passen.
Als Rechtsgrundlage für die optionalen Daten kann vor allem eine separate, gut formulierte Einwilligung mit aktiver Willenskundgebung gelten. Also keine gesetzten Kreuze oder Haken bei der Einblendung des Formulars.
Auch das berechtigte Interesse kann hier als Rechtsgrundlage herangezogen werden, muss aber in einer separaten, vom Verkaufsvorgang unabhängigen Information für den Käufer sauber begründet werden.
Wie ist das nun mit der Datenweitergabe an Dienstleister? Zunächst einmal muß mit allen Dienstleistern ein maßgeschneiderter Auftragsverarbeitungsvertrag geschlossen werden, in dem sorgfältig die jeweiligen Verantwortlichkeiten und Abgrenzungen definiert werden. Dann darf jeder Dienstleister nur die Daten erhalten, die er für die Erbringung seiner Dienstleistung braucht. Der Zahlungsdienstleister benötigt z.B. die Abrechnungsdaten, nicht aber die Lieferadresse. Der Spediteur braucht keine Rechnungsdaten, sondern nur die Lieferadresse. Laut Entscheidung der Datenschutzkonferenz dürfen, von wenigen Ausnahmen abgesehen, auch Email und Telefonnummer nicht an den Spediteur weitergegeben werden.
In jedem Fall ist in der Transparenzerklärung und Datenschutzerklärung für die Webseite die betroffene Person darüber zu informieren, wer welche Daten zu welchem Zweck übermittelt bekommt und ob ein entsprechender Auftragsverarbeitungsvertrag geschlossen wurde. Problematische Einzelfälle können auftreten, wenn ein Dienstleister seinen Sitz ausserhalb des EWR hat und es keinen entsprechenden Angemessenheitsbeschluss der EU mit diesem Land gibt. Dann müssen besondere Regelungen getroffen werden
Auf jeden Fall sollte man beim Aufbau eines Onlineshops nicht alles selber machen, sondern sich lieber vorher Expertenrat zum Thema Datenschutz holen als hinterher in die Bußgeld- und Abmahnfalle zu tappen. Das ist meistens erheblich teurer. Die Programmierung macht ja meist auch ein IT-Spezialist und nicht der Händler selber.