Datenschutz spielt in Deutschland und der EU eine sehr große Rolle. Immer wieder sehen sich Unternehmen mit Auflagen und Rügen der Datenschutzbehörden konfrontiert, die sich an scheinbaren Details entzünden – wie in einem aktuellen Beschluss des Oberverwaltungsgerichts Niedersachsen. Doch was hat es mit dem Urteil genau auf sich und wie können Online-Shops in Sachen Datenschutz rechtskonform agieren?
Worum geht es in dem Urteil?
Im Online-Shopping fragen Händler verschiedene persönliche Daten ab – vom Namen und der Adresse bis zum Geburtsdatum. Viele Kunden denken sich auch nichts dabei und halten die Angabe des Geburtsdatums für die Altersprüfung sogar für wichtig. Schließlich ist man in Deutschland erst mit 18 Jahren wirklich geschäftsfähig.
Aber: Die Ansicht, dass die Angabe des Geburtsdatums wirklich für die Abwicklung im Online-Shopping pauschal dazugehört, teilt nicht jeder. Der Beweis ist ein aktuelles Urteil des Oberverwaltungsgerichts Niedersachsen (OVG). Dem Beschluss ging das Verfahren zwischen einer Online-Apotheke und der niedersächsischen Datenschutzaufsicht voraus.
Streitgegenstand im Verfahren war die Auflage der Datenschutzaufsicht, im Bestellprozess nicht mehr das Geburtsdatum abzufragen. Die Apotheke hielt allerdings dagegen, dass das Geburtsdatum einerseits für die eindeutige Identifizierung von Kunden bei Namensgleichheit wichtig ist. Auf der anderen Seite ging es der Apotheke darum, mithilfe des Datums für Patienten ein Dossier anzulegen, um ihre rechtlichen Vorgaben aus der Apothekenbetriebsordnung erfüllen zu können.
Gegen die Auflage hatte die Versandapotheke bereits vor dem Verwaltungsgericht Hannover (Az.: 10 A 502/19) erfolglos geklagt. Und letztlich auch vor dem Oberverwaltungsgericht einen Dämpfer kassiert. Allen Argumenten für die Erhebung des Geburtsdatums widersprach das Oberverwaltungsgericht und verwies auf Alternativen – da die Versandapotheke auch die Telefonnummer erhob (was eine klare Identifizierung bei Namensgleichheit möglich macht).
Welche Regelungen gelten noch für Online-Shops?
Online-Shopping ist für Verbraucher bequem und liefert Waren direkt nach Hause. Klar, dass die Händler damit gegenüber dem stationären Handel einige Vorteile haben. Aber: Wer als Händler ins E-Commerce einsteigt, muss sehr viele Regeln im Hinterkopf behalten. Diese gelten vor allem für den Umgang mit Daten – und gehen bei den Zahlungsmethoden weiter.
Gerade als kleiner Versandhändler ist man schnell versucht, die Auswahl bei den Bezahlmethoden auch wegen der Transaktionsgebühren einzuschränken. In der Praxis greift das Prinzip der Vertragsfreiheit. Allerdings wird dies auf verschiedenen Ebenen eingeschränkt. Hintergrund: Zahlungsarten müssen gängig und zumutbar sein.
Die Gängigkeit zielt vor allem darauf ab, dass diese einer überwiegenden Mehrzahl an Verbrauchern zur Verfügung stehen. Beispiel: Ein Händler, der nur Bitcoins akzeptiert, verstößt gegen das Gängigkeitsgebot. Gleiches gilt aber auch, wenn für akzeptierte Zahlungsmittel umfassend private Daten preiszugeben sind. Dies würde den Anspruch der Zumutbarkeit unterlaufen. Ein gutes Gegenbeispiel stellt hier der Rechnungskauf dar, bei dem nur Rechnungsdaten angegeben werden müssen.
Wie können Online-Shops die Daten von Verbrauchern schützen?
Der Schutz von Kundendaten ist extrem wichtig – einerseits aus rechtlichen Gründen und auf der anderen Seite aufgrund des möglichen Imageschadens. Welche Schritte sollten Shop-Betreiber ergreifen, um die Messlatte hier besonders hochzulegen?
- Sicherheitsüberprüfungen: Regelmäßige Sicherheitsaudits und Penetrationstests können Schwachstellen in der Website- und Datenspeichersicherheit aufdecken, bevor sie von Angreifern ausgenutzt werden können.
- Datensparsamkeit und Datenminimierung: Online-Shops sollten nur die Daten sammeln, die unbedingt notwendig sind, und diese Daten nicht länger als nötig aufbewahren. Dies reduziert das Risiko bei einem möglichen Datenleck.
- Zugriffsrechte sorgfältig verwalten: Der Zugang zu persönlichen Daten von Verbrauchern sollte nur Mitarbeitern gewährt werden, die diesen für ihre Arbeit benötigen, und es sollte ein Prinzip der geringsten Rechte (Least Privilege) verfolgt werden.
- Regelmäßige Updates und Patches: Es ist wichtig, dass Online-Shops ihre Software, einschließlich des Content-Management-Systems (CMS) und anderer Komponenten, regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen.
Fazit: Datenschutz ist ein hohes Gut
Mit dem Urteil zeigt das Oberverwaltungsgericht: Der Datenschutz ist ein hohes Gut. Mitunter kann dieser sogar rechtliche Anforderungen von Online-Shops berühren – und diese sogar ausstechen. Für die Betreiber der Shops entstehen damit Herausforderungen, die in der Praxis sehr schwer zu lösen sind.