Fehlende Datenschutzerklärung: Abmahnung möglich – Gesetzesänderung!

Am 23.02.2016 wurde im Bundesgesetzblatt das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Dieses Gesetz trat am 24.02.2016 in Kraft und erweitert unter anderem Abmahnbefugnisse von Verbraucherschutzverbänden (Verbandsklagerecht) auf datenschutzrechtliche Verstöße. Im Unterlassungsklagengesetz (UKlaG), genauer gesagt in § 2 Abs. 2 UKlaG, wurde eine neue Nummer 11 hinzugefügt, der die Abmahnbefugnis von Verbraucherschutz- und Wettbewerbsverbänden auf Verstöße gegen Datenschutzrecht ausdehnt.

Ergänzung des UKlaG – worum geht es?

Der Gesetzestext von § 2 UKlaG lautet nun:

„§ 2 Unterlassungsanspruch bei verbraucherschutzgesetzwidrigen Praktiken
(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden. Werden die Zuwiderhandlungen in einem geschäftlichen Betrieb von einem Angestellten oder einem Beauftragten begangen, so ist der Unterlassungsanspruch auch gegen den Inhaber des Betriebs begründet.
(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere
(…)
11. die Vorschriften, welche die Zulässigkeit regeln
a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“

Welche Auswirkung hat die Ergänzung des UKlaG auf die Praxis?

Verbraucherschutz- und Wettbewerbsverbände können ab sofort Datenschutzverstöße im Rahmen ihrer Verbandsklagebefugnis abmahnen und gerichtlich geltend machen.

Nicht nur Online-Händler, sondern grundsätzlich alle Unternehmer mit eigener Website müssen nun stärker, als sie das vielleicht bislang getan haben, auf einen datenschutzkonformen Umgang mit ihren Kundendaten und den Daten ihrer Website-Besucher achten.

Datenschutzkonformer Umgang bedeutet auch: Unternehmer müssen eine Datenschutzerklärung anbieten, die den Umgang mit den Daten korrekt und individualisiert wiedergibt.

Welche personenbezogenen Daten werden von der Datenschutzerklärung erfasst?

Die Liste der personenbezogenen Daten, die in der Datenschutzerklärung berücksichtigt werden müssen, und der Informationen, wie mit diesen Daten umgegangen wird, ist lang und von Unternehmen zu Unternehmen unterschiedlich:

  • Datenerhebung und Datenspeicherung durch Server-Logs beim Aufruf der Seite, so etwa der IP-Adresse des Besuchers;
  • Datenerhebung und Datenspeicherung mittels Kontakt-Formular;
  • Einsatz eines Live-Support-Systems;
  • Umgang mit Cookies;
  • Speicherung von Kundendaten;
  • Datenweitergabe zur Bonitätsprüfung oder Identitätsprüfung;
  • Datenweitergabe im Rahmen des Fulfillment;
  • Datenweitergabe an Zahlungsanbieter wie Paypal oder Kreditkarten-Unternehmen;
  • Nutzer-Tracking durch piwik, Google Analytics oder andere Analyse-Tools;
  • Newsletter;
  • Kontaktaufnahme zur Kundenbewertungsanfrage / Zufriedenheitsanalyse;
  • Social-Media-Plugins wie Facebook, Twitter, Tumblr, Instagram oder Pinterest;
  • etc.

Wie die Datenschutzerklärung am Ende aussehen muss, hängt also von zwei Faktoren ab:

  • Technik – welche einzelnen personenbezogenen Daten werden überhaupt erfasst? Hier weiß der Server-Administrator die Details.
  • Workflow – welche Abläufe im Unternehmen gibt es, bei denen personenbezogene Daten verarbeitet werden? Hier sind spätestens jetzt feste Regeln, die datenschutzkonform ausgestaltet sind, empfehlenswert.

Datenschutzerklärung: Handlungsbedarf!

Der Datenschutz rückt seit mehreren Jahren immer mehr in den Fokus des allgemeinen Interesses. Kunden wollen wissen, was mit ihren Daten geschieht. Mit der Novelle vom 24.02.2016 hat der Gesetzgeber den Verbänden ein scharfes Schwert in die Hand gegeben, die sich die Verfolgung schwarzer Schafe (oder vielleicht auch nur die Marktbereinigung im Interesse der eigenen Mitglieder) zur Aufgabe gesetzt haben.

Praktizierter Datenschutz ist keine lästige Pflichtübung im Hinterzimmer, sondern Marketing- und Kundenbindungs-Instrument. Praktizierter Datenschutz darf also auch offensiv beworben werden. Eine rechtskonforme Datenschutzerklärung ist der erste Schritt.

© RA Stefan Loebisch | Kontakt