Onlineverkauf: Schutz von Kundendaten mangelhaft
Wenn Werbung zu persönlich wird

Big DataData & StorageE-CommerceMarketingPolitikRechtSicherheitSicherheitsmanagement

Die Erfassung und Verwendung von Online-Kundendaten zu Marketing- und CRM-Zwecken ist ein datenschutzrechtlich hochsensibles Feld. Datenschützer sehen nach wie vor erheblichen Aufklärungsbedarf – und das sowohl bei Verbrauchern als auch bei den Shop-Betreibern selbst.

Verdächtige Datentöpfe

Onlineverkauf: Schutz von Kundendaten mangelhaft

Das Marketing wird sowohl offline als auch im Internet von einer klaren Maxime beherrscht: Je gezielter die Kundenansprache, umso größer der Profit. Das Stichwort lautet personalisierte Werbung. Denn mit den richtigen – sprich individuellen – Inhalten verwandelt sich der Werbeflyer in eine unterhaltende Informationsbroschüre und der E-Mail-Newsletter wird zum persönlichen Nachrichten-Service mit Spaßfaktor. Dass Informationen zu Vorlieben und Interessen von Kunden jedoch nicht frei verwertbar, sondern persönliches Eigentum sind, scheint sich insbesondere im Internet noch nicht vollständig herumgesprochen zu haben. Die Erfassung und Verwendung von Online-Kundendaten zu Marketing- und CRM-Zwecken ist ein datenschutzrechtlich hochsensibles Feld. Datenschützer sehen nach wie vor erheblichen Aufklärungsbedarf – und das sowohl bei Verbrauchern als auch bei den Shop-Betreibern selbst.

Einer BITKOM-Studie zufolge gehen 61 Prozent der deutschen Computerbesitzer gerne und regelmäßig im Internet einkaufen. Zur Abwicklung des Bezahlvorgangs und des Artikelversands hinterlassen sie in der Regel ihren Namen, die Anschrift, Telefonnummer, die E-Mail-Adresse und Kontodaten. All das geschieht natürlich mit Einwilligung des Käufers – nicht anders als bei der klassischen Katalogbestellung auch. Was vielen Web-Nutzern jedoch nicht bewusst ist: Beim Streifzug durch die virtuellen Ladenlokale geben sie zahlreiche Informationen preis, ohne es überhaupt zu merken. Diese Tracking- oder auch Web-Controlling-Daten werden vom Shop-Betreiber für gewöhnlich genutzt, um sich ein übergeordnetes Bild vom Nutzerverhalten zu machen.

Dazu werden die gesammelten Informationen in einen großen Datentopf geworfen, anonymisiert und im Hinblick auf vorab festgelegte Kennzahlen analysiert. Der Marketing-Verantwortliche einer Internetpräsenz weiß anschließend, wie, wo und wann das Gros der Besucher auf seiner Seite eine Aktion durchgeführt hat. Dieser Vorgang an sich ist datenschutzrechtlich im grünen Bereich. Kritisch wird es, wenn es Online-Verkäufer mit den Vorschriften zur Anonymisierung und Verarbeitung von personenbezogenen Daten nicht so genau nehmen. Denn sobald Kundendaten mit den Kennzahlen aus dem Tracking einer Website zu Werbezwecken in Verbindung gebracht werden, bewegt sich ein Webshop-Inhaber aus Sicht des Gesetzgebers auf äußerst dünnem Eis.


Die Grenzen zum Spam sind fließend

Onlineverkauf: Schutz von Kundendaten mangelhaft

Das Thema Spam geistert nun schon seit Jahren durch die Öffentlichkeit, die Nutzergemeinde scheint sich dank größerer Account-Speicher, zuverlässiger Spam-Filter und schlichtweg dickerem Fell mit dem Ärgernis permanenter Werbebeflutung abgefunden zu haben. Dabei sollten Konsumenten klar darauf achten, wer ihnen gerade bunte Informationen zu seinen topaktuellen Produkten zukommen lässt – und wie viel der Absender über den Empfänger einer Werbe-E-Mail zu wissen scheint. Denn Spam ist nicht gleich Spam: Häufig werden elektronische Postwurfsendungen nicht breit gestreut, sondern gezielt und mit persönlichen Daten gespickt an Mann und Frau gebracht.

Frank Ackermann, Rechtsanwalt und Mitarbeiter des Fachbereichs Content beim Verband der deutschen Internetwirtschaft eco, betrachtet derartige E-Mail-Werbung als problematisch. Hier seien die Grenzen zum Spam in der Tat fließend. Als Berater bei der Internetbeschwerdestelle der eco weiß er sehr genau, worauf Konsumenten und Werbende achten sollten: “Die Frage ist, auf welche Weise die Personalisierung einer solchen E-Mail erfolgt und welche Daten über den Nutzer dabei zu Grunde gelegt werden. Wenn der Anbieter eines Webshops auf Basis der getätigten Bestellungen dem Nutzer beim neuen Besuch der Website bestimmte Angebote vorschlägt, ist dagegen nichts einzuwenden.”

Bei Werbe-Mails hingegen müsse der Betroffene grundsätzlich vorher eingewilligt haben. Das gelte insbesondere dann, wenn Nutzungsdaten verwendet werden, die bei seinem Surfen im Webangebot gesammelt worden sind. “Leider erfolgt diese Art der personalisierten Werbung nur all zu oft ohne Wissen und Einwilligung des Nutzers”, gibt der Internet-Rechtsexperte Ackermann zu bedenken.


Persönliche Daten lassen Rückschluss zu

Onlineverkauf: Schutz von Kundendaten mangelhaft

Ein Grund für das wenig ausgeprägte Bewusstsein darum, welche Marketing-Maßnahme datenschutzrechtlich bedenklich und welche unproblematisch ist, liegt sicherlich in der Unüberschaubarkeit der inzwischen durch das Internet kursierenden Informationen. Inwiefern Daten nicht gleich Daten sind, ist den wenigsten Nutzern bekannt.

Grundsätzlich unterscheidet das hier greifende Teledienstedatenschutzgesetz, kurz TDDSG, zwischen personenbezogenen und nicht personenbezogenen Daten. Bei Angaben, die einen konkreten Rückschluss auf eine Person zulassen wie beispielsweise Name und Adresse, ist die Sachlage klar: Sie sind eindeutig als personenbezogen definiert.

Alle anderen Informationen, die keinen Hinweis auf einen bestimmten Nutzer geben und anonym erfasst, gespeichert und verwertet werden, sind im logischen Umkehrschluss nicht personenbezogen. Doch wie so oft beginnen die Streitereien auch hier bei der Definition. Denn was so eindeutig klingt, lässt durchaus Raum für Diskussionen, beispielsweise beim Thema IP-Adressen. “Inwieweit eine IP-Adresse als personenbezogenes Datum zu bezeichnen ist, ist unter den Gelehrten umstritten. Da inzwischen vorwiegend dynamische anstatt statischer IP-Adressen vergeben werden, ist ein Personenbezug nicht mehr herstellbar”, erläutert Manfred Berngruber, Datenschutz. Beauftragter von Quelle.de.

Er fährt fort: “Insofern ist die IP-Adresse immer pseudonymisiert, da entweder durch eine dynamische Adresse kein Personenbezug mehr möglich ist oder er bei einer statischen Adresse nur über den Provider hergestellt werden kann.” Klingt soweit einleuchtend. Doch zahlreiche Landesdatenschutzbeauftragte kommen interessanterweise zu dem Schluss, dass IP-Adressen immer personenbezogen sind – egal ob statisch oder dynamisch.

Der Landesbeauftragte für den Datenschutz Niedersachsen: “Zugangs-Provider können – unabhängig von der bei der Vergabe der IP-Adresse verwendeten Technik, also auch bei dynamischer Vergabe – die IP-Nummer einzelnen Nutzern zuordnen. IP-Adressen sind somit personenbezogene Daten. Dies gilt auch, wenn der Zugang beispielsweise über das LAN eines Unternehmens beziehungsweise einer Behörde erfolgt.”

Wer bei aller Kontroverse noch daran zweifelt, welche Daten nun tatsächlich Rückschlüsse auf Personen erlauben und welche nicht, der sollte den Ratschlag von Frank Ackermann beherzigen: “Im Zweifelsfall wird es stets besser sein, die Vorschriften über die Informationspflichten strenger auszulegen, als nach dem Gesetzeswortlaut zu vermuten steht.”


Keine unerlaubten Schlüsse ziehen

Onlineverkauf: Schutz von Kundendaten mangelhaft

Die Bestimmung, die den Reverse-Look-Up von Daten untersagt, wurde inzwischen zwar für Telefonverzeichnisse gelockert, für personenbezogene Online-Daten ist sie jedoch immer noch in vollem Umfang gültig. Das bedeutet: Eine Versand- oder Tracking-Software darf zwar aufgrund früherer Aussendungen von Werbe-Mails registrieren, welche E-Mail-Adressen welche Produkte favorisiert haben und die Adressen anschließend auch automatisch in entsprechende Versandgruppen einteilen. Dem Werbetreibenden ist es jedoch untersagt, aus einem solchen Pool von E-Mail-Adressen und von Versand- und Tracking-Informationen einzelne Daten zu extrahieren und von gespeicherten Kennzahlen auf konkrete Personen zu schließen.

Ruft ein Online-Händler aus seiner Software ab, welche E-Mail-Bei
träge sein Kunde Hans Mustermann geklickt und hinterher bestellt hat, dann verstößt er damit gegen das Datenschutzgesetz – solange keine explizite Einwilligung von Herrn Mustermann vorliegt.

Wer meint, dass es sich bei einer derartigen Vermischung von Kundendaten und Tracking-Informationen um ein Kavaliersdelikt handelt, der irrt: “Wenn die Nutzungsdaten mit Daten über den Träger des Pseudonyms zusammengeführt werden, ist dies nicht nur bedenklich, sondern wäre auch eine Ordnungswidrigkeit, die eine Geldbuße von bis zu 50.000 Euro nach sich ziehen kann”, unterstreicht Peter Schaar, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (www.bfd.bund.de). “Eine Erstellung von Nutzungsprofilen ist nur unter Verwendung von Pseudonymen zulässig, wenn der Nutzer nicht widersprochen hat. Über dieses Widerspruchsrecht ist der Nutzer zu informieren.”


Offener Umgang alleine reicht nicht aus

Onlineverkauf: Schutz von Kundendaten mangelhaft

Seine Online-Konsumenten ausführlich über ihre Datenschutzrechte aufzuklären ist nicht nur hehres Ziel, es ist schlicht und ergreifend Pflicht. Entsprechend ausführlich sind die Datenschutzerklärungen vieler Unternehmen, die immer häufiger aus der AGB ausgegliedert werden und eine eigene Seite gewidmet bekommen.

Doch der bloße Hinweis darauf, dass die Informationen des Kunden verarbeitet werden und möglicherweise auch noch Dritte Freude an Hans Mustermanns Einkaufsvorlieben haben, reicht nicht aus. In zahlreichen Fällen fordert das Datenschutzgesetz, dass der Kunde gezielt auf einen Sachverhalt hingewiesen wird und teilweise sogar explizit in bestimmte Abläufe einwilligen muss. Zum Beispiel dann, wenn personenbezogene Nutzungs- oder Interessenprofile zu CRM-Zwecken generiert und gespeichert werden.

Sollte ein Kunde personalisierte Post in seinem virtuellen Briefkasten finden, ohne dem explizit zugestimmt zu haben, winken dem Werbenden die bereits erwähnten satten Strafen. Auch das Setzen von Cookies sollte mit gebotenem Respekt vor Transparenz und Kundenfreundlichkeit erfolgen: Ein Website-Betreiber muss an prominenter Stelle Hinweise platzieren, die besagen, wann, wie und warum bei einem Nutzer Cookies gesetzt werden. Auch diese Regelung gilt nur, solange der Cookie nicht dazu verwendet wird, eindeutige Beziehungen zwischen personenbezogenen Daten und pseudonymen Nutzungsprofilen herzustellen.


Widerspruch darf nicht zwecklos sein

Onlineverkauf: Schutz von Kundendaten mangelhaft

Bei allen Daten, die zur Erstellung von Nutzungsprofilen erhoben werden, hat der Kunde grundsätzlich ein Widerspruchsrecht. Wäre Hans Mustermann nicht länger mit seinem Online-Händler zufrieden, dann könnte er mit sofortiger Wirkung die Löschung seiner kompletten Kundendaten wie beispielsweise Adresse und Kontodaten veranlassen.

Bei nicht personenbezogenen Informationen kann das Widerspruchsrecht nur für zukünftige Datenerfassungen und -speicherungen berücksichtigt werden. Widerspricht der Nutzer der Erfassung pseudonymer Nutzungsdaten, trägt er nicht mehr zum gesammelten Datenschatz bei.

Auch hier nimmt es das Datenschutzrecht genau: Möchte der Kunde von seinem Widerspruchsrecht Gebrauch machen und nicht länger zu den pseudonymen Nutzungsprofilen beitragen, reicht es nicht aus, ihm bestimmte Modifizierungen seines Browsers – beispielsweise das Blockieren von Cookies – vorzuschlagen. Aus datenschutzrechtlicher Sicht muss die Nichtspeicherung von Nutzungsdaten vom Website-Betreiber veranlasst und technisch umgesetzt werden.


Aufklärung und Beratung tun Not

Onlineverkauf: Schutz von Kundendaten mangelhaft

Ackermann zufolge besteht vor allem noch bei mittelständischen Betrieben Aufklärungsbedarf in Sachen Datenschutz. Dabei wird so mancher Verstoß nicht vorsätzlich, sondern aus reiner Unwissenheit begangen. “E-Mail-Werbung für jegliche Ware oder Dienstleistung wird ohne Weiteres bereits dann an Nutzer versandt, wenn diese lediglich im Rahmen eines Kaufs ihre E-Mail-Adresse mitgeteilt haben”, so Ackermann. Das Problembewusstsein ist in solchen Fällen nicht immer vorhanden.

“Betrachtet man die Reaktionen vieler Unternehmen auf Anschreiben der Internet-Beschwerdestelle, so scheinen den meisten weder die Gesetzeslage noch die Konsequenzen einer Rechtsverletzung geläufig zu sein.”

Der Bundesdatenschutzbeauftragte Peter Schaar unterstreicht, wie wichtig es ist, dass sich die Verantwortlichen über die Rechtslage informieren. “Im Zweifel können die zuständigen Datenschutz-Aufsichtsbehörden der Länder Auskunft geben”, erklärt Schaar.

Diesem Rat ist das Hamburger Web-Controlling Unternehmen etracker gefolgt. Der Anbieter von Lösungen zur Analyse des Besucherverhaltens auf Webseiten hat sich vom Hamburgischen Datenschutzbeauftragten auf Herz und Nieren prüfen lassen. “Es reicht eben nicht aus, immer nur über Datenschutz zu reden. Man muss auch etwas dafür tun”, betont Christian Bennefeld, Gründer und Gesellschafter von etracker. Als erstes Web-Controlling Unternehmen, das sich diesem heiklen Thema derart progressiv stellt, bietet etracker auch seinen Kunden eine wichtige Hilfestellung dabei, den Anforderungen des Datenschutzes gerecht zu werden. Denn was auch nicht jeder Online-Händler weiß: In letzter Instanz zeichnet nicht der Anbieter, sondern der Nutzer eines Web-Controlling Systems für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.


Trotz Schwachpunkten positive Tendenz

Onlineverkauf: Schutz von Kundendaten mangelhaft

Wenn auch das Bewusstsein zu Datenschutzfragen bei vielen Internetnutzern noch nicht voll ausgeprägt sei, so sieht Peter Schaar hinter aller Problematik doch positive Tendenzen: “Jetzt werden endlich von immer mehr Menschen auch die Probleme wahrgenommen, die mit der Nutzung des Internets und der Sammlung von Daten allgemein einhergehen. Gerade die seriösen Anbieter haben meines Erachtens ein Interesse daran, dass rechtswidriges Verhalten verfolgt wird.”

Diese positive Einschätzung des Datenschutzbeauftragten mag tendenziell stimmen. Trotz allem kann selbst so mancher Big Player der E-Commerce-Welt die eine oder andere Schwachstelle in seinem Datenschutzgebäude nicht verbergen.

Besonders mit der expliziten Einwilligung zur Erstellung von personenbezogenen Nutzungsprofilen nehmen es viele der renommierten Online-Händler nicht so genau, wie es Daten- und Verbraucherschützer gerne hätten. Teilweise ist die Erklärung, dass Tracking-Daten erhoben und Nutzungsprofile erstellt werden, irgendwo in den AGB versteckt. Oder der Nutzer ist dazu gezwungen, ein aufwändiges Suchprozedere zu durchlaufen, bevor er beispielsweise den Bezug von personalisierten E-Mail-Benachrichtigungen in seinem Profil deaktivieren kann. Datenschutzrechtlich mag das in der Grauzone liegen, ein Musterbeispiel für Transparenz sind diese Strategien jedoch mit Sicherheit nicht.


Keine Datentransparenz bei bekannten Onlineshops

Onlineverkauf: Schutz von Kundendaten mangelhaft

Ein Beispiel dafür, wie bequem auch große E-Commerce-Unternehmen den Datenschutz immer noch handhaben, liefert Quelle.de. Das Online-Versandhaus umgeht die aufwändige, explizite Einwilligung der Konsumenten und verlässt sich schlicht und ergreifend auf die Eigeninitiative der Nutzer.

In der Datenschutzerklärung von Quelle.de heißt es: “Listenmäßige Adressdaten nutzen und übermitteln wir ggf. für werbliche Ansprachen unserer Konzern- und Partnerunternehmen. Selbstverständlich können Sie der Weitergabe Ihrer Daten für Werbezwecke jederzeit widersprechen”. Was so kulant klingt, schlendert haarscharf an den Bestimmungen des Datenschutzes vorbei. Denn eine explizite, aktive Einwilligung sieht definitiv anders aus.

Doch mit einer großzügigen Auslegung vo
n Datenschutz- und Telemediengesetz steht Quelle.de nicht alleine da. Wer bei Karstadt.de erfahren möchte, was sich genau hinter den “bestimmten Voraussetzungen”, unter denen “ein Recht auf Berichtigung, Sperrung und Löschung Ihrer in einer unserer Dateien gespeicherten Daten” verbirgt, der muss einen langen Atem beweisen. Denn via E-Mail scheint auch bei mehrfachen Versuchen kein Durchkommen zu sein: Trotz zahlreicher Sendeversuche schlägt die Übertragung der elektronischen Anfrage immer wieder fehl. Entsprechend schwer sind zusätzliche Auskünfte beispielsweise zum Thema IP-Adressen-Speicherung zu bekommen, die in der Datenschutzerklärung von Karstadt.de überhaupt keine Erwähnung finden.

Was die Kommunikations- und Informationsbereitschaft großer Internethändler betrifft, so scheint auch bei anderen Unternehmen vornehme Zurückhaltung vorzuherrschen. Der betriebliche Datenschutzbeauftragte von Amazon.de steht selbst nach schriftlicher Anfrage nicht für weitere Auskünfte zur Verfügung. Die Kommunikationsabteilung des Internet-Buchhändlers bietet eine unbefriedigende Alternative: “Jedoch gibt unsere Datenschutzerklärung detailliert Aufschluss darüber, welche Daten von uns erhoben und zu welchen Zwecken sie genutzt werden.” Diese besagt beispielsweise, dass Amazon.de gewöhnlich eine Kopie der ursprünglichen Angaben behält, wenn ein Kunde seine persönlichen Informationen aktualisiert. Inwiefern die Speicherung von aktiv überschriebenen und damit gelöschten Kundendaten überhaupt rechtens ist, darüber ließe sich durchaus diskutieren – stünde denn ein Ansprechpartner zur Verfügung.


Nur zähe Verbesserungen beim Datenschutz

Onlineverkauf: Schutz von Kundendaten mangelhaft

Im Großen und Ganzen hat der Schutz von Kundendaten und personenbezogenen Informationen in den vergangen Jahren insbesondere in Deutschland und Europa deutlich an Boden gewonnen.

Selbst der Internet-Gigant Google – dem von der britischen Datenschutzorganisation Privacy International in ihrem aktuellen Datenschutz-Report “ein fest verwurzeltes, feindseliges Verhältnis zum Datenschutz” attestiert wurde – lenkte aufgrund des öffentlichen Drucks in Sachen Datenspeicherung ein. Damit ist Google zwar immer noch kein Vorbild im Umgang mit personenbezogenen Daten, die wachsende Angst um das Saubermann-Image lässt jedoch auf Besserung hoffen.

Trotz dieser Entwicklung besteht nach wie vor ein großer Bedarf an Aufklärungsarbeit. Und für den sollten nicht nur Datenschutzrechtler und Verbraucherschützer verantwortlich zeichnen: Gerade die großen deutschen Internet-Handelshäuser sollten mit gutem Beispiel vorangehen. Nur so lässt sich auf lange Sicht ein vertrauensvoller Umgang mit persönlichen Daten sicherstellen. Denn bei aller Wirksamkeit personalisierter Marketing-Maßnahmen – ein partnerschaftliches Vertrauensverhältnis zwischen Händler und Käufer ist wohl die beste Werbung, die sich ein Unternehmen wünschen kann.