Gastbeitrag 23.03.2016, 15:00 Uhr

Welche Kundendaten dürfen Online-Händler weitergeben?

Online-Händler sind oft mit einer enormen Menge an Kundendaten konfrontiert. Wie müssen sie damit umgehen und welche Daten dürfen Webshop-Betreiber überhaupt an Dritte weitergegeben?
(Quelle: Fotolia.com/marog-pixcells)
Anders als bei einem Ladengeschäft, bei dem Kunden gänzlich anonym Waren einkaufen können, bringt es die Natur des Online-Shoppings mit sich, dass Online-Händler mit einer Unmenge an Kundendaten konfrontiert sind. Viele stellen sich daher die Frage, an wen sie diese Kundendaten überhaupt weitergeben dürfen. Madeleine Pilous, Legal Consultant bei Trusted Shops, erläutert die wichtigsten Grundsätze.

1. Datenweitergabe zur Vertragserfüllung

Ist die Weitergabe für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich, so ist dies ohne eine Einwilligung des Kunden zulässig. Dies kann etwa die Weitergabe der Kundendaten an ein Versandunternehmen oder das Zahlungsinstitut beinhalten. Jedoch gilt auch hier das Prinzip der Datensparsamkeit, d.h. der Umfang der Daten muss sich auf das mögliche Minimum beschränken (§ 34 Abs. 1a BDSG). Daher stellt z.B. die Weitergabe der Telefonnummer zur Angabe auf dem Paket regelmäßig einen datenschutzrechtlichen Verstoß dar.
Übrigens: Der Datenschutz kennt kein "Konzernprivileg", daher ist eine Übermittlung an ein anderes Unternehmen, auch wenn es zum gleichen Konzern gehören mag, nicht ohne Weiteres zulässig.

2. Weitergabe zur Bonitätsprüfung

Die Weitergabe von Kundendaten an eine Wirtschaftsauskunftei zum Zwecke der Bonitätsprüfung ist nur bei einem berechtigten Interesse ohne Einwilligung erlaubt. Ein berechtigtes Interesse ist dann gegeben, wenn der Händler in Vorleistung tritt (wie bei der Zahlungsart Rechnung). Dann ist der Kunde lediglich über die Bonitätsprüfung zu informieren, ansonsten muss er ihr aktiv zustimmen.

3. Datenweitergabe zu Werbezwecken

Grundsätzlich bedarf eine Datenweitergabe an Dritte zu Werbezwecken einer Einwilligung. Allerdings sieht das BDSG hier eine Ausnahme für sogenannte Listendaten vor ("Listenprivileg"). Diese umfassen gemäß § 28 Abs. 3 S. 2 BDSG:
  • die Zugehörigkeit des Betroffenen zu einer bestimmten Personengruppe,
  • seine Berufs-, Branchen- oder Geschäftsbezeichnung,
  • seinen Namen, Titel, akademischen Grad,
  • seine Anschrift und
  • sein Geburtsjahr.
Hier ist eine Übermittlung zum Zwecke der Werbung zulässig, sofern sowohl der übermittelnde Händler als auch der Datenempfänger die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger erteilen. Weiter muss in diesem Fall die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen.
Dies gilt jedoch nur, wenn der Betroffene nicht widersprochen hat und keine schutzwürdigen Interessen seinerseits entgegenstehen.

4. Datenweitergabe mit Einwilligung

Ist eine Datenweitergabe nicht gesetzlich privilegiert, kann diese dennoch zulässig sein. Voraussetzung ist in diesem Fall allerdings eine Einwilligung des Betroffenen (§ 4a BDSG, § 13 Abs. 2 TMG).

5. Exkurs: Auftragsdatenverarbeitung

Eine Datenweitergabe an Dritte kann des Weiteren im Rahmen einer Auftragsdatenverarbeitung erfolgen. Dies ist dann möglich, wenn der Auftragnehmer nicht selbstständig über die Datenverarbeitung entscheiden kann, sondern diese im Auftrag des Auftraggebers erfolgt (Stichwort "Outsourcing"). In dem Fall wird der Auftragnehmer nicht als Dritter, sondern als "verlängerter Arm" des Auftraggebers gewertet, sodass keine Einwilligung in die Weitergabe notwendig ist.
Ein solcher Vertrag kann nur schriftlich geschlossen werden und muss die in § 11 Abs. 2 BDSG aufgelisteten Voraussetzungen erfüllen. Der Auftragnehmer ist sorgfältig auszuwählen und der Auftraggeber hat sich vor Beginn der Datenverarbeitung und danach in regelmäßigen Abständen von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Bei Verstößen drohen bis zu 50.000 Euro Bußgeld (§ 43 Abs. 1 Nr. 2b, Abs. 3 S. 1 BDSG).

Abschließender Tipp

Online-Händler sollten sich vor jeder Weitergabe von Kundendaten an Dritte vergewissern, ob diese datenschutzrechtlich zulässig ist. Wenn Sie sich unsicher sind, ob eine bestimmte Verarbeitung zum Beispiel noch im unmittelbaren Zusammenhang mit der Bestellabwicklung steht, sollten Sie vorsichtshalber Ihre Kunden einwilligen lassen. Im Zweifel können Sie sich von einem spezialisierten Rechtsanwalt beraten lassen. Eine unbefugte Datenweitergabe kann mit einem Bußgeld von 300.000 Euro geahndet werden.

Das könnte Sie auch interessieren