| Datenschutz

Kundendaten sind ein sensibles Gut

Kundendaten sind ein sensibles Gut.
Bild: i dream stock

Ob Newsletter, soziale Netzwerke oder die eigene Website – Unternehmen, die die neuen digitalen Kommunikations-Kanäle nutzen, dürfen das Thema Datenschutz nicht auf die leichte Schulter nehmen. Denn sonst drohen nicht nur Abmahnungen und hohe Bußgelder, sondern womöglich auch ein Imageschaden.

Personenbezogene Daten gelten als die „Währung der digitalen Welt“. Unternehmen können sie nutzen, um gezielt zu werben, regelmäßig über neue Angebote zu informieren und wichtige Aufschlüsse über die Interessen und Wünsche der Nutzer zu erhalten. Allerdings sind diese Vorteile mit hohen datenschutzrechtlichen Auflagen verknüpft. „Unternehmer sollten den Datenschutz nicht als Einschränkung verstehen, sondern als Instrument, um Vertrauen zu schaffen“, meint Anne Kronzucker, Juristin bei der D.A.S Rechtsschutzversicherung. „Denn ein hohes Datenschutzniveau ist ein wichtiger Baustein für ein seriöses, professionelles Firmenimage.“ Wer dagegen achtlos oder leichtfertig mit den persönlichen Informationen seiner Kunden umgeht, setzt den Ruf seines Unternehmens aufs Spiel. Zudem müssen Betreiber bei Verstößen mit Abmahnungen von Konkurrenten sowie Bußgeldern in sechsstelliger Höhe rechnen.

Damit der Newsletter nicht zum Spam wird

Der Gesetzgeber macht es Unternehmern nicht leicht, den Überblick zu behalten: Es gibt eine Fülle von Regelungen, die aus dem Bundesdatenschutzgesetz (BDSG), dem Gesetz gegen den unlauteren Wettbewerb (UWG) und dem Telemediengesetz (TMG) hervorgehen. „Grundsätzlich aber gilt: Wer persönliche Daten erheben, nutzen oder verarbeiten will, muss den Nutzer informieren und seine ausdrückliche Zustimmung einholen“, sagt Kronzucker. „Es empfiehlt sich, diesen Vorgang zu protokollieren, um das Einverständnis im Streitfall nachweisen zu können.“ Dies ist vor allem beim Versand von Newslettern oder Werbemails zu beachten, denn viele Verbraucher empfinden deren ungefragte Zusendung als Belästigung. Obendrein geht das Gesetz bei Werbung per E-Mail ohne Zustimmung automatisch von einer unzulässigen Belästigung aus.

Sicheres Double-Opt-in-Verfahren

Damit der Newsletter also nicht zum rechtswidrigen Spam wird, muss der Betreiber zunächst um Erlaubnis fragen (§ 7 Abs. 2 Nr. 3 UWG). Bei der sogenannten „Opt-in“-Erklärung gibt der Kunde sein Einverständnis, indem er zum Beispiel auf der Website seine E-Mail-Adresse angibt und ein Kästchen anklickt. Das Problem bei diesem Verfahren: Niemand kann wissen oder beweisen, ob es tatsächlich der Inhaber der betreffenden Adresse war, der diese Zustimmung erteilt hat. Streitet dieser es später ab, drohen rechtliche Probleme. Sicherer ist das „Double-opt-in“-Verfahren: Der Kunde erklärt wie zuvor sein Einverständnis, erhält aber zudem in einem zweiten Schritt eine E-Mail mit der Bitte, zur Bestätigung auf einen Link zu klicken. Dieses Verfahren ist jedoch auch nur dann sinnvoll, wenn die Einwilligung des Empfängers in einer jederzeit ausdruckbaren Form vollständig dokumentiert wird.

Datenschutzerklärung ist Pflicht

Um juristische Probleme zu vermeiden, sollte auf keiner Website eine Datenschutzerklärung fehlen. Gemäß TMG muss der Betreiber darin über alle datenschutzrechtlich relevanten Funktionen der Website informieren, etwa über die Bestellformulare für Newsletter, Kommentar-möglichkeiten und Gästebücher. Erklärt werden müssen zum Beispiel Art, Umfang und Zweck der Datenerhebung und -verwendung – und zwar auf allgemein verständliche Weise. Wie beim Impressum müssen die Angaben jederzeit abzurufen und mit maximal zwei Klicks erreichbar sein.

Vorsicht bei Cookies

Ein genauerer Blick lohnt sich besonders bei den Cookies, also den Informationen, welche die Website auf dem Rechner des Nutzers platziert und bei jedem weiteren Besuch abruft. „Eine EU-Richtlinie von 2009 sieht auch für das Setzen von Cookies eine generelle Einwilligungspflicht vor“, weiß die D.A.S. Juristin. „Diese ist aber noch nicht in deutsches Recht umgesetzt, obwohl die Frist bereits 2011 abgelaufen ist.“ Daher ist die juristische Lage unklar, was für den Betreiber erhöhte Risiken bedeutet. Wer auf Nummer sicher gehen will, sollte um Zustimmung bitten. Auf jeden Fall gehören Angaben über Art und Zweck der verwendeten Cookies in die Datenschutzerklärung – wie auch Hinweise, wie der Nutzer sie deaktivieren und löschen kann.

Like-Buttons in der Grauzone

Vorsicht geboten ist ebenso bei der Einbindung des „Like-Buttons“ von Facebook. Dieses Plug-in ist datenschutzrechtlich bedenklich. Denn sobald der Nutzer auf den Button klickt, weiß Facebook, dass er die Website besucht hat – und wie oft. Möglicherweise kann Facebook sogar ohne einen Klick auf den Button persönliche Daten sammeln. „Ob die Einbindung des Like-Buttons datenschutzrechtlich zulässig ist, ist juristisch noch nicht abschließend beantwortet“, so Anne Kronzucker. „Allerdings gibt es keinen Zweifel daran, dass der Betreiber in seiner Datenschutzerklärung genau erklären muss, was der Button bewirkt.“

"Gefällt mir"-Klick ist keine Einwilligung

Was viele nicht wissen: Auch auf Facebook ist es verboten, Nutzern ungefragt Werbenachrichten zu schicken und auf ihre Pinnwand zu schreiben. Eine Facebook-Freundschaft oder ein „Gefällt mir“-Klick auf das Firmenprofil stellen keine Einwilligung zum Empfang von Werbung dar. Zudem hat Facebook eigene Richtlinien für Gewinnspiele formuliert: Der Betreiber kann sie als Anwendung in die Seite einbinden. Dagegen dürfen dabei keine Facebook-Funktionen wie Like-Button, Pinnwand oder Kommentare zum Einsatz kommen.

D.A.S. Rechtsschutzversicherung/Haufe Online Redaktion

Datenschutz, Kundendaten, Online-Medien, Telemediendatenschutz, Telemediengesetz, Cookies, Facebook, Bundesdatenschutzgesetz