24.04.2023
Digitales Marketing und Datenschutz – Handlungsempfehlungen für E-Commerce-Unternehmen
Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Wir geben einen Überblick!
Jacqueline Neiazy
Director Datenschutz
Die Branche der E-Commerce-Unternehmen wächst stetig, immer mehr Geschäfte werden durch Kund:innen online getätigt. Insbesondere der Online-Handel gewinnt als Geschäftsfeld jährlich an Bedeutung. E-Commerce-Unternehmen agieren allerdings nicht lediglich als Vertragspartner:innen im klassischen Sinne und müssen im Umgang mit Kund:innendaten datenschutzrechtliche Vorgaben einhalten, wie dies etwa auch bei einem Abschluss eines Kaufvertrages in einem physischen Geschäft der Fall ist. Sie betreiben daneben ebenfalls Websites und regelmäßig auch Apps, weshalb auch diese durch E-Commerce-Unternehmen datenschutzkonform ausgestaltet und betrieben werden müssen.
Gerade aufgrund des riesigen Online-Angebots für sämtliche Produkte und Dienstleistungen sowie der in der Vergangenheit aufgetretenen Datenschutzvorfälle bei großen Online-Händlern, kann effektiver und gut umgesetzter Datenschutz für E-Commerce-Unternehmen bei der Ansprache von Kund:innen ein unersetzliches Asset darstellen. Im Folgenden werden die wichtigsten, insbesondere für E-Commerce-Unternehmen relevanten, Aspekte im Umgang mit personenbezogenen Daten datenschutzrechtlich eingeordnet und mit konkreten Handlungsempfehlungen versehen.
Werbung und Kundenakquise
Schon aufgrund der großen Konkurrenz im Onlinegeschäft mit Produkten und Dienstleistungen besteht in der Branche oftmals ein großer Bedarf danach, sich von anderen Unternehmen im Wettbewerb abzusetzen und Kund:innen gerade für sich zu gewinnen. Zielgerichtete und effektive Werbung scheint hier oftmals nur durch die Verarbeitung von personenbezogenen Daten möglich.
Zentral ist im Kontext der Werbung § 7 Abs. 1 UWG, der eine Unzulässigkeit geschäftlicher Handlungen vorsieht, durch die andere Marktteilnehmer in einer unzumutbaren Weise belästigt werden. In welchen Fällen die Unzumutbarkeit von geschäftlichen Handlungen unwiderleglich vermutet wird, findet sich in § 7 Abs. 2 UWG.
Direktansprache per Telefon
Für telefonisches Marketing gilt grundsätzlich, dass Kaltakquise gegenüber Verbraucher:innen gem. § 7 Abs. 2 Nr. 1 UWG unzulässig ist. Dies gilt nur nicht, wenn die betroffene Person vorherig ihre ausdrückliche Einwilligung erteilt hat. Die Einwilligung muss sich dabei gesondert auf die Telefonwerbung beziehen. Zudem sind auch vorformulierte Einwilligungen außerhalb des jeweiligen Vertragszwecks unzulässig und benachteiligen die angerufenen Verbraucher:innen in einer unangemessenen Weise. § 7a UWG fordert zudem, dass die durch den Verantwortlichen zuvor eingeholte, ausdrückliche Einwilligung in angemessener Weise dokumentiert und ab Erteilung für fünf Jahre aufbewahrt wird. Mit jedem Gebrauch der Einwilligung verlängert sich diese Frist erneut um 5 Jahre. Verstöße gegen das Verbot der unlauteren Telefonwerbung sowie gegen die entsprechende Dokumentations- und Aufbewahrungspflicht sind gem. § 20 UWG mit Geldbußen bis zu 300.000 beziehungsweise 50.000 € bedroht.
Weniger streng sind die Regeln gegenüber sonstigen Marktteilnehmern, bei denen für die Zulässigkeit der Telefonwerbung gem. § 7 Abs. 2 Nr. 1 UWG auch eine mutmaßliche Einwilligung ausreichend ist. Ein allgemeiner Sachbezug der angebotenen Ware oder Dienstleistung zu dem Profil des angerufenen Unternehmens reicht hier allerdings nicht aus, auch muss die mutmaßliche Einwilligung auch schon vor der eigentlichen Telefonwerbung zu bejahen sein. Eine mutmaßliche Einwilligung kann angenommen werden, wenn auf Grund konkreter tatsächlicher Umstände ein sachliches Interesse an der Telefonwerbung vermutet werden kann.
Bei jeder Art der Telefonwerbung ist zudem grundsätzlich anzumerken, dass die Rufnummer der Anrufenden nicht unterdrückt werden darf, § 15 Abs. 2 TTDSG. Auch hier ist ein Verstoß gem. § 28 Abs. 1 Nr. 9, Abs. 2 TTDSG mit bis zu 300.000 € bußgeldbewehrt.
Einwilligungsbasierte Newsletter
Neben der Schaltung von (personalisierter) Werbung über Tools wie Google Ads oder Facebook Ads ist bei E-Commerce-Anbietern besonders in Wachstumsphasen die immer noch stark verbreitete Werbung per E-Mail, insbesondere per Newsletter, weit verbreitet. Nach § 7 Abs. 2 Nr. 2 UWG ist die Werbung per E-Mail („elektronischer Post“) grundsätzlich unlauter und damit unzulässig, sofern keine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. Soll Newsletter-Marketing auf der Basis einer Einwilligung ausgespielt werden, sollte hier bei der Umsetzung dem Merkmal der „Ausdrücklichkeit“ ausreichende Bedeutung zugemessen werden. Es fehlt insbesondere dann an der wirksamen Einwilligung von Verbraucher:innen, wenn der Versand des E-Mail-Newsletter lediglich standardmäßig in den AGB eines Unternehmens vorgesehen ist. Auch reicht die immer noch verbreitete Ausgestaltung der Einwilligungserklärung als Opt-Out etwa bei Finalisierung eines Kaufvorganges durch ein vorangekreuztes Kästchen nicht aus, um eine wirksame Einwilligung einzuholen.
Ausnahme nach § 7 Abs. 3 UWG
Eine generelle Ausnahme vom Einwilligungserfordernis in die Werbung nach § 7 Abs. 2 Nr. 2 UWG per elektronischer Post sieht § 7 Abs. 3 UWG vor. Die hier normierte Ausnahme greift nur unter bestimmten Voraussetzungen, deren Vorliegen stets mit ausreichender Sorgfalt geprüft werden sollte. Um sich im konkreten Fall auf § 7 Abs. 3 UWG berufen zu können, muss im Verhältnis zu den jeweiligen Verbraucher:innen Folgendes zu bejahen sein:
- Die E-Mail-Adresse ist dem Unternehmen durch den vorherigen Verkauf von Waren oder Dienstleistungen bekannt
- Die Adresse wird nur zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet
- Es liegt kein Widerspruch der Verbraucher:in gegen Werbung vor
- Es braucht einen Hinweis auf die Widerspruchsmöglichkeit sowohl bei Erhebung der Daten sowie auch bei jeder Verwendung der elektronischen Postadresse
So kann ein Unternehmer etwa bei Verkauf eines T-Shirts in seinem Online-Shop bei entsprechenden oben skizzierten Hinweisen auf die Widerspruchsmöglichkeit der Verbraucher:in eine Werbe-Mail an die beim Verkauf erlangte E-Mail-Adresse schicken, sofern sich die Marketingmaßnahmen ebenso auf im Online-Shop erwerblichen T-Shirts oder vergleichbare/ähnliche Waren bezieht. Da ein Verstoß gegen das grundsätzlich geltende Verbot der E-Mail-Marketing ohne ausdrückliche Einwilligung allerdings nach § 20 UWG bußgeldbewehrt ist, ist bei Berufung auf die hiesige Ausnahme entsprechende Vorsicht geboten.
Auch eine grundsätzlich kostenlos angebotene Dienstleistung kann aber unter die Vorschrift des § 7 Abs. 3 UWG fallen. Dies hatte das OLG München (Urt. v. 15.02.2018, Az. 29 U 2799/17) im Falle eines Dating-Portals entschieden, dass ihren Kund:innen auch ohne Zahlung einer Mitgliedschaftsgebühr, allerdings unter Angabe ihrer persönlichen Daten, die eingeschränkte Nutzung der Seite ermöglichte. Das Gericht sah darin den „Verkauf“ einer Dienstleistung im Sinne von § 7 Abs. 3 Nr. 1 UWG. Die mit einer kostenpflichtigen Mitgliedschaft verbundenen weiteren Nutzungsmöglichkeiten seien zudem ähnliche Dienstleistungen im Sinne von § 7 Abs. 3 Nr. 2 UWG. Das Gericht knüpfte dies daran an, dass die beiden Angebote dem gleichen Bedarf dienen, über das Portal potenzielle Partner:innen zu finden. Im Ergebnis kann also wohl auch E-Mail-Marketing für eine kostenpflichtige Dienstleistung auf § 7 Abs. 3 UWG gestützt werden, sofern die Empfänger:in die entsprechenden Daten zuvor zur Inanspruchnahme einer kostenlosen Version des dem gleichen Bedarf dienenden Produkts herausgegeben hatte.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Newsletter-Tracking
Neben dem Versand von „regulären“ Newslettern wird es seit Jahren immer gängigere Praxis, in Werbenachrichten Tracking-Tools wie Zählpixel einzubauen. So wird Werbenden etwa möglich zu erfahren, ob, wie oft und von welcher IP-Adresse aus eine E-Mail abgerufen wurde. Auch werden mitunter Tracking-Links in den Newslettern eingebaut, die den Klick auf diesen registrieren und ggf. den Empfänger:innen des Newsletters zuordnen. Je nach Ausgestaltung des konkreten Tools erfolgt das Tracking personalisiert (sprich durch Verknüpfung etwa mit der E-Mail-Adresse von Betroffenen) oder lediglich aggregiert, also als anonymisierte Statistik.
Inwiefern die für Newsletter-Tracking eingesetzten Technologien dabei Informationen in der Endeinrichtung des Endnutzers speichern oder auf diese zugreifen, und dann der in § 25 Abs. 1 TTDSG grundsätzlich normierte Einwilligungsvorbehalt zu beachten ist, muss im Einzelfall bewertet werden. Für die Anwendbarkeit des Einwilligungserfordernisses des § 25 Abs. 1 TTDSG kommt es dabei nicht darauf an, ob das Newsletter-Tracking aggregiert oder personalisiert erfolgt. Vielmehr muss die Erfüllung der Anforderungen an einen Zugriff im Einzelfall anhand der konkreten technischen Ausgestaltung beurteilt werden. Daneben ist auch unter DSGVO-Gesichtspunkten eine Bewertung dahingehend notwendig, inwiefern das Tracking bereits einer Einwilligung bedarf oder ob es so ausgestaltet ist, dass es noch auf berechtigte Interessen des E-Commerce-Unternehmen gestützt werden kann. Ist bereits zuvor eine Einwilligung in einen tracking-freien Newsletter erfolgt, kann diese Einwilligung nicht als Grundlage für die Verarbeitung im Rahmen des Newsletter-Trackings herangezogen werden. Grund ist, dass das Tracking bereits bei Einwilligungserteilung transparent ersichtlich und Teil der Einwilligungserklärung gewesen sein muss. Dafür braucht es zwingend eine explizite, darauf ausgerichtete Einwilligung der Betroffenen. Bei einem auf Grundlage der Ausnahme nach § 7 Abs. 3 UWG versandten Newsletters muss stets eine genaue Prüfung nach § 25 TTDSG und der DSGVO erfolgen, inwiefern in diesem Fall auch ein Tracking ohne Einwilligung erfolgen darf.
Werden externe Dienstleister eingesetzt, ist zudem stets ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen; im Falle einer Drittlandübermittlungen hat diese zudem entsprechend der Art. 44 ff. DSGVO zu erfolgen, (z.B. unter Abschluss von Standardvertragsklauseln).
Dokumentation und Löschung von Kundendaten
Auch E-Commerce-Unternehmen werden als Verantwortliche im Sinne der DSGVO zur Einhaltung der dort niedergelegten Datenschutzstandards verpflichtet. Im Rahmen des Vertragsschlusses werden oft personenbezogene Daten von Vertragspartner:innen gesammelt. Hierbei handelt es sich in der Regel primär um Daten, die zur Erfüllung des abgeschlossenen Vertrages erforderlich sind. Dazu gehören etwa der Name, die Anschrift und eventuelle Zahlungsdaten der betroffenen Person. Ein Grundsatz der DSGVO ist allerdings der in Art. 5 Abs. 1 lit. b DSGVO festgesetzte Zweckbindungsgrundsatz sowie die in Art. 5 lit. c DSGVO vorgesehene Datenminimierung. Werden also Daten zum Zwecke der Vertragserfüllung erhoben, dürfen sie nicht etwa einfach für spätere Werbezwecke aufbewahrt und zu einem späteren Zeitpunkt wieder verwendet werden.
Um zu gewährleisten, dass Daten nur zu den Zwecken verarbeitet werden, zu denen sie auch erhoben wurden und insbesondere um zu gewährleisten, dass sie mit Zweckfortfall gelöscht werden, sollte ein Löschkonzept erstellt werden. Dieses erlaubt nicht nur eine Übersicht über die erhobenen und verarbeiteten personenbezogenen Daten und Verarbeitungszwecke, es berücksichtigt auch etwaige gesetzliche Aufbewahrungs- und Dokumentationspflichten, die der Löschung von Daten im Einzelfall entgegenstehen können. Von Relevanz sind gerade im Bereich E-Commerce regelmäßig die steuerrechtlichen Aufbewahrungsfristen der § 147 Abgabenordnung, § 257 Handelsgesetzbuch.
Werden Datenbestände von Kund:innen nicht systematisch angelegt und vor allem auch kontinuierlich auf eine etwaige Löschpflicht hin überprüft, riskieren Unternehmen hohe Bußgelder. So wurde etwa die Deutsche Wohnen 2019 von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro belegt, da das Unternehmen jahrelang Kopien von Personalausweisen und Kontoauszügen ihrer Mieter:innen trotz einer längst eingetretenen Löschpflicht aufbewahrte. Das Bußgeld wurde allerdings später aufgrund Unklarheit darüber, ob auch Unternehmen unmittelbar von einem Bußgeldverfahren betroffen sein könnten, vom LG Berlin aufgehoben; aktuell ist das Verfahren zur Klärung dieser unionsrechtlichen Frage am EuGH anhängig.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Erfüllung von Informationspflichten
Verantwortliche nach der DSGVO treffen ganz besonders auch Informationspflichten gegenüber den Betroffenen, deren personenbezogene Daten sie verarbeiten. Nach den Art. 13, 14 DSGVO hat der Verantwortliche Betroffene etwa über die Verarbeitungszwecke, Empfänger und Kategorien der verarbeiteten personenbezogenen Daten zu informieren. Sowohl im Rahmen der Bereitstellung des E-Commerce-Services auf einer Website als auch in einer App bietet es sich an, etwaige Informationspflichten im Rahmen der Website- oder App-Datenschutzerklärung zu erfüllen.
Für E-Commerce-Unternehmen erstrecken sich die Informationspflichten zum einen auf die Verarbeitungstätigkeiten, die das Unternehmen schlicht als Betreiber der Website sowie eventueller Apps vornimmt. Dazu gehören dann insbesondere die technisch eingebundenen Tools und APIs, die personenbezogene Daten erfassen, verarbeiten und eventuell weiterleiten. Zum anderen muss auf der Website oder auch in einer App natürlich über die Verarbeitungen personenbezogener Daten informiert werden, die im Rahmen des Vertragsschlusses auf der Website und dessen -erfüllung verarbeitet werden. Dies umfasst dann insbesondere – und wie auch bereits oben angesprochen – den Namen, die Anschrift, sonstige Kontaktdaten oder auch Zahlungsdaten der betroffenen Person.
Kunden- und Gastaccounts
Wie auch die Datenschutzkonferenz (DSK, bestehend aus den Datenschutzaufsichtsbehörden des Landes und dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit) feststellte, gilt der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO auch im Onlinehandel. Aus dieser im Beschluss der DSK zu Gast-Zugängen im Online-Handel zentralen Norm leitete die Konferenz ab, dass sich die zulässige Verarbeitung der personenbezogenen Daten von Kund:innen im Einzelfall daran bemesse, ob diese lediglich einmalig einen Vertrag mit dem E-Commerce-Unternehmen schließen oder eine auf Dauer angelegte Geschäftsbeziehung eingehen wollen.
Kund:innen müssten nach Ansicht der DSK hier die Möglichkeit einer tatsächlich freien Entscheidung zwischen der lediglich einmaligen Bereitstellung ihrer Daten als temporärer Gast oder der Eingehung einer dauerhaften Geschäftsbeziehung haben. Die DSK folgerte daraus die Pflicht für Personen, die als Verantwortliche Dienstleistungen oder Waren im Onlinehandel anbieten, dass diese ganz unabhängig von der Möglichkeit der Erstellung eines registrierten Nutzungszugangs einen Gastzugang für etwaige Bestellungen zur Verfügung stellen müssten. Auch wenn fortlaufende Konten in der Branche weitestgehend Praxisstandard sind, der etwa vereinfachte Wiederbestellmöglichkeiten oder auch die Möglichkeit der Auswertung der Bestellhistorie für Werbe- und Profilbildungszwecke ermöglicht, brauche es hierfür nach der DSK eine bewusste dahingehende Willenserklärung der Kund:innen. Der nach der DSK stets bereitzustellende Gastzugang müsse auf Registrierungs- bzw. Zugangsdaten verzichten und dürfe lediglich mit den zur Erfüllung des Vertrages sowie zur Einhaltung gesetzlicher Pflichten erforderlichen Daten verknüpft werden.
Zur Erfüllung von spezialgesetzlichen Aufbewahrungspflichten (z.B. § 257 HGB, 147 AO) aufbewahrte personenbezogene Daten müssten mittels TOM vom operativen Zugriff getrennt werden (sogenannte „Datensperrung“). Die DSK sieht hier vor, dass auch Kund:innen auf diese Daten nicht mehr zugreifen können sollten. Im Umkehrschluss bedeute dies, dass Kund:innen bei einmaliger Auswahl eines Gastzugangs die dort angegebenen Daten nicht etwa in einen fortlaufenden Zugang umwandeln könnten, indem der Verantwortliche weitere Daten ergänzt: ein entsprechender Account müsse stets separat angelegt werden.
Eine Ausnahme von den obengenannten Grundsätzen sieht die DSK nur dann, wenn ein fortlaufendes Konto etwa für Fachhändler:innen von bestimmten Berufsgruppen für die Erfüllung des Vertrages auch als tatsächlich erforderlich angesehen werden könne, Art. 6 Abs. 1 lit. b DSGVO. Weitere Beispiele nennt die DSK hier nicht, sodass stets eine Einzelfallbewertung geschehen muss.
Die Ansicht der DSK ist überaus kritisch zu betrachten. Sie beschränkt den im Bereich des Online-Handels maßgeblichen Verarbeitungszweck wenig nachvollziehbar und pauschalisierend auf die „Abwicklung eines einzelnen Geschäfts“ beziehungsweise eines Vertrages. Die DSK geht hier unzutreffend davon aus, dass der Grundsatz der Datenminimierung die Festlegung der Verarbeitungszwecke beschränke. Vielmehr aber setzt die Anwendung des Datenminimierungsgebots nach Art. 5 Abs. 1 lit. c DSGVO die vorherige Festlegung der Zwecke durch den Verantwortlichen und damit auch die Entscheidung, ob ein Benutzerkonto verlangt werden kann, voraus. Maßgeblich ist dann, dass die Verarbeitungen im Hinblick auf den festgelegten Verarbeitungszweck auch erforderlich sind. Zudem liegt es nach der DSGVO allein in der Hoheit des Verantwortlichen, die Verarbeitungszwecke festzulegen. Es fehlt der DSK insbesondere an einer rechtlichen Grundlage, um auf die Zweckfestlegung entsprechenden Einfluss zu nehmen.
Zudem berücksichtigt die DSK mit ihrem Beschluss nicht, dass es auch dann keiner Einwilligung in die Datenverarbeitung bedarf, wenn Verarbeitungen zur Erfüllung eines Kontonutzungsvertrages erforderlich waren (Art. 6 Abs. 1 lit. b DSGVO). Indem die DSK stets eine Einwilligung verlangt, lässt sie dieses dogmatisch gesondert zu betrachtende Vertragsverhältnis außer Acht, das sich eben explizit auf die Kontonutzung bezieht. Auch würde eine Pflicht zur Einrichtung eines Gastzugangs durch Online-Händler auch gegen die in Art. 16 GRCh niedergelegte unternehmerische Freiheit verstoßen. Insbesondere verbürgt dies die Freiheit, sich Vertragspartner:innen frei aussuchen zu können und damit gewisse Produkte auch nur an solche Kund:innen zu verkaufen, die über ein Benutzerkonto verfügen. Die Verpflichtung zur Einrichtung eines Gastaccounts würde die unternehmerische Freiheit unverhältnismäßig einschränken, es bestünde darüber hinaus schon gar keine konkrete gesetzliche Grundlage dafür.
Eindeutig wird die DSK bei der aus ihrer Sicht eintretenden Folge der fehlenden Bereitstellung eines Gastzugangs: es fehle dann an der Freiwilligkeit der Einwilligung zur Einrichtung eines fortlaufenden Kund:innenkontos und der damit verbundenen Verarbeitung personenbezogener Daten. Zudem müsse über den Gastzugang ein gleichwertiger Zugang zu den gleichen Angeboten und Bestellaufwand bereitgestellt werden. Problematisch ist hier insbesondere, dass somit etwa der in Deutschland bei vielen Kund:innen immer noch beliebte Kauf auf Rechnung sowohl für fortlaufende als auch für Gastzugänge unter den gleichen Bedingungen angeboten werden müsste. Das Risiko für Unternehmen ist allerdings bei Gastzugängen ungleich größer, da im Falle einer Nichtzahlung in der Regel weniger personenbezogene Daten etwa zur tatsächlichen Ausfindigmachung der Betroffenen vorliegen. Auch wird für Plattformen die allgemeine Missbrauchs- und Betrugsprävention erschwert, da Webseitenbetreiber bei Gastkonten gerade nicht über gewisse essenzielle Informationen verfügen, um etwa im Falle eines Identitätsdiebstahl adäquat reagieren zu können.
Beachtlich ist auch, dass die DSK für im Zusammenhang mit einem Kauf in einem Online-Shop erhobene personenbezogene Daten für die Verarbeitung zu Werbezwecken ohne weitere Differenzierung auch bei fortlaufenden Kund:innenkonten eine Einwilligung für erforderlich hält. Dies steht im Widerspruch zu dem bereits oben angesprochenen § 7 Abs. 3 UWG, der bei Vorliegen der entsprechenden Voraussetzungen eine Einwilligung zumindest im wettbewerbsrechtlichen Sinne für nicht erforderlich hält. Hier konnte die entsprechende Verarbeitung im datenschutzrechtlichen Sinne regelmäßig auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, sprich auf die berechtigten Interessen des Verantwortlichen. Inwieweit dies im konkreten Einzelfall so immer noch erfolgen kann, sollte im Zweifel gemeinsam mit Datenschutzexpert:innen diskutiert und entschieden werden. Wir unterstützen Sie hierbei gerne.
Fazit und Handlungsempfehlungen
Die Pflichten und Herausforderungen für E-Commerce-Unternehmen sind, wie oben zumindest ausschnittsweise dargestellt, divers aufgestellt und nicht zu unterschätzen. Konkret sollten insbesondere folgende Aspekte berücksichtigt und befolgt werden:
- Newsletter-Versand grundsätzlich nur nach Opt-In-Einwilligung durch Betroffene, außer es ist nachsorgfältiger rechtlicher Prüfung die Ausnahme des § 7 Abs. 3 UWG einschlägig
- Eingehende Prüfung einer möglichen Einwilligungspflicht für Newsletter-Tracking nach § 25 TTDSG und der DSGVO – hier kommt es auf die konkrete Ausgestaltung an
- Konzeption und Einhaltung eines detaillierten Löschkonzepts
- Aktuelle Datenschutzerklärung, die alle Verarbeitungstätigkeiten sowohl als Händler bzw. Dienstleister sowie auch als Website- und App-Betreiber abdeckt
- gegebenenfalls Bereitstellung von Gast-Accounts mit gleichwertigem Zugang zu den gleichen Angeboten und Bestellaufwand wie mit Kunden-Account
Wir beraten Sie gerne jederzeit zu Ihrer individuellen Situation, identifizieren etwaigen Handlungsbedarf und unterstützen Sie mit unserer fachlichen Expertise bei notwendigen Anpassungen. Sprechen Sie uns gern an!
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern