Sie sind hier:

Datenschutzpflichten

Die Datenschutzpflichten der Shopbetreiber und die Datenschutzrechte der Kunden ergeben sich im Wesentlichen aus dem komplexen und mehrfach überarbeiteten Bundesdatenschutzgesetz (BDSG) und dem relativ kurzen Telemediengesetz (TMG).

> Gemäß § 13 Abs. 1 TMG muss der Shopbetreiber seine Kunden „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ unterrichten.

> Aus § 13 Abs. 8 TMG ergibt sich die Verpflichtung, dem Shopbesucher „nach Maßgabe von § 34 BDSG auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen.“ Über dieses Recht muss der Kunde informiert werden.

Diesen Anforderungen kommt der Shopbetreiber nach, indem er eine Datenschutzerklärung in seinem Shop anzeigt.

Recht auf informationelle Selbstbestimmung

Diese Verpflichtungen dienen nicht dazu, den Shopbetreibern unnötig Steine in den Weg zu legen. Vielmehr soll dadurch  das Grundrecht des Kunden auf informationelle Selbstbestimmung gewahrt werden. In einem Urteil aus dem Jahr 1983 hat das Bundesverfassungsgericht dieses Recht auf die Kurzformel gebracht, dass jeder selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen kann.

Wann wird Datenschutz für den Shopbetreiber relevant?

Sobald er anfängt, personenbezogene Daten seiner Besucher zu erfassen. Dies geschieht regelmäßig während des Bestellvorgangs, also wenn der Kunde Name, Anschrift, Bankverbindung eingibt. In diesen Fällen wird zwingend eine Datenschutzerklärung benötigt, die den Kunden darüber informiert, wie seine Daten verwendet werden.

  • Der Text der Datenschutzerklärung muss jederzeit mit maximal zwei Mausklicks leicht auffindbar sein,
  • z.B. über einen Link namens „Datenschutz“ / „Datenschutz-erklärung“ in der Kopf-, Fuß- oder Seitenleiste der Webseite.
  • Das Gesetz verlangt nicht, dass der Kunde die Kenntnisnahme der Datenschutzerklärung bestätigen muss.

Wer lediglich eine Website als Visitenkarte nutzen möchte und keine personenbezogenen Kundendaten erfasst (auch nicht z.B. im Rahmen einer Newsletter-Anmeldung oder über ein Webanalyse-Tool), der muss keine Datenschutzerklärung vorhalten. Genauso wenig derjenige, der nur „unpersönliche“ Daten wie z.B. Anzahl und Uhrzeit von Seitenzugriffen speichert.

Wann ist eine aktiv erteilte Zustimmung des Kunden erforderlich?

Nach § 14 Abs. 1 TMG darf der Shopbetreiber „personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind.“

Daraus folgt, dass ohne aktiv erteilte Zustimmung des Kunden dessen Name und Anschrift nur gespeichert werden dürfen, um z.B. eine Rechnung ausstellen und die Ware verschicken zu können. Denn diese Daten sind notwendig, um den Vertrag zu begründen und zu erfüllen. Der Kunde muss im Rahmen der Datenschutzerklärung lediglich über den Vorgang informiert werden.

Eine Weitergabe von Daten an Adresshändler oder andere Partnerunternehmen gehört nicht zur Vertragsabwicklung und ist daher ohne eine ausdrücklich erteilte Zustimmung des Kunden nicht erlaubt. Auch die Versendung von Newslettern, Werbung etc. per Mail muss sich der Online-Händler vorab genehmigen lassen.

Checkliste Kundenzustimmung

1. Dem Kunden muss (z.B. während des Bestellvorgangs) unmissverständlich mitgeteilt werden, zu welchen Zwecken man die Daten noch nutzen bzw. weitergeben möchte.

2. Diese Mitteilung darf nicht im Text der regulären Datenschutzerklärung versteckt sein.

3. Der Kunden muss seine Zustimmung z.B. per Checkbox aktiv erteilen, d.h. die Checkbox darf nicht vorausgefüllt / bereits angekreuzt sein.


Diese Zustimmung muss auch nachweisbar protokolliert werden, da der Unternehmer in einem evtl. Streitfall vor Gericht beweispflichtig ist.