Sie sind hier:

Wann ist eine aktiv erteilte Einwilligung des Kunden erforderlich?

Wenn die Datenerhebung nicht zur Vertragserfüllung notwendig ist oder der Wahrung der berechtigten Interessen des Websitebetreibers dient (z.B. zum Schutz vor Hackerangriffen), dann ist eine Einwilligung erforderlich.  

Beispiel:  Name und Anschrift dürfen gespeichert werden, um z.B. eine Rechnung ausstellen und die Ware verschicken zu können. Denn diese Daten sind notwendig, um den Vertrag zu begründen und zu erfüllen. Der Kunde muss im Rahmen der Datenschutzerklärung lediglich darüber informiert werden, dass dies geschieht.

Die Erfassung und Weitergabe der Telefonnummer des Käufers an den Versanddienstleister ist zur Vertragsabwicklung nicht erforderlich und daher ohne die ausdrücklich erteilte Einwilligung des Kunden nicht erlaubt. Der Kunde soll selbst darüber entscheiden, ob er über den Versandstatus seines Pakets vom Versanddienstleister informiert werden möchte. Auch die Versendung von Newslettern, Werbung etc. per Mail muss sich der Onlinehändler vorab genehmigen lassen.



Checkliste Kundenzustimmung

  • Dem Kunden muss (z.B. während des Bestellvorgangs) unmissverständlich mitgeteilt werden, zu welchen Zwecken man die Daten noch nutzen bzw. weitergeben möchte.
  • Diese Mitteilung darf nicht im Text der regulären Datenschutz-erklärung versteckt sein.
  • Der Kunde muss seine Zustimmung z.B. per Checkbox aktiv erteilen, d.h. die Checkbox darf nicht vorausgefüllt / bereits angekreuzt sein. Der Kunde muss weiterhin darüber belehrt werden, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.


Diese Zustimmung muss auch nachweisbar protokolliert werden, da der Unternehmer in einem evtl. Streitfall vor Gericht beweispflichtig ist.



IP-Adressen

Bei jedem Besuch einer Website hinterlässt der Computer des Kunden seine vom Provider zugewiesene IP-Adresse beim Websitebetreiber. Über den Provider kann man also herausfinden, auf wen der Computer angemeldet ist. Daher hat der Europäische Gerichtshof (EuGH) die IP-Adressen nicht als bloße technische Informationen, sondern als personenbezogene Daten eingestuft. Da die Speicherung der IP-Adressen aber nicht der Vertragsabwicklung dient,  ist eine bloße Information über ihre Speicherung in der Datenschutzerklärung nicht ausreichend. Die vollständige IP-Adresse darf also im Regelfall nur gespeichert werden, wenn

  • der Besucher vorab darüber informiert wird und der Speicherung aktiv zustimmt
  • oder die Speicherung dem Schutz berechtigter Interessen dient.


Als berechtigtes Interesse gilt z.B. der Schutz vor Hackerangriffen, wenn ansonsten keine anderen Schutzmaßnahmen zur Verfügung stehen. Aber auch in diesen Fällen dürfen IP-Adressen nicht dauerhaft gespeichert werden. Sobald die Gefahr eines Angriffs vorbei ist, müssen die IP-Adressen gelöscht werden.

Download

Gastautor

BIEG-Gastautor Dr. Volker Baldus
Dr. Volker Baldus

RA Dr. Volker Baldus arbeitet bei dem Online-Rechtsportal janolaw AG und betreut dort den AGB Hosting-Service. Er beschäftigt sich mit Rechtsfragen rund um den Onlineshop und sorgt dafür, dass Shopbetreibern immer preiswerte und aktuelle AGB, Datenschutzerklärung und Impressum zur Verfügung stehen.

http://www.janolaw.de

Letzte Aktualisierung: Februar 2018

Mehr zum Thema Onlinerecht?

Weitere Infos rund ums Thema finden Sie auf dem BIEG-Blog:

...sowie in unseren anderen Onlinerechtsleitfäden!

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!