26.09.2013

Webshops: Cookies und Datenschutz

Datenverwendung: worüber Sie Ihre Kunden informieren müssen

Cookies sind kleine Textdateien, die der (temporären) Archivierung von Daten dienen, die während des Internetsurfens oder beim Online-Shopping im Browser eines Users gespeichert werden. Bedeutet: Auswertungssysteme können über die Cookies die gespeicherten Informationen jedes Internet-Nutzers auslesen.

Zwar lassen sich über Cookies in der Regel keine Daten mit einem unmittelbaren Personenbezug erkennen, allerdings kann in Verbindung mit weiteren Userspezifischen Eingaben (Passwort, E-Mail-Adressen) ein Bezug zu einer konkreten Person hergestellt werden.

Gerade Webshop-Betreiber sollten im Umgang mit der Erhebung und Verwendung personenrelevanter Daten sensibel und transparent umgehen. Denn das verfassungsgesetzlich garantierte Recht auf Geheimhaltung personenbezogener Daten umfasst sowohl die Weiterverarbeitung als auch die Weitergabe bzw. Ermittlung derartiger Daten. In den vergangenen Jahren wurden im Bereich des Konsumenten- und Datenschutzes sowohl auf EU- wie auf nationalstaatlicher Ebene wichtige gesetzliche Vorgaben erarbeitet, die Sie als Website-Betreiber beachten sollten.

Cookies und Datenschutz

Die Auswertung von über Cookies gespeicherten Daten kann zur Kenntnis von sensiblen Informationen über eine Person führen. Cookies können sowohl personenbezogene - dazu zählen alle Informationen, die direkt mit der Person in Verbindung gebracht werden können, u. a. auch die IP-Daten des Users -wie auch nicht-personenbezogene Daten enthalten. Dies dient bei Online-Shops dazu, sich nicht bei jedem virtuellen Einkauf neu anmelden zu müssen oder diesen zu einem späteren Zeitpunkt bequem fortsetzen zu können. Cookies halten Informationen zunächst anonym fest, aber sie speichern auch Informationen über das individuelle Surfverhalten, besuchte Webseiten oder persönliche Einstellungen und liefern so Daten zur Erstellung konkreter Benutzerprofile.

Datenschutz im E-Commerce

Grundsätzlich: Im E-Commerce gilt das sogenannte Herkunftslandprinzip. D. h., für österreichische Unternehmer, die ihre Dienste und Produkte online anbieten, gilt das österreichische Recht, vor allem betrifft dies die Verbraucher- und Kundenschutzvorschriften. Sollten Sie Ihre Dienstleistung auch in anderen Ländern anbieten wollen, beachten Sie bitte die dort geltenden Business-to-Consumer-Vorschriften. Besonders im Bezug auf die Erhebung Verarbeitung von Kundendaten kam es aufgrund einer Änderung der EU-Datenschutzregelung für elektronische Kommunikation (2009) zu verschärften Regelungen für den Einsatz von Cookies. Danach muss der User vor und für den Einsatz von Cookies klar und umfassend über die Datenanwendung informiert werden und zudem seine Einwilligung dazu erteilen.

In Österreich wurde die EU-Vorgabe so umgesetzt, dass die Einwilligung des Users oder Kunden zur Verarbeitung von über Cookies ermittelte Daten über die entsprechende Browsereinstellungen zwar grundsäzlich als erteilt gilt. Im Sinne des Transparenzgebotes sind Website-Betreiber aber angehalten, den User über die Nutzung von Cookies aufzuklären.

Transparente Datenverwendung!

Folgende Punkte sollten dabei in der Datenschutzerklärung dargestellt werden:

 

 

Für die weitere Verarbeitung der individuellen Daten ist die Zustimmung des Kunden einzuholen. Dies kann z. B. über einen Bestätigungsklick unter der grundlegenden Information zur Datenverwendung geschehen (Opt-in).

Auch wenn sogenannte "sensible" personenbezogene Daten erhoben werden, muss die ausdrückliche Zustimmung vom User oder Kunden eingeholt werden, andernfalls dürfen diese nicht verwendet werden. Als "sensible" Daten gelten solche, die sich bspw. auf die ethnische Herkunft, die politische oder religiöse Überzeugung oder die Gesundheit beziehen. Erklären Sie hier genau, wozu diese Daten gebraucht und wie sie weiterverwendet werden.

Keine unbedingte Genehmigung von Kundenseite erfordert die Erhebung von Daten,


So könnte die Datenschutz-Info für Ihren Webshop aussehen
 

Wenn Sie als Betreiber eines Online-Shops die Daten Ihrer Kunden zum Zweck der Einkaufs- und Vertragsabwicklung speichern, könnte die Information bzw. Zustimmung von Kundenseite zum Einsatz von Cookies folgendermaßen in den AGB oder beim Datenschutzhinweis festgehalten werden:

"Der Kunde stimmt zu, dass folgende persönliche Daten, nämlich (z. B.) Name, Anschrift, Kreditkartennummer, zum Zweck der (z. B.) Vertragsabwicklung und zwar bis (z. B.) zur Begleichung der Rechnung/ bis zum Ablauf der Gewährleistungspflicht/ zu Werbezwecken usw. gespeichert und verarbeitet werden. Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des §96 Abs. 3 TKG sowie des §8 Abs. 3 Z 4 DSG."

Weisen Sie auch darauf hin, wenn Sie die Daten Ihrer Kunden an Dritte (z. B. Kreditkarteninstitut) übermitteln, wie lange die Daten insgesamt gespeichert werden und dass die Zustimmung jederzeit widerrufen werden kann (Opt-out).

 

Transparenz ist im Internet-Business wichtiger denn je. Nicht nur wegen der datenschutzrechtlichen Vorgaben, auch Ihre Kunden wissen es zu schätzen, wenn Sie umfassend über die Verwendung Ihrer persönlichen Daten informiert werden. Das betrifft übrigens auch den Einsatz von Tracking- und Analyse-Software wie Google Analytics oder PIWIK.

  

Weiterführende Quellen: