Letzte Aktualisierung 18.10.2023
Als Betreiber eines Onlineshops ist es wichtig, stets auf dem neuesten Stand zu sein, was die rechtlichen Vorgaben im E-Commerce angeht. Insbesondere in Bezug auf Datenschutz, Widerrufsrecht und Impressum gibt es immer wieder Änderungen und Neuigkeiten, die beachtet werden müssen. In diesem Artikel stellen wir die wichtigsten aktuellen Rechtstipps im E-Commerce vor.
Cookie Banner und deren Änderungen
Ein Cookie-Banner ist ein Hinweis, der auf einer Website angezeigt wird, um den Besucher darüber zu informieren, dass die Website Cookies verwendet und um die Einwilligung des Besuchers zur Verwendung bestimmter Arten von Cookies zu erhalten. In Europa und Deutschland muss ein solcher Banner gemäß der Datenschutzgrundverordnung (DSGVO) die Einwilligung des Besuchers einholen, bevor Cookies auf seinem Gerät gespeichert werden. Der Banner kann in der Regel angepasst werden, um verschiedene Arten von Cookies anzugeben, die auf der Website verwendet werden, und um dem Besucher die Möglichkeit zu geben, bestimmte Arten von Cookies abzulehnen oder zuzulassen.
Datenschutzkonferenz
Die Datenschutzkonferenz (DSK) ist ein unabhängiges Gremium in Deutschland, das sich aus Vertretern der Datenschutzbehörden der Länder zusammensetzt. Sie ist eine Plattform für die Abstimmung und Koordination der Datenschutzaufsicht in Deutschland und dient als Ansprechpartner für Unternehmen und Bürger bei Fragen zum Datenschutz.
Es gibt rechtlich keine bindenden Gesetze, wie genau die Banner auszusehen haben, aber die Datenschutzkonferenz hat eine PDF (https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_Version_1.1.pdf) veröffentlicht mit Vorgaben der Banner.
Folgende Punkte sind zu beachten:
- Grafisch gleich gestaltete Annehmen und Ablehnen Button
- Annehmen und Ablehnen müssen auf einer Ebene (first layer) direkt aufrufbar sein
- Link zu umfassenden Cookie-Details, die eine vollständige Beschreibung der verwendeten Cookies und ihrer Zwecke enthalten
- Link zum Impressum
- Link zur Datenschutzinformation, die den Nutzern Informationen über die Verarbeitung ihrer personenbezogenen Daten und ihrer Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) gibt
Was heißt das denn nun?
Für die Einwilligung der Nutzer zur Verwendung von Cookies müssen auf der ersten Ebene des Cookie Banners alle notwendigen Informationen direkt zugänglich sein. Es ist wichtig, dass der Nutzer ohne Klick auf weitere Buttons oder Links alle wichtigen Informationen zu Cookies und deren Verwendung einsehen kann.
Die Schaltflächen für die Annahme oder Ablehnung von Cookies müssen eindeutig und klar erkennbar sein, um die Aufmerksamkeit der Nutzer auf sich zu ziehen. Um Verwechslungen zu vermeiden, müssen sie sich optisch deutlich von anderen Buttons auf der Seite unterscheiden und unmissverständlich in das Banner integriert sein.
Es darf keine irreführenden oder verwirrenden Formulierungen oder Bilder geben, die die Schaltflächen für die Annahme oder Ablehnung von Cookies beeinträchtigen. Die Schaltflächen für die Ablehnung von Cookies müssen in Bezug auf Größe, Farbe und Kontrast gleichwertig zu den Schaltflächen für die Annahme von Cookies sein, um versehentliches Anklicken der falschen Schaltfläche zu vermeiden.
Die Cookie-Einstellungen des Nutzers müssen jederzeit über ein leicht zugängliches Menü oder eine Schaltfläche abrufbar sein, damit Nutzer ihre Einwilligung widerrufen oder ändern können.
Gibt es Gerichtsurteile die sich damit befasst haben?
Ein kürzlich veröffentlichtes Gerichtsurteil des Landgerichts München I besagt, dass der Cookie-Banner auf der Website Focus Online gegen das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) verstößt. Der Verbraucherzentrale Bundesverband (VZBV) hatte gegen ein Tochterunternehmen von Hubert Burda Media, die BurdaForward GmbH, geklagt. Laut Heise online handelt es sich dabei um eines von mehreren Verfahren, die die Verbraucherschützer gegen fünf große deutsche Verlage eingeleitet haben. Das Tool auf der Website habe keine wirksamen, informierten und freiwilligen Einwilligungen für den Einsatz von Cookies eingeholt. Es ist jedoch noch unklar, ob das Urteil rechtskräftig wird (Urteil v. 29.11.2022, Az. 33 O 14776/19). Hubert Burda Media hat angekündigt, gegen die Entscheidung in Berufung zu gehen.
Links
- Gerichtsurteil: https://www.vzbv.de/sites/default/files/2023-01/LG%20M%C3%BCnchen%20I_29.11.2022.pdf
- Pressemitteil: https://www.vzbv.de/urteile/einsatz-von-tracking-cookies-auf-focusde-war-rechtswidrig
Konkret bemängelte das Gericht, dass der Button zur Ablehnung der Cookies nicht gleichwertig und prominent genug dargestellt wurde. Insbesondere war die Schaltfläche zur Ablehnung kleiner und weniger auffällig als der Button zur Zustimmung. Auch war die Schaltfläche zur Ablehnung nur in einem Untermenü versteckt und damit nicht leicht zugänglich für den Nutzer. Das Gericht stellte fest, dass eine datenschutzkonforme Einwilligung nur dann vorliegt, wenn der Nutzer freiwillig und informiert in die Verwendung von Cookies einwilligt und eine Ablehnungsmöglichkeit klar und deutlich angeboten wird. Die voreingestellte Zustimmung zur Verwendung von Cookies genüge diesen Anforderungen nicht.
So sah der Cookiebanner aus:
Das Urteil zeigt, dass Unternehmen sicherstellen müssen, dass ihre Cookie-Banner den Anforderungen der DSGVO entsprechen. Insbesondere müssen Nutzer klar und deutlich informiert werden und eine echte Wahlmöglichkeit zwischen der Zustimmung oder Ablehnung der Verwendung von Cookies haben.
Probleme mit der DSGVO und Facebook, Google Analytics und Google Fonts
Die Verarbeitung von personenbezogenen Daten erfordert zwei Dinge:
- Eine Rechtsgrundlage nach Art.6 DSGVO: Bei Datenverarbeitung zu Werbezwecken meistens eine Einwilligung
- Bei einem Datentransfer in ein Drittland eine zusätzliche Rechtsgrundlage nach Art.44 ff. DSGVO
Was bedeutet das im Einzelnen?
Die Verarbeitung personenbezogener Daten zu Werbezwecken benötigt in der Regel eine Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO. Diese kann und wird über den Cookie-Banner eingeholt. Notwendig zum Beispiel, wenn man Facebook Ads, Google Analytics, Google Fonts (da gehen wir weiter unter nochmal drauf ein) … einbinden möchte.
Allerdings gilt eben zusätzlich zu beachten: Beim Datentransfer in ein Drittland muss neben einer Rechtsgrundlage nach Art. 6 DSGVO auch eine zusätzliche Rechtsgrundlage nach Art. 44 ff. DSGVO vorliegen. Hier muss sichergestellt werden, dass im Drittland ein angemessenes Datenschutzniveau besteht oder dass angemessene Garantien vorhanden sind, z.B. durch Abschluss von Standardvertragsklauseln oder durch eine Angemessenheitsentscheidung der EU-Kommission.
Und damit kommen wir zum eigentlichen Problem, denn es gibt im Moment keine aktuelle und gültige Angemessenheitsentscheidung.
DSGVO: Privacy Schield und US-Anbieter
Das Privacy Shield (auch EU-US Privacy Shield genannt) war ein Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA), das den Datentransfer personenbezogener Daten zwischen EU-Unternehmen und US-Unternehmen regelte. Es wurde am 12. Juli 2016 von der Europäischen Kommission anerkannt und trat am 1. August 2016 in Kraft. Das Privacy Shield sollte sicherstellen, dass US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, ein angemessenes Datenschutzniveau gewährleisten. Hierzu mussten US-Unternehmen bestimmte Datenschutzprinzipien einhalten und sich der Aufsicht durch das US-Handelsministerium unterwerfen. Im Gegenzug konnten sie personenbezogene Daten von EU-Bürgern legal verarbeiten und in die USA übermitteln.
Allerdings wurde das Privacy Shield am 16. Juli 2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es den Schutz personenbezogener Daten nicht ausreichend gewährleistete. Der Datentransfer in die USA erfolgte nicht mehr auf einer ausreichenden Rechtsgrundlage.
Doch es gibt berechtigte Hoffnung für die Zukunft.
Trans-Atlantic Data Privacy Framework” – Das neue Datenschutzabkommen zwischen der EU und den USA
Im März 2022 wurde ein neues Abkommen zur Übertragung von Daten zwischen Europa und den USA, das „Trans-Atlantic Data Privacy Framework“, geschlossen. Das Ziel des Abkommens ist es, das Datenschutzniveau in den USA auf ein angemessenes Niveau zu bringen und somit die Voraussetzung für einen Beschluss der Europäischen Kommission zu schaffen. US-Präsident Joe Biden hat am 07.10.2022 ein Dekret unterzeichnet und den Weg freigemacht für einen Privacy Shield 2.0. Wenn alles nach Plan läuft gibt es 2023 einen Angemessenheitsbeschluss. Wir dürfen also gespannt sein und bleiben!
Wichtige Links
- Datenschutz: Kommission leitet Verfahren zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA ein: https://ec.europa.eu/commission/presscorner/detail/de/ip_22_7631
- Biden macht Vorschlag für „Privacy Shield 2.0“ https://www.sueddeutsche.de/politik/privacy-shield-datenschutz-schrems-biden-eu-usa-1.5670996
Wie verhält man sich nun am besten bis zu dem Angemessenheitsbeschluss?
Bis zu einem neuen Angemessenheitsbeschluss ist es in der Tat schwierig, rechtlich sicher mit US-Anbietern wie Google oder Facebook zusammenzuarbeiten. Unternehmen sollten in der Zwischenzeit alternative Anbieter suchen, die ihren Sitz innerhalb der EU oder EWR haben und somit den Anforderungen der DSGVO entsprechen und auf die oben genannten Anbieter verzichten.
Was gibt es für Alternativen für Google Analytics
Der andere Schritt wäre einfach abzuwarten und Augen zu und die Dienste trotzdem zu nutzen. Allerdings solltest du beachten, wenn Analytics ohne gültigen Angemessenheitsbeschluss eingebunden wird, kann dies ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) sein. Im schlimmsten Fall kann dies zu einer Bußgeldzahlung oder einer Abmahnung führen.
Rechtlich konforme Einbindung von Google Fonts: Darüber haben wir in unserem Blog schon einen guten Beitrag geschrieben, wie Du Google Fonts konform einbindest: https://logbuch.gn2.de/abmahngefahr-durch-google-fonts/
E-Mail Marketing & Kundendaten
E-Mail Marketing unterliegt den Bestimmungen von zwei Rechtsgebieten, der Datenschutz-Grundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Im Rahmen der DSGVO ist es erforderlich, dass der Empfänger der E-Mail zuvor ausdrücklich in die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken eingewilligt hat. Zudem müssen die Empfänger darüber informiert werden, wie ihre Daten verwendet werden und wie sie ihre Einwilligung widerrufen können.
Unter dem UWG ist es verboten, Personen ohne deren Einwilligung elektronisch zu Werbezwecken zu kontaktieren. Es ist daher notwendig, dass der Empfänger der E-Mail zuvor ausdrücklich in den Erhalt von Werbe-E-Mails eingewilligt hat oder dass eine gesetzliche Ausnahme für eine Kontaktaufnahme besteht, beispielsweise wenn der Kunde bereits Kunde des Unternehmens ist und es sich um Werbung für ähnliche Produkte oder Dienstleistungen handelt.
E-Mail Marketing und DSGVO
Bei der Verarbeitung von Kundendaten im Rahmen des E-Mail Marketings kann zwischen verschiedenen Phasen unterschieden werden:
- vor Vertrag
- während bzw. bei Vertrag
- nach Vertrag
Vor Vertrag: In dieser Phase ist eine Verarbeitung der Kundendaten nur dann zulässig, wenn der Kunde ausdrücklich eingewilligt hat oder es eine sonstige gesetzliche Grundlage gibt. Wenn der Kunde zum Beispiel eine Anfrage zu einem Produkt oder einer Dienstleistung gestellt hat, ist es erlaubt, ihm eine E-Mail zu schicken, um seine Anfrage zu beantworten.
Während Vertrag: Während der Vertragsphase ist die Verarbeitung von Kundendaten zulässig, wenn dies für die Erfüllung des Vertrags erforderlich ist. Beispielsweise darf ein Online-Shop dem Kunden eine Bestellbestätigung per E-Mail senden. Bewertungsanfragen sind allerdings unzulässig und bedürfen wieder der Einwilligung.
Nach Vertrag: Nach der Vertragsphase ist eine Verarbeitung von Kundendaten nur dann erlaubt, wenn der Kunde eingewilligt hat oder es eine gesetzliche Grundlage (Archivierungspflichten etc.) gibt. Beispielsweise darf ein Unternehmen einem ehemaligen Kunden E-Mails mit ähnlichen Produkten oder Dienstleistungen nur dann schicken, wenn dieser zuvor ausdrücklich zugestimmt hat.
Wenn sich ein Kunde während des Vertrags für den Erhalt von Newslettern anmeldet, ist in der Regel eine Einwilligung des Kunden nach Art. 6 Abs. 1 lit. a DSGVO erforderlich, da es sich um eine Verarbeitung personenbezogener Daten zu Werbezwecken handelt. Ein berechtigtes Interesse des Unternehmens kann hierbei in der Regel nicht geltend gemacht werden. Der Kunde muss ausdrücklich und freiwillig seine Einwilligung geben, und es muss ihm klar sein, wofür er seine Daten zur Verfügung stellt und wer sie verwenden wird. Dabei sollten die Anforderungen der DSGVO an die Einwilligung beachtet werden, insbesondere die Informationspflichten und die Möglichkeit zum Widerruf der Einwilligung.
Zudem ist auch das UWG zu beachten, welches unter anderem Regelungen zum Spam-Verbot enthält.
E-Mail Marketing und UWG
Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist ein deutsches Gesetz, das den Schutz von Mitbewerbern, Verbrauchern und sonstigen Marktteilnehmern vor unlauterem Wettbewerb sicherstellen soll. Es regelt unter anderem, welche Verhaltensweisen im Wettbewerb erlaubt oder verboten sind. Dabei geht es insbesondere um Maßnahmen, die geeignet sind, den Absatz von Produkten oder Dienstleistungen zu fördern oder zu behindern. Das UWG schützt Verbraucher unter anderem vor irreführender Werbung, unzumutbarer Belästigung und unerwünschter Telefonwerbung. Verstöße gegen das UWG können sowohl zivil- als auch strafrechtliche Konsequenzen haben.
Für welche Kanäle ist eine Einwilligung erforderlich?
Im UWG (Gesetz gegen den unlauteren Wettbewerb) ist grundsätzlich für alle Werbemaßnahmen, die per E-Mail, SMS oder Fax versendet werden, eine ausdrückliche Einwilligung des Empfängers erforderlich. Dies wird in § 7 Absatz 2 Nr. 3 UWG geregelt. Dies gilt für B2C und B2B gleichermaßen.
Im UWG wird auch die telefonische Werbung geregelt. Demnach ist eine telefonische Werbung nur mit ausdrücklicher Einwilligung des Empfängers erlaubt. Diese Einwilligung muss vor dem Anruf eingeholt werden und kann nicht durch allgemeine Geschäftsbedingungen oder ähnliche Dokumente erfolgen. Der Empfänger muss also aktiv seine Zustimmung zur telefonischen Werbung erteilen. Eine Einwilligung kann jederzeit widerrufen werden, auch während des Telefonats.
Es gibt jedoch auch Ausnahmen von der Einwilligungspflicht. So ist eine telefonische Werbung erlaubt, wenn zwischen Anrufer und Empfänger bereits ein Geschäftsverhältnis besteht und die beworbenen Produkte oder Dienstleistungen damit in Zusammenhang stehen. Auch bei gemeinnützigen Organisationen oder politischen Parteien gelten teilweise Ausnahmen von der Einwilligungspflicht. Es ist jedoch wichtig zu beachten, dass auch bei diesen Ausnahmen das UWG weiterhin den Schutz des Verbrauchers vor unerwünschter Telefonwerbung sicherstellen will. So muss sich der Anrufer stets klar und eindeutig als solcher zu erkennen geben und der Empfänger muss jederzeit die Möglichkeit haben, der weiteren Kontaktaufnahme zu widersprechen.
Werbung per Post ist in der Regel ohne vorherige Einwilligung zulässig, auch gegenüber Verbrauchern. Allerdings haben Verbraucher das Recht, der Nutzung ihrer Adresse zu Werbezwecken zu widersprechen. Wenn ein Verbraucher in seinem Briefkasten einen deutlich sichtbaren Hinweis anbringt, dass er keine Werbung wünscht, ist es wettbewerbswidrig, ihm dennoch unaufgefordert Werbematerial zuzusenden. Hier genügt bereits ein einmaliges Ignorieren des Hinweises. Persönlich adressierte Werbeschreiben sind grundsätzlich erlaubt, allerdings darf keine Werbung an Personen versandt werden, die erkennbar ablehnend reagieren. Um ihre Ablehnung auszudrücken, haben Empfänger zwei Möglichkeiten: Sie können das werbende Unternehmen direkt benachrichtigen (z. B. schriftlich oder telefonisch) oder sich in die Robinson-Liste des Deutschen Dialogmarketing-Verbands eintragen lassen. Wenn ein Empfänger eines persönlich adressierten Werbebriefs dem Unternehmen mitgeteilt hat, dass er keine Werbung mehr von diesem wünscht, ist es auch wettbewerbswidrig, ihm einen teiladressierten Werbebrief zu senden.
Kurz und Knapp
- Bei Werbung über E-Mail, SMS, Fax: Einwilligung ausdrücklich für B2B & B2C erforderlich
- Bei Werbung per Post: keine Einwillung erforderlich
- Bei Werbung per Telefon: B2C ausdrückliche vorherige Einwillung erforderlich, B2B Einwilligung erforderlich oder mutmaßliches Interesse
Unzulässig ist
- in Bestellbestätigungen / Rechnungen etc. Hinweis auf den supertollen Newsletter zu packen
- Werbe-Banner in Signaturen sind verboten / Logo ist erlaubt
- über soziale Netzwerke Werbung an andere per Privater-Nachricht zu versenden (wenn es über das zulässige Maß hinaus geht
Werbekennzeichnung in den Sozialen Medien
In den sozialen Medien besteht eine Kennzeichnungspflicht für Werbung. Das bedeutet, dass Posts, die Produkte oder Dienstleistungen bewerben oder gesponsert sind, als Werbung gekennzeichnet werden müssen.
Werbung zugunsten des eigenen Unternehmens
Werbung zugunsten des eigenen Unternehmens ist grundsätzlich erlaubt, solange die Werbung nicht irreführend oder unlauter ist. Das bedeutet, dass das beworbene Produkt oder die beworbene Dienstleistung wahrheitsgemäß dargestellt werden muss und keine falschen oder irreführenden Angaben gemacht werden dürfen.
Zum Beispiel
- Webinarhinweis
- Kaffeetasse mit Logo auf dem Schreibtisch
Solche Dinge sind ohne Kennezeichnungspflicht erlaubt. Kennzeichnungspflicht ist nur erforderlich, wenn sich der kommerzielle Zweck nicht unmittelbar aus den Umständen ergibt.
Werbung zugunsten eines fremden Unternehmens
Wenn du für ein anderes Unternehmen Werbung machst, musst du dies als Werbung kennzeichnen, um Transparenz zu schaffen und den Empfänger über den werblichen Charakter zu informieren. Dies gilt insbesondere, wenn du dafür eine Gegenleistung erhältst.
Zum Beispiel:
- Beitrag gegen Bezahlung
- darf gezeigte Kleidung behalten
- Influencer wohnt kostenfrei im Hotel
- erhält Rabtt oder darf Gewinne verlosen
Eine solche Kennzeichnung kann beispielsweise durch den Zusatz „Werbung“ oder „Anzeige“ am Anfang oder Ende des Beitrags erfolgen. Alternativ können auch Hashtags wie #ad oder #sponsored verwendet werden, um den werblichen Charakter des Beitrags deutlich zu machen. Wichtig ist, dass die Kennzeichnung klar und eindeutig erkennbar ist. Es darf keine Verwechslungsgefahr mit regulären Posts bestehen. Auch eine Kennzeichnung im Fließtext oder als kleiner Disclaimer am Ende des Beitrags reicht nicht aus.
Die Kennzeichnungspflicht gilt unabhängig davon, ob der Post von einem Influencer, Unternehmen oder Privatperson erstellt wurde.
Wer gegen die Kennzeichnungspflicht verstößt, kann von Wettbewerbsverbänden oder Mitbewerbern abgemahnt werden. Auch Bußgelder und Schadensersatzforderungen sind möglich. Es ist daher empfehlenswert, die Kennzeichnungspflicht in den sozialen Medien ernst zu nehmen und Werbung stets klar und eindeutig zu kennzeichnen.
Wann muss man ein fremdes Produkt nicht kennzeichnen?
Wenn man sich das Produkt selber gekauft hat und keinerlei Vergünstigen des Herstellers erhält, sondern es aus freien Stücken, nicht übertriebend lobend zeigt, ist keine Kennzeichnung notwendig. Was passiert aber wenn man die vorgestellten Produkte zu sehr lobt? Dann wird es kompliziert, denn laut Rechtssprechung werden übertriebene Aussagen als Werbung ausgelegt und diese müssten dann wiederum gekennzeichnet werden.
Nun sind wir schon am Ende des heutigen Beitrages angelangt. Wir hoffen, Ihr konntet ein paar Informationen mitnehmen und falls Ihr weiterführende Hilfen bei Anpassungen Eures Angebots und der Website habt, dann kontaktiert uns gerne.