"Die Untersuchung des Online-Shop-Prüfers Trusted Shops aus Köln, der über 900 Prüfberichte aus seiner Tätigkeit seit Anfang 2000 ausgewertet hat, kommt zu folgendem Ergebnis:

Top 10: Die häufigsten Fehler von Online-Händlern:

2. Nicht ausreichende Hinweise zum Datenschutz

Jeder Shop-Betreiber hat jeden Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU zu unterrichten (sog. Drittländer mit niedrigerem Schutzniveau, wie z. B. die USA). Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. Diese Voraussetzungen erfüllen z. B. die Datenschutzhinweise, die sich in vielen Shops finden, mit Ausnahme des Hinweises auf die Verarbeitung z. B. in den USA (betrifft insbesondere AOL usw.).

Was aber meist vergessen wird: Vorstehende Informationen reichen NICHT aus, um Daten zu erheben und zu verarbeiten. Denn jede Erhebung von personenbezogener Daten muss entweder ausdrücklich gesetzlich erlaubt oder von einer Einwilligung des Nutzers gedeckt sein. Gesetzliche Erlaubnisse enthalten insbesondere die §§ 5 u. 6 des TDDSG (Teledienstedatenschutzgesetz). Danach dürfen ohne besondere Einwilligung nur Daten erhoben werden, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über die Nutzung von Telediensten zwingend erforderlich sind (Bestandsdaten). Außerdem dürfen Benutzerkennung und Passwort sowie solche Daten erhoben werden, die zur Abrechnung der Benutzung des Teledienstes erforderlich sind. Letzteres wird bei einem Online-Shop in der Regel nicht vorkommen.

Im Falle von Online-Shops sind Bestandsdaten nur Name, Liefer- und ggf. Rechnungsanschrift sowie eMail-Adresse für die notwendige Auftragsbestätigung. Bank- oder Kreditkartendaten dürfen nur erhoben werden, wenn der Nutzer die jeweilige Zahlungsweise auswählt. Alle weiteren Daten, wie Alter, Geschlecht, Faxnummer usw. bedürfen einer ausdrücklichen Einwilligung des Nutzers. Das gilt insbesondere auch für IP-Adressen! Denn über diese sind, auch wenn sie nur temporär vergeben werden, die Nutzer von ihren Providern benennbar und damit im Sinne des Datenschutzes bestimmbar. Die Speicherung von IP-Daten, um im Falle der Nichtzahlung gegen den Nutzer vorzugehen, ist also immer nur mit dessen Einwilligung erlaubt!

Sollen über die notwendigen Bestandsdaten hinaus Daten erhoben werden, muss der Benutzer einwilligen. Eine elektronische Einwilligung ist allerdings nur dann wirksam, wenn sie durch eine eindeutige und bewusste Handlung geschieht, wie z. B. das Anklicken eines Kontrollkästchens. Dieses darf natürlich nicht mit einem Häkchen vorbelegt sein. Zudem muss die Einwilligung protokolliert werden und der Text der Einwilligung muss vom Nutzer jederzeit wieder abgerufen werden können, damit er sich über den Umfang seiner Einwilligung informieren kann. Auch technisch korrekte Einwilligungen sind ohne die anfangs angesprochenen Belehrungen unwirksam.