Homepage mit Onlineshop

Startseite mit Online-Shop

Darüber hinaus gibt es oft einen Online-Shop. Verarbeitung der Daten im Web-Shop und auf der Webseite Die Datenverarbeitung erfolgt in jedem Web-Shop; dies gilt auch, wenn "nur" sogenannte Chips eingesetzt werden. Der " Betreuer " (z.B.

der Inhaber eines Webshops) hat bei der Datenverarbeitung, wie der Aufbewahrung von Benutzerdaten, zunächst die allgemeinen Prinzipien der Datenverarbeitung zu beachten. Persönliche Angaben müssen rechtmäßig (siehe unten), in gutem Glauben und in einer für die betroffenen Personen verständlichen Form behandelt werden.

Voraussetzung dafür ist, dass alle mit der Datenverarbeitung verbundenen Informations- und Kommunikationsmittel leicht zugängig und nachvollziehbar sind und in einer klaren und einfachen Formulierung verfasst sind. Das Prinzip bezieht sich vor allem auf Angaben über die Person des für die Datenverarbeitung Verantwortlichen und den Zweck der Datenverarbeitung sowie darauf, welche persönlichen Angaben zu ihnen gemacht werden.

Persönliche Angaben müssen für bestimmte, ausdrückliche und rechtmäßige Verwendungszwecke gesammelt werden und dürfen nicht in einer mit diesen Verwendungszwecken nicht zu vereinbaren Art und Weise verarbeitet werden. Die weitere Bearbeitung zu Archivierungszwecken im Allgemeininteresse, zu wissenschaftlichen oder historischen oder zu statistischen Zwecken wird nicht als unverträglich angesehen. Die personenbezogenen Angaben müssen verhältnismäßig und zweckdienlich sein und auf das für die Datenverarbeitung erforderliche Mindestmaß beschr.

Hierzu gehört auch, dass die Verantwortlichen durch die technischen Standardeinstellungen sicherstellen müssen, dass prinzipiell nur solche personenbezogenen Angaben bearbeitet werden, deren Bearbeitung für den jeweils vorgesehenen Bearbeitungszweck notwendig ist. Die personenbezogenen Angaben müssen korrekt sein und gegebenenfalls auf dem aktuellen Stand sein. Dabei sind alle zweckdienlichen Schritte zu unternehmen, um zu gewährleisten, dass ungenaue persönliche Angaben aus dem System werden.

Die personenbezogenen Angaben sind in einer Weise aufzubewahren, die eine Identifikation der betreffenden Person nur so lange zulässt, wie es für die Zwecke, für die sie bearbeitet wird, notwendig ist. Dazu ist es vor allem notwendig, die Aufbewahrungsfrist für persönliche Angaben auf das notwendige Minimum zu beschränken. Die längerfristige Aufbewahrung ist unter der Voraussetzung der Anwendung angemessener fachlicher und organisatorischer Vorkehrungen für Archivierungszwecke gestattet, die ausschliesslich im allgemeinen oder zu wissenschaftlichen und historischen Forschungszwecken oder für Statistikzwecke dienen.

Die Verarbeitung personenbezogener Nutzdaten muss so erfolgen, dass eine ausreichende Sicherung der persönlichen Nutzdaten sichergestellt ist. Mit geeigneten technischen und organisatorischen Vorkehrungen soll sichergestellt werden, dass unbefugten Personen kein Zugriff auf die Informationen gewährt wird und sie die Informationen oder die Vorrichtungen, mit denen sie bearbeitet werden, nicht nutzen können. Als rechtliche Grundlage gilt die Zustimmung des Betreffenden (Nutzer der Website oder Kunde).

Allerdings gibt es auch andere Gesetzgebungsgrundlagen, die zwischen "nicht vertraulichen Daten" und "vertraulichen Daten" unterscheiden: 1.2. 1 Andere Gesetzgebungsgrundlagen für "nicht vertrauliche Daten" Für "nicht vertrauliche Daten" kann diese andere Gesetzgebungsgrundlage einer der nachstehend genannten Aspekte sein. Typische im Web-Shop verwendete Rechtsgrundlagen: Die Bearbeitung ist notwendig für die Vertragserfüllung, an der der Betreffende beteiligt ist (z.B. Einkaufsvertrag im Webshop) oder für die Umsetzung vorvertraglicher Maßnahmen (z.B. Ausfüllen des Warenkorbs vor Vertragsschluss ) (sofern die prävertraglichen Vorkehrungen auf Verlangen der betroffetet werden).

Diese Datenverarbeitung ist notwendig, um einer gesetzlichen Pflicht nachzukommen, der der Kontrolleur unterworfen ist ("Arbeits- oder Steuerpflicht"). Eine Datenverarbeitung ist notwendig, um die legitimen Rechte des für die Datenverarbeitung Verantwortlichen oder eines Dritten zu wahren, es sei denn, die Rechte oder die grundlegenden Rechte und Freiheiten der betroffenen Personen sind vorherrschend (letztere werden vor allem bei Minderjährigen vorausgesetzt).

Rechtsgrundlage, die wahrscheinlich weniger häufig im Internetshop verwendet wird: Die Datenverarbeitung ist notwendig, um die wesentlichen Belange der betroffene Person oder einer anderen physischen Personen zu wahren. Diese Datenverarbeitung ist für die Erfüllung einer im Allgemeininteresse ausgeführten Tätigkeit oder für die Ausübung der dem Kontrolleur übertragenen amtlichen Befugnisse vonnöten.

Weiterverwendung zu anderen Zwecken: Die Weiterverwendung zu anderen als denjenigen, für die sie ursprünglich nur ( "rechtmäßig") bearbeitet wurden (z.B. sollen die im Rahmen der Vertragsdurchführung erhobenen Daten des Kunden für Werbezwecke genutzt werden) ist unter den nachstehenden Bedingungen zulässig: Ungeachtet der Kompatibilität der Verarbeitungszwecke ist die weitere Bearbeitung nur dann erlaubt, wenn: eine Rechtsgrundlage die weitere Bearbeitung ermöglicht.

Andernfalls muss die weitere Verarbeitung mit den Zielen übereinstimmen, für die die persönlichen Angaben ursprünglich erfasst wurden. Besteht eine solche Kompatibilität mit den eigentlichen Zielen, ist keine andere separate rechtliche Grundlage als die für die (ursprüngliche) Erfassung der persönlichen Angaben erforderlich. In diesem Fall ist eine separate rechtliche Grundlage für die Datenerhebung notwendig. Eine weitere Verarbeitung für Archivierungszwecke im Allgemeininteresse, für wissenschaftliche oder geschichtliche Recherchezwecke oder für statistischen Zweck wird als kompatibler und gesetzeskonformer Verarbeitungsprozess angesehen.

Wenn der für die Verarbeitung Verantwortliche die Verarbeitung der persönlichen Angaben für einen anderen Verwendungszweck plant, muss er der betroffene Stelle vor der weiteren Verarbeitung Auskünfte über diesen anderen Verwendungszweck und alle anderen relevanten Auskünfte erteilen. In jedem Falle ist der Benutzer nicht nur über den eigentlichen Verwendungszweck der Verarbeitung, sondern auch über die anderen Verwendungszwecke, z.B. in der Erklärung zum Datenschutz, zu informieren.

Weitere rechtliche Grundlagen für "sensible Daten" Für "sensible Daten" (personenbezogene Informationen, die die Rasse oder die ethnische Zugehörigkeit, die politischen Ansichten, die religiösen oder philosophischen Anschauungen, die Gewerkschaftsmitgliedschaft, die Verarbeitung genetischer Informationen, biometrische oder gesundheitliche Informationen oder Informationen über das Sexualleben/die sexuelle Ausrichtung offenbaren) kann diese andere rechtliche Grundlage die folgende sein: Aus arbeits- oder gesellschaftsrechtlichen Erwägungen ist die Datenverarbeitung von besonders schützenswerten Informationen notwendig, um es dem für die Datenverarbeitung Verantwortlichen oder der betroffenen Personen zu ermöglichen, den arbeits- oder gesellschaftsrechtlichen Pflichten nachzukommen.

Diese Datenverarbeitung ist zum Schutze der lebenswichtigen Belange der betreffenden oder einer anderen physischen oder juristischen Begleitperson vonnöten. Die betreffende Personen ist physisch oder rechtlich nicht in der Lage, ihre Zustimmung zu erteilen. Der Datenverarbeitung liegen angemessene Schutzvorkehrungen (z.B. bindende innerbetriebliche Datenschutzbestimmungen, Zertifizierungen) durch eine Einrichtung, einen Verein oder eine andere gemeinnützige Einrichtung mit politischem, philosophischem, religiösem oder gewerkschaftlichem Charakter im Hinblick auf ihre rechtmäßige Tätigkeit zugrunde, sofern sich die Datenverarbeitung nur auf die mitgliedrige oder ehemalige mitgliedrige der Einrichtung oder auf den Personenkreis in regelmäßigem Umgang mit ihr im Hinblick auf ihre Zwecke und nicht ohne Zustimmung der betroffen Person nach aussen ergeht.

Bei der Datenverarbeitung handelt es sich um persönliche Angaben, die die betroffenen Personen offenbar veröffentlicht haben (aufgrund einer Größenordnung kann davon ausgegangen werden, dass auch nicht sensible Angaben rechtmäßig bearbeitet werden können, wenn sie von der betroffenen Person selbst offenbar veröffentlicht werden). Sie ist notwendig für die Durchsetzung, Wahrnehmung oder Abwehr von rechtlichen Ansprüchen oder für gerichtliche Maßnahmen im Zusammenhang mit ihrer gerichtlichen Aktivität.

Der Umgang mit sensiblen Informationen ist aus gesetzlichen Gruenden aus wichtigem oeffentlichem Interesse erfordelich. Diese Datenverarbeitung ist für die Prävention oder arbeitsmedizinische Betreuung, die Bewertung der Erwerbsfähigkeit des Arbeitnehmers, die ärztliche Diagnose, die Gesundheits- oder Sozialfürsorge oder Therapie oder für die Bewirtschaftung von Gesundheits- oder Sozialfürsorgesystemen und -dienstleistungen auf der Grundlage der Gesetzgebung oder eines Vertrages mit einem Gesundheitsexperten notwendig.

Eine Datenverarbeitung ist aus Gründen des Allgemeininteresses im Gesundheitswesen, wie beispielsweise zum Schutze vor schweren grenzüberschreitenden Gesundheitsbedrohungen, oder zur Sicherstellung eines hohen Qualitäts- und Sicherheitsniveaus in der Gesundheitsfürsorge und bei Medikamenten und medizinischen Geräten auf der Grundlage europ Ã?ischen oder national geltenden Rechts, vonnöten. Für Archivierungszwecke im Sinne des Gemeinwohls, für naturwissenschaftliche oder geschichtliche Recherchezwecke oder für Statistikzwecke ist eine Datenverarbeitung gesetzlich vorgeschrieben.

Für die Bearbeitung von Informationen aus (gerichtlichen oder administrativen) Strafurteilen und -delikten gilt eine gesonderte Verordnung. Der Umgang mit diesen Angaben ist nur unter den nachfolgenden Bedingungen zulässig: Die Auftragsdatenverarbeitung erfolgt aus rechtlichen Gründen oder zum Schutz der berechtigten Belange der zuständigen Stelle oder eines Dritten, sofern die Belange oder grundlegenden Rechte und Freiheiten der betreffenden Stelle nicht vorgehen.

Dabei ist die Verarbeitungsweise so zu wählen, dass die Belange der betroffenen Personen gewahrt bleiben. Existiert keine der unter 1.2. 1 bis 1.2. 3 aufgeführten rechtlichen Grundlagen, ist die Zustimmung der betroffene Stelle einzuholen. der Betroffene ist verpflichtet. Hinweis: Überprüfen Sie vor der Einholung der Zustimmung zunächst, ob es bereits eine andere rechtliche Grundlage für die Bearbeitung der Daten gibt (in diesem Falle wäre keine Zustimmung erforderlich).

Die DSGVO definiert "Einwilligung" als jede freiwillige, im konkreten Einzelfall informierte und unmissverständliche Willensäußerung der betroffenen Personen in die Irre. Dies geschieht in Gestalt einer Stellungnahme oder einer anderen unmissverständlichen Bestätigungshandlung, mit der die betroffenen Personen ihre Zustimmung zur Datenverarbeitung erklären.

Eine bloße Stille oder Unterlassung durch die betroffene Person kann keine Zustimmung bedeuten, es sei denn, andere Umstände deuten ausdrücklich auf eine Zustimmung zur Verarbeitung der personenbezogenen Daten hin. In diesem Fall ist dies der Fall. Für die Bearbeitung von sensiblen Informationen ist eine explizite Einverständniserklärung (keine implizite Einwilligung) erforderlich. Hinweis: Aus Gründen des Nachweises und der Verantwortlichkeit ist es ratsam, dass der Sachbearbeiter auch für die Zustimmungserklärung von nicht sensiblen Informationen schriftlich Zustimmungserklärungen oder andere nachprüfbare Zustimmungserklärungen eingeholt hat.

1.2.4. 1 Wann ist die Zustimmung "freiwillig"? "Freiwillige " ist eine Einverständniserklärung, wenn die betroffenen Personen ihre Zustimmung gegeben haben, und zwar in erster Linie ohne Nötigung und nach freiem Ermessen. Ungewollt ist vor allem dann fraglich, wenn für verschiedene Verarbeitungen von Personendaten keine gesonderten Zustimmungserklärungen abgefasst werden können, obwohl dies im Einzelnen angemessen ist; Tipp: Für jeden Bearbeitungszweck eine separate Zustimmung einholen.

Der Widerspruch hat keinen Einfluss auf die Gesetzmäßigkeit der auf der Grundlage der Genehmigung bis einschließlich des Widerrufs durchgeführten Datenverarbeitung. Ist die Vertragserfüllung einschließlich der Leistungserbringung von der Genehmigung abhängig, obwohl diese zur Vertragserfüllung nicht notwendig ist (Kopplungsverbot); positives Beispiel: Dieses Einverständnis kann ich bei jedem Empfang des Newsletter schriftlich wiederrufen.

Das Widerrufsverfahren hat keinen Einfluss auf die Rechtmäßigkeit der bis zum widerruf auf der Grundlage der Genehmigung vorgenommenen Datenverarbeitung. Ja, ich möchte Waren XYZ zum Selbstkostenpreis von AB erwerben und bin damit einverstanden, den wöchtentlichen E-Mail-Newsletter der Firma XY unter folgender E-Mail-Adresse zu empfangen........ und ich erkenne an, dass ich diese Einwilligung jederzeit, auch nach dem Newsletter-Empfang, widerrufen kann. Bei einem deutlichen Missverhältnis zwischen der betroffe endenden und der zuständigen Per on (z.B. wenn die zuständige Porträtierte eine Instanz ist).

Hieraus ergibt sich, dass die Betroffenen im Zuge der Zustimmungserklärung darüber informiert werden müssen, welche Arten von Angaben für welche spezifischen Verwendungszwecke verwendet werden sollen. Beispiel: Wir verwenden die folgenden Angaben, um den Newsletter zu versenden: Gemäß der Begriffsbestimmung muss die Zustimmung der betroffen Person auch in "informierter Form" erteilt werden. Die Anforderung "in voller Sachkenntnis " verlangt auch, dass der DSGVO alle zwingenden Angaben der DSGVO mindestens zum Zustimmungszeitpunkt zur Verfuegung stehen (z.B. entweder im Text der Zustimmung selbst oder durch einen Verweis auf eine Datenschutzerklaerung mit diesen Angaben).

Sie hat das Recht, die von ihr erteilte Einwilligung zu jeder Zeit zu widerrufen. In diesem Fall ist sie berechtigt, die Einwilligung des Betroffenen mit Wirkung für die Zukunft aufheben. Vor der Einwilligung ist die betroffenen Personen auf diese Gelegenheit aufmerksam zu machen. Exemplarischer Formulierungsvorschlag: "Der Geschäftspartner erklärt sich damit einverstanden, dass seine personenbezogenen Angaben, namentlich....[die Datentypen wie z. B. "Name", "Adresse" usw. exakt auflisten] zum Zwecke von....[genauer Verwendungszweck angeben, z. B.

Die vorliegende Genehmigung kann durch ...................................................................................................................................................................... Das Widerrufsverfahren hat keinen Einfluss auf die Rechtmäßigkeit der bis zum widerruf auf der Grundlage der Genehmigung vorgenommenen Datenverarbeitung.

Bei Einwilligungen im Rahmen von Direktangeboten von Diensten auf dem Gebiet der informationellen Gesellschaft (z.B. Webshop) an ein Kleinkind ist die Verarbeitung von personenbezogenen Merkmalen von Kleinkindern vor dem vollendeten 1. Lebensjahr nur zulässig, wenn die Einwilligung von oder mit Einwilligung des Vormunds (insbesondere der Eltern) ergangen ist.

In solchen Faellen muss der Betreuer, um sicherzustellen, dass die Zustimmung des Betreuers fuer das Kleinkind vorliegt, unter Beruecksichtigung der vorhandenen Technologie "angemessene" Bemuehungen unterlassen. Sollte jedoch eines der genannten Merkmale fehlen (z.B. wenn das neue Kopplungsverbot der DSGVO nicht erfüllt ist), muss die Zustimmung erneut eingeholt werden.

Ein Cookie ist eine Information, die vom Informationsprovider (z.B. einem Webshop-Betreiber) mit Unterstützung des Webbrowsers auf der Harddisk des PCs des Auftraggebers abgelegt wird, um eine Verknüpfung von Dateien mit dem Rechner des Auftraggebers herzustellen. Sowohl persönliche als auch nicht-personenbezogene Angaben können in Form von Plätzchen abgelegt werden. IPAdressen werden als persönliche Angaben betrachtet, weil sie dazu beitragen, eine betroffene Person zu identifizieren oder wenigstens zu identifizieren.

Im Folgenden werden aufgrund der vorherrschenden Verwendung von unsensiblen Informationen in der Realität nur diese nachgebildet. Für die Begriffsbestimmung von sensitiven und unsensitiven Informationen verweisen wir auf Ziffer 1.2.2. Hinweis: Die aktuellen Sonderregelungen für "Cookies" entstammen der E-Datenschutzrichtlinie und dem Telekommunikations-Gesetz (TKG). Die TKG enthält spezifische Informationspflichten: Es sind Angaben darüber zu machen, welche persönlichen Angaben erhoben, bearbeitet oder an Dritte weitergegeben werden, auf welcher rechtlichen Grundlage (z.B. aufgrund eines Vertrags, eines Sondergesetzes) und für wie lange die Angaben beibehalten werden.

Aus diesem Grund können die nach dem TKG erstellten Angaben zusammen mit den Angaben nach dem DSGVO der betroffene Person zur Kenntnis gebracht werden. Beispiel: Ein Webshop-Betreiber legt Cookies an, damit der Kunde mit einem elektronischen Warenkorb online einkaufen kann. Die IP-Nummer des Verbindungshalters wird bearbeitet.

Zusätzlich werden Name, Adresse und Kartennummer des Bestellers sowie die für die Abwicklung des Vertrages vorgesehenen Käufe vom Kaufmann hinterlegt. Zusätzlich werden von uns auch folgende Angaben zum Zwecke der Auftragsabwicklung gespeichert: ............................................................................................................................ Die von uns übermittelten personenbezogenen Informationen werden nach einer Unterbrechung des Bestellvorgangs vernichtet. Bei Vertragsabschluss werden alle Angaben aus dem Auftragsverhältnis bis zum Ende der Steuerverweildauer (7 Jahre) beibehalten.

Darüber hinaus werden die Angaben "Name", "Adresse", "Kaufsache" und "Kaufdatum" bis zum Erlöschen der Prod. haftung (10 Jahre) beibehalten. Der Datenverarbeitungsaufwand richtet sich nach den Rechtsvorschriften des 96 Abs. 3 TKG und des 6 Abs. 1 lit a (Einwilligung) und/oder b (zur Erfüllung des Vertrages erforderlich) der DSGVO.

Hinsichtlich Ihrer bei uns erhobenen persönlichen Angaben haben Sie ein Grundrecht auf Auskunftserteilung, Berichtigung, Sperrung und Widerspruch gegenüber der Auftragsdatenverarbeitung sowie auf deren Löschen und Übermitteln. Jede zuständige Person (Datenverarbeiter oder Webshop-Betreiber) muss selbst prüfen, welche konkrete Information sie von einem Benutzer für welche gesetzlich zulässige Verwendung braucht. Die für die Bearbeitung (z.B. Speicherung) von Personendaten (z.B. IP-Nummern) im Zusammenhang mit der Verwendung von Plätzchen nach dem TKG Verantwortlichen müssen prinzipiell vor deren Bearbeitung (z.B. für Web-Tracking) die Zustimmung einholen.

Insbesondere ist darauf hinzuweisen, dass der Betreffende "aktives Verhalten" an den Tag legen muss ("Opt-in-Lösung"); gekreuzte Zustimmungserklärungen des Betreuers (z.B. in Kästchen) haben die Ungültigkeit der Zustimmungserklärung zur Folge. Nur in denjenigen FÃ?llen, in denen der Betreiber eines Informationsservices (z.B. ein Webshop-Betreiber) einen von der betreffenden Person ausdrÃ?cklich angeforderten Service nur unter der Voraussetzung erbringen kann, dass die Informationen zurÃ?

Dies kann der Fall sein bei der Speicherung von IP-Daten im Zuge von Cookie zum Zweck des Online-Shopping mit befristeter Aufbewahrungsdauer ("Warenkorb"). In den Erläuterungen zum Regierungsentwurf zum TKG wird erwähnt, dass die Zustimmung auch über die entsprechenden Browser-Einstellungen erteilt werden kann (konkludente Zustimmung). Dazu ist es jedoch erforderlich, dass der Benutzer im Voraus darüber unterrichtet wird, dass ein Cookie erstellt wird und welche persönlichen Informationen für welche Verwendungszwecke nach dem Prinzip der Transparenz verarbeitet werden.

Anmerkung: Die Artikel-29-Gruppe hat das Rechtsgutachten zur rechtlichen Situation nach der "E-Privacy-Richtlinie" bereits in einem "Arbeitspapier" publiziert, dass "aktives Verhalten" des Benutzers erforderlich ist, um von einer rechtsgültigen Zustimmung zum Setzen von Cookies ausgehen zu können. Tipp: Die Zustimmung kann zeitgleich mit dem Angebot der jeweiligen Information über eine zu Sitzungsbeginn erscheinende "Infobox" eingeholt werden, auf die der Benutzer dann klicken kann.

Mehr zum Thema