Sensible Daten im Online-Shop - Was ist zu beachten?

Im Online-Shop werden eine Vielzahl an personenbezogenen Daten verarbeitet. Neben Daten der Kundschaft wie Name, Anschrift und E-Mail-Adresse können je nach verkauften Produkten auch sensible Daten in Ihrem Shop verarbeitet werden. Sollte dies der Fall sein, gilt es, einige Besonderheiten zu beachten, über die wir Sie in unseren heutigen Beitrag informieren.

 

Was sind sensible Daten?

Darunter fallen nach dem Willen des Gesetzgebers besondere Kategorien personenbezogener Daten.

Gemäß Artikel 9 Abs. 1 DSGVO fallen Datenverarbeitungen, aus denen

  • die rassische und ethnische Herkunft (hierzu klärt Erwägungsgrund 51 DSGVO auf, dass „die Verwendung des Begriffs‚rassische Herkunft‘ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt“),
  • die politische Meinung
  • die religiöse oder weltanschauliche Überzeugung oder
  • die Gewerkschaftszugehörigkeit hervorgeht, in diese Kategorie. Außerdem ist die Verarbeitung von
  • genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten, oder
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

davon umfasst.

 

Sensible Daten im Online-Shop

Sensible Daten spielen vor allem bei Online-Shops, die medizinische Produkte vertreiben, eine Rolle. Zu den medizinischen Produkten gehören unter anderem Brillen und Hörgeräte. Aufgrund von kundenspezifischen Anpassungen können dabei Gesundheitsdaten zu Seh- und Hörstärke verarbeitet werden. Nicht zu den sensiblen Daten hingegen gehören das Geschlecht (w/w/d) oder das Geburtsdatum.

Darüber hinaus handelt es sich auch bei der Abfrage von Allergien oder der sexuellen Vorliebe (z. B. Verarbeitung der Kundeneigenschaften bei Kauf von Erotikartikeln, Nutzung von Dating-Apps), um besonders schützenswerte Verarbeitungstätigkeiten.

Aus der Art der Daten folgt, dass die Verarbeitung ein erhebliches Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person impliziert und daher eines besonderen Schutzes bedarf.

 

Beispiele für mögliche Schäden

Sensible Daten ermöglichen einen Einblick in das körperliche und seelische Befinden eines Menschen und lassen sogar eine Ableitung für den Zustand der betroffenen Person in der Zukunft zu. Daraus ergibt sich ein erhebliches Schadenspotential – nicht nur für den Betroffenen, sondern auch für sein Umfeld. Eine Offenlegung sensibler Daten kann z. B. Auswirkungen auf die Jobsuche, auf die Mitgliedschaft in einer Versicherung haben oder zu Diskriminierungen im Alltag führen. Im äußersten Fall kann sogar ein Identitätsdiebstahl drohen, sollten die Daten mit anderen personenbezogenen Daten kombiniert werden.

Aufgrund der potenziellen Diskriminierung und der möglichen großen Schäden in verschiedensten Bereichen müssen sensible Daten unbedingt geschützt werden.

Auch hier gilt das Verbot mit Erlaubnisvorbehalt: die Verarbeitung sensibler Daten ist grundsätzlich untersagt und nur in Ausnahmefällen zulässig.

 

Wann ist die Verarbeitung sensibler Daten erlaubt?

Die Verarbeitung sensibler Daten ist grundsätzlich verboten. Die DSGVO sieht jedoch eine Reihe von Ausnahmen vor, die eine Datenverarbeitung ermöglichen (Verbot mit Erlaubnisvorbehalt).

So dürfen sensible Daten im Online-Shop verarbeitet werden, sofern die Kundschaft in die jeweilige Verarbeitung der Daten ausdrücklich eingewilligt hat.

Daneben kann die Verarbeitung sensibler Daten zur Einhaltung von arbeits- und sozial-rechtlichen Regelungen erforderlich sein, damit das Unternehmen den daraus erwachsenden Rechten und Pflichten nachkommen kann, oder aufgrund eines Vertrages mit einer bzw. einem Angehörigen eines Gesundheitsberufs. Gesundheitsdaten dürfen in diesem Falle nur durch ärztliches Personal oder durch Personen, die einer Geheimhaltungsverpflichtung unterliegen, verarbeitet werden. Die gesetzlichen Voraussetzungen zur rechtskonformen Verarbeitung von sensiblen Daten sind eng auszulegen.

Bei der Verarbeitung der Daten im Online-Shop wird regelmäßig nur die Einwilligung als zulässige Rechtsgrundlage in Frage kommen. Für diese gelten die allgemeinen Anforderungen der DSGVO. Die Einwilligung sollte insbesondere durch eine freiwillige, eindeutige bestätigende und ausdrückliche Handlung im Online-Shop erfolgen.

Ausdrücklich bedeutet, dass es einer Erklärung oder einer eindeutig bestätigenden Handlung bedarf. Hierzu eignet sich beispielsweise eine explizite, schriftliche Einwilligungserklärung samt Unterzeichnung der betroffenen Person. Doch die schriftliche Einwilligung ist nicht der einzige Weg. Gerade im Bereich von Webseiten und Online-Shops kann die ausdrückliche Erklärung auch durch das Ausfüllen eines Formulars, einer E-Mail oder das Verwenden einer elektronischen Signatur erteilt werden. Sogar eine mündliche Erklärung kann theoretisch ausreichen, diese kann jedoch im Rahmen der Dokumentations- und Nachweispflichten problematisch werden.

Achtung: Für die Verarbeitung von sensiblen Daten sieht der Gesetzgeber sehr strenge Ausnahmen vor. Sich allein auf die „Erfüllung eines Vertrages“ zu berufen, reicht als Erlaubnistatbestand dabei nicht aus.

 

Sicherheitsmaßnahmen für sensible Daten

Pauschale Voraussetzungen, welche Schutzmaßnahmen getroffen werden müssen, gibt es nicht. Die passenden Sicherheitsvorkehrungen hängen immer von dem Einzelfall ab. Dabei spielen vor allem Art und Menge der Daten ein Rolle. Es gilt: je sensibler die Daten, desto strengere Schutzmaßnahmen müssen getroffen werden, um die Datenbestände vor unbefugter Offenlegung, Verlust bzw. Veränderung zu schützen. So spielt insbesondere die Schulung von Mitarbeiterinnen und Mitarbeitern im Umgang mit sensiblen Daten eine wichtige Rolle, um für das notwendige Rüstzeug im Rahmen der Datenverarbeitung zu sorgen.

 

Sensible Daten per E-Mail verschicken?

Die E-Mail ermöglicht eine rasend schnelle Kommunikation, ob mit geschäftlichen Kontakten oder der Kundschaft. Daher liegt es nahe, auch personenbezogene Daten per E-Mail zu versenden. Hier stellt sich allerdings die Frage, ob auch sensible Daten per E-Mail versendet werden dürfen.

Im Einzelfall werden strengere Anforderungen an die Versendung sensibler Daten gestellt und es gilt der allgemeine, risikobasierte Ansatz der DSGVO. Nach Art. 32 DSGVO müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos angemessene Schutzmaßnahmen für den elektronischen Versand von Daten getroffen werden.

Je sensibler die zu versendenden Daten sind, desto höher müssen die Schutzmaßnahmen sein. Ob eine gängige Transportverschlüsselung (SSL/TSL) ausreicht oder darüber hinausgehende Schutzmaßnahmen in Form einer Ende-zu-Ende-Verschlüsselung ergriffen werden müssen, hängt also vor allem vom zu versendenden Kommunikationsinhalt ab.

Prüfen Sie daher im Vorfeld, ob Sie auf die Versendung von sensiblen Informationen (z. B. in Bestellbestätigungen, Versandbestätigungen) verzichten können.

 

Beispiel für ungenügende Schutzmaßnahmen

Eine wahre Offenbarung ungenügender Schutzmaßnahmen für sensible Daten bieten regelmäßig die Corona-Testzentren. Erst kürzlich wurde unter anderem in Hamburg und Berlin bewiesen, dass auf Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen und die Testergebnisse zugegriffen werden kann. Maßgeblich dafür ist die Schnittstelle auf der Webseite der Testzentren, über welche die Registrierung für die Tests erfolgt. Diese Schnittstellen müssen zwingend mittels speziellen Schlüsseltechnologien geschützt werden, um die Sicherheit der Daten zu gewährleisten.

 

Benötige ich einen Datenschutzbeauftragten?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten haben wir bereits ausführlich für Sie besprochen.

Zudem muss nach Art. 37 Abs.1 lit.c) DSGVO Fall ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn die Kerntätigkeit ihres Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten liegt. Als Kerntätigkeit ist dabei die Haupttätigkeit eines Unternehmens gemeint, die sich in der Ausrichtung des Unternehmens, in den dazugehörigen Geschäftsbereichen (vor allem Vertrieb, Marketing) und den Unternehmenszielen widerspiegeln. Weiterhin muss es sich um eine umfangreiche Verarbeitung von sensiblen Daten handeln. Ein Schwellenwert wird in der DSGVO nicht benannt. Im Rahmen einer Einzelfallbetrachtung ist insbesondere anhand der Betroffenenanzahl, des Datenvolumens und der regionalen/internationalen Ausrichtung der Datenumfang zu bestimmen. So können z. B. Erotik-Shops sowie Online-Optiker ab einer gewissen Größe zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sein.

Achtung: Besteht bei der Datenverarbeitung ein hohes Risiko, so kann die Durchführung einer Datenschutzfolgenabschätzung notwendig sein. Ein Indiz stellt die umfassende Verarbeitung von sensiblen Daten im Unternehmen dar.

 

Datenschutz in Gesundheitshandwerken – Praxisbeispiel Optiker

Zu den Gesundheitshandwerken gehören z. B. in Deutschland Orthopädietechniker:innen, Orthopädie-Schuhmacher:innen, Zahntechniker:innen, Hörakustiker:innen und Augenoptiker:innen.

Für die Erstellung einer Sehhilfe bedarf es der Verarbeitung sensibler Daten (z. B. Refraktionsdaten). Berufsgruppen, die einer Geheimhaltungspflicht unterliegen, dürfen auf Grundlage eines bestehenden Behandlungsvertrags mit der Kundschaft notwendige Gesundheitsdaten verarbeiten (§ 22 Abs. 1 lit. b) BDSG). Augenoptiker:innen unterliegen dabei der Geheimhaltungsverpflichtung Ihrer Berufsordnung („Arbeits- und Qualitätsrichtlinien für Augenoptik und Optometrie“).

Bei der Anwendung des §22 BDSG bestehen allerdings aufgrund uneinheitlicher Gesetzesauslegungen datenschutzrechtliche Unsicherheiten, ob Gesundheitshandwerke auch ohne die vorherige Einwilligung Ihrer Kunden Auftragsdaten verarbeiten dürfen. Zudem können im Online-Shop weitere Funktionen und Dienstleistungen vorhanden sein, die zwar das Einkaufserlebnis verbessern, jedoch nicht für die Auftragserfüllung erforderlich sind. Hierunter fallen z. B. Marketingauswertungen sowie Online-Anprobe-Tools. Daher erscheint es zweckmäßig, die vorherige, ausdrückliche Einwilligung für eine rechtmäßige Verarbeitung einzuholen.

 

Unsere Tipps:

Identifizieren Sie zunächst, ob sensible Daten in der eigenen Verarbeitung vorliegen. Es sollte zudem regelmäßig abgefragt werden, ob neue Daten der oben beschriebenen Kategorien erhoben, gespeichert oder genutzt werden. Personenbezogene Daten besonderer Kategorien dürfen nur verarbeitet werden, sofern eine entsprechende Rechtsgrundlage vorliegt. Das Gesetz schreibt grundsätzlich die Einholung der vorherigen Einwilligung vor. Ausnahmefälle können für Gesundheitsberufe (Krankenhaus, Arztpraxis) vorliegen. Ob diese auch im Online-Shop Anwendung finden, ist im Einzelfall zu prüfen.

Achten Sie bei sensiblen Daten außerdem besonders auf die Schutzmaßnahmen (TOM) und überprüfen Sie die Datenverarbeitung in regelmäßigen Abständen.

Und zuletzt: Versuchen Sie so transparent wie möglich zu arbeiten. Transparenz schafft Vertrauen!

 

 

Über den Autor


Konstantin

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.

22.04.21
Land auswählen: