United Kingdom E-Commerce (AGB)

Britische Vorschriften zum Datenschutzrecht

Britische Vorschriften zum Datenschutzrecht

Frage: Unterliegt ein deutscher Online-Händler, der seine Geschäfte in Großbritannien direkt von Deutschland aus betreibt, britischem Datenschutzrecht und der Pflicht zur Registrierung?

Nein

Deutsche Online-Händler, die ihre Geschäfte in Großbritannien direkt von Deutschland aus betreiben, unterliegen nicht dem britischen Datenschutzrecht und müssen sich nicht bei der britischen Datenschutzbehörde registrieren lassen. Für das Datenschutzrecht gilt innerhalb der EU das sogenannte Territorialprinzip. Es besagt im Prinzip, dass nur solche Online-Händler aus der EU dem britischen Datenschutzrecht unterliegen, deren Unternehmenssitz oder Sitz der Niederlassung in Großbritannien liegt. In der Sprache des hier einschlägigen § 5 des Data Protection Act, der den Begriff des Datenverantwortlichen (data controller) benutzt, ist dies wie folgt geregelt.

(1) Except as otherwise provided by or under section 54, this Act applies to a data controller in respect of any data only if—
(a)the data controller is established in the United Kingdom and the data are processed in the context of that establishment, or
(b)the data controller is established neither in the United Kingdom nor in any other EEA State but uses equipment in the United Kingdom for processing the data otherwise than for the purposes of transit through the United Kingdom.

Frage: Müssen deutsche Online-Händler, die ihren Online-Handel über eine Niederlassung in Großbritannien abwickeln, sich bei der britischen Datenschutzbehörde ICO registrieren lassen?

Ja

Section 5, Paragraph 3 des Data Protection Act regelt, dass ein ausländisches Unternehmen oder eine Privatperson dann unter die Vorschriften des britischen Datenschutzgesetzes fällt, wenn es/sie in Großbritannien über ein Büro, Zweigstelle oder Niederlassung verfügt.

(3) For the purposes of subsections (1) and (2), each of the following is to be treated as established in the United Kingdom—

(a)an individual who is ordinarily resident in the United Kingdom,
(b)a body incorporated under the law of, or of any part of, the United Kingdom,
(c)a partnership or other unincorporated association formed under the law of any part of the United Kingdom, and
(d)any person who does not fall within paragraph (a), (b) or (c) but maintains in the United Kingdom—
(i)an office, branch or agency through which he carries on any activity, or
(ii)a regular practice;

Der Data Protection Act verpflichtet jeden Online-Händler als Datenverantwortlichen, der Kundendaten (personenbezogene Daten) verarbeitet, sich bei der britischen Datenschutzkommission (Information Commissioner’s Office „ICO) zu registrieren. Die im Data Protection Act genannten Ausnahmen von der Registrierungspflicht (wie Schutz der nationalen Sicherheit, Aufdecken von Verbrechen, etc.) betreffen den Online-Händler nicht. Die Registrierungspflicht ist also sehr weit gefasst.

Datenverantwortlicher ist derjenige, der den Zweck der Datenverarbeitung bestimmt (Section 1, Legaldefinitionen Data Protection Act). Dies ist im Regelfall der Online-Händler selbst.

Personenbezogene Daten sind Daten auf Grund derer eine Person identifiziert werden kann. Das ist bei Kundendateien der Fall (Section 1, Legaldefinitionen Data Protection Act).

Verarbeitung von Dateien ist bereits das bloße Erfassen und natürlich die weitere Verarbeitung von Dateien (Section 1, Legaldefinition Data Protection Act).

Frage: Welche Pflichtangaben muss der Registrierungsantrag bei der britischen Datenschutzkommission enthalten?

Die Registrierung muss vor Aufnahme der Verarbeitung von Kundendaten erfolgen. (Section 17 Data Protection Act). Es müussen im Rahmen eines Registrierungsantrags folgende Angaben gemacht werden (Section 16 Data Protection Act):

  • Name der Niederlassung oder des Unternehmens, Geschäftssitz,
  • Falls ein Bevollmächtigten für die Verarbeitung von Daten ernannt ist: Name und Adresse des Bevollmächtigten
  • Beschreibung des Zwecks der Datenverarbeitung
  • Erklärung, wie die Grundsätze zum Datenschutz eingehalten werden (hierzu im Einzelnen weiter unten Ziffer 3).
  • Gegebenenfalls Benennung dritter Parteien, an die Daten weitergegeben werden sollen
  • Gegebenenfalls Namen der Länder außerhalb des Europäischen Wirtschaftsraums (EU plus Norwegen, Island und Lichtenstein), in die Daten transferiert werden sollen.

Der Antrag zur Registrierung kann online erfolgen. Die britische Datenschutzkommission hält eine entsprechende Webseite vor, die den Antragsteller Schritt für Schritt durch das Antragsformular führt. Die Kosten für den Registrierungsantrag belaufen sich zurzeit für einen mittelständischen Online-Händler auf 35 Pfund. Die Registrierung muss nach einem Jahr erneuert werden.

Frage: Welche Datenschutzgrundsätze müssen nach britischem Recht beachtet werden?

Ähnlich wie im deutschen Recht gelten bestimmte Datenschutzgrundsätze

  • Personenbezogene Daten dürfen nur aus rechtmäßigen Gründen erfasst werden;
  • Die Erfassung und Verarbeitung von personenbezogenen Daten muss angemessen und verhältnismäßig zum Zweck der Datenverarbeitung sein. Die Weitergabe von Daten an Dritte muss im Einzelnen genannt und erklärt werden. Personenbezogenen Daten dürfen nach diesem Grundsatz nur an Dritte weitergegeben werden, wenn dies dem Zweck der Datenverarbeitung entspricht (z. Beispiel Weitergabe an Transportunternehmen, Weitergabe an Dritte, die die Kreditwürdigkeit des Kunden prüfen);
  • Personenbezogene Daten müssen genau sein und müssen aktualisiert werden;
  • Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es dem Sinn der Datenverarbeitung entspricht;
  • Die Verarbeitung der Daten darf die Datenschutzrechte des Nutzers nicht verletzen;
  • Es müssen angemessene technische und organisatorische Maßnahmen getroffen werden gegen Verlust, Beschädigung oder Zerstörung von Daten und gegen nicht autorisierte oder gesetzeswidrige Verarbeitung von Daten;
  • Personenbezogene Daten dürfen nicht in Länder außerhalb des Europäischen Wirtschaftsraums transferiert werden, es sei denn das Zielland garantiert einen gleichwertigen Standard des Datenschutzes;

Frage: In welchen Fällen muss der Online-Händler aus datenschutzrechtlichen Gründen die vorherige Einwilligung des Kunden sicherstellen?

Diese Frage hat für den Online-Händler wichtige praktische Bedeutung. Es geht hier nicht nur um die Frage der Einwilligung als solcher, sondern um die Frage, ob die Einwilligung ausdrücklich und vor Besuch der Webseite des Online-Händlers gegeben werden soll (opt-in) oder ob es ausreicht, den Nutzer auf die Möglichkeit einer Ablehnung hinzuweisen (opt-out) und wie eine solche Einwilligung technisch umgesetzt werden kann. Das Problem der vorherigen Einwilligung stellt sich bei folgenden Fragen:

  • Versendung von Newslettern
  • Weitergabe von Kundendaten an Dritte zu Marketingzwecken
  • Weitergabe von Kundendaten in Länder außerhalb der Europäischen Wirtschaftszone
  • Einsatz von Cookies

Versendung von Newslettern

Es wird von der britischen Datenschutzkommission empfohlen, die vorherige Einwilligung des Kunden einzuholen. Unter bestimmten Voraussetzungen können Newsletter aber auch ohne vorherige Einwilligung des Kunden versandt werden (opt-out).:

  • Die Kundendaten (E-Mail-Adresse) wurden im Rahmen einer Bestellung des Kunden durch den Online-Händler erfasst.
  • Es handelt sich bei dem Inhalt des Newsletters um Produkte und Dienstleistungen, die den bestellten Produkten und Dienstleistungen ähnlich sind
  • Der Kunde wurde bei Bestellung darauf hingewiesen, dass er dem Versand von Newsletter nicht abgelehnt hat und dass er den Versand von Newsletter jederzeit ablehnen kann. Der Online-Händler muss dem Kunden eine einfache Möglichkeit anbieten, den weiteren Empfang von Newsletter abzulehnen.

Der Kunde muss aber die Möglichkeit haben, jederzeit den Newsletter zu kündigen.

Weitergabe von Kundendaten an Dritte zu Marketingzwecken

Es muss die vorherige Einwilligung des Kunden eingeholt werden, dass seine Kundendaten an Dritte zu Marketingzwecken weitergegeben werden. Der Dritte muss die vorherige Einwilligung des Kunden einholen, bevor er ihm Werbebotschaften übermittelt.

Weitergabe von Kundendaten in Länder außerhalb der Europäischen Wirtschaftszone

Die Einwilligung des Kunden ist nicht erforderlich. Der Online-Händler muss allerdings gewährleisten, dass der Datenschutzstandard im Zielland dem Stand in der Europäischen Wirtschaftszone entspricht

##Einsatz von Cookies##

Eine vorherige Einwilligung ist grundsätzlich erforderlich (opt-in). In der Frage des Einsatzes von Cookies unterscheidet sich das britische Datenschutzrecht beträchtlich vom deutschen Datenschutzrecht und ist ungleich strenger ausgelegt. Daher soll der Einsatz von Cookies im Rahmen der folgenden Frage abgehandelt werden.

Frage: Welche Regeln des britischen Datenschutzrechts muss der deutsche Online-Händler beim Einsatz von Cookies beachten?

Der Einsatz von Cookies ist im britischen Datenschutzrecht ungleich strenger als im deutschen Datenschutzrecht geregelt. Deutsche Online-Händler, die dem britischen Datenschutzrecht unterworfen sind, sollten die Regeln zum Einsatz von Cookies beachten, wenn sie nicht Sanktionen der britischen Datenschutzkommission riskieren wollen. Der Einsatz von Cookies wurde 2011 durch die Privacy and Electronic Regulations wesentlich verschärft und - anders als in Deutschland – ist die einschlägigen EU-Richtlinie 2009/136 EG zum Einsatz von Cookies zugunsten des Verbrauchers strenger und für den Online-Händler einschneidender umgesetzt. Es reicht bei weitem nicht aus, in der Datenschutzerklärung auf den Einsatz von Cookies und die Möglichkeit der Deaktivierung hinzuweisen. Im Einzelnen ist hier auf folgende Voraussetzungen hinzuweisen.

Umfassende Information über den Einsatz von Cookies

Der Datenverantwortliche (im Regelfall der Online-Händler) muss den Nutzer über die Art der verschiedenen Cookies informieren, die er einsetzt.

Sitzungscookies

Sitzungscookies sollen sicherstellen, um einen Benutzer der Webseite wiederzuerkennen und um zu erkennen, ob der Besucher bereits eingeloggt ist. Sitzungscookies werden automatisch gelöscht, sobald der Besucher seinen Browser schließt.

Dauerhafte Cookies

Dauerhafte Cookies werden auf dem Computer eines Benutzers gespeichert und laufen zu einem bestimmten Datum ab.

Cookies vom Erstanbieter, Cookies von Drittanbietern

Cookies vom Erstanbieter werden durch den Anbieter der Webseite platziert, die der Nutzer besucht. Cookies von Drittanbietern werden durch einen Dritten gesetzt, dem der Anbieter der besuchten Webseite erlaubt, auf dem Computer des Besuchers seine eigenen Cookies zu setzen.

Der Datenverantwortliche muss den Nutzer seiner Webseite über den Zweck der eingesetzten Cookies und den Zweck der Cookies von Drittanbietern im Detail informieren. Der Nutzer ist über das Ablaufdatum von dauerhaften Cookies zu informieren. Der Datenverantwortliche muss darüber informieren, wie weit der Einsatz der Cookies in die Privatsphäre des Nutzers eingreift. Folgende Begrifflichkeiten sind dabei hilfreich:

  • Cookies, die unabdingbar für das Funktionieren der Webseite sind (z.B. Cookies, die den Bestellvorgang und den Einsatz des Warenkorbs steuern) sind, sog. unerlässliche Cookies,
  • funktionelle Cookies, die es der Webseite erlauben, sich an vorgenommene Einstellungen des Besuchers zu erinnern
  • analytische Cookies, die ermöglichen, Daten über die Nutzung einer Webseite zu sammeln
  • Targeting Cookies, um Persönlichkeitsprofile zu Werbezwecken zu generieren

Die Privacy and Electronic Regulations schreiben nicht vor, wie und in welcher Form diese Informationspflichten umzusetzen sind. Sektion 6 der Privacy and Electronic Regulations sagt lediglich in allgemeiner Form, dass der Nutzer in einer eindeutigen und ausführlichen Weise über den Einsatz der Cookies informiert werden soll. Die britische Datenschutzkommission gibt in ihren Erläuterungen zum Einsatz von Cookies detaillierte Handlungsanweisungen, wie die Informationspflichten zum Einsatz von Cookies umgesetzt werden können. Dies kann in Form von Tabellen geschehen, wo jedes Cookie und sein Zweck erläutert wird. Andere Formen der Darstellung sind ebenfalls möglich. Entscheidend ist, dass ein durchschnittlicher Nutzer den Zweck des Cookies versteht und nachvollziehen kann, in welchem Maße das eingesetzte Cookies in seine Privatsphäre eingreift.

Nach den Vorstellungen der britischen Datenschutzkommission sollte der Website-Betreiber sich an einer Check-Liste zum Einsatz von Cookies orientieren:

  • Identify which cookies are operating on or through your website
  • Confirm the purpose(s) of each of these cookies
  • Confirm whether you link cookies to other information held about users - such as usernames
  • Identify what data each cookie holds
  • Confirm the type of cookie – session or persistent
  • If it is a persistent cookie how long is its lifespan?
  • Is it a first or third party cookie? If it is a third party cookie who is setting it?
  • Double check that your privacy policy provides accurate and clear information about each cookie

Die britische Regierung schreibt vor, dass der Einsatz von Cookies in einer separaten Erklärung zum Einsatz von Cookies, einer sog. „Cookie Policy“ erläutert wird. Der Betreiber einer Website soll in seiner Cookie Policy den ursprünglichen Domain Namen eines Cookies einsetzen.

Frage: Welche Cookies sind von der Einwilligungspflicht des Nutzers ausgenommen?

Der Einsatz von Cookies ist dann nicht einwilligungspflichtig, wenn es um sogenannte unabdingbare Cookies handelt, die für das Funktionieren der Website unerlässlich sind (Section 6 der Privacy and Electronic Communications (EC Directive) Regulations 2003:

6.—(1) Subject to paragraph (4), a person shall not use an electronic communications network to store information, or to gain access to information stored, in the terminal equipment of a subscriber or user unless the requirements of paragraph (2) are met.
(4) Paragraph (1) shall not apply to the technical storage of, or access to, information—
(a) for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network; or
(b) where such storage or access is strictly necessary for the provision of an information society service requested by the subscriber or user.

Achtung: Auch hier muss der Nutzer allerdings über den Einsatz solcher unabdingbareren Cookies in der Cookie Policy des Betreibers der Website informiert werden. Auch der Einsatz von solchen Cookies ist informationspflichtig.

Frage:In welchen Fällen muss der Nutzer der Webseite des Online-Händler eine vorherige Einwilligung zum Einsatz von Cookies geben?

Bei allen anderen Cookies muss nach Auffassung der britischen Datenschutzbehörde eine Einwilligung des Nutzers vorliegen. Sie muss nach Auffassung der britischen Datenschutzbehörde vor Nutzung der Webseite des Online-Händlers eingeholt werden.

Empfehlung der IT-Recht Kanzlei: Die IT-Recht Kanzlei bietet ihren Mandanten, die dem britischen Datenschutzrecht unterliegen, neben der Datenschutzerklärung eine separate „Cookie Policy“ an, die als Link auf jeder Webseite einsehbar sein sollte. In dieser Cookie Policy sollte der Online-Händler eine tabellarische Darstellung zur Art und zum Zweck der von ihm eingesetzten Cookies einsetzen. Weiterhin empfiehlt die IT-Kanzlei ihren Mandanten ihren Browser so zu konfigurieren, dass bei Besuch ihrer Webseite eine Nachricht zum Einsatz von Cookies angezeigt wird.

Frage: Welche Sanktionen können bei Verstoß gegen britisches Datenschutzrecht verhängt werden?

Die britische Datenschutzbehörde kann bei Verletzung der datenschutzrechtlichen Bestimmungen sowie bei Nichtregistrierung Strafgelder bis zu 500.00 Pfund verhängen. In besonders schweren Fällen können Freiheitsstrafen verhängt werden. Die ICO hält eine Liste von besonders schweren Strafrechtsfällen (möglicherweise zur Abschreckung) in ihren Merkblättern vor.

© 2004-2024 · IT-Recht Kanzlei