Derzeit sei der Datenschutz im Internet „nervig“, da die Nutzer auf einer Webseite immer wieder ihre Zustimmung zur Erhebung und Verarbeitung ihrer Daten geben oder verweigern müssten. Meist geschieht dies über ein Cookie-Banner.
Oft sind diese Cookie-Banner mit Text überladen oder unübersichtlich. Zudem ist die Möglichkeit, pauschal alle Cookies mit einem Klick abzulehnen, oft nicht vorhanden oder schwer zu finden.
Der Button für die pauschale Annahme aller Cookies ist dagegen oft leicht zu finden und farblich hervorgehoben.
Dies führt dazu, dass viele Nutzer, um diese Unannehmlichkeiten zu umgehen, einfach auf „alle zulassen“ klicken, ohne einen Überblick darüber zu haben, welche Cookies sie zulassen.

EU-Kommissar Didier Reynders sagte dazu in einem Interview mit der Welt am Sonntag:“Der Gebrauch von Cookies, um personenbezogene Daten zu verarbeiten, kann laut Gesetz nicht ohne die ausdrückliche Zustimmung der User erfolgen.
Aber das bedeutet nicht, dass das Surfen im Netz am Ende eine lästige Angelegenheit werden darf.“

Inzwischen hat die EU-Kommission sogar einen Alternativvorschlag entwickelt. Demnach sollen sich zunächst große Unternehmen oder Plattformen über eine „Cookie-Selbstverpflichtungsinitiative“ dazu verpflichten,
die Nutzer besser über die Verwendung von Cookies zu informieren, um nicht mehr ständig Cookie-Banner einblenden zu müssen.
Webseitenbetreiber sollen die Nutzer an gut sichtbarer Stelle über ihr Geschäftsmodell und die Verwendung personenbezogener Daten informieren.
Dies gelte natürlich insbesondere für die Verwendung von Daten zu Werbezwecken und zur Finanzierung der Website.
Reynders: „Wir werden … die Verbraucher dabei unterstützen, die Werbemodelle besser zu begreifen und sich für Werbung zu entscheiden, die weniger aufdringlich ist.So sollte der Verbraucher beispielsweise erst ein Jahr nach der letzten Anfrage erneut gefragt werden, ob er bereit ist, Cookies zu akzeptieren.“

Wie genau sich dieses Modell mit der Pflicht des Webseitenbetreibers, für jede konkrete Datenerhebung und -verarbeitung eine informierte Einwilligung einzuholen, vereinbaren lässt und wie die Vorschläge der EU-Kommission konkret umgesetzt werden sollen, bleibt abzuwarten.

Der Beitrag EU-Vorschlag: Cookie-Banner per Selbstverpflichtung abschaffen? erschien zuerst auf Protected Shops.

Was war geschehen?

Ein Unternehmen aus der Telekommunikationsbranche versendete eine E-Mail mit zulässi-gen Werbeinhalten an einen Geschäftskunden. Im Footer befand sich ein Link unter dem er explizit zur Teilnahme an einer Online-Umfrage zur Kundenzufriedenheit aufgefordert wurde. In der E-Mail Signatur warb das Unternehmen auch für aktuelle Handys, Tarife und persönliche Produktempfehlungen.
Der Kunde ging rechtlich gegen die Werbung in der E-Mail Signatur vor und wies darauf hin, dass er zu keinem Zeitpunkt seine notwendige Einwilligung erteilt habe und das Zusenden der Werbe-E-Mail daher unzulässig sei.

Die Entscheidung

Das AG Bonn gab dem Kunden Recht. Für den Fall, dass keine ausdrückliche Einwilligung erteilt wurde, ist es unzulässig, Werbe-Mails zu versenden auch wenn sich der unzulässige werbliche Teil lediglich in der E-Mail Signatur befindet. Der Begriff der Werbung umfasst alle Maßnahmen eines Unternehmens, die auf die Förderung des Absatzes seiner Produkte oder Dienstleistungen gerichtet sind. Die Aufforderung zur Teilnahme an Produktumfragen des Unternehmens fällt unter diese Definition, da sie der Absatzförderung der Produkte des Unternehmens dienen kann und soll. Daran ändere auch der Umstand nichts, dass lediglich in der Signaturzeile Hinweise auf Kundenzufriedenheitsumfragen und persönliche Produktempfehlungen zu finden waren und die restliche E-Mail Ausführungen, die den Kunden betrafen, beinhaltete.

Fazit

Online-Händler, die E-Mails zu Werbezwecken versenden, müssen darauf achten, dass sie vorab eine ausdrückliche Einwilligung des Empfängers eingeholt haben. Dies gilt auch für Werbung, die in der Signatur der E-Mail beinhaltet ist.
Seit dem 25. Mai 2018 müssen außerdem die Anforderungen der DSGVO an eine rechtswirksame Einwilligung beachtet werden.

Mehr zur rechtskonformen Einwilligung finden Sie hier.

Der Beitrag AG Bonn: Unzulässige E-Mail Werbung auch im Footer erschien zuerst auf Protected Shops.

Damit Sie überprüfen können, welche Schritte Sie bei der Umsetzung schon abhaken können und an welcher Stelle noch Anpassungsbedarf besteht, haben wir eine Checkliste mit den wichtigsten Änderungen durch die DSGVO zusammengestellt.

1.) Datenschutzerklärung aktualisieren

Jeder Online-Händler ist verpflichtet, eine Datenschutzerklärung auf seiner Shop-Webseite bereitzustellen. Damit diese den neuen Anforderungen der DSGVO gerecht wird, sollten Online-Händler überprüfen, ob in ihrer Datenschutzerklärung alle Pflichtinformationen (Art. 13 DSGVO) enthalten sind. Es muss z.B. darüber informiert werden zu welchem Zweck personenbezogene Daten erhoben werden und wer der Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung seine (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

 2.) Verzeichnis von Verarbeitungstätigkeiten

Um die Einhaltung der Datenschutzgrundsätze nachweisen zu können, müssen Online-Händler ein Verzeichnis von Verarbeitungstätigkeiten führen. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Das Anfertigen und Führen eines Verarbeitungsverzeichnisses ist keine einmalige, sondern fortlaufende Arbeit. Wenn sich etwas an einem Verfahren ändert oder ein neues Verfahren hinzukommt, muss das Verzeichnis aktualisiert werden.

Wir unterstützen Sie bei dieser Arbeit.

3.) Technische und organisatorische Maßnahmen

Neben der Webseite sollten Online-Händler dafür sorgen, dass der Schutz und die Sicherheit der personenbezogenen Daten, die im Unternehmen verarbeitet werden, gewährleistet ist. Wenn keine besonders sensiblen Daten (z.B. Gesundheitsdaten, Daten zur sexuellen Orientierung oder politische Meinungen) gespeichert werden, sind im Regelfall Standardmaßnahmen ausreichend.

Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Um eine hinreichende Datensicherheit zu gewährleisten, muss die Shop-Webseite SSL- verschlüsselt sein. Online-Händler sollten eine Übersicht erstellen, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

Mehr zur den technischen und organisatorischen Maßnahmen erfahren Sie hier.

 4.) DSGVO-konforme Einwilligungen einholen

E-Mail Marketing Maßnahmen sind bei Online-Händlern ein beliebtes Werbemittel. Durch die DSGVO hat sich an der Zulässigkeit dieser Maßnahmen nicht viel geändert. Weiterhin basiert die Verarbeitung personenbezogener Daten zu Werbezwecken auf einer Einwilligung des Empfängers. Online-Händler, die z.B. einen Newsletter versenden, müssen darauf achten, dass die Einwilligung mittels Double-Opt-In Verfahrens (Opt-In-Bestellung und Opt-In Bestätigungsmail, dass Newsletter bestellt werden soll) eingeholt und protokolliert wurde. Weiterhin muss der Adressat des Newsletters vor der Erklärung seiner Einwilligung darüber informiert werden, worin er einwilligt. Wichtig ist auch, dass der Empfänger vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen wird.

5.) Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn ständig 10 oder mehr Personen mit der automatisierten Verarbeitung von Daten befasst sind. Die Voraussetzungen unter denen ein Datenschutzbeauftragter zu bestellen ist, sind erweitert worden. Es ist auch Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn im Unternehmen als Kerntätigkeit besonders sensible Daten (z.B. Daten zur sexuellen Orientierung, Gesundheitsdaten) gesammelt werden. Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Dies gilt auch für den Leiter der IT-Abteilung. Voraussetzung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.

Mehr zum Datenschutzbeauftragten erfahren Sie hier.

6.) Neue Pflichten für Händler

Die DSGVO sieht weitere neue Pflichten für Händler vor wie z.B.  die Pflicht Auskunftsanfragen von Nutzern zu beantworten, die Einhaltung von Löschungsfristen („Recht auf Vergessenwerden“) oder die Herausgabe von gespeicherten personenbezogenen Daten in strukturierter, maschinenlesbaren Format (Recht des Betroffenen auf Datenübertragbarkeit). Weiterhin müssen Online-Händler der Meldepflicht nachkommen. Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Außerdem müssen die von der Datenschutzrechtsverletzung Betroffenen informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Wir unterstützen Sie bei der Umsetzung des Auskunfts- und Löschverlangens.

7.) Auftragsverarbeitung

Wer einen Dienstleister mit der Verarbeitung von Daten beauftragt, benötigt dafür eine korrekte Vereinbarung zur „Auftragsverarbeitung“ (früher: Auftragsdatenverarbeitung). Ein solcher Dienstleister kann beispielsweise ein externes Lohnbüro, ein Newsletter-Versanddienst oder ein Web-Analysedienst („Google Analytics“) sein. Zahlungsdienste wie z.B. PayPal werden nicht als Auftragsverarbeiter eingestuft, da bei ihnen fremde Dienstleistungen in Anspruch genommen werden, bei der keine aktive Verarbeitung der Daten übernommen wird.

Neben einer wirksamen Vereinbarung ist Voraussetzung für die Vergabe zur Auftragsverarbeitung, dass der Auftragnehmer „geeignete technische und organisatorische Maßnahmen“ zur Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet.

Bislang war für eine Vereinbarung zur Auftragsdatenvereinbarung Schriftform (Papier mit Unterschrift) vorgeschrieben. Mit der DSGVO werden auch elektronisch abgeschlossene Vereinbarungen möglich. 

Fazit

Kein Online-Händler kommt an der DSGVO vorbei. Auch wenn die DSGVO schon seit einigen Wochen gilt, müssen Online-Händler sich darüber informieren, welche neue Änderungen umgesetzt werden müssen, um keine Abmahnungen oder Bußgelder zu riskieren.

Der Beitrag Checkliste DSGVO: Welche Änderungen sind von Händlern zu beachten? erschien zuerst auf Protected Shops.

Der Einsatz von Facebook Custom Audience verstößt gegen das Datenschutzrecht. Das hat das Verwaltungsgericht Bayreuth am 08.05.2018 in einem von einem Online-Shopbetreiber geführten Eilverfahren gegen das das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) entschieden.

Was war geschehen?

Ein Online-Shopbetreiber hatte das Werbetool „Custom Audience“ zur Erstellung einer Kundenliste zu Werbezwecken auf seiner Seite im Einsatz. Dabei nutzte der Händler insbesondere E-Mail Adressen seiner Kunden, die im Rahmen des Bestellvorgangs erhoben wurden. Eine Einwilligung der Kunden in die Nutzung ihrer E-Mail Adresse für Custom Audience lag nicht vor.

Das BayLDA ordnete daher in einem Bescheid die Löschung der erstellten Kundenlisten an.

Der Shopbetreiber war der Auffassung, dass sein Vorgehen rechtmäßig war, da er mit Facebook einen Vertrag zur Auftragsdatenverarbeitung geschlossen habe.

Die Entscheidung

Das VG Bayreuth urteilte, dass der Einsatz von Custom Audience ohne vorherige Einwilligung rechtswidrig ist.  Der Shop-Betreiber kann sich bei der Übermittlung der E-Mail Adressen nicht auf die Auftragsdatenverarbeitung als Rechtsgrundlage stützen. Voraussetzung hierfür ist, dass der Auftragnehmer weisungsgebunden ist. Es liege aber alleine im Ermessen von Facebook welcher der Kunden Werbung erhalten und welche nicht. Eine weitere Rechtgrundlage wie das sog. „Listenprivileg“ auf die die Übermittlung der personenbezogenen Daten gestützt werden kann, gebe es nicht, denn bei E-Mail Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs.2 S. 3 BDSG (a.F.) nicht enthalten sind.

Fazit   

Der Beschluss des VG Bayreuth ist nach alter Rechtslage ergangen und nicht rechtkräftig. Nach der seit kurzem geltenden DSGVO dürfte die Entscheidung aber nicht anders ausfallen, da die „Auftragsverarbeitung“ ebenfalls auf eine Rechtsgrundlage gestützt werden muss und es kein „Listenprivileg“ mehr gibt.

Neben der der Entscheidung des VG Bayreuth sollten Shop-Betreiber auch das kürzlich ergangene Urteil des EuGH zu Facebook Fanpages beachten (wir berichteten). Der EuGH entschied, dass Betreiber einer Facebook-Fanpage die datenschutzrechtliche Verantwortung gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Fanpage-Besucher trägt. Die Urteilsgründe könnten sich dabei auch auf Facebook-Tools wie Facebook Custom Audience übertragen lassen.

Angesichts der hohen Bußgelder, die durch die DSGVO drohen, sollten Shop-Betreiber den Einsatz von Facebook Custom Audience überprüfen und nur dann nutzen, wenn alle auf der Liste enthaltenen Kunden vorher eine ausdrückliche und informierte Einwilligung erteilt haben.

Der Beitrag VG Bayreuth: Einsatz von Facebook Custom Audience ohne Einwilligung ist rechtswidrig erschien zuerst auf Protected Shops.

Wie schon nach bisherigen deutschen Datenschutzrecht bleibt auch unter der Datenschutzgrundverordnung das Verbotsprinzip erhalten:
Jegliche Datenverarbeitung ist grundsätzlich unzulässig, es sei denn die DS-GVO erlaubt diese explizit. Hierfür sind mehrere Erlaubnistatsbestände in der DS-GVO verankert, die im folgenden Whitepaper näher erläutert werden sollen.

Die einschlägigen Erlaubnistatsbestände sind:

• Erlaubnis des Nutzers
• Erforderlichkeit zur Durchführung eines Vertrags bzw. im Rahmen vorvertraglicher Maßnahmen
• Datenverarbeitung kraft rechtlicher Verpflichtung
• Aufgrund berechtigter Interessen

Zwei weitere Erlaubnistatbestände sind für Unternehmen praktisch ohne Bedeutung. Diese sind nur für Behörden relevant und werden daher in diesem Whitepaper nicht näher behandelt:

• Zum Schutz lebenswichtiger Interessen
• Bei Ausübung von hoheitlicher Gewalt

Die anderen Erlaubnistatbestände sollen im Weiteren näher erläutert werden.

Einwilligung

Die Einwilligung war nach alter Rechtslage die sicherste aller Rechtsgrundlagen:
Sofern der Nutzer ausreichend informiert wurde, und die Einwilligung freiwillig erteilt hatte, stand einer Datenerhebung und –verarbeitung auf Basis der Einwilligung nichts im Wege.
Dieser Erlaubnistatbestand bleibt auch in der DS-GVO enthalten.

Eine Einwilligung ist definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung. oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.„

Folgende Punkte spielen für die Einwilligung eine Rolle:

1. Persönliche Einwilligung:
Die Einwilligung muss grundsätzlich höchstpersönlich abgegeben werden. Eine Abgabe durch andere Personen ist nur möglich, so es sich hier um reine Boten handelt.

2. Freiwilligkeit der Einwilligung:
Die Einwilligung muss auf der freien Entscheidung des Betroffenen beruhen. Die Entscheidung muss ohne Zwang erfolgen, d.H. der Betroffene muss in der Lage sein, eine echte Wahl zu treffen, ob er die Nutzung seiner Daten erlaubt, wie viele Daten er preisgeben will, und an wen diese Daten gehen dürfen. Vor diesem Hintergrund schwierig sind grundsätzlich Konstellationen wo es ein starkes Ungleichgewicht oder ein Abhängigkeitsverhältnis zwischen Betroffenen und verarbeitender Stelle gibt.

Im Verhältnis von Arbeitgeber und Arbeitnehmer kann die Freiwilligkeit einer Einwilligung hier in Frage stehen, so der Arbeitnehmer Nachteile befürchtet, so er sich der Abgabe seiner Daten verweigert. Beispielsweise, wenn der Arbeitgeber ein Foto des Arbeitnehmer zur Außendarstellung des Unternehmens auf seiner Webseite veröffentlichen will, obwohl der Arbeitnehmer eine solche Präsentation scheut.

Auch darf der Betroffene nicht unter übertriebenen Zeitdruck bei seiner Entscheidung gebracht werden, oder gar überrumpelt werden.

Unfreiwillig ist eine Einwilligung auch, wenn die Datennutzung, in welche eingewilligt wird, mit einer Leistung gekoppelt ist, die für diese nicht erforderlich ist.

Dies gilt etwa für Dienstleistungen, die an den Empfang von Werbung gebunden sind, oder bei welchen der Nutzer in eine Weitergabe seiner Daten an Dritte einwilligen muss, ohne dass dies für die Dienstleistung notwendig wäre.

Auch eine Verknüpfung einer Einwilligung mit der Ankündigung von Nachteilen ist unzulässig. Hiervon betroffen sind jedoch nur Nachteile, welche über die reine Verweigerung einer Leistung hinausgehen, welche aufgrund der fehlenden Einwilligung nicht genutzt werden kann.

3. Bestimmtheit der Einwilligung
Eine Einwilligung muss ausreichend bestimmt sein, so dass der Nutzer weiß, welche seine Person betreffenden Daten zu welchen Zweck vom wem verarbeitet werden und ggfs. an wen weitergegeben werden.
Pauschale, allgemeine Formulierungen oder Blanko-Einwilligungen sind unzureichend.

4. Informiertheit der Einwilligung
Der Betroffene muss ausreichend informiert sein, um seine Entscheidung auf Basis aller notwendigen Informationen zu treffen. Hierfür muss er mindestens den Inhalt der Erklärung erfassen können. Die Informationen sollten klar, verständlich und an einer gebündelten Stelle stehen. Zu kleine Schrift oder schwer lesbare Schriftarten sind genauso unzulässig wie mehrseitige Erklärungen, so diese nicht wirklich für das Verständnis notwendig sind.
Die Einwilligung muss in verständlicher Sprache geschrieben sein.

Folgende Fragen müssen im Vorfeld geklärt werden:

• Wer darf welche Daten nutzen?
• Welchem Zweck dient die Datenverarbeitung?
• Dürfen die Daten weitergegeben werden, und falls dies der Fall ist, an welche Adressaten?
• Wie lange ist die Dauer der Nutzung

5. Unmißverständliche Abgabe der Einwilligung

Die Einwilligung kann in Form einer Erklärung abgegeben werden.

Hier sind nach DS-GVO relativ viele Formen möglich:
Schriftlich, Anklicken einer nicht vorangekreuzten Checkbox, per E-Mail, und unter Umständen durch Einstellung eines Browsers. Auch eine mündliche Erklärung wäre möglich, auch wenn es hier zu Beweisproblemen kommen kann.

Bei der elektronischen Einwilligung soll es nicht zu unnötigen Unterbrechungen kommen, wie etwa durch ablenkende Pop-Ups oder eine komplizierte Benutzerführung.

Auch eine konkludente Handlung ist zulässig, etwa die Einwilligungserklärung mit einem Mausklick auf einem entsprechenden Button der beispielsweise wie folgt beschriftet ist „Ich erkläre meine Einverständnis“.

Schweigen oder Untätigkeit können jedoch im Normalfall keine Einwilligung darstellen. Damit reicht es auch nicht aus, dem Nutzer die Möglichkeit zu geben, vorformulierte Einwilligungserklärungen zu streichen.

6. Besonderheit der besonderen personenbezogenen Daten
Für bestimmte personenbezogene Daten, wie etwa Daten zur rassischen und ethnischen Herkunft, der Religion, Gesundheitsdaten oder solchen zum Sexualleben gilt ein besonderer Schutz.
Diese müssen ausdrücklich in der Einwilligung genannt bzw. herausgestellt werden.

7. Besonderheit bei Minderjährigen
Bei Minderjährigen ist bei der Nutzung von Telemedien eine Einwilligung des Erziehungsberechtigten erforderlich. Die DS-GVO sieht dies bei Kindern und Jugendlichen unter 16 Jahren vor, einzelne Mitgliedstaaten können diese Altersschwelle jedoch herabsetzen. Die unterste Grenze ist das vollendete 13. Lebensjahr.
Eine Ausnahme gibt es nur für an Kinder gerichtete Präventions- und Beratungsseiten.
Wie diese Einwilligung der Eltern im Onlinebereich eingeholt werden kann und wie geprüft werden kann, ob diese wirklich vom Erziehungsberechtigten kommt und diese authentisch ist, ist aktuell noch ein völlig ungelöstes Problem.

8. Nachweispflicht
Der Verantwortliche, also das Unternehmen bzw. der Gewerbetreibende, welcher Daten auf Basis einer Einwilligung verarbeitet, ist nachweispflichtig, dass die Einwilligung vorschriftsgemäß erteilt wurde. Daher muss stets darauf geachtet werden, dass gegebene Einwilligungen ausreichend protokolliert werden

9. Widerruflichkeit der Einwilligung
Die Einwilligung kann jederzeit widerrufen werden, hierauf muss der Nutzer explizit hingewiesen werden. Hierfür ist keinerlei Begründung erforderlich. Ab Widerruf der Einwilligung muss eine weitere Datennutzung unterbleiben, sofern nicht eine andere Rechtsgrundlage einschlägig ist.
Auf die Datenverarbeitung die vor dem Widerruf (in der Vergangenheit) passiert ist, wirkt sich diese jedoch nicht aus!

10. Probleme bei Datenverarbeitung auf Basis einer Einwilligung
Leider verliert die Einwilligung mit der DS-GVO etwas den Status der sichersten Datenverarbeitung.
Denn diverse Unwägbarkeiten wie die fragliche Freiwilligkeit bei Ungleichgewichten und Abhängigkeitsverhältnissen oder die zusätzlich erforderliche Einwilligung der Eltern bei Minderjährigen erschwert es, Daten auf Basis einer Einwilligung zu verarbeiten.
Schwierig ist hier vor allem, dass sich meist erst im Streitfall herausstellt, dass die Einwilligung nicht ausreichend erteilt wurde, oder dass es an der Freiwilligkeit mangelt. Sofern sich die Datenverarbeitung nur auf dieser begründete, war diese vollständig unberechtigt.
Verbunden mit den hohen Bußgeldern, welche die DS-GVO bei Verstößen vorsieht, ist es Unternehmern zu empfehlen, zu prüfen, ob sich die Daten nicht auf Basis anderer Rechtsgrundlagen verarbeiten lassen, welche nachfolgend beschrieben werden.

Zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen

Wie auch schon nach bisheriger Rechtslage dürfen Daten zur Erfüllung eines Vertrages oder für vorvertragliche Maßnahmen verarbeitet werden.

Vorvertragliche Maßnahmen betreffen alle Handlungen, welche für die Anbahnung eines Vertrages notwendig sind, ohne bereits Teil des Vertrages zu sein.
Onlineshops sind im Normalfall so konzipiert, dass die Bestellung des Kunden noch nicht zum Vertragsschluss führt, sondern die Bestellung die Vertragsannahme darstellt, welche vom Onlinehändler angenommen werden muss, damit es zum Vertragsschluss führt.

In dieser Konstellation ist die Bestellung daher eine vorvertragliche Maßnahme, die bei diesere erfolgende Datenerhebung und –verarbeitung unter dieser Rechtsgrundlage erfasst.
Vorvertragliche Maßnahmen müssen jedoch vom Betroffenen ausgehen bzw. auf dessen Antrag basieren. Vertriebliche Maßnahmen wie Cold Calls sind dadurch nicht legitimiert, auch wenn diese zu einem Vertrag führen.

Wichtig ist, dass die erhobenen Daten auch tatsächlich für die Erfüllung des Vertrages bzw. dessen Anbahnung notwendig sind.
Die wesentliche Frage lautet hierbei:
Könnte der Vertrag ohne das Datum oder die Daten sowie zwischen beiden Parteien ausgemacht erfüllt werden?

Um den Kaufvertrag zu erfüllen benötigt ein Onlinehändler in jeden Fall die Kontaktdaten des Adressaten, also E-Mailadresse und postale Adresse. Auch Zahlungsdaten zur Erfüllung der Zahldaten sind essentiell. Bonitätsprüfungen können für den Vertragsschluss notwendig sein, so dies in der vom Kunden gewählten Zahlungsart begründet ist.

Eine Nutzung der E-Mailadresse zum Versand von Newslettern wäre jedoch für den Vertrag nicht erforderlich und kann daher nicht auf diesen Erlaubnistatbestand gestützt werden.
Ebenso wie schon nach bisheriger Rechtslage schwierig ist die Weitergabe von E-Mailadressen an die Versanddienstleister. Unter Onlinehändlern ist diese Praxis Gang und Gäbe und wird auch von Versanddienstleistern oft erwartet. Für den Verbraucher hat dies durchaus Vorteile, erhält er auf diesem Wege doch Informationen über den Sendetermin und –verlauf.

Für den Vertrag erforderlich ist dies jedoch nicht, die Übergabe der postalischen Adresse ist für den Versand ausreichend, weswegen diese Praxis von diesem Erlaubnistatbestand nicht erfasst ist.
Die Beendigung eines Vertrages und nachträgliche Sorgfaltpflichten sind dagegen umfasst.
Nach Beendigung des Vertrages erlischt jedoch die Grundlage. Daten dürfen dann nur weiterverwendet bzw. gespeichert werden, so dies sich aus anderen Erlaubnistatbeständen ergibt.

Datenverarbeitung kraft rechtlicher Verpflichtung

Datenspeicherung, -verarbeitung und –weitergabe kann zulässig sein, weil dies durch Gesetze der Bundesrepublik oder der Europäischen Union vorgesehen ist.
Denkbar sind hier u.A. Steuerrechtliche Vorgaben, oder Gewerberechtliche und Handwerksrechtliche Regelungen oder Vorschriften des Arbeitsrechts, Sozialrechts und des Telekommunikationrechts.

So haben Arbeitgeber nach § 28a SGB IV umfangreiche Meldepflichten an Kranken-, Pflege- und Rentenversicherung. Die zur Erfüllung dieser Pflichten übergebene Daten fallen unter die Datenverarbeitung kraft rechtlicher Verpflichtung.

Datenverarbeitung aufgrund berechtigter Interessen

Daten dürfen verarbeitet werden, sofern diese Datenverarbeitung ein berechtigtes Interesse verwirklichen lässt und das Interesse, die Grundrechte und Grundfreiheiten der betroffenen Personen dem nicht im überwiegenden Maße entgegenstehen.

Dieser in dieser Form neue Erlaubnistatbestand stellt in vieler Weise ein Auffangparagraph auf, der für Unternehmen grundsätzlich viele Möglichkeiten bietet.
Notwendig ist ein berechtigtes Interesse des datenverarbeitendes Unternehmens oder eines Dritten an der Datenverarbeitung. Hier können sowohl wirtschaftliche als auch ideelle Interessen eine Rolle spielen.

Das Bestehen eines Vertragsverhältnisses zwischen Unternehmer und Betroffenen kann hier ein solches Bieten, auch das Interesse des Unternehmens, Direktwerbung an den Betroffenen zu senden, begründet ein solches(Hier haben Betroffene allerdings ein spezielles Widerrufsrecht, wie weiter unten ausgeführt.). Auch die Betrugspräventation oder Maßnahmen zur Verbesserung der IT-Sicherheit können ein solches darstellen.

Beispiele von berechtigten Interessen:

• Recht auf Meinungs- und Informationsfreiheit
• Gewinnerzielung
  o Direktwerbung
  o Übermittlung von Kunden- und Beschätigtendaten innerhalb einer Unternehmensgruppe
• Sicherheitsgründe
  o Betrugsprävention
  o Netz- und IT-Sicherheit
  o Überwachung von Arbeitnehmern
• Durchsetzung von Rechtsansprüchen(Eigenen oder von Dritten)
• Marktforschung
• Wissenschaftliche Forschung

Die Datenverarbeitung, die sich auf berechtigten Interessen begründen soll, muss für die Erfüllung des Interesses erforderlich sein.

Das berechtigte Interesse darf nicht gegen Gesetze oder die datenschutzrechtlichen Grundsätze verstoßen.

Darüber hinaus dürfen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Hierzu ist also eine Abwägung zwischen den berechtigten Interessen und den Rechten und Freiheiten des Betroffenen erforderlich, die für jeden Einzelfall vorgenommen werden muss.
Eine wichtige Rolle spielt hierbei die vernünftige Erwartungshaltung der betroffenen Person bzw. die Absehbarkeit der Verarbeitung. Letztere kann sich aus der Branchenüblichkeit einer solchen Verarbeitung ergeben. Je mehr der Betroffene also bei einer Nutzung von einer Verarbeitung seiner Daten ausgehen kann, desto eher ist diese zulässig.
Einen besonderen Schutz genießen hier Kinder. Sofern deren Daten verarbeitet werden sollen, ist von einem Überwiegen derer Interessen im Normalfall auszugehen.

Widerspruchsrecht:
Der Betroffene hat ein Widerspruchrecht gegenüber einer Verarbeitung auf Grund von berechtigten Interessen.
Legt ein Betroffener gegen eine solche Verarbeitung Widerspruch ein, muss ihm das Unternehmen innerhalb von spätestens einem Monat antworten. Bei hoher Komplexität kann die Frist allerdings um zwei Monate verlängert werden, der Betroffene muss jedoch darüber innerhalb eines Monats mit Begründung der Verzögerung unterrichtet werden

.
Für einen wirksamen Widerruf müssen Gründe vorliegen, welche sich aus der besonderen Situation des Betroffenen ergeben. Denkbar wären besondere familiäre Umstände oder schutzwürdige geschäftliche Geheimhaltungsinteressen.
Beispielsweise könnte eine Betroffene sich dagegen wehren, dass ihre Kontaktadressen verarbeitet werden, da diese von einem Stalker geplagt wird, und befürchtet, dass dieser an ihre Daten gelangt.
Auch bei Vorliegen von Gründen aus der besonderen Situation des Betroffenen kann die Verarbeitung weiterhin zulässig sein.

Etwa bei Vorliegen zwingender schutzwürdiger, überwiegender Gründe für die Verarbeitung.
Auch hier kommt es wieder zu einer Abwägung. Das Unternehmen muss darlegen, warum seine Gründe für die Verarbeitung so wichtig sind, dass diese trotz der besonderen Situation des Betroffenen Bestand haben, und sich diese nur mit Hilfe dieser Verarbeitung realisieren lassen.
Anderseits, wenn die Verarbeitung bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Dies soll verhindern, dass Betroffene das Widerspruchsrecht nutzen, um die Durchsetzung von Rechtsansprüchen zu verhindern.
Das Unternehmen muss allerdings glaubhaft machen, dass solche Rechtsansprüche bestehen, und dass die Verarbeitung für dessen Durchsetzung notwendig sind.

Ein besonderes Widerrufsrecht haben Betroffene hierbei gegen Direktwerbung.
Gegen Verarbeitung welche der Direktwerbung(z.B. Zusendung von Katalogen & Prospekten per Post, Werbe-SMS oder Werbenewsletter) dient, kann jeder Betroffene, dessen personenbezogenen Daten hierfür verarbeitet werden widersprechen.
Hat der Betroffene Widerspruch eingelegt, dürfen seine Daten nicht mehr für Direktwerbung verwendet werden und auch gelöscht werden, so diese nicht aus anderen Gründen weiter gespeichert werden dürfen.

Der Beitrag Rechtsgrundlagen für Datenverarbeitung nach der Datenschutz-Grundverordnung (DS-GVO) erschien zuerst auf Protected Shops.

Was war geschehen?

Der Kläger hat von einem Verlag im Internet ein Freeware –Computerprogramm bezogen. Um die Software herunterladen zu können, musste er u.a. seine E-Mail-Adresse angeben und dem Erhalt von Werbebotschaften durch 25 namentlich benannte Firmen zustimmen. Im Folgenden erhielt der Kläger per E-Mail Werbung für Printprodukte des Verlags, mahnte den Verlag daraufhin ab und forderte ihn auf, seine Daten, insbesondere seine E-Mail Adresse zu löschen und diese auch nicht an Dritte weiterzugeben. Der Verlag weigerte sich die vom Kläger geforderte Unterlassungserklärung zu unterzeichnen, da er der Auffassung war, eine wirksame Einwilligung des Klägers zum Versand von Werbemails an ihn zu besitzen.

Die Entscheidung

Der BGH hielt an seiner früheren Rechtsprechung fest und urteilte, dass eine wirksame Einwilligung nur in Kenntnis der Sachlage erteilt werden kann. Der Verbraucher muss erkennen können, dass seine Erklärung ein Einverständnis darstellt und worauf sie sich bezieht. Eine wirksame Einwilligung in den Empfang elektronischer Post zu Werbezwecken setzt nach Ansicht des BGH auch voraus, dass der Adressat weiß, welche Produkte oder Dienstleistungen welcher Unternehmen sie konkret erfasst. Die vom Kläger erteilte Einwilligung genüge diesen Anforderungen nicht, da sie nicht ausreichend konkret formuliert sei.

Konkrete Produkte müssen benannt werden

Aus der vom Kläger erteilten Einwilligung gehe nicht hervor, auf welche Produkte und Dienstleistungen sich diese bezieht. Es seien zwar 25 Firmen namentlich benannt worden von denen der Kläger künftig E-Mails zu Werbezwecken erhalte, was aber nicht ausreiche. Es müsse ausdrücklich benannt werden, für welche Produkte und Dienstleistungen die Firmen werben, denn alleine aus dem Firmennamen könne nicht auf die zur zukünftigen Bewerbung anstehenden Produkte geschlossen werden. Die Liste mit den benannten Unternehmen sei im konkreten Fall unübersichtlich, da darunter auch Marketingunternehmen waren, welche selbst Werbekampagnen für andere Unternehmen entwerfen und durchführen.

Fazit

Online-Händler, die Werbe-Emails auf Basis einer Einwilligung an Kunden verschicken, müssen die im Newsletter beworbenen Produkte immer auf die Ähnlichkeit mit den von dem jeweiligen Kunden bestellten Produkten überprüfen. Vertreibt der Händler Waren aus mehreren Produktgruppen, müssen diese auch in der Einwilligungserklärung aufgeführt werden. Zudem sollten Händler stets darauf achten, dass die Einwilligungserklärung übersichtlich und transparent gestaltet ist. Sonst kann es leicht passieren, dass die Einwilligung für unwirksam erklärt wird, wodurch die darauf basierende Werbung unzulässig ist. Der Nutzer muss sich stets bewusst sein können, in welche Nutzung seiner Daten er einwilligt.

Der Beitrag BGH: Einwilligung zu Werbe-Emails darf nicht unbestimmt sein erschien zuerst auf Protected Shops.

Wer Werbung per E-Mail versenden will, braucht dazu die Einwilligung der Empfänger. Lediglich in Ausnahmefällen ist diese entbehrlich. Das dürfte mittlerweile bekannt sein. Was jedoch als Werbung anzusehen ist, beschäftigt immer wieder die Gerichte. Mit Urteil vom 24.04.2016 (AZ: 14 U 1773/15) hat nun das Oberlandesgericht (OLG) Dresden Kundenzufriedenheitsanfragen und Danksagungen nach Beantwortung als Werbung eingestuft. Entsprechende E-Mails, die ohne vorherige Einwilligung versendet werden, sind unzulässig.

Was war passiert?

Nachdem ein Kunde in einem Webshop Waren bestellt hatte, wurde er per E-Mail gebeten, sein Einkaufserlebnis durch Teilnahme an einer Kundenzufriedenheitsbefragung zu bewerten. Nach Beantwortung der Fragen erhielt er eine weitere E-Mail, in der sich der Unternehmer für das Feedback unter anderem mit der Formulierung am Ende „Gerne würden wir Sie auch weiterhin als zufriedenen Kunden betreuen dürfen.“ bedankte. Der Empfänger war der Auffassung, dass es sich bei den E-Mails um Werbung handele, die nur mit entsprechender Einwilligung versendet werden dürfen. Da er eine solche aber nicht abgegeben hatte, forderte er Unterlassung.

Feedbackanfragen nur mit Einwilligung

Zu Recht wie das OLG entschied. Sowohl die Bitte um Teilnahme an der Kundenzufriedenheitsbefragung als auch die anschließende Danksagung sind als Werbung einzustufen. Werbung ist dabei jede Äußerungen mit dem Ziel der Absatzförderung. Die E-Mails stellen eine Kundennachbetreuung dar, durch die der Käufer den Eindruck erhält, man bemühe sich auch nach der Bestellung um ihn. Das diene der Kundenbindung und führt im besten Fall zur Weiterempfehlung oder weiteren Vertragsabschlüssen.

Die Feedbackanfrage und die anschließende Dankes-E-Mail stellen mithin Werbung für das Unternehmen dar, für deren Versendung eine entsprechende Einwilligung des Empfängers erforderlich ist. Für die Beurteilung ist dabei unerheblich, dass der Empfänger zuvor eine Bestellung im Webshop getätigt hatte.

Einwilligung nur ausnahmsweise entbehrlich

Eine Ausnahme vom Erfordernis der Einwilligung besteht nur in engen gesetzlichen Grenzen, nämlich dann, wenn der Unternehmer die E-Mail-Adresse, die er im Zusammenhang mit dem Verkauf von Waren vom Kunden erhalten hat, zur Direktwerbung für eigene ähnliche Produkte nutzt. Mit Feedbackanfragen wird jedoch keine Werbung für einzelne Artikel, sondern für das ganze Unternehmen gemacht. Die genannten Voraussetzungen dürften folglich – wenn überhaupt – nur in wenigen Ausnahmefällen erfüllt sein (etwa bei einem sehr beschränkten Warenangebot im Shop).

Derzeitiger Stand der Rechtsprechung

Auch das AG Düsseldorf (Urt. v.27.10.2014, AZ: 20 C 6875/14) und das AG Hannover (Urt. v. 03.04.2013, AZ: 550 C 13442/12) teilen die Ansicht des OLG Dresden, dass es sich bei Feedbackanfragen um Werbung handelt, für die eine Einwilligung des Empfängers erforderlich ist.

Hingegen war das LG Coburg (Urt. v. 17.02.2012, AZ: 33 S 87/11) der Meinung, dass, sofern es sich bei Feedback-Anfragen überhaupt um Werbung handelt, diese zumindest nicht unzumutbar seien. Denn sie stellen nicht überwiegend Werbemaßnahmen, sondern Kundenservice dar. Vor allem im Zusammenhang mit einem vorangegangenen Geschäftskontakt sei die Frage nach seiner Zufriedenheit für den Kunden nicht offenkundig als Werbung anzusehen. Darüber hinaus seien derartige Bitten um Feedback im heutigen Geschäftsverkehr üblich.

Fazit

Die Einschätzung, dass es sich bei Feedback-Anfragen um E-Mail-Werbung handelt, für die eine vorherige Einwilligung des Empfängers erforderlich ist, ist in der Rechtsprechung weit verbreitet. Online-Händlern kann daher nur geraten werden, eine entsprechende Einwilligung ihres Kunden einzuholen, bevor sie nach dessen Meinung über das Produkt und den Bestellablauf fragen. Andernfalls drohen Abmahnungen und Gerichtsverfahren.

Das gilt umso mehr, da auf Grund einer Gesetzesänderung seit einiger Zeit auch Verbände – etwa die Verbraucherzentralen – berechtigt sind, gegen Datenschutzverstöße vorzugehen.

Der Beitrag Abmahngefahr: Keine Feedbackanfragen ohne vorherige Einwilligung erschien zuerst auf Protected Shops.

Nachdem der „Gefällt mir“-Button von Facebook seitens des LG Düsseldorf als datenschutzwidrig eingestuft wurde, müssen sich Webseitenbetreiber fragen, ob auch andere Tools, die das Social Network anbietet, rechtskonform eingesetzt werden können. Für Online-Händler dürfte vor allem die rechtliche Einstufung des Facebook Besucherpixels interessant sein.

Conversion Tracking

Mit dem Facebook Pixel kann die Effektivität von Werbeanzeigen, die auf Facebook geschaltet wurden, über die Plattform hinaus analysiert werden. Wird das Pixel beispielsweise auf der Seite eines Webshops eingebunden, verfolgt es den Weg desjenigen nach, der auf die Werbeanzeige geklickt hat. So erfährt der Händler, ob der Interessent das beworbene Produkt kauft und wie lange er für den Abschluss der Bestellung braucht.

Personenbezug ja oder nein?

Die Bewegungsdaten werden in einem Cookie gespeichert, der zu diesem Zweck auf dem Rechner des Webseitenbesuchers abgelegt wird. Das Erheben, Speichern und Nutzen von Daten unterliegt jedoch strengen gesetzlichen Vorgaben. Welche das sind hängt zunächst davon ab, ob die erhobenen Daten personenbezogen sind, also einer bestimmten oder bestimmbaren Person zugeordnet werden.

Einwilligung des Webseitenbesuchers erforderlich

Hat der Betreiber eines Webshops bereits den Namen, die Anschrift und die E-Mail-Adresse eines Kunden im Rahmen einer Bestellung gespeichert und fügt er diesen Angaben die Informationen aus dem Facebook Pixel hinzu, sind die Daten zum Surfverhalten personenbezogen. Der Shop-Betreiber muss sich an die Vorgaben des Bundesdatenschutzgesetzes (BDSG) halten. Dieses fordert die Einwilligung des Betroffenen in die Erhebung, Speicherung und Nutzung seiner Daten, sofern es an einer gesetzlichen Ermächtigung fehlt.

Keine gesetzliche Erlaubnis für Tracking-Daten

Letztere besteht z.B. für Daten, die für die Vertragserfüllung erforderlich sind. Im Fernabsatz muss der Verkäufer den Namen und die Anschrift des Käufers kennen, um die bestellten Waren an ihn versenden zu können. Für die Erhebung und Verwendung dieser Informationen benötigt er folglich keine Einwilligung des Kunden. Anders ist das bei den Tracking-Daten aus dem Facebook Pixel. Diese dienen der Optimierung von Produktwerbung. Sie sind für die Vertragserfüllung nicht erforderlich. Ihre Erhebung, Speicherung und Nutzung bedarf deshalb der Zustimmung des Betroffenen.

Keine Einwilligung bei anonymen Daten

Eine Einwilligung ist jedoch entbehrlich, wenn ein Rückschluss auf die Identität des Betroffenen ausgeschlossen ist, weil die Informationen aus dem Pixel anonymisiert oder pseudonymisiert werden. Die Tracking-Daten dürften folglich nicht mit dem Kundenprofil verbunden werden. Zu beachten ist in diesem Zusammenhang, dass auch die IP-Adresse vielfach als personenbezogenes Datum eingestuft wird. Auch sie muss deshalb anonymisiert werden. Sind die erhobenen Daten nicht personenbezogen, genügt es, wenn der Shop-Betreiber den Webseitenbesucher innerhalb der Datenschutzerklärung auf das Tracking hinweist und darüber aufklärt, dass und wie einer künftigen Datenerhebung widersprochen werden kann (sog. Opt Out Funktion).

Verknüpfung der Tracking-Daten mit dem Facebook-Profil

Das Problem beim Einsatz des Facebook Pixels ist jedoch, dass das darüber ermittelte Surfverhalten an das Social Network übermittelt und dort mit dem Profil des Betroffenen verbunden wird. Auch wenn der Online-Händler die Tracking Daten ohne Personenbezug speichert, muss er eine Einwilligung seiner Webseitenbesucher einholen. Und zwar bevor das Pixel anfängt, Informationen zu sammeln. Das verlangen übrigens auch die Nutzungsbedingungen von Facebook beim Einsatz des Pixels.

Einholen der Einwilligung im Webshop

Die Einwilligung kann z.B. über ein Banner oder ein Pop Up-Fenster eingeholt werden. Dort muss der Betroffene über den Einsatz des Pixels informiert und über dessen Funktionsweise aufgeklärt werden. Dazu kann ein Link auf die Datenschutzerklärung gesetzt werden, in der die Art, der Umfang und der Zweck der Datenerhebung, -speicherung und –nutzung verständlich erläutert wird. Die Einwilligung muss nachfolgend durch aktives Tun (Opt In) des Seitenbesuchers erfolgen, etwa durch Anhaken einer entsprechenden Checkbox oder Klick auf einen Button.

Nach erteilter Zustimmung kann dann die Webseite neu geladen und so das Facebook Pixel aktiviert werden.

Abmahnung, Bußgeld, Vertragsstrafe – Folgen bei Nichtbeachtung

Wer gegen die gesetzlichen Vorgaben verstößt, riskiert nicht nur behördliche Sanktionen wie Bußgelder, sondern auch Abmahnungen. Denn seit einer entsprechenden Gesetzesänderung sind nunmehr auch Verbände – wie die Verbraucherzentralen – berechtigt, gegen Datenschutzverstöße mittels Abmahnung oder Gerichtsverfahren vorzugehen.

Im Fall des Facebook Pixels besteht zudem die Gefahr, dass das Social Network gegen Webseitenbetreiber vorgeht, die keine Einwilligung ihrer Besucher einholen.

Da die Datennutzung seitens Facebook von Datenschützern als unzulässig angesehen wird, kann ein Restrisiko bei der Verwendung des Pixels nicht ausgeschlossen werden.

Der Beitrag Facebook Pixel – Einwilligung der Webseitenbesucher erforderlich erschien zuerst auf Protected Shops.