Datenschutz beim Online-Einkauf

Das Ziel von E-Commerce, von Geschäften im Internet, ist in erster Linie, Geld zu verdienen. Für E-Commerce-Anbieter bedeutet das vor allem, für ihre Kunden attraktive Angebote zu entwickeln und umzusetzen. Für gute Kundendienstleistungen sind vertrauensvolle Kundenbeziehungen erforderlich. Dafür brauchen die Dienstleister Wissen über ihre Kunden. Zum Einen suchen die Anbieter Wissen über individuelle Kunden, um die Bindung zu diesen herzustellen oder zu verbessern. Zum Anderen suchen sie Wissen über ihre Kunden im Allgemeinen, um ihr Angebot entsprechend zu entwickeln. Im Internet verschärft sich dieses Informationsbedürfnis, weil der Anbieter seine Kunden nicht kennt und ihnen auch nicht begegnet. E-Commerce-Angebote benötigen daher noch erheblich mehr Wissen über die Kunden als herkömmliche Produkt- und Dienstleistungsangebote.

E-Commerce findet weltweit statt. Ebenso ist Datenschutz weltweit ein Problem. Er kann nicht mehr allein auf der Ebene eines Staates oder auch nur der Europäischen Union gewährleistet werden. Die Globalisierung der Wirtschaft und die weltweite Vernetzung erzwingen den Blick für die globale Dimension dieser Herausforderung. Alle Staaten der Informationsgesellschaft haben in der Sache die gleichen Probleme.

In unserer heutigen Informationsgesellschaft gehört der Datenschutz zu den wesentlichen Akzeptanzproblemen für die Nutzung der Neuen Medien und ist damit auch ein Grund, warum das so euphorisch prognostizierte Wachstum im E-Commerce noch nicht in dem von vielen erwarteten Maß eingetreten ist.

Als das Projekt 1998 gestartet wurde, betraten sowohl die DZ BANK als auch das Bundesministerium für Wirtschaft und Technologie Neuland. Noch nie zuvor wurde ein Forschungsprojekt an eine Bank vergeben, noch nie zuvor hatte sich die DZ BANK um die Durchführung eines Forschungsprojekts bemüht.

Im Zug eines Warenkaufs oder der Inanspruchnahme einer Dienstleistung über das Internet, angefangen beim ersten Zugriff auf die Web-Seite eines Anbieters über den Bestell- und Bezahlvorgang bis hin zum abschließenden Leistungsaustausch, fallen beim Händler (Anbieter) zahlreiche Daten über den Kunden (Nutzer) an. Dabei werden zum Einen Angaben beim Kunden selbst erfragt, in erster Linie durch das auszufüllende elektronische Bestellformular. Der Kunde gibt Informationen über seine Person mehr oder weniger bewusst preis. Zum Anderen hinterlässt er — in der Regel von ihm unbemerkt — durch die Nutzung des Internet vielfältige „elektronische Spuren“. Mittels Auswertung von Server-Log-Files und des Einsatzes von Cookies sind die Anbieter in der Lage, Zeitpunkt und Ablauf der Nutzung sowie den gesamten Entscheidungsprozess eines Nutzers präzis nachzuvollziehen und auf Basis dieser Informationen ökonomisch wertvolle Konsumentenprofile zu bilden.¹ Zum wirksamen Schutz der informationellen Selbstbestimmung der betroffenen Kunden setzt das deutsche Datenschutzrecht den Händlern allerdings enge Grenzen für den Umgang mit personenbezogenen Daten und fordert die Einhaltung besonderer Angebots- und Informationspflichten.²

In Kapitel 5 sind die rechtlichen Anforderungen, die sich aus dem TDDSG und dem BDSG für das Anwendungsfeld des Interneteinkaufs ergeben, dargestellt worden. Bisher weitgehend unberücksichtigt geblieben ist dabei die Frage der technischen und organisatorischen Umsetzung der normativen Ziele. In diesem Kapitel sollen nunmehr für die Praxis der Datenverarbeitung im Internet Optionen zur technischen und organisatorischen Absicherung und Unterstützung der Einhaltung und Erfüllung rechtlicher Vorgaben aufgezeigt werden.

Um zur in Kapitel 8 dargestellten DASIT-Lösung zu gelangen, mussten im Projektverlauf vielfältige Gestaltungsentscheidungen getroffen werden, die neben den in Kapitel 5 dargestellten rechtlichen Anforderungen und den in Kapitel 6 beschriebenen Gestaltungsmöglichkeiten weitere Kriterien wie Akzeptanz, Verfügbarkeit und Wirtschaftlichkeit beachten mussten. Die wichtigsten Gestaltungsalternativen und -entscheidungen werden im Folgenden beschrieben.

Die im Rahmen des Forschungsprojekts DASIT erarbeitete Lösung stellt eine umfassende Umsetzung aller Anforderungen des TDDSG hinsichtlich der Anforderungen für den elektronischen Einkauf im Internet dar. Bei der Konzeption des DASIT-Systems (kurz DASIT) wurde im Besonderen darauf Wert gelegt, soweit möglich existierende und weitverbreitete Standards einzusetzen, um zum einen die Isolierung von DASIT von realen Systemen zu vermeiden und zum anderen eine möglichst breite Basis an Software nutzen zu können. Dieser Ansatz ermöglicht ein hohes Maß an Flexibilität, da DASIT hierdurch weitgehend unabhängig von der konkreten Software eines bestimmten Herstellers ist. Flexibilität war eines der Designziele, um die Integration von DASIT mit vertretbarem Aufwand in existierende Systeme von Anbietern vornehmen zu können. Der Nachweis hierfür wurde im Rahmen eines Feldversuchs erbracht, in dem DASIT an das System der Internet-Mall My Shop der RBG „angeschlossen“ wurde.

Die Erprobung von DASIT sollte nachweisen, dass die Anforderungen des TDDSG in der Praxis erfüllt werden, und dokumentieren, inwieweit die umgesetzte Lösung von den Beteiligten bezüglich der Technik, des Aufwands (Installation, Handhabung, Bearbeitungszeit) und der Kosten (Anschaffungskosten für Händler, Anbieter und Kunden) akzeptiert werden kann. Aus der Erprobung sollten vor allem konstruktive Hinweise gewonnen werden, die DASIT-Lösung auf dem Weg zu einem Produkt weiter zu verbessern.

Um die für DASIT entwickelten Prototyptechnik in der alltäglichen Nutzung¹ zu erproben und zu evaluieren, wurden ein vierwöchiger Feldtest und eine Simulationsstudie durchgeführt.²

In diesem Kapitel wird die Markt- und Praxistauglichkeit des DASIt-Prototypen diskutiert und aus verschiedenen Blickwinkeln betrachtet.

Wie im Kapitel 8 bereits beschrieben, hat der DASIT Prototyp eine Anzahl von datenschutzrechtlichen Anforderungen durch technische Maßnahmen realisiert. Komplementär dazu sind heute eine Reihe von vergleichbaren Technologien und Hilfsmitteln zur Erreichung von verbessertem Datenschutz durch Technik verfügbar.

Durch DASIT werden die Datenschutzanforderungen vorbildlich umgesetzt. Mit ihm kann ein Online-Händler die Anforderungen des TDDSG und des BDSG an das Einkaufen und Bezahlen im Internet erfüllen. Er kann problemlos seinen Informationspflichten nachkommen, die für die Vertragserfüllung erforderlichen Daten erheben und verarbeiten und den Kunden bitten, in die Verarbeitung und Nutzung zusätzlicher Informationen durch elektronische Signatur einzuwilligen. Er kann dem Kunden die Möglichkeit bieten, pseudonym einzukaufen und zu bezahlen, und ihm ermöglichen, im gleichen Medium seine gesetzlichen Rechte auszuüben.