von Adrian Peters | Jul 19, 2024 | Internetrecht
Kunden müssen über den Verkauf eines Online-Shops und die Übertragung ihrer Daten informiert werden
Wenn ein Online-Shop verkauft wird, stellt der bestehende Kundenstamm einen wichtigen Bestandteil des Wertes dar. Der Verkauf des Shops darf jedoch nicht ohne die Information der Kunden über den Verkauf und die damit verbundene Übertragung ihrer Daten erfolgen. Je nachdem, wie lange die letzte Bestellung eines Kunden zurückliegt, gibt es unterschiedliche Anforderungen an die Informationspflicht.
E-Mail als geeignetes Kommunikationsmittel für die Kundeninformation
Um den organisatorischen Aufwand für die Erfüllung der Informationspflichten zu minimieren, eignet sich der Versand von E-Mails am besten. Dabei ist jedoch das Verbot unerwünschter Werbung gemäß § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten. Dieses Gesetz besagt, dass Werbung per E-Mail eine ausdrückliche Einwilligung der Empfänger erfordert. Enthält die E-Mail neben Informationen über den Verkauf des Online-Shops auch werbliche Inhalte, wird die gesamte Nachricht als werbliche Kommunikation eingestuft und darf ohne Einwilligung der Empfänger nicht versendet werden.
Handelt es sich jedoch ausschließlich um sachliche Informationen über den Verkauf des Shops, die damit verbundene Datenverarbeitung und die Rechte der Kunden, so wird dies als Unternehmenskommunikation betrachtet und fällt nicht unter das Werbeverbot. In solchen Fällen ist keine Einwilligung der Kunden erforderlich.
Verzicht auf Werbung in der Benachrichtigung über den Verkauf des Online-Shops
Um rechtlich sicher zu handeln, sollte eine E-Mail, die den Kunden über den Verkauf des Shops und die Übertragung der Kundendaten informiert, frei von jeglicher Werbung sein. Dies bedeutet, dass weder Produktbeschreibungen, Preisangaben, noch Anmeldelinks für Newsletter, Rabattaktionen, Gutscheincodes oder Werbeslogans enthalten sein dürfen. Die E-Mail sollte sich ausschließlich auf die Informationen über den Verkauf und die damit verbundenen Rechte der Kunden konzentrieren.
Unterschiedliche Anforderungen je nach Zeitpunkt der letzten Bestellung
Die Anforderungen an die Informationspflicht hängen davon ab, wie lange die letzte Bestellung des Kunden zurückliegt. Kunden, die innerhalb der letzten drei Jahre eine Bestellung getätigt haben, müssen lediglich über den Verkauf des Shops und den geplanten Datentransfer informiert werden. Dabei muss ihnen auch die Möglichkeit eingeräumt werden, der Übertragung ihrer Daten zu widersprechen. Hierfür ist eine Frist von mindestens drei Wochen vorgesehen.
Kunden, deren letzte Bestellung mehr als drei Jahre zurückliegt, müssen nicht nur über den Verkauf informiert werden. In diesen Fällen ist es erforderlich, dass der Kunde der Übertragung seiner Daten ausdrücklich zustimmt. Ohne diese Einwilligung darf der Datentransfer nicht erfolgen.
Für weitere rechtliche Fragen kontaktieren Sie uns gern unter unserer Kanzleiadresse sbs-legal.de
Der Erstkontakt zu SBS LEGAL ist kostenlos.
von Adrian Peters | Jan 16, 2023 | Datenschutz, Internetrecht
Millionen Nutzer durch Datenlecks bei Facebook und Twitter betroffen
Durch eine Sicherheitslücke bei Twitter haben Hacker Millionen von persönlichen Daten erlangt. Das Ausmaß ist erheblich, so sollen rund 400 Millionen Nutzer des sozialen Netzwerks betroffen sein. Immer wieder hört man von Datenlecks im Internet, besonders Twitter und Facebook hatten im letzten Jahr immer wieder für Aufsehen gesorgt, durch zahlreiche Schlagzeilen, wo es um Sicherheitslücken der Plattformen ging.
Was spricht man von einem Datenleck?
Von einem Datenleck spricht man, wenn private Informationen eines Nutzers offengelegt werden. Datenlecks können demnach unabsichtlich geschehen, wenn auf die Datensicherheit nicht genug geachtet wurde oder auch durch einen geplanten Angriff von Hackern, welche sich derartige Sicherheitslücken zunutze machen, um an die persönlichen Daten der Nutzer zu gelangen.
Sind meine Daten betroffen?
Hacker haben es besonders auf die sensiblen Daten abgesehen wie Namen, Nutzernamen, Passwörter, E-Mail-Adressen oder auch Bankdaten.
Warum werden Daten meine gehackt?
Hacker, oder auch Cyberkriminelle, haben es auf private und vertrauliche Informationen abgesehen aus verschiedenen Gründen. Beweggründe können sein, diese Daten zu verkaufen, oder weiterzuverwenden. Häufig werden die Daten dann verwendet, um mit diesen dann Phishing zu betreiben. Unter Phishing versteht man das Benutzen von fremden Daten, um vertrauenswürdig zu wirken und so andere Personen zu täuschen. Häufig ist das Ziel von Phishing an weitere Daten zu kommen, Leute zu erpressen, oder durch Bankzugänge an Geld zu gelangen.
Datenlecks gibt es schon lange…
Hacker werden immer aktiver, statistisch gesehen steigen von Jahr zu Jahr die Angriffe im Internet. So hatte das Jahr 2021 im Vergleich zu 2020 nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI), einen Anstieg von 22 % mit 144 Millionen neuen Schadvarianten. Datenlecks und Cyberangriffe von Hackern reichen dabei von Privatpersonen, über Online-Plattformen, bis hin zu Krankenhäusern. Besonders große und schnell wachsende Unternehmen sind betroffen, da bei diesen die Wahrscheinlichkeit für Lücken in der Datensicherheit häufig höher liegen. So war zum Beispiel während der Pandemie die Nachfrage für Lieferdienste sehr hoch und viele neue Lieferanten sind auf den Markt gekommen, in der Folge wurde immer wieder von Sicherheitslücken berichtet.
Datenleck bei Facebook
Facebook machte Schlagzeilen Anfang 2021, als eine halbe Milliarde persönliche Facebook Daten weltweit offengelegt wurden. Darunter waren rund 6 Millionen deutsche Nutzer. Der Mutterkonzern von Facebook namens Meta soll 265 Millionen Euro bezahlen, weil das Datenleck aufgrund von eigenen Versäumnissen bestand. Facebook hat allerdings die Strafe noch nicht bezahlt und geht gegen die Geldbuße gerichtlich vor.
Datenleck bei Twitter
Neben Facebook sind auch andere soziale Netzwerke von Datenlecks betroffen, besonders Twitter hat in der letzten Zeit für Aufsehen in der Datensicherheit gesorgt. Hacker hatten durch ein Datenleck, welches vermutlich aus dem Jahr 2021 stammt, Zugriff auf 400 Millionen Nutzerdaten erhalten und diese anschließend zum Verkauf angeboten. Zunächst hatte ein Hacker namens „Ryushi“ den Twitter-Inhaber Elon Musk Ende 2022 dazu aufgefordert, die Daten selbst aufzukaufen, mit den Worten „Um zu vermeiden, dass Sie in der EU 276 Millionen US-Dollar Strafe zahlen müssen, wie Facebook es getan hat, ist Ihre beste Option der exklusive Kauf dieser Daten.“, für die Daten wollte Hacker „Ryushi“ von Musk 200.000 US-Dollar, im Gegenzug versprach „Ryushi“, die von ihm gesammelten Daten nach Geldeingang zu löschen und niemanden sonst anzubieten.
Dass es sich um keine leere Behauptung hielt, wurde spätestens dann klar, als die Hacker Daten von bekannten Persönlichkeiten, wie dem Sänger Shawn Mendes, dem Basketballspieler Stephen Curry, oder dem Model Cara Delevinge, veröffentlichten. Am 23.12.2022 meldete dann die irische Datenschutzbehörde DPC einen Fall von Datendiebstahl in Höhe von 5,4 Millionen Datensätzen bei Twitter, aus demselben Datenleck soll auch „Ryushi“ die Daten bezogen haben. Die Behörde ermittelt, ob die Daten aufgrund von Verstößen gegen die europäische Datenschutzgrundverordnung (DSGVO) gestohlen worden sind.
Da es vermehrt auf vielen sozialen Netzwerken zu Hacker Angriffen gekommen ist, wie bei Facebook und Twitter, besteht die Gefahr, dass Hacker mehrere personenbezogene Daten verknüpfen, um so noch mehr Informationen über eine Person zu erlangen. Das macht das Auftreten der Hacker dann noch glaubwürdiger und für die betroffene Person noch gefährlicher.
Erst vor wenigen Tagen wurde dann bekannt, dass eine Twitter Datenbank mit 235 Millionen Einträgen scheinbar frei verfügbar ist, dies teilte der israelische Sicherheitsforscher Alon Gal mit. Dabei sei ziemlich sicher, dass diese von dem Hackerangriff Ende Dezember stammen, wo die 400 Millionen Daten, der Twitter Nutzer, erbeutet wurden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Internetnutzern, regelmäßig zu überprüfen, ob Ihre Daten bei bekannt gewordenen Datenlecks gestohlen worden sind. SBS LEGAL berät Sie gerne, wenn es um ihre Sicherheit im Internet, oder andere datenschutzrechtliche Themen geht.