Mit der stetigen Digitalisierung des Handels stellt auch der Datenschutz auf Plattformen wie eBay eine Herausforderung dar. Gerade bei Online-Auktionen und -Marktplätzen entstehen im Minutentakt personenbezogene Informationen, deren Schutz im Lichte gesetzlicher Vorgaben und fortlaufender technischer Entwicklungen wie Künstliche Intelligenz oder Blockchain-Lösungen kontinuierlich überprüft und nachjustiert werden muss.
Seit dem 21. April 2025 gelten aktualisierte Datenschutzbestimmungen bei eBay, die maßgeblich durch die DSGVO und ergänzende europäische wie internationale Rechtsakte geprägt sind.
Anwendungsbereich und Grundsatzfragen der eBay-Datenschutzerklärung
Die aktuellen Datenschutzregelungen von eBay erfassen sämtliche Nutzungskonstellationen der Plattform – unabhängig davon, ob der Zugriff über die Webseite, eine mobile Anwendung oder andere Tools erfolgt. Die Datenerhebung und -verarbeitung orientiert sich dabei an einem funktionsbezogenen Ansatz: Schon bei der Kontoerstellung oder bei jeder späteren Nutzung werden unterschiedliche personenbezogene Daten erhoben. Die Datenschutzerklärung schließt ausdrücklich sämtliche verbundenen Unternehmen und deren Anwendungen oder Services ein. Wesentliche Änderungen treten ab dem angegebenen Inkrafttretensdatum in Kraft und werden den Nutzerinnen und Nutzern transparent im System (z.B. über persönliche Benachrichtigungen) und/oder per E-Mail mitgeteilt. Ergänzt wird die Regelung um Hinweise zu regionalen Besonderheiten, etwa durch nationale Vorschriften oder die aktuelle Entwicklung europäischer und internationaler Datenschutzstandards.
Verantwortlichkeit und rechtliche Grundlagen
Für die Verarbeitung personenbezogener Daten ist jeweils dasjenige eBay-Unternehmen verantwortlich, das dem Nutzungsort bzw. der Region zugeordnet ist. Dies betrifft insbesondere die Unterscheidung zwischen allgemeinen Dienstleistungen und Zahlungsdiensten für Verkäufer. Während die Struktur die Verantwortung klar verteilt, werden sämtliche Unternehmen der eBay-Gruppe durch verbindliche unternehmensinterne Regeln (Binding Corporate Rules, BCRs) sowie von der EU-Kommission genehmigte Standarddatenschutzklauseln (2021/914/EU) zu einheitlichen, hohen Datenschutzstandards verpflichtet. Die Verantwortung umfasst auch die Einhaltung von Informationspflichten aus Artikel 13 und 14 DSGVO, die Pflicht zur Bestellung eines Datenschutzbeauftragten sowie die Sicherstellung einer transparenten und nachvollziehbaren Datenverarbeitung.
Einwilligung, Widerruf und Widerspruch
Bereits im Anmeldeprozess bedarf es der ausdrücklichen Zustimmung zu
AGB und Datenschutzerklärung von eBay. Maßgeblich ist hier das Prinzip der informierten Einwilligung: Nutzerinnen und Nutzer werden über die Art der verarbeiteten Daten und Verarbeitungszwecke informiert und können zustimmen oder ablehnen. Nach der DSGVO lässt sich jede einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Darüber hinaus besteht das Widerspruchsrecht gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO). Das Widerrufs- und Widerspruchsmanagement ist Teil des eBay-interne Datenschutzzentrums, über das sämtliche Anfragen einfach und unentgeltlich gestellt werden können. Ist ein Antrag offensichtlich unbegründet oder exzessiv, kann unter engen gesetzlichen Voraussetzungen eine angemessene Gebühr verlangt oder der Antrag abgelehnt werden.
Verarbeitung und Nutzung personenbezogener Daten einschließlich KI und Blockchain
Zweckbindung und DatenkategorienDie Datenerhebung erstreckt sich auf alle für das Nutzerkonto und die Plattformtransaktionen erforderlichen Informationen: Name, Adressdaten, Zahlungsinformationen, Kontaktverläufe, aber auch Angaben, die aus anderen Quellen wie Wirtschaftsauskunfteien oder verbundenen Dienstleistern stammen. Die Verarbeitung dient einer Vielzahl von Zwecken: Bereitstellung und Verbesserung der Plattform, Kundenservice, Betrugsvermeidung, behördliche Pflichten, Marketing und insbesondere seit kurzem dem Training von KI-Modellen.
Künstliche Intelligenz (KI)Seit April 2025 informiert eBay proaktiv darüber, dass personenbezogene Daten im Rahmen der Entwicklung und des Trainings von KI-Systemen verarbeitet werden können. Die Nutzung basiert dem Selbstverständnis der Plattform zufolge nicht auf sensiblen Daten wie religiöser Überzeugung oder sexueller Orientierung. Für diese Kategorien bedürfte es einer ausdrücklichen Einwilligung der Nutzerinnen und Nutzer. Problematisch bleibt die Umsetzung des „Rechts auf Vergessenwerden“ (Art. 17 DSGVO) im KI-Zusammenhang: Ein KI-Modell ist keine klassische Datenbank – einmal ins Modell eingegangene Daten lassen sich technisch nicht ohne weiteres selektiv entfernen. eBay begegnet diesem Dilemma mit Maßnahmen zur Datenschutzminimierung, setzt aber im Wesentlichen darauf, personenbezogene Daten nicht hervorhebbar für KI-Trainingsprozesse zu verwenden. Die Datenschutzbehörden beobachten diesen Bereich aktuell besonders kritisch und betonen die Rechte auf Widerspruch und umfassende Transparenz.
Die Entwicklungen sind eng an die 2025 in Kraft getretene EU-KI-Verordnung (KI-VO) geknüpft, die ein hohes Schutzniveau für Grundrechte und Datensicherheit voraussetzt. Anbieter und Nutzer von KI-Systemen – also auch eBay – sind verpflichtet, ein Mindestmaß an KI-Kompetenz sicherzustellen, insbesondere im Hinblick auf die Anforderungen an diskriminierungsfreie und transparente Systeme. Praktisch wird der operative Vollzug zahlreicher Vorschriften aber erst ab August 2026 gefordert.
Blockchain-Technologie und UnveränderlichkeitNeue Marktmodelle und Echtheitszertifikate werden auf Basis öffentlicher Blockchains realisiert. Der Transparenzvorteil der Blockchain bringt datenschutzrechtlich erhebliche Herausforderungen mit sich, denn auf einer öffentlichen Blockchain gespeicherte personenbezogene Informationen lassen sich weder nachträglich verändern noch löschen. Dieser Technologie-immanente Umstand kollidiert mit dem Recht auf Löschung; konkrete Lösungsmöglichkeiten bieten sich bislang nicht, sodass eBay im Falle personenbezogener Daten auf der Blockchain faktisch keine Löschoption bereitstellen kann.
Betroffenenrechte und Umsetzung
Die DSGVO verleiht allen betroffenen Personen ein Bündel von Rechten, deren Wahrnehmung auch auf Plattformen wie eBay aktiv unterstützt werden muss. Dazu zählen insbesondere:
- Auskunftsrecht (Art. 15 DSGVO): Jede Person kann vom Verantwortlichen eine Übersicht zu den über sie gespeicherten Daten, deren Herkunft und Verarbeitungszwecke verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Fehlerhafte oder veraltete Angaben sind nach Antrag zu berichtigen.
- Recht auf Löschung („Vergessenwerden“) nach Art. 17 DSGVO: Betroffene Daten müssen gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten oder andere rechtliche Gründe gegen eine Löschung sprechen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und das Recht auf Widerspruch (Art. 21 DSGVO): Diese Rechte können direkt über das eBay-Datenschutzzentrum ausgeübt werden.
- Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO): Unabhängig von den Möglichkeiten bei eBay steht betroffenen Personen immer der Weg zur Datenschutzaufsichtsbehörde offen.
Praktisch hat die Umsetzung dieser Rechte auf eBay bislang keine nennenswerten Beanstandungen durch Behörden oder Gerichte ausgelöst, gleichwohl sehen sich Plattformen einer ständigen Prüfung durch Aufsichtsbehörden gegenüber. Von besonderer Bedeutung bleibt der Umgang mit Löschanfragen im Kontext technischer Besonderheiten von KI und Blockchain.
Internationale Datentransfers und Datenschutz
eBay ist ein global agierender Marktplatz. Die Übertragung von personenbezogenen Daten in Drittländer – insbesondere außerhalb der EU – erfolgt ausschließlich auf Basis geeigneter Garantien: verbindliche unternehmensweite Datenschutzgrundsätze (BCRs), offizielle Standardvertragsklauseln oder expliziten Einwilligungen der Betroffenen. Für Nutzende in der EU ergibt sich daraus ein Schutzniveau, das dem europäischen Standard entspricht. Gleichwohl wird explizit darauf hingewiesen, dass die Weitergabe und Verarbeitung durch Drittanbieter (z.B. Zahlungsdienstleister oder Logistikpartner) durch eigene Datenschutzerklärungen geregelt sein kann. Hier gilt es, Besonderheiten je nach Region und beteiligtem Vertragspartner zu berücksichtigen.
Datensicherheit und technischer Schutz
Die Absicherung personenbezogener Daten gegen unbefugten Zugriff, Verlust, Cyberangriffe oder andere Risiken erfolgt durch ein mehrstufiges Sicherheitskonzept: Technische und organisatorische Maßnahmen umfassen beispielsweise Netzwerksicherheitsdienste, Verschlüsselungstechnologien, Zugriffsbeschränkungen und einen durchgängigen Kontrollprozess. Mit Blick auf die zunehmende Nutzung von KI ist eBay verpflichtet, sowohl eigene als auch fremde KI-Systeme entlang der rechtlichen Vorgaben technisch und organisatorisch abzusichern. Die Plattform informiert regelmäßig über neue Maßnahmen und Sicherheitsstandards und unterliegt dabei fortlaufender Kontrolle durch nationale und europäische Stellen. Entsprechende Informationen werden im Sicherheitsportal publiziert und sind für betroffene Personen jederzeit einsehbar.
Anpassung an aktuelle und künftige Entwicklungen
Die laufende Anpassung der eBay-Datenschutzbestimmungen folgt – wie in der Erklärung ausdrücklich geregelt – internationalen, europäischen und nationalen Gesetzesneuerungen. Besonders relevant sind die Änderungen durch die KI-Verordnung auf EU-Ebene, die wachsende Bedeutung automatisierter Entscheidungsfindung und die Herausforderungen bei der Durchsetzung des Löschrechts in neuen technischen Kontexten. Mit Blick auf die Zukunft müssen insbesondere KI-gestützte Prozesse so gestaltet werden, dass sie Betroffenenrechte respektieren und technisch wie organisatorisch abgesichert sind. Die Zusammenarbeit mit Datenschutzaufsichtsbehörden und die Proaktivität bei der Information der Nutzerinnen und Nutzer bilden ein weiteres zentrales Element der datenschutzrechtlichen Strategie von eBay.
