Beitrag aktualisiert am 28. August 2020
Mit der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) gelten einheitliche Standards für den Datenschutz in der gesamten EU. Auch für Onlinehändler ist damit das Thema Datenschutz in den Fokus gerückt. Wir zeigen, worauf es beim Datenschutz für Onlineshops ankommt, worauf geachtet werden muss und welche Auswirkungen die DSGVO für Onlineshops hat.
Welche Auswirkung hat die DSGVO für Onlineshops?
Wer innerhalb der EU gewerbsmäßig Waren oder Dienstleistungen anbietet, der unterliegt automatisch den Regeln der DSGVO. Das betrifft sowohl Webseitenbetreiber, Blogger, Influencer und Onlineshops, aber auch stationäre Händler und Dienstleister. Dadurch sollen in erster Linie Kunden vor dem Missbrauch ihrer personenbezogenen Daten geschützt werden. Verstöße gegen diese Regelungen können mit empfindlichen Geldstrafen belegt werden.
Was sind überhaupt personenbezogene Daten?
Nach dem Gesetzgeber zählen zu den personenbezogenen Daten alle Informationen, die „sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Darunter zählen also alle Daten, die zu einer bestimmten Person zugeordnet werden können. Im Online-Bereich fallen darunter also auch technische Daten, wie beispielsweise Cookies oder die genutzte IP-Adresse.
Wie muss die DSGVO für Onlinehändler umgesetzt werden?
Um rechtlich auf der sicheren Seite zu sein und damit auch mögliche kostspielige Abmahnungen zu vermeiden, sollten Onlineshop-Betreiber entsprechende Maßnahmen ergreifen:
1. Rechtssichere Datenschutzerklärung
Auch der Webseite eines Onlineshops muss transparent und leicht zugänglich jedem Besucher einer Datenschutzerklärung zur Verfügung gestellt werden. Laut Art. 13 DSGVO muss die Datenschutzerklärung folgende Angaben enthalten:
- Die Identität des Verantwortlichen
- Die Kontaktmöglichkeiten des Datenschutzbeauftragten
- Angaben über die Rechtsgrundlage und die Zwecke der Verarbeitung von Daten
- Die Aufklärung über das berechtigte Interesse an der Weiterverarbeitung der Daten.
- Angaben über die Empfänger der Daten, wenn diese weitergegeben werden
- Speicherdauer der personenbezogenen Daten
- Aufklärung zu den Rechten der Betroffenen
- Information über die Verpflichtung zur Bereitstellung der personenbezogenen Daten, z.B. zum Zweck eines Vertragsabschlusses.
Diese Informationen müssen den Betroffenen auch bereitgestellt werden, wenn z.B. Kontaktformulare genutzt werden. Speziell dabei gilt es auf das Prinzip zur Datenminimierung zu achten. Das bedeutet, dass nur wirklich relevante Daten abgefragt werden.
2. Ausdrückliche Einwilligung bei Newslettern
Wer seine Kunden oder Interessen mit einem Newsletter über Neuigkeiten oder spezielle Angebote informieren will, der muss aus datenschutzrechtlicher Sicht insbesondere auf folgende Dinge achten:
- Es muss eine ausdrückliche Einwilligung zum Erhalt des Newsletters durch den Kunden oder Interessenten abgegeben werden.
- Die Einwilligung in den Erhalt des Newsletters muss freiwillig erfolgen und darf nicht an andere Handlung, beispielsweise den Bestellprozess gekoppelt sein.
- Falls der Newsletter-Versand von einem externen Dienstleister durchgeführt wird, muss sichergestellt sein, dass auch dieser DSGVO-konform arbeitet.
- Empfänger des Newsletters müssen auf die vorhandene Datenschutzerklärung hingewiesen werden.
- Die Sammlung der Kontaktadressen muss dokumentiert und ihr Ursprung klar sein.
Für das Einholen einer ausdrücklichen Einwilligung empfiehlt sich das Double-Opt-In-Verfahren. Nach der Anmeldung zu einem Newsletter erhält der Kunde oder Interessent hierbei zuerst eine Mail mit einem Bestätigungslink. Nur, wenn der Bestätigungslink durch den Empfänger aktiv geklickt wurde, darf die Einwilligung als ausdrücklich angesehen werden.
3. DSGVO-konforme Verträge mit Dienstleistern
Nutzt ein Onlineshop-Betreiber externe Dienstleister zur Durchführung seines Geschäfts, beispielsweise bei der Rechnungsstellung, dem Forderungsmanagement, Marketingsoftware oder Tracking Tools, so müssen diese durch spezielle Verträge zur Auftragsdatenverarbeitung legitimiert sein. Diese müssen dabei ebenso den Anforderungen der DSGVO entsprechen, was bedeutet:
- Verantwortliche der Datenverarbeitung müssen benannt sein.
- Wie, warum und über welchen Zeitraum werden die Daten verarbeitet?
- Welche konkreten Datenschutzmaßnahmen sind getroffen?
- Um welche Art von personenbezogenen Daten handelt es sich?
- Besteht eine Vertraulichkeitsverpflichtung gemäß Art. 24 + 28 III DSGVO?
- Sind Subunternehmer in den Datenverarbeitungsprozess eingezogen, wenn ja, welche?
- Wie erfolgt die Löschung der personenbezogenen Daten?
4. Bestellung eines Datenschutzbeauftragten
Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht gemäß Art. 37 DSGVO für Unternehmen, deren Hauptgeschäftstätigkeit in der systematischen Verarbeitung und Überwachung personenbezogener Daten besteht. Um eine vollständige Rechtssicherheit zu erlangen, empfiehlt es sich aber auch für „normale“ Onlinehändler, einen Datenschutzbeauftragten zu bestellen. Dieser Unterstützt und überwacht die Einhaltung der Regularien des DSGVO. Natürlich können Sie sich auch selbst in dem Themengebiet weiterbilden. Dafür finden Sie auf datenschutzexperten.de das passende Datenschutz-Seminar.
Wer schreibt hier: Torsten Seidel
Gambio Shop-Einrichtung und Pflege
Mehr über den Autor...