DSGVO & Online-Shops

Von Abmahnungen bis Bußgeldern: Wie Online-Shop-Betreiber die DSGVO-Fallen vermeiden und ihre Kunden schützen

Fachlich geprüft von: Caroline Schmidt Caroline Schmidt
(27 Bewertungen, 3.26 von 5)

Das Wichtigste in Kürze

  • Als Onlineshop-Betreiber müssen Sie Ihre Datenschutzerklärung prüfen und für die DSGVO aktualisieren.
  • Für Analysetools und Cookies benötigt Ihr Shop eine echte Einwilligung über ein Consent Tool.
  • Seiten mit Kontaktformularen, Kundenkonten und Bestellprozesse müssen SSL-verschlüsselt sein.

Worum geht's?

Die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DSGVO) ist mittlerweile seit 2018 in Kraft. Online-Shop-Betreiber und Website-Betreiber sollten nach über fünf Jahren alle gesetzlichen Vorgaben der Verordnung umgesetzt haben. Aber ist dem wirklich so? Ist Ihr Online-Shop DSGVO-konform? Welche Regelungen müssen Online-Shop-Betreiber beachten und welche Auswirkungen haben Verstöße? Mehr dazu in unserem Artikel.

1. Personenbezogene Daten laut DSGVO: Online-Shops sollten diese Punkte beachten

Die DSGVO nimmt nicht nur Webseitenbetreiber, Influencer oder Blogger in die Pflicht. Auch alle Online Shops sind von den gesetzlichen Vorgaben der DSGVO betroffen. Für Shopbetreiber gewinnt der ohnehin schon wichtige Datenschutz mit Inkrafttreten der DSGVO noch mehr Bedeutung, um Kunden effektiven Schutz vor Datenmissbrauch zu bieten. Als Kunde ist die DSGVO von praktischer Relevanz, da sie das Recht an den eigenen Daten schützt und missbräuchliche Vorgehensweisen mit empfindlichen Sanktionen belegt.

Der Schutz von personenbezogenen Daten ist der Dreh- und Angelpunkt bei der Anwendung der DSGVO. Personenbezogene Daten wurden vor der Verabschiedung der Richtlinie durch § 3 Bundesdatenschutzgesetz (kurz: BDSG) erfasst. In Artikel 4 DSGVO finden Sie eine Definition durch den Gesetzgeber.

Demnach ermöglichen personenbezogene Daten die Zuordnung von Informationen zu einer konkreten Person.

Wichtig für die Betreiber von Online Shops: Unter den Begriff der personenbezogenen Daten fallen auch technische Eckdaten wie die IP-Adresse oder genutzte Cookies.

Sören Siebert
Sören SiebertRechtsanwalt

Die Umsetzung der DSGVO im täglichen Geschäftsverkehr und die rechtssichere Implementierung von geeigneten Maßnahmen zum Datenschutz ist im Online-Handel eine wichtige Aufgabe, die durch zahlreiche Einzelschritte gekennzeichnet ist.

2. Datenschutzerklärung in Online-Shops

Händler müssen auf ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Eine Erklärung zum Datenschutz ist nicht erst durch die DSGVO gesetzlich normiert – durch die Richtlinie stiegen aber die Anforderungen, die der Gesetzgeber an die daran geknüpfte Informationspflicht stellt. Artikel 13 DSGVO zählt die Angaben explizit auf, die in einer DSGVO-konformen Datenschutzerklärung enthalten sein müssen. Dazu gehören unter anderem:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
    Praxishinweis: Die DSGVO verbietet prinzipiell die Verarbeitung von personenbezogenen Daten – es sei denn, die Verarbeitung wird durch das Gesetz erlaubt oder der Betroffene willigt selbst ausdrücklich in die Verarbeitung ein.
  • Berechtigtes Interesse
    Praxishinweis: Wenn Sie als Shopbetreiber an der Weiterverarbeitung von personenbezogenen Daten ein berechtigtes Interesse haben, müssen Sie dieses nachweisen – gem. Artikel 6 Absatz 1 Iit. f DSGVO muss die Datenschutzerklärung eine Aufklärung darüber enthalten. In der Regel ist das zum Beispiel dann der Fall, wenn Sie die Daten an einen Dienstleister weitergeben, der Ihr Forderungsmanagement übernimmt.
  • Empfänger
    Praxishinweis: Wenn Sie personenbezogene Daten weitergeben, müssen Sie die Betroffenen darüber informieren, wer diese Daten erhält.
  • Dauer der Speicherung von personenbezogenen Daten
    Praxishinweis: Eine dauerhafte Speicherung ist gemäß den Vorschriften der DSGVO nicht gestattet. Die temporäre Speicherung muss präzise angegeben sein und darf nicht durch schwammige Ausdrücke verschleiert werden.
  • Rechte der Betroffenen
    Praxishinweis: Nutzer haben gemäß DSGVO einen Anspruch darauf, über ihre Rechte in Bezug auf den eigenen Datenschutz aufgeklärt zu werden. Auch dieser Aufklärungspflicht müssen Sie als Online Händler nachkommen und Auskunft zu Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit geben.
  • Verpflichtung zur Bereitstellung personenbezogener Daten
    Praxishinweis: Wenn personenbezogene Daten notwendig sind, müssen Kunden wissen, welche Folgen die Nichtbereitstellung hat. Im Online Handel sind personenbezogene Daten notwendig, um einen Vertragsschluss herbeizuführen. Ohne Daten kein Vertrag – informieren Sie Ihre Kunden und potenzielle Interessenten darüber.

Sie haben noch keine Datenschutzerklärung für Ihren Online-Shop?

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

3. Kontaktformulare in Onlineshops

Online Shops bieten durch Kontaktformulare die Möglichkeit, unkompliziert mit dem Online Händler in Verbindung zu treten. Die DSGVO sieht auch hier einen erhöhten Schutzbedarf für Verbraucher, da regelmäßig persönliche Daten abgefragt werden. Mit der Umsetzung der EU-Richtlinie müssen die genutzten Kontaktformulare das Erfordernis nach einem datenschutzkonformen Vorgehen erfüllen. Für Shopbetreiber heißt das konkret: Wenn Sie ein Kontaktformular einsetzen möchten, müssen Sie User auf Ihrer Webseite vor der Benutzung des Formulars informieren über:

  • Art, Umfang und Zweck der Datenabfrage sowie
  • die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten.

PRAXIS-TIPP

Beachten Sie immer das Prinzip der Datenminimierung gemäß Artikel 5 DSGVO und fragen Sie nur die Daten ab, die Sie tatsächlich benötigen.

4. Newsletter und E-Mail-Marketing

Wer zusammen mit dem Online Shop auch Online-Marketing-Maßnahmen betreibt, der nutzt dafür in vielen Fällen einen Newsletter, der über die E-Mail-Adresse zugestellt wird. Für die Versender von Newslettern brachte die DSGVO keine großen Veränderungen mit sich, denn die bisherige Regelung über das BDSG und das Digitale-Dienste-Gesetz (kurz DDG (ehemals TMG)) erfährt durch die DSGVO keine grundlegende Modifizierung.

Die Newsletter, die von Ihnen im Rahmen des E-Mail-Marketings versendet werden, können also auch in Zukunft zu geschäftlichen Zwecken eingesetzt werden – Voraussetzung ist lediglich, dass

  • ein Vertrag zur Auftragsverarbeitung mit den Dienstleistern besteht, die den Versand des Newsletters ermöglichen;
  • der externe Dienstleister ebenfalls DSGVO-konform arbeitet;
  • der Empfänger des Newsletters ausdrücklich die Einwilligung zur Datenverarbeitung erteilt hat;
  • diese Einwilligung nachgewiesen werden kann;
  • die Einwilligung freiwillig erfolgt und nicht an die Vornahme anderer Handlungen geknüpft ist (sogenanntes Kopplungsverbot);
  • der Empfänger des Newsletters auf die DSGVO-konforme Datenschutzerklärung hingewiesen wurde;
  • der Ursprung für die Sammlung an Kontaktdaten klar und dokumentiert ist.

Bestehende E-Mail-Listen von Abonnenten sollten bereits den Kriterien der DSGVO entsprechen. Achten Sie unbedingt darauf, dass die Abonnenten alle eine Einwilligung erteilt haben. Ist dem nicht so, passen Sie dies an.

Möchten Sie neue E-Mail-Adressen sammeln, nutzen Sie das Double-Opt-In-Verfahren: Dabei erhält der künftige Newsletter-Abonnent nach dem Eintragen der E-Mail-Adresse eine Bestätigungsmail, in der ein Aktivierungslink enthalten ist. Erst wenn dieser durch Klick bestätigt wurde, ist die ausdrückliche Zustimmung zum Newsletter-Empfang erteilt.

Zum Beitrag

PRAXIS-TIPP

Weiterhin gilt, dass Sie als Shopbetreiber keine Werbemails versenden dürfen, wenn Sie nicht explizit eine Einwilligung dafür im Vorfeld eingeholt haben – weder an Privatpersonen noch im B2B-Bereich an andere Unternehmen. Die sogenannte Kaltakquise bleibt verboten: Sie dürfen an niemanden ohne Zustimmung eine werbliche E-Mail schicken. Weitere Informationen zu diesem Thema finden Sie in unserem Artikel "Kundenakquise: Ist Direktwerbung nach der DSGVO noch erlaubt?".

Zum Beitrag

5. Wann müssen sich Shops um Auftragsverarbeitung kümmern? 

Damit Shopbetreiber alle notwendigen Prozesse rund um die eigenen Angebote und Verkäufe wirtschaftlich gestalten können, werden regelmäßig Dienstleistungen von externen Dienstleistern in Anspruch genommen. Das sind zum Beispiel Anbieter zur Rechnungsabwicklung, aber auch andere externe Tools des CMS, Newslettersoftware oder Marketing und Tracking Tools wie Google Analytics.

Das Outsourcing setzt voraus, dass der Dienstleister außerhalb Ihres Unternehmens Zugriff auf Ihre Kundendaten hat. Der Vorgang wurde früher durch § 11 BDSG erfasst und in speziellen Verträgen, auch Verträge zur Auftragsverarbeitung (kurz: AV) genannt, geregelt. Damit diese auch der DSGVO entsprechen, prüfen Sie folgendes:

Checkliste:
Die DSGVO verlangt, dass ein Vertrag zur AV insbesondere die folgenden Fragen beantwortet:
  • Wer ist für die Datenverarbeitung verantwortlich?
  • Welche Daten werden über welchen Zeitraum verarbeitet?
  • Wie und warum werden die Daten verarbeitet?
  • Welcher Art sind die personenbezogenen Daten?
  • Wie ist die Weisungsbefugnis zwischen Auftraggeber und Auftragnehmer geregelt?
  • Gibt es eine Verpflichtung zur Vertraulichkeit gemäß Art. 24 und Art. 28 III DSGVO?
  • Welche technischen und organisatorischen Maßnahmen für den Datenschutz wurden getroffen?
  • Welche Subunternehmer werden hinzugezogen?
  • Wie unterstützt der Auftragsverarbeiter den Auftraggeber bei der Verarbeitung der personenbezogenen Daten in Bezug auf Löschung, Meldung von Verstößen etc.?
  • Wie werden personenbezogene Daten zurückgeführt oder gelöscht, wenn die Auftragsdatenverarbeitung abgeschlossen ist?
  • Welche Kontrollrechte bestehen aufseiten des für die Verarbeitung Verantwortlichen und welchen Duldungspflichten unterliegt der Auftragsverarbeiter?

 

Zum Artikel

PRAXIS-TIPP

DSGVO-konforme Musterverträge sind bei Abschluss neuer und bei der Anpassung bereits bestehender Vertragsverhältnisse eine praktische Hilfestellung, die sich individuell auf Ihre Bedürfnisse als Shopbetreiber abstimmen lassen. Sofern Sie Daten in die USA oder Drittländer übermitteln, nutzen Sie die Standardvertragsklauseln der EU (SCC). Details finden Sie in unserem Artikel "Neue Standardvertragsklauseln: Das müssen Sie jetzt tun".

Zum Artikel

6. Benötigen Online Shops einen Datenschutzbeauftragten?

Unternehmen sind unter anderem gemäß Artikel 37 DSGVO verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn ihre Kerntätigkeit bzw. das Hauptgeschäftsfeld des Unternehmens in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht. Zudem müssen Unternehmer einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (Artikel 38 BDSG).

Wenn Sie als Shopbetreiber hundertprozentig rechtssicher agieren wollen (und auch die übrigen Vorgaben des DSGVO umsetzen müsssen, aber nicht wissen wie), dann sollten Sie als Shopbetreiber einen Datenschutzbeauftragten bestellen.

7. Bußgelder und Abmahnungen für Shopbetreiber

Der EU-Gesetzgeber weist dem Verbraucherschutz und der Wahrung des Verbraucherschutzes durch die DSGVO eine übergeordnete Priorität zu. Um diese wirksam und einheitlich europaweit durchzusetzen, ist ein Verstoß gegen die DSGVO mit strengen Sanktionen belegt. Die bei einem Verstoß gegen das früher geltende Bundesdatenschutzgesetz drohenden Strafen wurden durch die DSGVO deutlich verschärft.

 

Bundesdatenschutzgesetz

Datenschutzgrundverordnung

maximales Bußgeld bei Verstoß

300.000 Euro

20 Millionen Euro / 4 % vom weltweiten Jahresumsatz (je nachdem, was höher ist)

Gesetzesgrundlage

§§ 43, 44 BDSG

Art. 83, 84 DSGVO

Ansprüche der Betroffenen

Schadenersatz gegen den Verursacher gem. §§ 7, 8 BDSG und deliktische Ansprüche gem. §§ 823, 831, 824 und 826 BGB

Schadenersatz gem. Art. 82 I DSGVO als Direktanspruch auch gegen den Datenverarbeiter

Bei der Bemessung des DSGVO-Bußgeldes wird primär auf die Schwere des Verstoßes abgestellt. Die Bemessungskriterien werden durch einen Katalog in Art. 83 II DSGVO normiert und richten sich nach:

  • der Art und Weise des Verstoßes
  • dem Vorsatz oder der Fahrlässigkeit des Verstoßes
  • den Maßnahmen des Verantwortlichen, um den entstandenen Schaden zu reduzieren
  • dem Umfang der Verantwortung
  • dem Ausmaß bereits früherer Verstöße gleicher Art
  • der Bereitschaft zur Zusammenarbeit mit der Aufsichtsbehörde
  • der Kategorie der Daten, die betroffen sind
  • der konkreten Umstände des Verstoßes und den daraus entstandenen Vor- und Nachteilen für den Verursacher und den Betroffenen.

Durch die DSGVO wurden die Sanktionen bei Verstößen gegen datenschutzrechtliche Vorschriften deutlich angehoben. Zeitgleich steigen die Anforderungen an den Datenschutz und an die Pflicht, Maßnahmen diesbezüglich nachvollziehbar zu dokumentieren.

WICHTIG

Neben den oben erwähnten Sanktionsmöglichkeiten entsteht auch die Option, dass Abmahnungen durch direkte Mitbewerber oder von Wettbewerbs- und Verbraucherschutzverbänden auf den Weg gebracht werden können.

8. Checkliste: Das müssen Shopbetreiber zur DSGVO konkret tun

Sie sollten als Betreiber eines Online-Shops die DSGVO und die datenschutzkonforme Datenverarbeitung für Ihre Kunden und Interessenten gewährleisten können.

Folgende Punkte sollten Online-Shop-Betreiber beachten:
Checkliste:
  • Datenschutzerklärung: Überprüfen Sie die auf Ihrer Webseite vorhandene Erklärung zum Datenschutz auf ihre DSGVO-Konformität hin und passen Sie sie – falls nötig - an. Sind Sie zur Stellung eines Datenschutzbeauftragten verpflichtet, muss dieser in der Datenschutzerklärung namentlich aufgeführt werden.
  • Formulare: Überprüfen Sie alle Formulare, die auf Ihrer Webseite zum Einsatz kommen und unterziehen Sie diese einer kritischen Prüfung vor dem Hintergrund der DSGVO. Fragen Sie nur die Daten ab, die Sie tatsächlich benötigen!
  • Übertragung: Wird Ihre Webseite per SSL-Verschlüsselung übertragen? Wenn Sie unsicher sind oder eine Umstellung beabsichtigen, ist der Kontakt zum Provider der erste Schritt in die richtige Richtung.
  • Analyse-Tools: Wenn Kunden und Besucher statistisch durch spezielle Tools erfasst werden, müssen die IP-Adressen der User so anonymisiert werden, dass kein Personenbezug mehr besteht. Es muss für die User auch möglich sein, der Erfassung zu widersprechen – die „Ausstiegsklausel“ können Sie auf der Seite mit der Datenschutzerklärung einrichten.
  • Cookies: Auch der Benutzung von Cookies müssen User durch die DSGVO explizit zustimmen. In Ihrem Online-Shop können Sie einen Hinweis zu den verwendeten Cookies so einrichten, dass er beim ersten Besuch erscheint. Usern steht es frei, diesen Hinweis explizit zu bestätigen.
  • Newsletter: E-Mail-Marketing per Newsletter können Sie auch vor dem Hintergrund der DSGVO betreiben. Nutzen Sie das Double-Opt-In-Verfahren, damit der Vorgang den gesetzlichen Vorgaben entspricht.
  • Dokumentation: Die DSGVO verlangt von Ihnen in Artikel 5 Absatz 2 DSGVO als Online Händler, dass Sie die Einhaltung der gesetzlichen Vorschriften nachweisen können - dokumentieren Sie daher die Rechtmäßigkeit der Vorgänge. Legen Sie ein Verzeichnis an, mit dem Sie Verarbeitungsvorgänge transparent nachweisen.
  • Schutz für Minderjährige: Um Daten minderjähriger User zu verarbeiten, bedarf es der expliziten Einwilligung durch einen Erziehungsberechtigten. Die verwendeten Onlineprozesse müssen daher so ausgerichtet sein, dass sie diesen Umstand berücksichtigen.

9. Fazit

Um als Online Shop Betreiber die Vorgaben der DSGVO einzuhalten, sind viele To-Dos zu beachten. eRecht24 hilft Ihnen gern dabei.

Website absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare und Know-How
Website absichern

 

  

 

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details