Worum geht's?
Die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DSGVO) ist mittlerweile seit 2018 in Kraft. Online-Shop-Betreiber und Website-Betreiber sollten nach über fünf Jahren alle gesetzlichen Vorgaben der Verordnung umgesetzt haben. Aber ist dem wirklich so? Ist Ihr Online-Shop DSGVO-konform? Welche Regelungen müssen Online-Shop-Betreiber beachten und welche Auswirkungen haben Verstöße? Mehr dazu in unserem Artikel.
1. Personenbezogene Daten laut DSGVO: Online-Shops sollten diese Punkte beachten
Die DSGVO nimmt nicht nur Webseitenbetreiber, Influencer oder Blogger in die Pflicht. Auch alle Online Shops sind von den gesetzlichen Vorgaben der DSGVO betroffen. Für Shopbetreiber gewinnt der ohnehin schon wichtige Datenschutz mit Inkrafttreten der DSGVO noch mehr Bedeutung, um Kunden effektiven Schutz vor Datenmissbrauch zu bieten. Als Kunde ist die DSGVO von praktischer Relevanz, da sie das Recht an den eigenen Daten schützt und missbräuchliche Vorgehensweisen mit empfindlichen Sanktionen belegt.
Der Schutz von personenbezogenen Daten ist der Dreh- und Angelpunkt bei der Anwendung der DSGVO. Personenbezogene Daten wurden vor der Verabschiedung der Richtlinie durch § 3 Bundesdatenschutzgesetz (kurz: BDSG) erfasst. In Artikel 4 DSGVO finden Sie eine Definition durch den Gesetzgeber.
Demnach ermöglichen personenbezogene Daten die Zuordnung von Informationen zu einer konkreten Person.
Wichtig für die Betreiber von Online Shops: Unter den Begriff der personenbezogenen Daten fallen auch technische Eckdaten wie die IP-Adresse oder genutzte Cookies.
Die Umsetzung der DSGVO im täglichen Geschäftsverkehr und die rechtssichere Implementierung von geeigneten Maßnahmen zum Datenschutz ist im Online-Handel eine wichtige Aufgabe, die durch zahlreiche Einzelschritte gekennzeichnet ist.
2. Datenschutzerklärung in Online-Shops
Händler müssen auf ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Eine Erklärung zum Datenschutz ist nicht erst durch die DSGVO gesetzlich normiert – durch die Richtlinie stiegen aber die Anforderungen, die der Gesetzgeber an die daran geknüpfte Informationspflicht stellt. Artikel 13 DSGVO zählt die Angaben explizit auf, die in einer DSGVO-konformen Datenschutzerklärung enthalten sein müssen. Dazu gehören unter anderem:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
Praxishinweis: Die DSGVO verbietet prinzipiell die Verarbeitung von personenbezogenen Daten – es sei denn, die Verarbeitung wird durch das Gesetz erlaubt oder der Betroffene willigt selbst ausdrücklich in die Verarbeitung ein. - Berechtigtes Interesse
Praxishinweis: Wenn Sie als Shopbetreiber an der Weiterverarbeitung von personenbezogenen Daten ein berechtigtes Interesse haben, müssen Sie dieses nachweisen – gem. Artikel 6 Absatz 1 Iit. f DSGVO muss die Datenschutzerklärung eine Aufklärung darüber enthalten. In der Regel ist das zum Beispiel dann der Fall, wenn Sie die Daten an einen Dienstleister weitergeben, der Ihr Forderungsmanagement übernimmt. - Empfänger
Praxishinweis: Wenn Sie personenbezogene Daten weitergeben, müssen Sie die Betroffenen darüber informieren, wer diese Daten erhält. - Dauer der Speicherung von personenbezogenen Daten
Praxishinweis: Eine dauerhafte Speicherung ist gemäß den Vorschriften der DSGVO nicht gestattet. Die temporäre Speicherung muss präzise angegeben sein und darf nicht durch schwammige Ausdrücke verschleiert werden. - Rechte der Betroffenen
Praxishinweis: Nutzer haben gemäß DSGVO einen Anspruch darauf, über ihre Rechte in Bezug auf den eigenen Datenschutz aufgeklärt zu werden. Auch dieser Aufklärungspflicht müssen Sie als Online Händler nachkommen und Auskunft zu Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit geben. - Verpflichtung zur Bereitstellung personenbezogener Daten
Praxishinweis: Wenn personenbezogene Daten notwendig sind, müssen Kunden wissen, welche Folgen die Nichtbereitstellung hat. Im Online Handel sind personenbezogene Daten notwendig, um einen Vertragsschluss herbeizuführen. Ohne Daten kein Vertrag – informieren Sie Ihre Kunden und potenzielle Interessenten darüber.
Sie haben noch keine Datenschutzerklärung für Ihren Online-Shop?
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei in wenigen Schritten
3. Kontaktformulare in Onlineshops
Online Shops bieten durch Kontaktformulare die Möglichkeit, unkompliziert mit dem Online Händler in Verbindung zu treten. Die DSGVO sieht auch hier einen erhöhten Schutzbedarf für Verbraucher, da regelmäßig persönliche Daten abgefragt werden. Mit der Umsetzung der EU-Richtlinie müssen die genutzten Kontaktformulare das Erfordernis nach einem datenschutzkonformen Vorgehen erfüllen. Für Shopbetreiber heißt das konkret: Wenn Sie ein Kontaktformular einsetzen möchten, müssen Sie User auf Ihrer Webseite vor der Benutzung des Formulars informieren über:
- Art, Umfang und Zweck der Datenabfrage sowie
- die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten.
PRAXIS-TIPP
Beachten Sie immer das Prinzip der Datenminimierung gemäß Artikel 5 DSGVO und fragen Sie nur die Daten ab, die Sie tatsächlich benötigen.
4. Newsletter und E-Mail-Marketing
Wer zusammen mit dem Online Shop auch Online-Marketing-Maßnahmen betreibt, der nutzt dafür in vielen Fällen einen Newsletter, der über die E-Mail-Adresse zugestellt wird. Für die Versender von Newslettern brachte die DSGVO keine großen Veränderungen mit sich, denn die bisherige Regelung über das BDSG und das Digitale-Dienste-Gesetz (kurz DDG (ehemals TMG)) erfährt durch die DSGVO keine grundlegende Modifizierung.
Die Newsletter, die von Ihnen im Rahmen des E-Mail-Marketings versendet werden, können also auch in Zukunft zu geschäftlichen Zwecken eingesetzt werden – Voraussetzung ist lediglich, dass
- ein Vertrag zur Auftragsverarbeitung mit den Dienstleistern besteht, die den Versand des Newsletters ermöglichen;
- der externe Dienstleister ebenfalls DSGVO-konform arbeitet;
- der Empfänger des Newsletters ausdrücklich die Einwilligung zur Datenverarbeitung erteilt hat;
- diese Einwilligung nachgewiesen werden kann;
- die Einwilligung freiwillig erfolgt und nicht an die Vornahme anderer Handlungen geknüpft ist (sogenanntes Kopplungsverbot);
- der Empfänger des Newsletters auf die DSGVO-konforme Datenschutzerklärung hingewiesen wurde;
- der Ursprung für die Sammlung an Kontaktdaten klar und dokumentiert ist.
Bestehende E-Mail-Listen von Abonnenten sollten bereits den Kriterien der DSGVO entsprechen. Achten Sie unbedingt darauf, dass die Abonnenten alle eine Einwilligung erteilt haben. Ist dem nicht so, passen Sie dies an.
Möchten Sie neue E-Mail-Adressen sammeln, nutzen Sie das Double-Opt-In-Verfahren: Dabei erhält der künftige Newsletter-Abonnent nach dem Eintragen der E-Mail-Adresse eine Bestätigungsmail, in der ein Aktivierungslink enthalten ist. Erst wenn dieser durch Klick bestätigt wurde, ist die ausdrückliche Zustimmung zum Newsletter-Empfang erteilt.
PRAXIS-TIPP
Weiterhin gilt, dass Sie als Shopbetreiber keine Werbemails versenden dürfen, wenn Sie nicht explizit eine Einwilligung dafür im Vorfeld eingeholt haben – weder an Privatpersonen noch im B2B-Bereich an andere Unternehmen. Die sogenannte Kaltakquise bleibt verboten: Sie dürfen an niemanden ohne Zustimmung eine werbliche E-Mail schicken. Weitere Informationen zu diesem Thema finden Sie in unserem Artikel "Kundenakquise: Ist Direktwerbung nach der DSGVO noch erlaubt?".
5. Wann müssen sich Shops um Auftragsverarbeitung kümmern?
Damit Shopbetreiber alle notwendigen Prozesse rund um die eigenen Angebote und Verkäufe wirtschaftlich gestalten können, werden regelmäßig Dienstleistungen von externen Dienstleistern in Anspruch genommen. Das sind zum Beispiel Anbieter zur Rechnungsabwicklung, aber auch andere externe Tools des CMS, Newslettersoftware oder Marketing und Tracking Tools wie Google Analytics.
Das Outsourcing setzt voraus, dass der Dienstleister außerhalb Ihres Unternehmens Zugriff auf Ihre Kundendaten hat. Der Vorgang wurde früher durch § 11 BDSG erfasst und in speziellen Verträgen, auch Verträge zur Auftragsverarbeitung (kurz: AV) genannt, geregelt. Damit diese auch der DSGVO entsprechen, prüfen Sie folgendes:
- Wer ist für die Datenverarbeitung verantwortlich?
- Welche Daten werden über welchen Zeitraum verarbeitet?
- Wie und warum werden die Daten verarbeitet?
- Welcher Art sind die personenbezogenen Daten?
- Wie ist die Weisungsbefugnis zwischen Auftraggeber und Auftragnehmer geregelt?
- Gibt es eine Verpflichtung zur Vertraulichkeit gemäß Art. 24 und Art. 28 III DSGVO?
- Welche technischen und organisatorischen Maßnahmen für den Datenschutz wurden getroffen?
- Welche Subunternehmer werden hinzugezogen?
- Wie unterstützt der Auftragsverarbeiter den Auftraggeber bei der Verarbeitung der personenbezogenen Daten in Bezug auf Löschung, Meldung von Verstößen etc.?
- Wie werden personenbezogene Daten zurückgeführt oder gelöscht, wenn die Auftragsdatenverarbeitung abgeschlossen ist?
- Welche Kontrollrechte bestehen aufseiten des für die Verarbeitung Verantwortlichen und welchen Duldungspflichten unterliegt der Auftragsverarbeiter?
PRAXIS-TIPP
DSGVO-konforme Musterverträge sind bei Abschluss neuer und bei der Anpassung bereits bestehender Vertragsverhältnisse eine praktische Hilfestellung, die sich individuell auf Ihre Bedürfnisse als Shopbetreiber abstimmen lassen. Sofern Sie Daten in die USA oder Drittländer übermitteln, nutzen Sie die Standardvertragsklauseln der EU (SCC). Details finden Sie in unserem Artikel "Neue Standardvertragsklauseln: Das müssen Sie jetzt tun".
6. Benötigen Online Shops einen Datenschutzbeauftragten?
Unternehmen sind unter anderem gemäß Artikel 37 DSGVO verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn ihre Kerntätigkeit bzw. das Hauptgeschäftsfeld des Unternehmens in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht. Zudem müssen Unternehmer einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (Artikel 38 BDSG).
Wenn Sie als Shopbetreiber hundertprozentig rechtssicher agieren wollen (und auch die übrigen Vorgaben des DSGVO umsetzen müsssen, aber nicht wissen wie), dann sollten Sie als Shopbetreiber einen Datenschutzbeauftragten bestellen.
7. Bußgelder und Abmahnungen für Shopbetreiber
Der EU-Gesetzgeber weist dem Verbraucherschutz und der Wahrung des Verbraucherschutzes durch die DSGVO eine übergeordnete Priorität zu. Um diese wirksam und einheitlich europaweit durchzusetzen, ist ein Verstoß gegen die DSGVO mit strengen Sanktionen belegt. Die bei einem Verstoß gegen das früher geltende Bundesdatenschutzgesetz drohenden Strafen wurden durch die DSGVO deutlich verschärft.
|
Bundesdatenschutzgesetz |
Datenschutzgrundverordnung |
maximales Bußgeld bei Verstoß |
300.000 Euro |
20 Millionen Euro / 4 % vom weltweiten Jahresumsatz (je nachdem, was höher ist) |
Gesetzesgrundlage |
§§ 43, 44 BDSG |
Art. 83, 84 DSGVO |
Ansprüche der Betroffenen |
Schadenersatz gegen den Verursacher gem. §§ 7, 8 BDSG und deliktische Ansprüche gem. §§ 823, 831, 824 und 826 BGB |
Schadenersatz gem. Art. 82 I DSGVO als Direktanspruch auch gegen den Datenverarbeiter |
Bei der Bemessung des DSGVO-Bußgeldes wird primär auf die Schwere des Verstoßes abgestellt. Die Bemessungskriterien werden durch einen Katalog in Art. 83 II DSGVO normiert und richten sich nach:
- der Art und Weise des Verstoßes
- dem Vorsatz oder der Fahrlässigkeit des Verstoßes
- den Maßnahmen des Verantwortlichen, um den entstandenen Schaden zu reduzieren
- dem Umfang der Verantwortung
- dem Ausmaß bereits früherer Verstöße gleicher Art
- der Bereitschaft zur Zusammenarbeit mit der Aufsichtsbehörde
- der Kategorie der Daten, die betroffen sind
- der konkreten Umstände des Verstoßes und den daraus entstandenen Vor- und Nachteilen für den Verursacher und den Betroffenen.
Durch die DSGVO wurden die Sanktionen bei Verstößen gegen datenschutzrechtliche Vorschriften deutlich angehoben. Zeitgleich steigen die Anforderungen an den Datenschutz und an die Pflicht, Maßnahmen diesbezüglich nachvollziehbar zu dokumentieren.
WICHTIG
Neben den oben erwähnten Sanktionsmöglichkeiten entsteht auch die Option, dass Abmahnungen durch direkte Mitbewerber oder von Wettbewerbs- und Verbraucherschutzverbänden auf den Weg gebracht werden können.
8. Checkliste: Das müssen Shopbetreiber zur DSGVO konkret tun
Sie sollten als Betreiber eines Online-Shops die DSGVO und die datenschutzkonforme Datenverarbeitung für Ihre Kunden und Interessenten gewährleisten können.
- Datenschutzerklärung: Überprüfen Sie die auf Ihrer Webseite vorhandene Erklärung zum Datenschutz auf ihre DSGVO-Konformität hin und passen Sie sie – falls nötig - an. Sind Sie zur Stellung eines Datenschutzbeauftragten verpflichtet, muss dieser in der Datenschutzerklärung namentlich aufgeführt werden.
- Formulare: Überprüfen Sie alle Formulare, die auf Ihrer Webseite zum Einsatz kommen und unterziehen Sie diese einer kritischen Prüfung vor dem Hintergrund der DSGVO. Fragen Sie nur die Daten ab, die Sie tatsächlich benötigen!
- Übertragung: Wird Ihre Webseite per SSL-Verschlüsselung übertragen? Wenn Sie unsicher sind oder eine Umstellung beabsichtigen, ist der Kontakt zum Provider der erste Schritt in die richtige Richtung.
- Analyse-Tools: Wenn Kunden und Besucher statistisch durch spezielle Tools erfasst werden, müssen die IP-Adressen der User so anonymisiert werden, dass kein Personenbezug mehr besteht. Es muss für die User auch möglich sein, der Erfassung zu widersprechen – die „Ausstiegsklausel“ können Sie auf der Seite mit der Datenschutzerklärung einrichten.
- Cookies: Auch der Benutzung von Cookies müssen User durch die DSGVO explizit zustimmen. In Ihrem Online-Shop können Sie einen Hinweis zu den verwendeten Cookies so einrichten, dass er beim ersten Besuch erscheint. Usern steht es frei, diesen Hinweis explizit zu bestätigen.
- Newsletter: E-Mail-Marketing per Newsletter können Sie auch vor dem Hintergrund der DSGVO betreiben. Nutzen Sie das Double-Opt-In-Verfahren, damit der Vorgang den gesetzlichen Vorgaben entspricht.
- Dokumentation: Die DSGVO verlangt von Ihnen in Artikel 5 Absatz 2 DSGVO als Online Händler, dass Sie die Einhaltung der gesetzlichen Vorschriften nachweisen können - dokumentieren Sie daher die Rechtmäßigkeit der Vorgänge. Legen Sie ein Verzeichnis an, mit dem Sie Verarbeitungsvorgänge transparent nachweisen.
- Schutz für Minderjährige: Um Daten minderjähriger User zu verarbeiten, bedarf es der expliziten Einwilligung durch einen Erziehungsberechtigten. Die verwendeten Onlineprozesse müssen daher so ausgerichtet sein, dass sie diesen Umstand berücksichtigen.
9. Fazit
Um als Online Shop Betreiber die Vorgaben der DSGVO einzuhalten, sind viele To-Dos zu beachten. eRecht24 hilft Ihnen gern dabei.
Report absenden