Die DSGVO und Online Shops: Was Händler jetzt konkret tun müssen

(15 Bewertungen, 3.60 von 5)

Das Wichtigste in Kürze

  • Als Onlineshop Betreiber müssen Sie Ihre Datenschutzerklärung prüfen und für die DSGVO aktualisieren.
  • Für Analysetools und Cookies benötigt Ihr Shop eine echte Einwilligung über ein Consent Tool.
  • Seiten mit Kontaktformularen, Kundenkonten und Bestellprozesse müssen SSL-verschlüsselt sein.

Worum geht's?

Bereits seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (kurz: DSGVO) uneingeschränkt und einheitlich in allen Ländern der EU. Wir zeigen, welche Auswirkungen die  DSGVO konkret für Online Händler und Shopbetreiber hat und was Sie  tun müssen, um mit Ihren Online Shop DSGVO-konform aufzutreten.

Anzeige

1. Was änderte sich durch die DSGVO für Shopbetreiber?

Die DSGVO nimmt nicht nur Webseitenbetreiber, Influencer oder Blogger in die Pflicht. Auch alle Online Shops sind von den gesetzlichen Vorgaben der DSGVO betroffen. Für Shopbetreiber gewinnt der ohnehin schon wichtige Datenschutz mit Inkrafttreten der DSGVO noch mehr Bedeutung, um Kunden effektiven Schutz vor Datenmissbrauch zu bieten. Als Kunde ist die DSGVO von praktischer Relevanz, da sie das Recht an den eigenen Daten schützt und missbräuchliche Vorgehensweisen mit empfindlichen Sanktionen belegt.

Der Schutz von personenbezogenen Daten ist der Dreh- und Angelpunkt bei der Anwendung der DSGVO. Personenbezogene Daten wurden vor der Verabschiedung der Richtlinie durch § 3 Bundesdatenschutzgesetz (kurz: BDSG) erfasst. In Artikel 4 DSGVO finden Sie eine Definition durch den Gesetzgeber.

Demnach sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ – kurz gefasst: Personenbezogene Daten ermöglichen die Zuordnung von Informationen zu einer konkreten Person.

Wichtig für die Betreiber von Online Shops: Unter den Begriff der personenbezogenen Daten fallen auch technische Eckdaten wie die IP-Adresse oder genutzte Cookies.

Die Umsetzung der DSGVO im täglichen Geschäftsverkehr und die rechtssichere Implementierung von geeigneten Maßnahmen zum Datenschutz ist für Shopbetreiber eine wichtige Aufgabe, die durch zahlreiche Einzelschritte gekennzeichnet ist.

2. Datenschutzerklärung in Online Shops Online

datenschutz11

Händler müssen auf ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Eine Erklärung zum Datenschutz ist nicht erst durch die DSGVO gesetzlich normiert – durch die Richtlinie stiegen aber die Anforderungen, die der Gesetzgeber an die daran geknüpfte Informationspflicht stellt. Artikel 13 DSGVO zählt die Angaben explizit auf, die in einer DSGVO-konformen Datenschutzerklärung enthalten sein müssen. Dazu gehören unter anderem:

Anzeige
  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
    Praxishinweis: Die DSGVO verbietet prinzipiell die Verarbeitung von personenbezogenen Daten – es sei denn, die Verarbeitung wird durch das Gesetz erlaubt oder der Betroffene willigt selbst ausdrücklich in die Verarbeitung ein.
  • Berechtigtes Interesse
    Praxishinweis: Wenn Sie als Shopbetreiber an der Weiterverarbeitung von personenbezogenen Daten ein berechtigtes Interesse haben, müssen Sie dieses nachweisen – gem. Artikel 6 Absatz 1 Iit. f DSGVO muss die Datenschutzerklärung eine Aufklärung darüber enthalten. In der Regel ist das zum Beispiel dann der Fall, wenn Sie die Daten an einen Dienstleister weitergeben, der Ihr Forderungsmanagement übernimmt.
  • Empfänger
    Praxishinweis: Wenn Sie personenbezogene Daten weitergeben, müssen Sie die Betroffenen darüber informieren, wer diese Daten erhält.
  • Dauer der Speicherung von personenbezogenen Daten
    Praxishinweis: Eine dauerhafte Speicherung ist gemäß den Vorschriften der DSGVO nicht gestattet. Die temporäre Speicherung muss präzise angegeben sein und darf nicht durch schwammige Ausdrücke verschleiert werden.
  • Rechte der Betroffenen
    Praxishinweis: Nutzer haben gemäß DSGVO einen Anspruch darauf, über ihre Rechte in Bezug auf den eigenen Datenschutz aufgeklärt zu werden. Auch dieser Aufklärungspflicht müssen Sie als Online Händler nachkommen und Auskunft zu Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit geben.
  • Verpflichtung zur Bereitstellung personenbezogener Daten
    Praxishinweis: Wenn personenbezogene Daten notwendig sind, müssen Kunden wissen, welche Folgen die Nichtbereitstellung hat. Im Online Handel sind personenbezogene Daten notwendig, um einen Vertragsschluss herbeizuführen. Ohne Daten kein Vertrag – informieren Sie Ihre Kunden und potenzielle Interessenten darüber.

3. Kontaktformulare in Onlineshops

datenschutz12

Online Shops bieten durch Kontaktformulare die Möglichkeit, unkompliziert mit dem Online Händler in Verbindung zu treten. Die DSGVO sieht auch hier einen erhöhten Schutzbedarf für Verbraucher, da regelmäßig persönliche Daten abgefragt werden. Mit der Umsetzung der EU-Richtlinie müssen die genutzten Kontaktformulare das Erfordernis nach einem datenschutzkonformen Vorgehen erfüllen. Für Shopbetreiber heißt das konkret: Wenn Sie ein Kontaktformular einsetzen möchten, müssen Sie User auf Ihrer Webseite vor der Benutzung des Formulars informieren über:

  • Art, Umfang und Zweck der Datenabfrage sowie
  • die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten.

Praxishinweis: Beachten Sie immer das Prinzip der Datenminimierung gemäß Artikel 5 DSGVO und fragen Sie nur die Daten ab, die Sie tatsächlich benötigen.

4. Newsletter und E-Mail-Marketing

blogs6

Wer zusammen mit dem Online Shop auch Online-Marketing-Maßnahmen betreibt, der nutzt dafür in vielen Fällen einen Newsletter, der über die E-Mail-Adresse zugestellt wird. Für die Versender von Newslettern brachte die DSGVO keine großen Veränderungen mit sich, denn die bisherige Regelung über das BDSG und das Telemediengesetz (kurz TMG) erfährt durch die DSGVO keine grundlegende Modifizierung.

Die Newsletter, die von Ihnen im Rahmen des E-Mail-Marketings versendet werden, können also auch in Zukunft zu geschäftlichen Zwecken eingesetzt werden – Voraussetzung ist lediglich, dass

  • ein Vertrag zur Auftragsverarbeitung mit den Dienstleistern besteht, die den Versand des Newsletters ermöglichen;
  • der externe Dienstleister ebenfalls DSGVO-konform arbeitet;
  • der Empfänger des Newsletters ausdrücklich die Einwilligung zur Datenverarbeitung erteilt hat;
  • diese Einwilligung nachgewiesen werden kann;
  • die Einwilligung freiwillig erfolgt und nicht an die Vornahme anderer Handlungen geknüpft ist (sogenanntes Kopplungsverbot);
  • der Empfänger des Newsletters auf die DSGVO-konforme Datenschutzerklärung hingewiesen wurde;
  • der Ursprung für die Sammlung an Kontaktdaten klar und dokumentiert ist.

Haben Sie eine bestehende Liste an E-Mail-Abonnenten, müssen Sie prüfen, ob die dazu eingeholten Einwilligungen ebenfalls den Kriterien der DSGVO entsprechen. Möglicherweise ist hier eine Anpassung notwendig.

Möchten Sie neue E-Mail-Adressen sammeln, nutzen Sie das double opt-in-Verfahren: Dabei erhält der künftige Newsletter-Abonnent nach dem Eintragen der E-Mail-Adresse eine Bestätigungsmail, in der ein Aktivierungslink enthalten ist. Erst wenn dieser durch Klick bestätigt wurde, ist die ausdrückliche Zustimmung zum Newsletter-Empfang erteilt.

Praxishinweis: Weiterhin gilt, dass Sie als Shopbetreiber keine Werbemails versenden dürfen, wenn Sie nicht explizit eine Einwilligung dafür im Vorfeld eingeholt haben – weder an Privatpersonen noch im B2B-Bereich an andere Unternehmen. Die sogenannte Kaltakquise bleibt verboten: Sie dürfen an niemanden ohne Zustimmung eine werbliche E-Mail schicken. Weitere Informationen zu diesem Thema finden Sie in unserem Artikel "Kundenakquise: Ist Direktwerbung nach der DSGVO noch erlaubt?".

5. Wann müssen sich Shops um Auftrags(daten)verarbeitung kümmern? 

Damit Shopbetreiber alle notwendigen Prozesse rund um die eigenen Angebote und Verkäufe wirtschaftlich gestalten können, werden regelmäßig Dienstleistungen von externen Dienstleistern in Anspruch genommen. Das sind zum Beispiel Anbieter zur Rechnungsabwicklung, aber auch andere externe Tools des CMS, Newslettersoftware oder Marketing und Tracking Tools wie Google Analytics.

Das Outsourcing setzt voraus, dass der Dienstleister außerhalb Ihres Unternehmens Zugriff auf Ihre Kundendaten hat. Der Vorgang wurde früher durch § 11 BDSG erfasst und in speziellen Verträgen, auch Verträge zur Auftragsverarbeitung (kurz: AV) genannt, geregelt. Damit diese auch der DSGVO entsprechen, prüfen Sie folgendes:

Die DSGVO verlangt, dass ein Vertrag zur AV insbesondere die folgenden Fragen beantwortet:

  • Wer ist für die Datenverarbeitung verantwortlich?
  • Welche Daten werden über welchen Zeitraum verarbeitet?
  • Wie und warum werden die Daten verarbeitet?
  • Welcher Art sind die personenbezogenen Daten?
  • Wie ist die Weisungsbefugnis zwischen Auftraggeber und Auftragnehmer geregelt?
  • Gibt es eine Verpflichtung zur Vertraulichkeit gem. Art. 24 und Art. 28 III DSGVO?
  • Welche technischen und organisatorischen Maßnahmen für den Datenschutz wurden getroffen?
  • Welche Subunternehmer werden hinzugezogen?
  • Wie unterstützt der Auftragsverarbeiter den Auftraggeber bei der Verarbeitung der personenbezogenen Daten in Bezug auf Löschung, Meldung von Verstößen etc.?
  • Wie werden personenbezogene Daten zurückgeführt oder gelöscht, wenn die Auftragsdatenverarbeitung abgeschlossen ist?
  • Welche Kontrollrechte bestehen aufseiten des für die Verarbeitung Verantwortlichen und welchen Duldungspflichten unterliegt der Auftragsverarbeiter?

Praxishinweis: DSGVO-konforme Musterverträge sind bei Abschluss neuer und bei der Anpassung bereits bestehender Vertragsverhältnisse eine praktische Hilfestellung, die sich individuell auf Ihre Bedürfnisse als Shopbetreiber abstimmen lassen. Sofern Sie Daten in die USA oder Drittländer übermitteln, nutzen Sie die Standardvertragsklauseln der EU (SCC). Details finden Sie in unserem Artikel "Neue Standardvertragsklauseln: Das müssen Sie jetzt tun".

6. Benötigen Online Shops einen Datenschutzbeauftragten?

marketingseo21

Unternehmen sind unter anderem aus Artikel 37 DSGVO verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn ihre Kerntätigkeit bzw. das Hauptgeschäftsfeld des Unternehmens in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht. Zudem müssen Unternehmer einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (Artikel 38 BDSG).

Wenn Sie als Shopbetreiber 100%ig rechtssicher agieren wollen (und auch die übrigen Vorgaben des DSGVO umsetzen müsssen, aber nicht wissen wie), dann sollten Sie als Shopbetreiber einen Datenschutzbeauftragten bestellen.

7. Bußgelder und Abmahnungen für Shopbetreiber

Der EU-Gesetzgeber weist dem Verbraucherschutz und der Wahrung des Verbraucherschutzes durch die DSGVO eine übergeordnete Priorität zu. Um diese wirksam und einheitlich europaweit durchzusetzen, ist ein Verstoß gegen die DSGVO mit strengen Sanktionen belegt. Die bei einem Verstoß gegen das früher geltende Bundesdatenschutzgesetz drohenden Strafen wurden durch die DSGVO deutlich verschärft.

 

Bundesdatenschutzgesetz

Datenschutzgrundverordnung

maximales Bußgeld bei Verstoß

300.000 Euro

20 Millionen Euro / 4 % vom weltweiten Jahresumsatz (je nachdem, was höher ist)

Gesetzesgrundlage

§§ 43, 44 BDSG

Art. 83, 84 DSGVO

Ansprüche der Betroffenen

Schadenersatz gegen den Verursacher gem. §§ 7, 8 BDSG und deliktische Ansprüche gem. §§ 823, 831, 824 und 826 BGB

Schadenersatz gem. Art. 82 I DSGVO als Direktanspruch auch gegen den Datenverarbeiter

Bei der Bemessung des DSGVO-Bußgeldes wird primär auf die Schwere des Verstoßes abgestellt. Die Bemessungskriterien werden durch einen Katalog in Art. 83 II DSGVO normiert und richten sich nach:

  • der Art und Weise des Verstoßes
  • dem Vorsatz oder der Fahrlässigkeit des Verstoßes
  • den Maßnahmen des Verantwortlichen, um den entstandenen Schaden zu reduzieren
  • dem Umfang der Verantwortung
  • dem Ausmaß bereits früherer Verstöße gleicher Art
  • der Bereitschaft zur Zusammenarbeit mit der Aufsichtsbehörde
  • der Kategorie der Daten, die betroffen sind
  • der konkreten Umstände des Verstoßes und den daraus entstandenen Vor- und Nachteilen für den Verursacher und den Betroffenen.

Praxishinweis: Durch die DSGVO wurden die Sanktionen bei Verstößen gegen datenschutzrechtliche Vorschriften deutlich angehoben. Zeitgleich steigen die Anforderungen an den Datenschutz und an die Pflicht, Maßnahmen diesbezüglich nachvollziehbar zu dokumentieren.

Wichtig: Neben den oben erwähnten Sanktionsmöglichkeiten entsteht durch Artikel 8 DSGVO auch die Option, dass Abmahnungen durch direkte Mitbewerber oder von Wettbewerbs- und Verbraucherschutzverbänden auf den Weg gebracht werden können.

8. Checkliste: Das müssen Shopbetreiber zur DSGVO konkret tun

Damit Sie als Betreiber eines Online Shops die DSGVO die datenschutzkonforme Datenverarbeitung für Ihre Kunden und Interessenten gewährleisten können, empfiehlt sich die Umsetzung der folgenden Checkliste:

Datenschutzerklärung anpassen:

Überprüfen Sie die auf Ihrer Webseite vorhandene Erklärung zum Datenschutz auf ihre DSGVO-Konformität hin und passen Sie sie – falls nötig - an. Sind Sie zur Stellung eines Datenschutzbeauftragten verpflichtet, muss dieser in der Datenschutzerklärung namentlich aufgeführt werden.

Formulare anpassen:

Überprüfen Sie alle Formulare, die auf Ihrer Webseite zum Einsatz kommen und unterziehen Sie diese einer kritischen Prüfung vor dem Hintergrund der DSGVO. Fragen Sie nur die Daten ab, die Sie tatsächlich benötigen!

Übertragung anpassen:

Wird Ihre Webseite per SSL-Verschlüsselung übertragen? Wenn Sie unsicher sind oder eine Umstellung beabsichtigen, ist der Kontakt zum Provider der erste Schritt in die richtige Richtung.

Analyse-Tools anpassen:

Wenn Kunden und Besucher statistisch durch spezielle Tools erfasst werden, müssen die IP-Adressen der User so anonymisiert werden, dass kein Personenbezug mehr besteht. Es muss für die User auch möglich sein, der Erfassung zu widersprechen – die „Ausstiegsklausel“ können Sie auf der Seite mit der Datenschutzerklärung einrichten.

Cookies anpassen:

Auch der Benutzung von Cookies müssen User durch die DSGVO explizit zustimmen. In Ihrem Online-Shop können Sie einen Hinweis zu den verwendeten Cookies so einrichten, dass er beim ersten Besuch erscheint. Usern steht es frei, diesen Hinweis explizit zu bestätigen.

Newsletter anpassen:

E-Mail-Marketing per Newsletter können Sie auch vor dem Hintergrund der DSGVO betreiben. Nutzen Sie das double opt-in-Verfahren, damit der Vorgang den gesetzlichen Vorgaben entspricht.

Dokumentation anpassen:

Die DSGVO verlangt von Ihnen in Artikel 5 Absatz 2 DSGVO als Online Händler, dass Sie die Einhaltung der gesetzlichen Vorschriften nachweisen können - dokumentieren Sie daher die Rechtmäßigkeit der Vorgänge. Legen Sie ein Verzeichnis an, mit dem Sie Verarbeitungsvorgänge transparent nachweisen.

Schutz für Minderjährige anpassen:

Um Daten minderjähriger User zu verarbeiten, bedarf es der expliziten Einwilligung durch einen Erziehungsberechtigten. Die verwendeten Onlineprozesse müssen daher so ausgerichtet sein, dass sie diesen Umstand berücksichtigen.

9. Fazit

Um als Online Shop Betreiber die Vorgaben der DSGVO einzuhalten, ist vieles zu beachten. eRecht24 hilft Ihnen gern dabei.

Anzeige
Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

freddi keine shooow
sehr hilfreich
1
wow
👑👑👑👑👑👑
1
Hans
Art. 8 DSGVO ist die "Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsges ellschaft" und hat nichts mit der Abmahnungen durch direkte Mitbewerber zutun.
4
Rüdiger
also schön und gut aber wieso sollte man es so kompliziert machen, wenn es schon bereits fertige tools für shopsysteme gibt. dsgvo-addon.eu
-5

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Was Online Shop Betreiber zum Thema Gutscheine und Rabattcodes wissen müssen
Weiterlesen...
So binden Sie Google Fonts DSGVO-konform auf Ihrer Website ein
Weiterlesen...
Abmahnung Seitenbetreiber: Versteckte Datenschutzerklärung kann abgemahnt werden
Weiterlesen...
Spam-Abwehr: Ist ein Impressum als Grafikdatei zulässig?
Weiterlesen...
Dürfen Datenschutzbehörden Facebook Fanpages verbieten?
Weiterlesen...
Neues Widerrufsrecht: Annahmeverweigerung gilt nicht mehr als Widerruf
Weiterlesen...
DSGVO und Fotografie: Was ändert sich für Fotografen?
Weiterlesen...
WordPress als Nutzer DSGVO-konform betreiben
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
Wie Sie im Falle einer DSGVO-Abmahnung vorgehen sollten
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details