Im E-Commerce, wo naturgemäß eine große Menge personenbezogener Daten verarbeitet werden muss, gilt es auch besonders viele Datenschutzrichtlinien zu beachten und korrekt einzuhalten.
Die europaweite Datenschutz-Grundverordnung (DSGVO) ist bereits am 25. Mai 2018 in Kraft getreten. Sie hat anfangs für sehr viel Wirbel unter Unternehmen bzw. Website-Betreiber aller Bereiche gesorgt. Die zahlreichen zu berücksichtigenden To-Dos und die bei Nichteinhalten der Vorgaben enormen Strafmaße führten dazu, dass sich einige E-Commerceler sogar dafür entschieden, ihre Online-Shops (zeitweise) vollständig offline zu schalten.
Mittlerweile haben sich die Wogen etwas geglättet. Für die meisten E-Commerce-Unternehmen ist die Beschäftigung mit der DSGVO bzw. mit dem Datenschutz ein normaler Teil ihres Geschäfts geworden. Nach wie vor herrscht allerdings teils große Unsicherheit. Insbesondere für Online-Shop-Einsteiger stellt die DSGVO nicht selten eine erhebliche Barriere dar. Aber auch etablierte E-Commerceler stolpern immer wieder über neue Bestimmungen.
Die wichtigsten Facts, die Sie rund um Datenschutz im E-Commerce kennen sollten, und zentrale Tipps sowie eine Checkliste zum Einhalten der DSGVO bekommen Sie in diesem Artikel.
Hinweis: Es muss noch erwähnt werden, dass dieser Beitrag keinesfalls eine professionelle juristische Beratung ersetzt bzw. als eine solche zu betrachten ist. Für ein vollständig sicher DSGVO-konformes E-Commerce sollten Sie unbedingt einen ausgewiesenen Experten zurate ziehen.
Warum Datenschutz?
Für E-Commerceler grundsätzlich besonders wichtig: Datenschutz im Online-Shop ist gesetzlich vorgeschrieben.
Die Frage „Warum Schutz der Daten?“ im Sinne von „Müssen wir Datenschutzmaßnahmen durchführen, oder nicht?“ sollte sich somit erst gar nicht stellen.
Aber welches Anliegen verfolgt der Gesetzgeber mit den Datenschutzbestimmungen?
Sich als E-Commerce-Betreibender über die Grundsätze der geltenden Datenschutzregeln im Klaren zu sein, ist durchaus hilfreich, um entsprechende Vorgaben effizient umsetzen zu können.
Oberstes Ziel des Datenschutzes ist es gemäß § 1 Abs. 1 BDSG-alt, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“. Das bedeutet letztendlich, dass alle Stellen, die in irgendeiner Weise personenbezogene Daten verarbeiten, die gesetzlichen Datenschutzregeln einhalten müssen. Tun sie das nicht, machen Sie sich strafbar.
Seit dem 25. Mai 2018 werden die Datenschutzbestimmungen in der DSGVO auf europäischer sowie nationalstaatlicher Ebene geregelt. Ein besonderes Augenmerk gilt hier dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die „neue“ Datenschutzverordnung weicht von den vorherigen Bestimmungen in Deutschland tatsächlich gar nicht so sehr ab. Hierzulande wurde schon immer vergleichsweise viel Wert auf den bewussten Umgang mit personenbezogenen Daten gelegt. Dennoch gab es einige Neuerungen – und während der Wirkungszeit der DSGVO kamen durchaus auch einige weitere für den E-Commerce wichtige Punkte hinzu.
Neben dem direkten Schutz von Personen bzw. personenbezogenen Daten möchte die DSGVO Unternehmen bzw. Website-Betreiber nicht zuletzt für einen bewussteren Umgang mit personenbezogenen Informationen sensibilisieren. Optimalerweise werden möglichst wenig und nur genau die Daten abgefragt, die im Sinne der jeweiligen Geschäftstätigkeit wirklich erforderlich sind.
Was sind personenbezogene Daten?
Eine Definition zu personenbezogenen Daten ist in Artikel 4 DSGVO zu finden.
Demnach handelt es sich um „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Kurzum: Personenbezogene Daten sind Informationen, welche die Zuordnung zu einer konkreten Person ermöglichen.
Sehr wichtig für E-Commerceler ist in diesem Zusammenhang, dass zu den personenbezogenen Daten auch typische technische Informationen gehören, die schon beim bloßen Besuch eines Webshops anfallen - selbst dann, wenn man gar nichts kauft und keinen Kontakt aufnimmt. Dies betrifft vor allem die IP-Adresse oder genutzte Online-Shop Cookies.
Welche personenbezogenen Daten unterliegen dem Datenschutz?
Im Einzelnen zählen folgende personenbezogenen Daten zu den relevanten Datenschutz-Informationen:
- Name, Adresse, Staatsangehörigkeit, Geburtsdatum
- Geschlecht, Haut-, Haar-, Augenfarbe
- Versicherungsinformationen
- Banknummern
- IP-Adresse, Cookies, GPS-Standortdaten
- Online-Kundendaten - Kundennummern, Bestellnummern etc.
- Bildungs- und Berufszeugnisse
- Besitztümer-Daten
Aktuelle Vorgaben der DSGVO für den E-Commerce:
Anpassungen im Datenschutz für Online-Shops beachten!
Der Datenschutz ist keine vollkommen statische Angelegenheit. Immer wieder werden einzelne Bereiche angepasst. Somit ist es absolut angebracht, die Vorgaben und die Aktualität der eigenen Maßnahmen von Zeit zu Zeit zu überprüfen.
Unternehmen mit einem Online-Shop sind im Einzelnen dazu angehalten, dafür Sorge tragen, dass ihre Besucher innerhalb des verwendeten Cookie-Banners möglichst transparent einsehen können, welche Cookies wofür gesetzt und welche Art von Daten damit erhoben werden. Die Erfassung entsprechender Informationen darf nur dann erfolgen, wenn Nutzer dies aktiv erlauben. Die Zustimmung kann beispielsweise über die Anwahl einer Checkbox zu jedem Cookie-Typ gegeben werden. Darüber hinaus sollten E-Commerceler im Cookie-Banner auf die Erklärung des Datenschutzes verweisen.
Besonders heikel wird es, wenn Analyse-Tools, wie Google Analytics, Cookies für die Aufzeichnung von Nutzerverhalten verwenden. Solche Daten werden nicht zwangsläufig für den Betrieb eines Online-Shop benötigt, weshalb die Datenschützer hier einen noch genaueren Blick walten lassen.
Voreingestellte Checkboxen und eine schnelle Aufforderung an die Besucher, den „Ok“-Button zu betätigen, oder ähnliche Taktiken sind nicht DSGVO-konform. Um in puncto Cookies, Einwilligungen für Analytics etc. auf der sicheren Seite zu sein, empfiehlt es sich, ein zeitgemäßes Consent-Tool zu verwenden.
Die Verarbeitung personenbezogener Daten, die online übermittelt werden, bringt naturgemäß ein gewisses Risiko mit. Online-Shops sind auf unterschiedliche Weise angreifbar. Erfolgt ein Hack und gehen dabei personenbezogene Daten in kriminelle Hände, bedeutet das für das Unternehmen und dessen Online-Shop immer eine ganze Menge Ärger.
Besonders schwierig wird es jedoch, wenn herauskommt, dass die gestohlenen Informationen nicht ausreichend gesichert waren. Hier sind massive, durchaus existenzbedrohende Strafen zu erwarten.
Eine HTTPS-Verschlüsselung mit SSL-Zertifikat ist daher vor allem für datensensible Shop-Bereiche und –Prozesse, wie Kontaktformulare, Kundenkonten und Bestellprozesse, absolute Pflicht. Grundsätzlich sollte heute aber die gesamte Onlinepräsenz verschlüsselt sein.
Eine umfassende Erklärung zum Datenschutz sollte in präziser, transparenter, verständlicher Form und nicht zuletzt leicht zu finden im Online-Shop zur Verfügung gestellt werden.
Im Artikel 13 DSGVO gibt es explizite Angaben, was eine rechtskonforme Datenschutzerklärung beinhalten muss. Dazu gehören insbesondere (aber nicht ausschließlich) folgende Elemente.
- Identitäts- und Kontaktdatenangabe des Verantwortlichen bzw. der Firma.
- Angabe des Datenschutzbeauftragten.
- Aufklärung zu Verarbeitungszwecken und Rechtsgrundlagen der Verarbeitung.
- Informationen zum berechtigten Interesse der Datenerhebung.
- Nennung der Empfänger bei Datenweitergabe (ist im E-Commerce immer relevant).
- Informationen zur Dauer der Speicherung von Daten.
- Aufführung der Rechte der Betroffenen in Zusammenhang mit ihren personenbezogenen Daten.
- Aufklärung zur Unumgänglichkeit der Erhebung von Daten für Online-Geschäfte.
Das Kontaktformular zählt heute zu den Standard-Supportwegen im E-Commerce und darf praktisch in keinem Online-Shop fehlen. Da hier direkt persönliche Daten abgefragt werden, hat die DSGVO natürlich ein besonderes Auge auf entsprechende Vorgänge.
Für E-Commerceler bedeutet das konkret, dass sie Nutzer eines Kontaktformulars umfassend über die betreffende Datenverarbeitung informieren müssen und gemäß dem Prinzip der Datenminimierung nur die Informationen abgefragt werden sollten, die tatsächlich unbedingt für die Bearbeitung einer Anfrage erforderlich sind.
Wo abseits des eigenen Online-Shop Kundendaten weiterverarbeitet werden?
Zusätzlich zur Datenerhebung bzw. eigenen Verarbeitung entsprechender Informationen geben E-Commerceler personenbezogene Daten praktisch immer an Dritte weiter.
Das ist im Sinne der DSGVO durchaus legitim, wenn diese Datenweitergabe Relevanz für die korrekte Abwicklung der jeweiligen Online-Geschäfte hat. Es sollte jedoch in der Datenschutzerklärung konkrete Hinweise zu solchen Vorgängen geben.
Typisch sind folgende Informationsaustausch-Prozesse.
- Datenweitergabe für die Bonitätsauskunft:
Für eine Bonitätsprüfung liegt insbesondere bei Geschäften mit gewissem wirtschaftlichem Risiko eine hohe geschäftliche Relevanz bzw. ein entsprechendes Gesetz berechtigtes Interesse vor. Die Verarbeitung von Daten für diesen Zweck geschieht entweder auf Grundlage der Einwilligung des Kunden oder eben des berechtigten Interesses des Verkäufers.
- Kooperation mit Zahlungsdienstleistern:
Zahlungsdienstleister, wie PayPal oder Sofortüberweisung, sind bei Kunden sehr beliebt. Deshalb können die meisten E-Commerceler nicht darauf verzichten. Zwar werden Zahlungsdaten hier oft direkt vom Kunden an den Dienstleister übermittelt bzw. liegen dort durch eine Anmeldung schon vor einem Geschäft vor, dennoch sollten betreffende Personen aufgeklärt werden, dass diese Stellen zur korrekten Abwicklung noch einmal gewisse Bestellinformationen erhalten könnten. Als Rechtsgrundlage dient zentral die Notwendigkeit der Übermittlung für die Erfüllung der kaufvertraglichen Verpflichtungen.
- Die Inanspruchnahme von Versanddienstleistern:
E-Commerceler arbeiten in den meisten Fällen mit externen Versanddienstleistern zusammen, welche die von den Kunden bestellten Waren ausliefern. Ohne spezifische personenbezogenen Daten können diese Partner die Zustellung nicht verrichten. Rechtsgrundlage für den Datenaustausch ist hier abermals die Erfüllung der geschäftlichen Verpflichtungen des Händlers.
Welche Strafen drohen bei Nichteinhaltung des Datenschutz?
Die Strafen, die auf E-Commerceler zukommen, wenn sie die Bestimmungen des Datenschutz nicht einhalten, sind vom EU-Gesetzgeber bzw. durch die DSGVO klar geregelt.
- Gesetzesgrundlage
DSGVO - Artikel 83, 84 - Maximale Strafe bei Verstoß
20 Millionen Euro oder vier Prozent vom globalen Jahresumsatz (je nachdem, was höher ist) - Ansprüche der Betroffenen
Schadenersatz gemäß Artikel 82 I DSGVO als Direktanspruch (gilt auch gegen den Datenverarbeiter)
Das Bußgeld bemisst sich primär an der Schwere des Verstoßes. Sie müssen also bei einem Strafanspruch nicht zwangsläufig gleich das Höchstmaß befürchten.
In diesem Zusammenhang sehr wichtig: Strafen vom Gesetzgeber sind eine Sache, welche E-Commerceler im Umgang mit personenbezogenen Daten sensibilisieren sollten. Neben diesen Sanktionsmöglichkeiten gibt es aber noch eine weitere Gefahr, deren Eintreten tatsächlich deutlich wahrscheinlicher ist! So entsteht durch Artikel 8 DSGVO die Option, dass Abmahnungen durch Mitbewerber oder von Wettbewerbs- bzw. Verbraucherschutzverbänden auf den Weg gebracht werden können.
Checkliste: Die wichtigsten Punkte zur DSGVO-Konformität auf einen Blick
- Datenschutzerklärung aufsetzen oder gegebenenfalls anpassen
- Formulare anpassen, sodass Kunden hinreichend zur Datenverarbeitung informiert sind und nur Daten abgefragt werden, die auch wirklich erforderlich sind.
- Ausreichende Verschlüsselung sicherstellen – in manchen Kontexten ist auch ein spezielleres SSL-Zertifikat bzw. eine tiefere Verschlüsselung angebracht.
- Analyse-Tools hinterfragen und gegebenenfalls den Umgang mit diesen anpassen – so sollten klare Informationen rund um die Verwendung der Daten, Einwilligungsoptionen und anonymisierte IP-Adressen gewährleistet sein.
- Cookie-Banner anpassen, sodass User der Verwendung entsprechender Informationen je nach Zweck konkret zustimmen können oder eben nicht.
- Newsletter anpassen bzw. für das E-Mail-Marketing genutzte Adressdaten korrekt organisieren – Einwilligung durch Empfänger, Dokumentation der Quellen, Hinweis zum Datenschutz etc.
- Generelle Datenschutz-Dokumentation erstellen oder anpassen – E-Commerceler sind laut DSGVO verpflichtet, die Einhaltung aller gesetzlichen Vorschriften nachweisen zu können.
- Schutz für Minderjährige schaffen oder anpassen, wenn Daten von minderjährigen Besuchern verarbeitet werden - sprich eine explizite Einwilligungsoption für Erziehungsberechtigte geben
FAZIT
Der korrekte Datenschutz ist und bleibt eine schwierige Angelegenheit.
Gerade im E-Commerce gibt es sehr viele Stellen, an denen personenbezogene Informationen genutzt werden müssen. Das ist rechtlich kein Problem, solange Shop-Betreiber wirklich ausschließlich Geschäfts-wichtige sowie möglichst wenige Daten verarbeiten und dabei gewisse Regeln einhalten. Mit den Informationen aus diesem Artikel sind Sie für einen DSGVO-konformen E-Commerce grundsätzlich gut aufgestellt. Auf eine professionelle juristische Beratung sollten Sie dennoch nicht verzichten!
Unsere Unterstützung rund um das Thema Webanalytics & Datenschutz:
- Unterstützung bei der DSGVO-konformen Anwendung und Umsetzung Ihrer Online-Medien.
- Optimierung Ihres E-Mail-Marketings und rechtskonformer Newsletterversand.
- Konzeption und Umsetzung von sinnvollen KPI´s für die Auswertung Ihrer Seiten bzw. Anwendungen. Individuelle Entwicklung von Dashboards, mit denen Sie einen Überblick über die relevanten Kennziffern erhalten.
- DSGVO-konforme Implementierung von Analysetools (Matomo / Google Analytics etc.) in Ihre Seiten / Anwendungen.
Profitieren Sie von unserem Know-How auch in folgenden Themenbereichen:
Haben Sie weitere Fragen?
Oliver Parrizas steht Ihnen für Ihre Fragen zum Thema gerne zur Verfügung.
+49-800-911-91-91
Praxisorientiertes Wissen für die Realisierung Ihrer digitalen B2B-Projekte:
Der eigene Onlineshop
Erfahren Sie, welche E-Commerce-Trends nicht zu vernachlässigen sind und welche Features ein professioneller Onlineshop mitbringen sollte.
Marketing Automation
Erhalten Sie Einblick, wie Sie mit Marketing Automation Ihre Vertriebsressourcen effizienter einsetzen und neue Leads generieren können.
Content Marketing
Erhalten Sie exklusive Empfehlungen zur Konzeption bis hin zur idealen Umsetzung einer zielführenden Content Marketing Strategie.
B2B Website Relaunch
Informieren Sie sich über die stukturierte und zeitgemäße Realisierung eines B2B-Website Relaunchs.