Datenschutz im Onlineshop

Checkliste: 12 Schritte zum rechtssicheren Online-Shop

Vom Ladengeschäft zum Online-Shop? Wir haben 12 unverzichtbare To-Dos, die Sie auf dem Weg zum rechtssicheren Online-Shop beachten sollten.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Viele Geschäfte und Unternehmen steigen gerade in die Online-Welt ein und eröffnen einen Online-Shop. Aufschwung erhält dieser Trend insbesondere durch die auferlegten Ladenschließungen durch die Corona-Krise. Aber egal, ob geplant oder erzwungen: Die Datenschutzgrundverordnung muss zur Wahrung der personenbezogenen Daten zwingend beachtet werden. Auf dem Weg zum rechtssicheren Online-Shop sollten Sie dabei nachstehende Punkte zwingend beachten – diese gelten im Übrigen auch, wenn Sie mit Blick auf den Datenschutz Ihren bereits bestehenden Online-Shop rechtssicher machen wollen bzw. Ihren Online-Shop auf Rechtssicherheit hin überprüfen möchten.
 

  1. Datenschutzerklärung:

Eine Datenschutzerklärung (DSE) auf der Webseite ist ein Muss! Die DSE muss die Website-Besucher:innen darüber informieren, welche ihrer Daten erhoben und verarbeitet werden, zu welchem Zweck dies geschieht und wie lange diese gespeichert werden. Dennoch gibt es immer noch Website-Betreiber:innen, die nicht über eine Datenschutzerklärung verfügen bzw. lediglich eine unvollständige oder fehlerhafte DSE haben. Das kann schnell teuer werden – darum sollten Sie eine für Ihr Geschäft passende Datenschutzerklärung generieren lassen.
 

  1. Impressum

Ein vollständiges (!) Impressum ist ebenso wie eine Datenschutzerklärung ein Muss. Auch hier sollten Sie nicht bei anderen Online-Shops mittels Copy und Paste ein Impressum ziehen, sondern sich eines, angepasst auf Ihr Geschäft, erstellen lassen. Gut zu wissen: Ein Impressum muss von jeder Unterseite aus mit nur einem Klick erreichbar sein. Eine Zusammenführung mit der Datenschutzerklärung ist darüber hinaus wenig sinnvoll – setzen Sie lieber auf eine klare Trennung der beiden Seiten!
 

  1. Weitere Rechtstexte

Neben weiteren Rechtstexten, wie den AGB (Allgemeine Geschäftsbedingungen), den Zahlungs- und Versandhinweisen sowie etwaigen für Ihre Branche notwendigen weiteren Hinweisen (wie etwa der Hinweis zur Batterieentsorgung) ist darauf zu achten, dass Sie eine Widerrufsbelehrung samt Muster-Widerrufsformular zur Verfügung stellen.
 

  1. Cookiebanner

Abgesehen von technisch notwendigen Cookies müssen Nutzer:innen mittlerweile der Verwendung anderer Cookies (z.B. Marketing- oder Analyse-Cookies) aktiv zustimmen. Dazu muss der Cookie-Hinweis entsprechend angepasst werden – ein bereits gesetztes Häkchen ist hier nicht zulässig! Über die Cookie-Thematik können Sie sich hier ausführlich informieren.
 

  1. Verschlüsselte Formulare

Der Warenkorb übermittelt die Daten Ihrer Kund:innen mittels eines Formulars. Diese und andere auf der Website eingesetzte Formulare in Online-Shops unterliegen der DSGVO: Es handelt sich hier um eine Datenübertragung, bei der mehrere Grundsätze zu beachten sind:

  • Datenminimierung: Sie als Webmaster dürfen von Ihren Website-Besucher:innen nur solche Daten anfordern, die für die Erfüllung der jeweiligen Aufgabe auch wirklich notwendig sind. Hinterfragen Sie Ihre Web-Formulare kritisch! Überprüfen Sie, ob Sie nicht vielleicht Informationen anfordern, die Sie überhaupt nicht benötigen – für eine Newsletter-Anmeldung ist beispielsweise weder eine Postanschrift noch eine Telefonnummer erforderlich.

  • Integrität und Vertraulichkeit: Der Vorgang der Datenübertragung muss zwingend verschlüsselt ablaufen. Dies soll eine angemessene Sicherheit der personenbezogenen Daten gewährleisten und die Daten somit vor unbefugter oder unrechtmäßiger Verarbeitung schützen.
     

  1. Website verschlüsseln

Das sichere Kommunikationsprotokoll HTTPS ist Pflicht, wenn Sie Ihren User:innen Formulare zur Datenübertragung bereitstellen. Denn die sichere, verschlüsselte Übertragung dieser Daten ist laut DSGVO eine technische Maßnahme, die zum Schutz der personenbezogenen Daten ergriffen werden muss (Art. 32 Abs. 1 lit. a DSGVO). Für die Umstellung auf HTTPS benötigen Sie entweder ein SSL-Zertifikat („Secure-Sockets-Layer“) oder dessen Nachfolger, ein TLS-Zertifikat („Transport-Layer-Security“). Beides sind digitale Datensätze, die Sie auf Ihrem Server installieren müssen. Die zu schützende Domain müssen Sie dabei in der Regel manuell auswählen. Der Schutzbereich einer SSL-Verschlüsselung geht weiter als der einer TLS-Verschlüsselung, bei der die Daten lediglich auf den Wegen zwischen den Servern geschützt sind, die Daten auf den Servern jedoch unverschlüsselt bleiben. SSL und TLS bestätigen bestimmte Eigenschaften von Personen oder Objekten und gewährleisten dadurch folgendes:

  • Authentifizierung der Kommunikationspartner durch asymmetrische Verschlüsselungsverfahren

  • Vertrauliche Ende-zu-Ende-Datenübertragung durch symmetrische Verschlüsselungsverfahren bzw. Verschlüsselung der Daten auf den Wegen zwischen den Servern

  • Sicherstellung der Integrität der transportierten Daten
     

  1. Double-Opt-In und Opt-Out

Bieten Sie Ihren Kund:innen beispielsweise Werbe- oder Informationsangebote an, können diese sich aktiv für das Angebot eintragen. Double-Opt-In besagt, dass daraufhin ein Bestätigungslink per E-Mail an die eingetragene E-Mail-Adresse verschickt werden muss. Erst, wenn die Person diesen Link per Klick bestätigt, darf sie mit dem Informations- oder Werbeangebot bespielt werden. Ausführliche Informationen zum Double-Opt-In und Opt-Out lesen Sie hier.
 

  1. Newsletter

Im E-Mail-Marketing ist das Double-Opt-In Pflicht. E-Mail-Adressen, die Sie von Ihren Kund:innen auf anderem Wege gesammelt haben, beispielsweise zur Kontaktmöglichkeit, dürfen Sie nicht einfach mit einem Newsletter bespielen. Hierfür braucht es eine aktive Einwilligung der betreffenden Personen. Zudem braucht auch jeder Newsletter ein Impressum. Es ist allerdings erlaubt, dieses auf die nötigen Stellen zu kürzen und nur einen Ausschnitt des Impressums Ihres Online-Shops anzugeben. Auch ein Abmelde-Link darf in keinem Newsletter fehlen!
 

  1. Social-Media-Plugins

„Alte“ Social-Media-Buttons geben die Daten Ihrer Website-Betreiber:innen an die jeweiligen Netzwerke weiter – auch wenn die User:innen dort überhaupt nicht registriert sind. Daher sind diese Social-Media-Plugins nicht mehr zulässig – außer, Sie binden diese Buttons als standardmäßig inaktiv ein, damit die Website-Besucher:innen diese aktiv anklicken und aktivieren müssen.
 

  1. AV-Verträge

Sie werden als Online-Shop-Betreiber:in mit zahlreichen Dienstleister:innen zusammenarbeiten, insbesondere mit Zahlungsdienstleistern. Diese verarbeiten Namen, Adressen, Kontodaten und andere personenbezogene Daten Ihrer Kund:innen. Hier ist der Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) erforderlich. Gleiches gilt für die Zusammenarbeit mit Dienstleister:innen in Form von Software-as-a-Service-Lösungen (SaaS) oder Cloud-Anbieter:innen. Auch hier ist die Faustregel: Verarbeiten externe Dienstleister:innen personenbezogene Daten, müssen Sie einen AV-Vertrag abschließen. Nur wenn ein gültiger AV-Vertrag vorliegt, liegt eine Rechtsgrundlage für die Weitergabe der personenbezogenen Daten an Dritte vor. Hier finden Sie ein Muster für einen AV-Vertrag zum Download.
 

  1.  Verzeichnis von Verarbeitungstätigkeiten

Als Online-Shop-Betreiber sind Sie nach der DSGVO verpflichtet, sämtliche regelmäßig stattfindenden Datenverarbeitungsprozesse in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren. Hier müssen u.a. die verantwortliche Stelle und deren Leiter:in (auch, wenn es sich hierbei um Sie selbst handelt), der Zweck der Datenerhebung, -nutzung und -verarbeitung, die Regelfristen zur Löschung sowie eine etwaige Übermittlung in Drittstaaten außerhalb der EU angegeben werden. Ein VVT-Muster zum Download finden Sie hier.
 

  1. Technische und organisatorische Maßnahmen

Auch Online-Shops haben einen physikalischen Sitz – und, um den Anforderungen der DSGVO gerecht zu werden, müssen Sie dort ebenso wie in Ihrem Webshop technische und organisatorische Maßnahmen wie Daten-Backups, angemessene Verschlüsselungen von Daten, kontrollierter Zugang zu Datenverarbeitungssystemen oder Kontrolle über die Räumlichkeiten des physikalischen Standortes des Online-Shops ergreifen. Diese müssen zudem dokumentiert werden.
 

  1. Datenschutzbeauftragter

Schon ab 20 Personen, die mit der Verarbeitung von Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden. Wichtig: Hier zählen auch Freelancer:innen, Teilzeitkräfte, Aushilfen sowie Werkstudentinnen und Praktikantinnen hinzu! Es gibt aber auch Ausnahmen von dieser Regelung: Verarbeiten Sie besonders sensible Daten oder handeln Sie gewerbsmäßig oder zu Zwecken der Markt- und Meinungsforschung mit personenbezogenen Daten müssen Sie auch bei weniger als 20 Mitarbeiterinnen einen Datenschutzbeauftragten bestellen.

Autorin: Kathrin Strauß
Artikel veröffentlicht am 16. April 2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr