Unboxing

Datenschutzerklärung für Onlineshops inkl. Checkliste zum rechtssicheren Web-Shop

Wir beraten Sie verständlich zum Datenschutz sowie zur Umsetzung der DSGVO in Ihrem Onlineshop und stellen Ihnen eine Checkliste für einen rechtssicheren Onlineshop zur Verfügung..

  • Über 2.200 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Muster & Vorlagen

Die Datenschutzgrundverordnung DSGVO und der Datenschutz allgemein sind im Internet extrem wichtig. Das Thema Datenschutz und Onlineshop bildet dabei keine Ausnahme: Gerade hier werden viele personenbezogene Daten verarbeitet, die einen besonderen Schutz genießen. Worauf Sie beim Datenschutz im E-Commerce ein besonderes Augenmerk legen sollten, haben wir auf dieser Seite für Sie zusammengefasst.

Setzen Sie dabei, wie viele andere Onlineshops, auf unsere fachkundige Branchenexpertise!

Der Branchenexperte

Damit ein ordnungsgemäßer Kaufvorgang im Online-Handel abgewickelt und die gewünschte Ware im Anschluss versendet werden kann, sind Online-Handelnde wie Amazon, aber auch jedes kleinere Unternehmen mit Online-Auftritt, auf die personenbezogenen Daten ihrer Kundschaft angewiesen. Dazu gehören insbesondere folgende Daten:

  • Vollständiger Name
  • Genaue Anschrift
  • E-Mail-Adresse
  • Kontoinformationen

Da Onlineshops im Tagesgeschäft eine Vielzahl von personenbezogenen Daten automatisiert verarbeiten, ist die Onlinebranche von der DSGVO stärker betroffen als die meisten anderen Branchen. Für den E-Commerce ist es daher wichtig, einen bedingungslosen Datenschutz gewährleisten zu können. Bei einem fahrlässigen Umgang mit personenbezogenen Daten in Onlineshops kann es leicht zu einer Datenschutzverletzung kommen. Imageschäden sowie behördliche Sanktionen sind oft die Folge.

 

Basis

Unser Starterpaket, bei dem alle Datenschutz-Basics abgedeckt sind.
Für sehr kleine Unternehmen ohne Beratungsbedarf und einfachen Datenverarbeitungen.
Angebot anfordern
Unsere Empfehlung

Medium

Unser Datenschutz- und Beratungspaket, mit dem auch steigende Anforderungen abgedeckt sind.
Für kleine und mittlere Unternehmen mit niedrigem Beratungsbedarf und standardmäßigen Datenverarbeitungen.
Angebot anfordern

Premium

Unser 360° Rundum Datenschutzpaket, bestehend aus einer umfangreichen Kombination von Service- und Produktleistungen.
Für mittlere Unternehmen und Verbunde mit Beratungsbedarf und umfangreichen / komplexen Datenverarbeitungen.
Angebot anfordern
Preise pro Monat ab
175 €
275 €
475 €
Diese Datenschutzkernaufgaben übernehmen wir für Sie:
 
 
Benennung TÜV zert. Datenschutzbeauftragter (DSB)
Datenschutzdokumentation
Datenschutzbestandsaufnahme und Datenschutzaudit
Zusatzleistung
Unsere Software enthält standardmäßig folgende Bestandteile:
 
 
Zugang zu unserer Software Proliance 360
Anzahl an Zugängen auf Proliance 360
1 Admin-Zugang
1-Admin-Zugang,
6 Zugänge für Funktionsbereiche
Zugänge nach Absprache
Holdingverwaltung
Datenschutzschulungen
Basis Schulung
Basis Schulung
+ weitere Schulungen
ggf. zusätzliche Kosten
Basis Schulung
+ weitere Schulungen
ggf. zusätzliche Kosten
In unserem Serviceangebot sind folgende Komponenten enthalten:
 
 
Experten-Support inklusive (pro Jahr)
Keine
Beratungsleistungen werden stundenweise abgerechnet
10 Stunden
Zusätzliche Beratungsleistungen und - kontingente können jederzeit hinzugebucht werden.
20 Stunden
Zusätzliche Beratungsleistungen und - kontingente können jederzeit hinzugebucht werden.
Priorisierte Reaktionszeit bei Anfragen
(Montag - Freitag):
Die Bearbeitung von Anfragen erfolgt unverzüglich, jedoch ohne Priorisierung. Eilbedürftige Anfragen (z. B. Datenschutzverletzungen) werden durch den Datenschutzbeauftragten immer priorisiert.
Innerhalb von 48 Stunden
Zeitspanne, innerhalb derer üblicherweise mit der Bearbeitung von Anfragen begonnen wird. Erledigungszeiten sind abhängig von Art und Umfang der Anfrage sowie Mitwirkung des Auftraggebers. Eilbedürftige Anfragen (z. B. Datenschutzverletzungen) werden durch den Datenschutzbeauftragten immer priorisiert.
Innerhalb von 24 Stunden
Zeitspanne, innerhalb derer üblicherweise mit der Bearbeitung von Anfragen begonnen wird. Erledigungszeiten sind abhängig von Art und Umfang der Anfrage sowie Mitwirkung des Auftraggebers. Eilbedürftige Anfragen (z. B. Datenschutzverletzungen) werden durch den Datenschutzbeauftragten immer priorisiert.
Persönlicher Ansprechpartner
 
Angebot anfordern
Angebot anfordern
Angebot anfordern

Basis

Unser Starterpaket, bei dem alle Datenschutz-Basics abgedeckt sind.
Für sehr kleine Unternehmen ohne Beratungsbedarf und einfachen Datenverarbeitungen.
Angebot anfordern
Preise pro Monat ab 175 €
Diese Datenschutzkernaufgaben übernehmen wir für Sie:
Benennung TÜV zert. Datenschutzbeauftragter (DSB)
Datenschutzdokumentation
Datenschutzbestandsaufnahme
und Datenschutzaudit
Zusatzleistung
Unsere Software enthält standardmäßig folgende Bestandteile:
Zugang zu unserer Software Proliance 360
Anzahl an Zugängen auf Proliance 360: 1 Admin-Zugang
Datenschutzschulungen: Basis Schulung
In unserem Serviceangebot sind folgende Komponenten enthalten:
Experten-Support inklusive
(pro Jahr)
Zusätzliche Beratungsleistungen und - kontingente können jederzeit hinzugebucht werden.
Unsere Empfehlung

Medium

Unser Datenschutz- und Beratungspaket, mit dem auch steigende Anforderungen abgedeckt sind.
Für kleine und mittlere Unternehmen mit niedrigem Beratungsbedarf und standardmäßigen Datenverarbeitungen.
Angebot anfordern
Preise pro Monat ab 275 €
Diese Datenschutzkernaufgaben übernehmen wir für Sie:
Benennung TÜV zert. Datenschutzbeauftragter (DSB)
Datenschutzdokumentation
Datenschutzbestandsaufnahme
und Datenschutzaudit
Zusatzleistung
Unsere Software enthält standardmäßig folgende Bestandteile:
Zugang zu unserer Software Proliance 360
Anzahl an Zugängen auf Proliance 360: 1-Admin-Zugang,
6 Zugänge für Funktionsbereiche
Datenschutzschulungen: Basis Schulung
+ weitere Schulungen
ggf. zusätzliche Kosten
In unserem Serviceangebot sind folgende Komponenten enthalten:
Experten-Support inklusive
(pro Jahr): 10 Stunden
Zusätzliche Beratungsleistungen und - kontingente können jederzeit hinzugebucht werden.
Reaktionszeit zu Anfragen
(Montag - Freitag): Bis zu 48 Stunden
Entspricht in der Regel den üblichen Reaktionszeiten.
Persönlicher Ansprechpartner

Premium

Unser 360° Rundum Datenschutzpaket, bestehend aus einer umfangreichen Kombination von Service- und Produktleistungen.
Für mittlere Unternehmen und Verbunde mit Beratungsbedarf und umfangreichen / komplexen Datenverarbeitungen.
Angebot anfordern
Preise pro Monat ab 475 €
Diese Datenschutzkernaufgaben übernehmen wir für Sie:
Benennung TÜV zert. Datenschutzbeauftragter (DSB)
Datenschutzdokumentation
Datenschutzbestandsaufnahme
und Datenschutzaudit
Zusatzleistung
Unsere Software enthält standardmäßig folgende Bestandteile:
Zugang zu unserer Software Proliance 360
Anzahl an Zugängen auf Proliance 360: Zugänge nach Absprache
Holdingverwaltung
Datenschutzschulungen: Basis Schulung
+ weitere Schulungen
ggf. zusätzliche Kosten
In unserem Serviceangebot sind folgende Komponenten enthalten:
Experten-Support inklusive
(pro Jahr): 20 Stunden
Zusätzliche Beratungsleistungen und - kontingente können jederzeit hinzugebucht werden.
Reaktionszeit zu Anfragen
(Montag - Freitag): Bis zu 24 Stunden
Entspricht in der Regel den üblichen Reaktionszeiten.
Persönlicher Ansprechpartner

Rechtliche Grundlagen: Warum ist Datenschutz im E-Commerce wichtig?

Im Internethandel werden massenhaft personenbezogene Daten verarbeitet: Namen, Adressen, E-Mail-Adressen oder Kontonummern sind nur einige davon. Deswegen greift hier zum Schutz dieser personenbezogenen Daten die Datenschutzgrundverordnung DSGVO. Sie gibt vor, wie mit den personenbezogenen Daten, die beispielsweise im E-Mail-Marketing verwendet oder durch Kontaktformulare wie den Warenkorb in Onlineshops verarbeitet werden, umzugehen ist. Denn nur wenn Sie sicherstellen, dass die personenbezogenen Daten Ihrer Kundschaft geschützt werden, können Sie einen sicheren Internethandel aufbauen.

 

Datenschutz für Online-Shops und E-Commerce: Worauf muss beim Datenschutz im E-Commerce geachtet werden?

Der Datenschutz im E-Commerce hat viele Facetten, die Sie beachten sollten. Die wichtigsten auf dem Weg zu einem rechtssicheren Onlineshop sind dabei u.a.:

  • Datenschutzerklärung
  • Impressum
  • Weitere Rechtstexte
  • Cookiebanner
  • Verschlüsselte Website
  • Formulare (Gebot der Datensparsamkeit)
  • Double-Opt-In und Opt-Out
  • Newsletter
  • Social-Media-Plugins
  • AV-Verträge
  • Verzeichnis von Verarbeitungstätigkeiten
  • Technische und organisatorische Maßnahmen
  • Datenschutzbeauftragter
  • Löschkonzept
  • Beantwortung von Betroffenenanfragen
  • Bearbeitung und ggf. Meldung von Datenpannen

All diese Punkte sollten Sie zwingend für Ihren Internet-Shop individuell lösen. Greifen Sie daher niemals beispielsweise auf die Datenschutzerklärung anderer Shops zurück! Schon ein Fehler in Ihrer Datenschutzerklärung führt zu deren Unvollständigkeit und kann unter Umständen abgemahnt werden. Wir haben daher für Sie eine ausführliche Checkliste für den Weg zum rechtssicheren Onlineshop zusammengestellt.

 

Checkliste: 12 Schritte zum rechtssicheren Onlineshop

Vom Ladengeschäft zum Onlineshop? Wir haben 12 unverzichtbare To-Dos, die Sie auf dem Weg zum rechtssicheren Onlineshop beachten sollten. Auf dem Weg zum rechtssicheren Onlineshop sollten Sie dabei nachstehende Punkte zwingend beachten – Diese gelten im Übrigen auch, wenn Sie mit Blick auf den Datenschutz Ihren bereits bestehenden Onlineshop rechtssicher machen wollen bzw. auf Rechtssicherheit hin überprüfen möchten.

1. Datenschutzerklärung

Eine Datenschutzerklärung (DSE) auf der Webseite ist ein Muss! Die DSE muss die Website-Besuchende darüber informieren, welche ihrer Daten erhoben und verarbeitet werden, zu welchem Zweck dies geschieht und wie lange diese gespeichert werden. Dennoch gibt es immer noch Website-Betreibende, die nicht über eine Datenschutzerklärung verfügen bzw. lediglich eine unvollständige oder fehlerhafte DSE haben. Das kann schnell teuer werden – darum sollten Sie eine für Ihr Geschäft passende Datenschutzerklärung generieren lassen.

2. Impressum

Ein vollständiges (!) Impressum ist ebenso wie eine Datenschutzerklärung ein Muss. Auch hier sollten Sie nicht bei anderen Onlineshops mittels Copy und Paste ein Impressum ziehen, sondern sich eines, angepasst auf Ihr Geschäft, erstellen lassen. Gut zu wissen: Ein Impressum muss von jeder Unterseite aus mit nur einem Klick erreichbar sein. Eine Zusammenführung mit der Datenschutzerklärung ist darüber hinaus wenig sinnvoll – setzen Sie lieber auf eine klare Trennung der beiden Seiten! 

3. Weitere Rechtstexte

Neben weiteren Rechtstexten, wie den AGB (Allgemeine Geschäftsbedingungen), den Zahlungs- und Versandhinweisen sowie etwaigen für Ihre Branche notwendigen weiteren Hinweisen (wie etwa der Hinweis zur Batterieentsorgung) ist darauf zu achten, dass Sie eine Widerrufsbelehrung samt Muster-Widerrufsformular zur Verfügung stellen.

4. Cookiebanner

Abgesehen von technisch notwendigen Cookies müssen Nutzende mittlerweile der Verwendung anderer Cookies (z.B. Marketing- oder Analyse-Cookies) aktiv zustimmen. Dazu muss der Cookie-Hinweis entsprechend angepasst werden – ein bereits gesetztes Häkchen ist hier nicht zulässig! Über die Cookie-Thematik können Sie sich hier ausführlich informieren

5. Verschlüsselte Formulare

Der Warenkorb übermittelt die Daten Ihrer Kundschaft mittels eines Formulars. Diese und andere auf der Website eingesetzte Formulare in Onlineshops unterliegen der DSGVO: Es handelt sich hier um eine Datenübertragung, bei der mehrere Grundsätze zu beachten sind:

6. Website verschlüsseln

Das sichere Kommunikationsprotokoll HTTPS ist Pflicht, wenn Sie Ihren Nutzenden Formulare zur Datenübertragung bereitstellen. Denn die sichere, verschlüsselte Übertragung dieser Daten ist laut DSGVO eine technische Maßnahme, die zum Schutz der personenbezogenen Daten ergriffen werden muss (Art. 32 Abs. 1 lit. a DSGVO). Für die Umstellung auf HTTPS benötigen Sie entweder ein SSL-Zertifikat („Secure-Sockets-Layer“) oder dessen Nachfolger, ein TLS-Zertifikat („Transport-Layer-Security“). Beides sind digitale Datensätze, die Sie auf Ihrem Server installieren müssen. Die zu schützende Domain müssen Sie dabei in der Regel manuell auswählen. Der Schutzbereich einer SSL-Verschlüsselung geht weiter als der einer TLS-Verschlüsselung, bei der die Daten lediglich auf den Wegen zwischen den Servern geschützt sind, die Daten auf den Servern jedoch unverschlüsselt bleiben. SSL und TLS bestätigen bestimmte Eigenschaften von Personen oder Objekten und gewährleisten dadurch folgendes:

7. Double-Opt-In und Opt-Out

Bieten Sie Ihrer Kundschaft beispielsweise Werbe- oder Informationsangebote an, können diese sich aktiv für das Angebot eintragen. Double-Opt-In besagt, dass daraufhin ein Bestätigungslink per E-Mail an die eingetragene E-Mail-Adresse verschickt werden muss. Erst wenn die Person diesen Link per Klick bestätigt, darf sie mit dem Informations- oder Werbeangebot bespielt werden. Ausführliche Informationen zum Double-Opt-In und Opt-Out lesen Sie hier

8. Newsletter

Im E-Mail-Marketing ist das Double-Opt-In Pflicht. E-Mail-Adressen, die Sie von Ihrer Kundschaft auf anderem Wege gesammelt haben, beispielsweise zur Kontaktmöglichkeit, dürfen Sie nicht einfach mit einem Newsletter bespielen. Hierfür braucht es eine aktive Einwilligung der betreffenden Personen. Zudem braucht auch jeder Newsletter ein Impressum. Es ist allerdings erlaubt, dieses auf die nötigen Stellen zu kürzen und nur einen Ausschnitt des Impressums Ihres Onlineshops anzugeben. Auch ein Abmelde-Link darf in keinem Newsletter fehlen! 

9. Social-Media-Plugins

„Alte“ Social-Media-Buttons geben die Daten Ihrer Website-Betreibenden an die jeweiligen Netzwerke weiter – auch wenn die Nutzenden dort überhaupt nicht registriert sind. Daher sind diese Social-Media-Plugins nicht mehr zulässig – außer, Sie binden diese Buttons als standardmäßig inaktiv ein, damit die Website-Besuchenden diese aktiv anklicken und aktivieren müssen. 

10. AV-Verträge

Sie werden als Onlineshop-Betreiber:in mit zahlreichen Dienstleistenden zusammenarbeiten, insbesondere mit Zahlungsdienstleistenden. Diese verarbeiten Namen, Adressen, Kontodaten und andere personenbezogene Daten Ihrer Kundschaft. Hier ist der Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) erforderlich. Gleiches gilt für die Zusammenarbeit mit Dienstleistenden in Form von Software-as-a-Service-Lösungen (SaaS) oder Cloud-Anbietenden. Auch hier ist die Faustregel: Verarbeiten externe Dienstleistende personenbezogene Daten, müssen Sie einen AV-Vertrag abschließen. Nur wenn ein gültiger AV-Vertrag vorliegt, liegt eine Rechtsgrundlage für die Weitergabe der personenbezogenen Daten an Dritte vor. Hier finden Sie ein Muster für einen AV-Vertrag zum Download

11. Verzeichnis von Verarbeitungstätigkeiten

Als Onlineshop-Betreiber:in sind Sie nach der DSGVO verpflichtet, sämtliche regelmäßig stattfindenden Datenverarbeitungsprozesse in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren. Hier müssen u.a. die verantwortliche Stelle und deren Leiter:in (auch, wenn es sich hierbei um Sie selbst handelt), der Zweck der Datenerhebung, -nutzung und -verarbeitung, die Regelfristen zur Löschung sowie eine etwaige Übermittlung in Drittstaaten außerhalb der EU angegeben werden. Ein VVT-Muster zum Download finden Sie hier

12. Technische und organisatorische Maßnahmen

Auch Onlineshops haben einen physikalischen Sitz – und, um den Anforderungen der DSGVO gerecht zu werden, müssen Sie dort ebenso wie in Ihrem Webshop technische und organisatorische Maßnahmen wie Daten-Backups, angemessene Verschlüsselungen von Daten, kontrollierter Zugang zu Datenverarbeitungssystemen oder Kontrolle über die Räumlichkeiten des physikalischen Standortes des Onlineshops ergreifen. Diese müssen zudem dokumentiert werden. 

13. Datenschutzbeauftragter

Schon ab 20 Personen, die mit der Verarbeitung von Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden. Wichtig: Hier zählen auch Freischaffende, Teilzeitkräfte, Aushilfen sowie Werkstudierende und Praktikumskräfte hinzu! Es gibt aber auch Ausnahmen von dieser Regelung: Verarbeiten Sie besonders sensible Daten oder handeln Sie gewerbsmäßig oder zu Zwecken der Markt- und Meinungsforschung mit personenbezogenen Daten müssen Sie auch bei weniger als 20 Mitarbeitenden einen Datenschutzbeauftragten bestellen.

Denken Sie darüber hinaus stets daran, auch die Betroffenenrechte nach Kap. 3 DSGVO sicherzustellen und beispielsweise Auskunftsersuchen oder Löschfristen einzuhalten. Abmahnungen oder Bußgelder können sonst nicht nur schnell folgen, sondern Ihrem Onlineshop auch einen erheblichen wirtschaftlichen Schaden zufügen – vom Fortbleiben der Kundschaft aufgrund des erlittenen Imageverlustes ganz zu schweigen.

Sie wollen den Datenschutz ganz einfach in Ihr Alltagsgeschäft integrieren? Sprechen Sie uns an, wir beraten Sie unverbindlich!

Externer Datenschutzbeauftragter für Onlineshops: Unsere maßgeschneiderten Datenschutzleistungen für Ihren Onlineshop

Damit Ihr Online-Handel datenschutzrechtlich abgesichert ist, bietet datenschutzexperte.de zahlreiche Leistungen, die sich an den Anforderungen Ihres Unternehmens orientieren. Sobald mindestens 20 Ihrer Mitarbeitende mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, sind Sie gemäß DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Gerne stellen wir als Spezialisten einen externen Datenschutzbeauftragten für Ihr Unternehmen, damit Sie sich auf Ihr Tagesgeschäft konzentrieren können. 

Die Datenschutzerklärung und mit ihr ein transparenter Umgang in Hinblick auf die Nutzung und Verarbeitung personenbezogener Daten ist insbesondere für Online-Handel und den E-Commerce von übergeordneter Bedeutung. Damit Sie sicher sein können, dass Sie mit Ihrer Datenschutzerklärung vor Abmahnungen geschützt sind, bietet datenschutzexperte.de für Ihren Onlineshop einen umfassenden Datenschutzerklärungsgenerator sowie individuelle Beratung zu datenschutzrechtlichen Fragestellungen. 

Sie haben weitere Fragen im Bereich Datenschutz? Unser vielseitiges Leistungsangebot orientiert sich dabei an Ihren individuellen Bedürfnissen!

Bereits im Zuge der Bestandsaufnahme beraten wir Sie zu Themen wie Zahlungen via PayPal oder Website-Tracking-Tools zur Conversion-Optimierung und vielen weiteren datenschutzrechtlichen Themen, die im E-Commerce eine wichtige Rolle spielen.

Um bei all den gesetzlichen Datenschutz-Vorgaben den Überblick zu behalten, können Sie den Datenschutz in Ihrem Onlineshop ganz einfach mit unserer innovativen Datenschutzplattform Proliance 360 managen. Diese stellen wir Ihnen mit dem externen Datenschutzbeauftragten zur Verfügung. Mit unserer eigens entwickelten Datenschutz-Software Proliance 360 können Sie einfach und angeleitet alle Vorgaben der DSGVO umsetzen – und das, ohne Ihr Tagesgeschäft zu beeinträchtigen. So können Sie sich voll auf Ihre Online-Geschäfte konzentrieren! Vereinbaren Sie noch heute einen unverbindlichen Demo-Termin mit uns, wir beraten Sie gerne!


Was uns auszeichnet

4,96 von 5

SEHR GUT

101 Bewertungen

100%

Empfehlungen

KundenserviceSEHR GUT (4,92)

Preis / LeistungSEHR GUT (4,91)

10.09.2018Empfehlung! Kundenservice sowie Preis-Leistungs-Verhältnis ist einfach unschlagbar. Ich fühle mich wohl hier! Auf die gute Zusammenarbeit.
30.08.2018Empfehlung! 5 von 5 Sternen.
29.08.2018Empfehlung! 4 von 5 Sternen.
28.08.2018Empfehlung! Bisher bin ich mit der Zusammenarbeit äußerst zufrieden! Ich schätze die unkomplizierten Prozesse und die Führung der Datenschutzexperten durch die Anforderungen der DSGVO.
24.08.2018Empfehlung! Wir sind mit den Beratungsleistungen der Datenschutzexperten wirklich sehr zufrieden! Hier leistet eine junge Truppe Arbeit, welche in Puncto Schnelligkeit, umsetzbare Beratung und vor allem im Preis-Leistungsverhältnis meilenweit vor klassischen Anwaltskanzleien liegen dürfte. Einmal ausprobiert, werden wir uns in allen Angelegenheiten zur DSGVO und zu allen zukünftigen Verordnungen nicht mehr von datenschutzexperte.de trennen!
23.08.2018Empfehlung! Beim Thema Datenschutz gab es bei uns immer viel Unsicherheit und auch wenig Zeit, sich damit zu beschäftigen. Daher sind wir froh, dass das Team von Datenschutzexperte uns so professionell und zuverlässig unterstützt. Danke!
22.08.2018Empfehlung! Gerade bei einem so wichtigen Thema wie Datenschutz war es für uns wichtig einen kompetenten und gut erreichbaren Berater sowie Ansprechpartner für Datenschutz-Themen zu haben. Besonders das gute Preis-Leistungsverhältnis im Vergleich zu anderen Mitbewerbern war ein ausschlaggebender Faktor für uns. Danke für die Beratung!
22.08.2018Empfehlung! Das Team von Datenschutzexperte ist sehr zuverlässig und kompetent. Wer in Sachen Datenschutz Nachhilfe benötigt ist hier an der richtigen Adresse!
17.09.2018Empfehlung! Ich habe nur Komplimente zu Datenschutzexperte. Das Personal ist kompetent, hilfsbereit und mit guten Preisen. Ich konnte auf ihrer Website viele nützliche Informationen finden und bin sehr zufrieden mit dem Service, der mir zur Verfügung gestellt wurde. Ich werde es definitiv empfehlen.
17.09.2018Empfehlung! We are very happy with the service provided by Datenschutzexperte. Many thanks for a great support.

Wir beantworten Ihre Fragen zum Datenschutz für Online-Shops

Die Bestellung eines Datenschutzbeauftragten (DSB) ist für einen korrekt angewendeten Datenschutz im Onlineshop sehr wichtig. Die Benennung ist nach § 38 BDSG sowie gemäß dem Art. 37 DSGVO verpflichtend. Damit kommt es bei der Bestellung eines DSB auf folgende Aspekte an:

  • Unternehmensgröße: Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Ihrer Mitarbeiter regelmäßig automatisierte Daten verarbeiten (§ 38  Abs. 1 BDSG). 
  • Besondere Daten: Bei der Verarbeitung von Daten, welche Auskunft über Rasse, ethnische Herkunft, religiöse Überzeugungen, politische Meinung, Sexualleben, Gesundheit oder Gewerkschaftszugehörigkeit einer Person geben, besteht die Pflicht zur Bestellung eines DSB auch unabhängig von der Anzahl der Mitarbeiter (§ 38 Abs. 1 BDSG, Art. 37 Abs. 1 lit. c DSGVO).  Dies ist beispielsweise für Online-Apotheken oder Online-Optiker dann der Fall, wenn Händler persönliche Gesundheitsdaten durch diese Online-Plattformen erhalten.
  • Datenverarbeitung als Kerntätigkeit: Ferner besteht unabhängig von der Anzahl der Mitarbeiter die Pflicht zur Bestellung eines DSB, wenn die systematische Datenverarbeitung oder Überwachung die Kerntätigkeit eines Unternehmens darstellt – die Daten also geschäftsmäßig verarbeitet werden, z. B. zum Zwecke der Übermittlung oder Marktforschung (§ 38 Abs. 1 BDSG, Art. 37 Abs. 1 lit. b DSGVO).

Wenn Sie als Händler beim Datenschutz im Onlineshop auf der sicheren Seite sein wollen und nicht genau wissen, wie Sie für Ihren Onlineshop DSGVO Vorgaben umsetzen sollen, empfiehlt es sich, auch bei kleineren Unternehmen einen Datenschutzbeauftragten zu bestellen

Für den Newsletter-Versand ergeben sich im Bereich Datenschutz für Onlineshops dieselben Voraussetzungen, die für den normalen Newsletter-Versand gelten: 

  • Ein Vertrag zur Auftragsverarbeitung mit den Dienstleistern, durch die der Newsletter versendet wird, ist erforderlich. Der Dienstleister muss sich an die Vorgaben aus der DSGVO halten und insbesondere auf geeignete technisch-organisatorische Maßnahmen achten. 
  • Der Empfänger des Newsletters muss ausdrücklich die Einwilligung in die Datenverarbeitung erteilt haben, welche auch nachgewiesen werden muss. Die Einwilligung muss dabei freiwillig erfolgen und darf nicht an andere Handlungen geknüpft sein (Kopplungsverbot). Ferner muss ein Hinweis auf die Widerrufsmöglichkeit der Einwilligungserklärung vorhanden sein.
  • Ein Hinweis auf die Datenschutzerklärung für den Newsletter-Empfänger ist verpflichtend. 

Für die ausdrückliche Zustimmung wird im E-Commerce das sog. „Double Opt-In-Verfahren“ empfohlen. Dabei erhält der Abonnent nach Eintragung der E-Mail-Adresse eine E-Mail, in der er durch einen Aktivierungslink ausdrücklich bestätigen kann, dass er dem Newsletter-Versand zustimmt. 

Bei der Anwendbarkeit der DSGVO im E-Commerce ist ein weiterer wichtiger Punkt zu beachten: So regelt Art. 28 DSGVO alle Fälle, in denen ein Händler Dritte damit beauftragt, Daten nach seinen Weisungen zu verarbeiten. Einen Auftragsverarbeitungsvertrag (AV-Vertrag) müssen Online-Shops nach Art. 28 Abs. 3 DSGVO mit dem Auftragsverarbeiter abschließen, da die Datenverarbeitung durch den Beauftragten grundsätzlich aufgrund eines Vertrages erfolgen muss. Wann ein Abschluss eines AV-Vertrages erforderlich ist, ergibt sich anhand der Prüfung des Einzelfalls.

Grundsätzlich müssen die Weitergabe und Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage beruhen. Eine zusätzliche Rechtsgrundlage für die Weitergabe ist allerdings nicht erforderlich, soweit eine Auftragsverarbeitung vorliegt. Der Abschluss eines  AV-Vertrags erfolgt immer dann, wenn ein vom Unternehmen Beauftragter nach dessen Weisungen Zugriff auf die personenbezogenen Kundendaten hat. 

Einen AV-Vertrag müssen Online-Shops immer dann abschließen, wenn externe Dienstleister Zugriff oder auch die potenzielle Zugriffsmöglichkeit auf die personenbezogenen Daten haben. Im Folgenden ein paar Beispiele für Fälle, in welchen der Abschluss eines AV-Vertrages notwendig ist: 

  • bei Diensten für automatisierte Kundenbewertungen oder externen Call-Centern für Kundenbetreuung 
  • bei Verwendung von Zahlungs-Hubs – nicht aber bei eigenständigen Zahlungsdienstleistern wie PayPal, da diese eine eigenständige Vereinbarung mit dem Kunden treffen und nicht auf Weisung des Online-Händlers handeln 
  • bei Newsletter-Versanddienstleistern – nicht aber bei normalen Versanddienstleistern wie z. B. der Post, da die Auslieferung des gekauften Artikels dabei die Hauptleistung darstellt, welche einer Weitergabe von Namen und Anschrift an den Versanddienstleister bedarf. Somit ist die Datenweitergabe nicht Hauptbestandteil der Beauftragung, weshalb die Post als eigener Verantwortlicher und nicht als Auftragsverarbeiter angesehen wird.
  • Bei Bestellung von IT-Dienstleistern oder Web-Designern, falls diese Zugriff auf personenbezogene Daten haben
  • bei Zusammenarbeit mit Software-Entwicklern für Warenwirtschaft, ebenfalls falls diese Zugriff auf personenbezogene Daten haben
  • bei Verwendung von Webhostern, Cloud-Hostern und Google Analytics 

Nach Art. 30  Abs. 1 DSGVO hat der Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, schriftlich oder elektronisch als Nachweis für die Einhaltung der DSGVO-Vorgaben zu führen. Als Onlineshop-Betreiber müssen Sie ein solches Verzeichnis erstellen und als betriebsinternes Dokument führen. Welche Informationen dieses Verzeichnis genau enthalten muss, können Sie den Absätzen 1 und 2 des Art. 30 DSGVO entnehmen.

Möchte ein Kunde einen Kauf auf Rechnung tätigen, ist für den Vertragsabschluss eine Bonitätsprüfung erforderlich, da der Onlineshop bei dem Kauf auf Rechnung grundsätzlich in Vorleistung geht. Zu prüfen ist dann, auf welcher Rechtsgrundlage die Bonitätsprüfung durchgeführt werden kann. Es ist im Einzelfall zu prüfen, ob die Bonitätsprüfung zur Durchführung des Vertrages notwendig ist, eine Einwilligungserklärung eingeholt werden muss oder ob das Stützen auf das berechtigte Interesse ausreichend ist.

Wenn der Kunde – wie bei dem Kauf auf Rechnung – die Leistung erhält, bevor eine Zahlung erfolgen muss, dann hat der Onlineshop Interesse an einer Bonitätsprüfung. Die Bonitätsprüfung ist in diesem Fall dann zur Vertragserfüllung erforderlich. Ferner besteht aufgrund der Vorleistung durch den Onlineshop auch ein berechtigtes Interesse an einer Bonitätsprüfung, um die Gefahr eines Zahlungsausfalls ausschließen zu können, sodass für diesen Fall keine Einwilligungserklärung des Kunden eingeholt werden muss, um eine Bonitätsprüfung vornehmen zu können.

Zu beachten ist jedoch, dass der Kunde nach Art. 22  Abs. 1 DSGVO das Recht hat, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisieren Verarbeitung mit Profiling beruht und die dem Kunden gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt. (Eine automatisierte Datenverarbeitung mit Profiling einer Person kann eine automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahrens sein – folglich ein Prozess, bei dem kein menschliches Eingreifen zu erkennen ist.

Profiling ist erlaubt, wenn einer der folgenden Erlaubnistatbestände eingreifen:

  • Einwilligung
  • Berechtigtes Interesse
  • Für den Abschluss oder zur Erfüllung des Vertrages.

Grundsätzlich kann davon ausgegangen werden, dass die Entscheidung über die Kreditierung der Bezahlung für den Abschluss des Vertrages erforderlich ist, da dadurch auch Vorteile für die betroffene Person entstehen. Denn durch die Durchführung der Bonitätsprüfung können im Bereich des E-Commerce schnelle und positive Entscheidungen getroffen werden. Dennoch wird dazu geraten, vorsorglich eine Einwilligungserklärung des Kunden in Form des Double-Opt-In Verfahrens einzuholen.

Nach Art. 13  DSGVO muss die Datenschutzerklärung eines Onlineshops folgende Informationen enthalten: 

  • Namen und Kontaktdaten des Verantwortlichen und evtl. seines Vertreters 
  • Kontaktdaten des Datenschutzbeauftragten, wenn erforderlich (s. o.) 
  • Zwecke und Rechtsgrundlage der Datenverarbeitung 
  • Berechtigtes Interesse (wenn Sie als Online-Shop-Betreiber Interesse an der Weiterverarbeitung personenbezogener Daten haben, z. B. durch die Weitergabe an einen Dienstleister, der das Forderungsmanagement übernimmt, muss dies nach Art. 6 I f. DSGVO in der Datenschutzerklärung nachgewiesen werden) 
  • ggf. Empfänger der personenbezogenen Daten 
  • ggf. Absicht der Übermittlung an ein Drittland (Ausnahme; trifft in der Regel nicht zu) 
  • Dauer der Datenspeicherung bzw. Kriterien für die Festlegung der Dauer (Daten dürfen nicht dauerhaft gespeichert werden) 
  • Rechte der Nutzer (Auskunft, Berichtigung, Löschung und Einschränkung der Datenverarbeitung und Widerspruch gegen die Verarbeitung und Recht auf Datenübertragbarkeit; Beschwerderecht bei einer Aufsichtsbehörde, außerdem Recht auf Mitteilung nach Art. 19 DSGVO) 
  • Grundlage der Datenbereitstellung (vorgeschrieben durch Gesetz oder Vertrag oder erforderlich für einen Vertragsabschluss) und Folgen der Nichtbereitstellung. Im Online-Handel ist stets die Verarbeitung von personenbezogenen Daten notwendig, um einen Vertrag abzuschließen. 

Dies kann im Bereich Datenschutz für Onlineshops insbesondere dann erfolgen, wenn Ihre Datenschutzerklärung fehlerhaft ist oder Formulare und Cookies nicht an die Datenschutz-Grundverordnung angepasst sind. Ebenso müssen die Analyse-Tools und das Verfahren für die Newsletter angepasst werden. Des Weiteren drohen Abmahnungen, wenn Sie Ihrer Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen. Darüber hinaus muss Ihre Website bzw. Ihr Shop-Modul verschlüsselt sein, andernfalls droht auch hier eine Abmahnung.

Betreiber von Online-Shops sind in der Pflicht, ein umfassendes Verarbeitungsverzeichnis  zu erstellen, in dem die Erhebung, Speicherung und Weiterverarbeitung von personenbezogenen Daten dokumentiert ist. Darüber hinaus dürfen nur jene Kundendaten erfasst werden, die tatsächlich für die Auftragsverarbeitung notwendig sind. 

Ferner müssen die Händler die Betroffenen auf Anfrage unverzüglich über die Nutzung und Verarbeitung ihrer erhobenen Daten informieren und eine entsprechende Datenschutzerklärung auf der Website anbringen. Sobald die personenbezogenen Daten von Kunden nicht mehr benötigt werden oder ihr Verarbeitungszweck erfüllt wurde, so sind die Betreiber in der Pflicht, die Kundendaten unverzüglich zu löschen.

Darüber hinaus müssen die Betreiber von Online-Shops Löschfristen einhalten und die Kunden darüber informieren. Bei der Nicht-Einhaltung von Fristen oder den Löschpflichten kann es schnell zu hohen Bußgeldern kommen.


Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihren Online-Shop oder Ihre E-Commerce-Plattform sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

Lernen Sie unsere Branchen­expertise kennen

Unternehmensberatung

Erfahren Sie jetzt, wie Sie in Ihrer Unternehmensberatung DSGVO-konform arbeiten können und trotzdem eine optimale Beratung für Ihre Kunden gewährleisten können.

Mehr erfahren

IT-Dienstleister

IT-Dienstleister verarbeiten im Rahmen ihrer Tätigkeit regelmäßig personenbezogene Daten. Wir erklären, was es zu beachten gibt.

Mehr Erfahren

Pflege

Patientendaten gehören zu den besonderen Kategorien personenbezogener Daten. Was es in diesem Hinblick zu beachten gilt, erfahren Sie hier.

Mehr Erfahren

Personaldienstleistung

Lesen Sie hier, wie Sie als Personalberater die Verarbeitung von einer hohen Datenmenge managen können, ohne den Datenschutz zu verletzen.

Mehr erfahren

Start-ups

Erfahren Sie hier, wie Sie Ihr Start-up von Anfang an datenschutzfit machen und sich dann wieder voll und ganz dem Aufbau Ihres Unternehmens widmen können. 

Mehr Erfahren

Gesundheitsbereich

Fast alle personenbezogenen Daten im Gesundheitswesen sind besonders schützenswert. Informieren Sie sich hier, was Sie datenschutzrechlich beachten müssen!

Mehr Erfahren

Online-Shops

Informieren Sie sich jetzt, wie Sie als Händler in Ihrem Online-Shop Ihrem Tagesgeschäft nachgehen können und gleichzeitig den Datenschutz Ihrer Kunden gewährleisten.

Mehr erfahren

Hotels

Wir zeigen Ihnen, wie Sie in Ihrem Hotel die personenbezogenen Daten Ihrer Gäste erheben und weiterverarbeiten, ohne Datenschutzgesetze zu verletzen.

Mehr erfahren

Handwerk

Informieren Sie sich hier, wie Sie Ihren Handwerksbetrieb DSGVO-konform führen und sicher mit Kundendaten umgehen. 

Mehr Erfahren

Gastronomie

Achten Sie auf einen angemessenen Datenschutz in Ihrem Gastronomiebetrieb! Wir unterstützen Sie mit unserer Branchenexpertise und individuellen Lösungen.

Mehr Erfahren

Steuerberatung

Steuerberater arbeiten mit einer Vielzahl an personenbezogenen Daten. Lesen Sie hier, was Sie dabei beachten sollten.

Mehr Erfahren

Kindergarten

Kinder genießen einen besonderen datenschutzrechtlichen Schutz. Lesen Sie hier, was Sie beim Datenschutz in der Kinderbetreuung beachten sollten.

Mehr Erfahren

Vereine

Datenschutz bei Vereinen ist komplex. Lesen Sie hier, was die DSGVO für Vereine vorsieht.

Mehr Erfahren

Vertrieb & Marketing

In den Abteilungen Vertrieb und Marketing fallen eine Vielzahl an personenbezogenen Daten an. Lesen Sie hier, was dabei beachtet werden muss.

Mehr Erfahren

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr