Nie zuvor mussten Shopbetreiber so viele datenschutzrechtliche Vorgaben berücksichtigen. Andernfalls drohen Bußgelder, Abmahnungen und Schadensersatzforderungen, die sie teuer zu stehen kommen. Den Überblick zu behalten, ist aber gar nicht so leicht. Der Datenschutz ist ein vielseitiges Thema, das im Onlinehandel zahlreiche Stolpersteine mit sich bringt.
Erhöhtes Risiko für Datenschutzverstöße im Shopping-Umfeld
Im Vergleich zu anderen Seitenbetreibern sind Betreiber von Online-Shops einer besonders großen Anzahl an Datenschutzrisiken ausgesetzt. Aufgrund ihrer geschäftlichen Tätigkeit führt an der Erhebung von Namen und Adressdaten kein Weg vorbei. Andernfalls wäre es nicht möglich, Bestellungen der Kunden abzuwickeln.
Zumal Name und Adresse längst nicht alle personenbezogenen Daten sind, die verarbeitet werden. Ergänzend zum Bestellvorgang werden je nach gewählter Bezahlmethode z.B. auch Bankverbindungen oder ähnliche Finanzdaten erfasst. Gleichzeitig weiß der Händler, welche Produkte einzelne Kunden erwerben. In Anbetracht solch vieler sensibler Daten überrascht es nicht, dass der Datenschutz so bedeutsam ist.
Die zu berücksichtigenden Datenschutzvorgaben geben die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) vor. Nachfolgend haben wir die wesentlichen Aspekte aus dem Datenschutz zusammengetragen, die für Shopbetreiber von Relevanz sind.
Datenminimierung
Die DSGVO verlangt von Shopbetreibern das Grundprinzip der Datenminimierung zu beachten. Es dürfen nur solche Daten erheben und verarbeitet werden, die für den vorgesehenen Zweck notwendig sind. Dies bedeutet wiederum, die Datenerhebung beim Bestellvorgang und relevanten Prozessen aus datenschutzrechtlicher Sicht detailliert abstimmen zu müssen.
Die Mehrheit der Shopbetreiber verfügt über umfassende Expertise im E-Commerce, jedoch längst nicht immer im Datenschutz. Deshalb ist es meist am sinnvollsten, datenschutzrechtliche Fragestellungen dem Datenschutzbeauftragten zu übertragen. Ob ein Shop dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen, erläutern wir in unserem Beitrag Benennung des Datenschutzbeauftragten.
Betroffenenrechte: Recht auf Auskunft, Löschung und mehr
Die DSGVO sichert dem Betroffenen (dem Besucher oder Kunden) das Recht auf Auskunft zu. Der Anbieter (Shopbetreiber) muss bei einem Auskunftsersuchen dem Nutzer mitteilen, welche Daten er erhoben hat. Sollte der Betroffene auf eine Datenlöschung bestehen, muss der Anbieter dieser Aufforderung nachgehen.
Der Händler hat darauf zu achten, dass die Löschung nicht im Konflikt mit anderen Rechtsvorschriften steht. Da wären insbesondere die Vorschriften zur Buchhaltung, die u.a. zur Aufbewahrung von Rechnungen und Lieferscheinen verpflichten. Diese gilt es den Fristen entsprechend aufzubewahren. Eine Löschung solcher Dokumente ist nicht möglich, allerdings kann der Betroffene eine Sperrung der Daten verlangen.
Datenschutz bei Webanalyse und Online-Marketing
Im Onlinehandel herrscht ein ausgeprägter Wettbewerb. Für die Betreiber von Online-Shops führt deshalb am modernen Online-Marketing kein Weg vorbei. Dies hat unter anderem zur Folge, dass sie diverse Kennzahlen ermitteln und auswerten. Auch hierbei sind die datenschutzrechtlichen Vorgaben der DSGVO zu berücksichtigen, um Datenschutzverletzungen vorzubeugen.
So ist z.B. Vorsicht bei der Webanalyse geboten. Tools, wie Google Analytics, mögen zwar wertvolle Daten liefern, allerdings gilt ihr Einsatz nur bei Erfüllung strikter Voraussetzungen als datenschutzkonform. Zum einen ist es erforderlich, Google Analytics richtig zu konfigurieren, damit keine unkontrollierte Weitergabe personenbezogener Daten an Google erfolgt. Zum anderen darf für Besucher des Shops ein Hinweis auf die Webanalyse mittels Google Analytics oder ähnlicher Systeme in der Datenschutzerklärung nicht fehlen. Zumal das Setzen relevanter Cookies nur zulässig ist, wenn der Betroffene im Vorfeld seine Zustimmung erteilt hat.
Ähnlich verhält es sich beim E-Mail Marketing. Dort spiel unter anderem die Wahl der technischen Plattform eine wichtige Rolle. Zahlreiche Unternehmen greifen auf Komplettlösungen zurück, wie sie z.B. von Mailchimp, angeboten werden. Doch je nach Lösung kann eine Weitergabe personenbezogener Daten (z.B. Name und E-Mail Adresse) an Anbieter in Drittländern erfolgen, was nicht ohne weiteres zulässig ist. Insbesondere bei einer Übermittlung von Daten mit Personenbezug in die USA ist eine vorherige Absicherung notwendig.
Bei der Weitergabe von Daten genügt es nicht, einen Hinweis zur Datenschutzerklärung hinzuzufügen. Der Datenschutzbeauftragte sollte prüfen, ob der gesamte Prozess den datenschutzrechtlichen Vorgaben der DSGVO gerecht wird. Nur so ist gewährleistet, dass der Händler keinen Datenschutzverstoß begeht.
Datenschutzerklärung für Online-Shops
Lange Zeit wurde die Datenschutzerklärung als freiwillig erachtet. Doch längst führt an ihr kein Weg mehr vorbei. Nutzer der Website (egal ob Kunde oder Besucher) müssen einsehen können, über welche Bereiche sich die Erhebung der Daten erstreckt.
Etliche Shopbetreiber suchen nach Mustern und Vorlagen, die sie für ihre Datenschutzerklärung verwenden können. Allerdings sollten Datenschutzerklärungen nicht einfach von anderen Shops kopiert werden. Der Inhalt muss im Detail auf den Online-Shop abgestimmt sein. Je nach Website müssen beispielsweise aufgrund von Tracking oder Social Media Plugins andere Hinweise enthalten sein. Eine individuell erstellte Datenschutzerklärung ist daher unverzichtbar.
In zahlreichen Fällen genügt es, wenn Händler für die Erstellung ihrer Datenschutzerklärungen auf einen Generator zurückzugreifen. Shopbetreibern stellen wir unseren Generator gerne zur Verfügung. Er gestattet es, die Inhalte unter Berücksichtigung zahlreicher Aspekte abzustimmen.
Je nach Umfang und Zweck der Erhebung von Daten ist es empfehlenswert, die Datenschutzerklärung vom Experten ausarbeiten zu lassen. Besonders im Onlinehandel lauern diverse Risiken, die leicht Datenschutzverstöße zur Folge haben können. Ob Bestellvorgang, Google Analytics oder die Weitergabe personenbezogener Daten: Je nach Prozess müssen die Inhalte anders formuliert sein. Außerdem gibt es Zwecke, welche die Einwilligung vom Nutzer erfordern. Händlern, die sich auf der Suche nach einer individuellen und verlässlichen Lösung für ihren Datenschutz befinden, stehen wir gerne zur Seite.