Datenschutz Verstehen – Die Datenschutzerklärung im Onlineshop
Kurze Einleitung
In Zeiten der Digitalisierung ist der Onlinehandel zwingend notwendig geworden. Dies zeigen auch entsprechende Daten des statistischen Bundesamtes. Demnach kaufen Rund 30% der deutschen mindestens einmal in der Woche über Onlineshops. Gerade in Zeiten der Corona Krise liefern Online-Händler eine optimale Lösung für den Ausgleich von Umsatzeinbußen, den Unternehmen infolge von Schließungen erleiden müssen. Über den Onlineshop werden Einkäufe nicht nur einfach, sondern auch schnell abgewickelt. Nach dem der Kunde seine persönlichen Daten an den Betreiber des Online-Shops abgegeben hat, erfolgt die Lieferung i.d.R. innerhalb der nächsten Tage.
Dem Betreiber gehen demnach hohe Anzahl an personenbezogenen Informationen zu, weshalb ein datenschutzkonformer Umgang zwingend erforderlich ist. Wir erklären Ihnen, was Sie als Betreiber eines Onlineshops im Datenschutz unbedingt beachten sollten.
Datenschutz im Onlineshop
Mit der Datenschutzgrund-Verordnung haben sich Änderung im Umgang mit personenbezogene Daten ergeben. Im Folgenden soll verdeutlicht werden, welche Auswirkung diese Verordnung für Shopbetreiber oder hat und was Sie konkret tun müssen um datenschutzkonform aufzutreten.
Nach der DSGVO, werden Betreiber von Webseiten und Onlineshops diverse Pflichten auferlegt, um den Datenschutz zu gewährleisten. Grundsätzlich muss jeder Websiteanbieter darüber informieren welche personenbezogene Daten gespeichert oder erhoben werden. Zudem müssen Löschpflichten eingehalten werden. Fordert ein Besucher z.B. das Löschen seiner Daten an, muss der Betreiber dieser Forderung Folge leisten.
SSL-Verschlüsselung im Onlineshop
Auf der Website des Onlineshops werden wichtige sensible Daten eingetragen wie z.B. IBAN oder Kontonummer. Daher ist es besonders wichtig diese Daten abzusichern, ohne das derartige Daten zu missbräuchlichen Zwecken genutzt werden. Die Lösung dafür sind sogenannte SSL-Verschlüsselung.
SSL steht für Secure Sockets Layer und soll den Datenverkehr im Internet so sicher wie Möglich gestalten. Die Vorgabe zur Einhaltung dieser Sicherheitsmaßnahme ist in Art. 32 Abs. 1 b) DSGVO vorgesehen. Demnach müssen technische-organisatorische Maßnahmen getroffen werden, welche die Vertraulichkeit des Schutzniveaus sichert.Gibt ein Kunde z.B. seine Zahlungsinformationen an einem Onlineshop weiter oder loggt sich dort mit seinen Benutzerdaten ein, wird durch SSL Verschlüsselung sichergestellt, dass auch nur das der Onlineshop Zugriff auf diese sensiblen Daten hat. Ohne die SSL-Verschlüsselung wäre das Maß an Sicherheit nicht gegeben, weshalb eine SSL ein „Muss“ für jeden Onlineshop ist. Die Vertraulichkeit aus Art 32. Abs. 1 b) wird somit durch die SSL-Verschlüsselung gewährleistet.
Rechtsgrundlage für die Erhebung personenbezogener Daten
Wie bereits erwähnt werden personenbezogene Daten gerade beim Onlineshop verarbeitet. Dies ist allerdings nur möglich, wenn eine Rechtsgrundlage vorliegt. Grundsätzlich sollte die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt verstanden werden. Online-Händler benötigen demnach immer eine geeignete Rechtsgrundlage, ansonsten dürfen keine personenbezogenen Daten verarbeitet werden. Einer dieser Rechtsgrundlagen ist die Einwilligung der betroffenen Personen nach der Art. 6 Abs.1 lit. a) DSGVO. Allerdings ist eine Einwilligung für den Onlinehändler nicht direkt erforderlich. Eine besser geeignete Rechtsgrundlage ist nämlich in der Regel der Art. 6 Abs. 1 lit. b) DSGVO. Demnach darf der Onlineshop auch dann personenbezogene Daten verarbeiten, wenn dies zur Vertragserfüllung notwendig ist. Bestellt ein Kunde beispielsweise einen Artikel über den Onlinehändler, müssen für die Lieferung der Ware Adressdaten angegeben werden. Diese Adressdaten darf der Onlinehändler verarbeiten, weil sie dazu dienen der Kaufvertragspflicht des Verkäufers nach § 433 Abs. 1 BGB nachzukommen.
Cookie-Banner im Onlineshop
Nach Rechtsprechung des europäischen Gerichtshof (EuGH) vom Oktober 2019 sind unter anderem Onlinehändler dazu verpflichtet über verwendete Cookies zu informieren und eine Einwilligung für das Setzen der Cookies einzuholen. Diese sind zum einen notwendig, um eine Webseite überhaupt richtig darzustellen („technisch notwendige Cookies“). Zum anderen werden sie aber auch für weitere Zwecke gesetzt, z.B. zur Analyse des Verhaltens der Webseitenbesucher, für Werbezwecke oder bei der Einbindung von Social Plugins.
Darüber hinaus ist es laut EuGH unerheblich, ob durch die Cookies personenbezogene Daten gespeichert werden oder nicht, da das europäische Recht Webseiten-Nutzer vor jedem Eingriff in die eigene Privatsphäre schützt. In diesem Zusammenhang sollen EU-Bürger insbesondere vor sog. Hidden Identifiers oder anderen Tools geschützt werden. Diese dürfen nicht in das Gerät von betroffenen Personen gelangen, ohne dass eine aktive und informierte Einwilligung abgegeben wurde.
Ein vor angekreuztes Kästchen erfüllt dementsprechend ebenfalls nicht die datenschutzrechtlichen Vorgaben. Ein Opt-Out-Verfahren oder Informationen nach dem Telemediengesetz genügen daher nicht mehr für die Speicherung von Cookies.
Newsletter im Onlineshop
Onlineshops greifen in Zeiten von Facebook und Video-Werbung auf den Versand von Newsletter zu. Allerdings gibt es gerade nach Inkrafttreten der DSGVO zahlreiche rechtliche Aspekte, die bei Missachtung häufig mit einer Abmahnung des Newsletter-Versenders enden.
Will der Onlineshop Newsletter an seine Kunden versenden, sehen sowohl das Gesetz gegen unlauteren Wettbewerb (UWG) als auch die DSGVO Einschränkungen vor. Die Kontaktaufnahme zwecks Werbung darf nur mit vorheriger ausdrücklichen Zustimmung des Betroffenen erfolgen. Ohne vorheriger Einwilligung ist das Versenden eines Newsletter rechtswidrig. Erfolgt eine Zustimmung seitens des Kunden erfolgt in der Regel durch ein Anmeldeformular. Um nachzuweisen, dass der Empfänger die Zusendung des Newsletters bestätigt hat, wird das Double-Opt-in Verfahren empfohlen. Beim Double-Opt-in Verfahren wird bei der Registrierung für einen Newsletter angegebene E-Mail Adresse eine Bestätigungs-E-Mail zugesendet. In dieser Bestätigungs-E-Mail wird der Adressat gebeten, seine Einwilligung durch das Anklicken des Bestätigungslinks zu bestätigen. Klickt der Adressat den Bestätigungslink an, kann damit gewährleistet werden, dass tatsächlich der Inhaber der E-Mail-Adresse, die bei der Registrierung angegeben wurde, auch die Einwilligung abgegeben hat. In einer klassischen Newsletter-Anmeldung werden die Daten wie Name und natürlich auch die E Mail Adresse abgefragt, welche eindeutig personenbezogene Daten sind.
Datenschutzerklärung Onlineshop
Online-Shops müssen auf ihren Websites eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Um diese Pflichten in Einklang zu bringen wird ein gewisser Wortschatz in den Formulierungen und den Aufbau erforderlich sein. Bei der Datenschutzerklärung muss darauf geachtet werden, den Besucher des Online-Shops über alle Vorgänge aufzuklären bei denen dessen personenbezogenen Daten verarbeitet werden. Ferner muss jede Datenschutzerklärung den Namen und Kontaktdaten
(Anschrift, E-Mail) des Betreibers enthalten. Darüber hinaus muss ein müssen die Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) aufgeführt werden. Dazu gehören sowohl die Anschrift als auch die E-Mail Adresse. Für jedes Tool das personenbezogene Daten verarbeitet müssen folgende Angaben gemacht werden. Im Folgenden werden beispielhafte Verarbeitung aufgeführt:
- Facebook “Like-Buttons” oder ähnliche Social- Plugins anderer Anbieter
- Webformulare (Kontaktformulare, Newsletter etc.)
- Cookies (Information zu Zweck, Empfäner der Daten)
- Analyse-Tools (z.B. Google Analytics)
- Retargeting-bzw.Audience Optimisation Tool (z.B. AddThis, Facebook-Pixel)
Zu den eben genannte Verarbeitung müssen immer mindestens separate Angaben zu Zweck und Rechtsgrundlage der Datenverarbeitung erfolgen.
Es kann erforderlich sein weitere Angaben zu machen, um eine transparente Verarbeitung zu gewährleisten. Deshalb sollte diese Information im Zweifel immer zusätzlich aufgeführt werden. Dazu zählen:
- Dauer der Speicherung der personenbezogenen Daten
- Recht des Besuchers auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Wiederrufsrecht
- Beschwerderecht bei der Aufsichtsbehörde
- Bestehen einer automatisierten Entscheidungsfindung
- die Umstände der Bereitstellung der Daten, unter anderem ob eine gesetzliche oder vertragliche vorgeschrieben ist
Datenschutzerklärung Muster Onlineshop
Neben den grundsätzlichen Anforderungen an einer Datenschutzerklärung für Webseiten, müssen für den Betrieb eines Onlineshops spezifische Informationspflichten erfüllt werden. Hier können Sie kostenfrei ein Muster, als Ergänzung zur allgemeinen Datenschutzerklärung, erhalten. Das Muster muss in jedem Fall auf Ihre individuellen Verarbeitungen angepasst werden.

Datenschutz ebay
Datenschutz ist für ebay Verkäufer meist kein wichtiges Thema. Bis vor zwei Jahren konnten die Verkäufer sich damit rausreden, dass die Bußgelder und das damit finanzielle Risiko eher gering ausfallen. Durch die ab 2018 eingeführte DSGVO sieht das allerdings ganz anders aus. Die dort vorgesehenen Bußgelder können Unternehmen finanziell besonders hart treffen. Fraglich bleibt allerdings ob ebay Verkäufer Regelungen der DSGVO einhalten müssen, da ebay der Vermittler der Produkte ist. Die Antwort ist klar. Sowohl eBay als auch der Verkäufer unterliegen den Regelungen des DSGVO, weil beide Parteien personenbezogene Daten verarbeiten.
Bis Vertragsschluss ist die Plattform (ebay) für die von den Nutzern bereitgestellten Daten verantwortlich. Bei der Verarbeitung der Daten durch den Händler nach Vertragsschluss wird dieser im Rahmen der Vertragsdurchführung Datenverantwortlicher.
Viele Verkäufer betreiben neben Ihrem Online-Shop auch einige Produkte auf ebay. Um sich doppelten Aufwand zu ersparen, greifen Verkäufer auf Plattformen für agiles Management zurück. Dazu gehört auch Products Up. Products Up bietet Verkäufern die Möglichkeit ihre Produktdaten unabhängig vom Format oder Quelle zu exportieren und ist hiermit Marktführer im Bereich Product-Data-Feed-Management.
ebay Datenschutzerklärung
Wie bereits beschrieben müssen sich ebay Verkäufer ebenfalls die Regelungen DSGVO beachten. Auch im Hinblick auf die Datenschutzerklärung liegt es nun an den Verkäufer diese selbst zu erstellen. Den Umfang der Datenschutzerklärung für die Plattform-Händler ist allerdings weniger Umfangreich, als die für einen klassischen Shop, da der Entscheidungsspielraum für Datenprozesse (z.B. Plugins, Zahlungsmittel sowie der Einsatz von Tracking-Tool) deutlich eingeschränkt sind. Im Folgende werden wir Ihnen nun erläutern wie eine welche Information in einer Datenschutzerklärung enthalten sein muss.
Grundsätzlich sollte die Datenschutzerklärung jederzeit abrufbar sein. Der Text in der Datenschutzerklärung müssen sowohl verständlich als auch einfach formuliert sein und alle relevanten Informationen enthalten. Dies erfordert eine gewisse Formulierungskunst für den ebay Verkäufer. Außerdem muss die Anschrift oder die E-Mail Adresse des Datenschutzbeauftragten, die Dauer der Speicherung der personenbezogenen Daten, das Recht auf Widerruf der erklärten Einwilligung, das Beschwerderecht bei der Aufsichtsbehörde und Bereitstellung von Informationen über die Datenerhebung.
Shopify Datenschutz
Shopify ist eine ist ein kanadisches Unternehmen welche E Commerce-Software vertreibt. Mithilfe von Shopify können Unternehmen selbst Online-Shops erstellen und Werkzeuge zum Einrichten von Bezahloptionen nutzen. Das bedeutet, dass sowohl Shopify als auch die einzelnen Händler mit personenbezogenen Daten in Berührung kommen. Damit besteht eine gemeinsame Verantwortung bezüglich der Daten im Sinne des Art. 26 DSGVO.
Shopify ist verpflichtet die Cookies in die Datenschutzerklärung aufzunehmen und darüber zu informieren. In der Praxis ist das allerdings nicht der Fall. Der von Shopify verwendete Cookie-Hinweis ist in englischer Sprache verfasst, obwohl dieser Hinweis auch auf deutsch verfasst werden muss. Das erschwert den Händlern die Umsetzung der DSGVO. Sie müssen nämlich alle Angaben zu den verwendeten Tool in ihrer Datenschutzerklärung erwähnen.
Shopify Datenschutzerklärung
Wenn ein Online-Shop über Shopify betrieben werden sollen, müssen wichtige Aspekte diesbezüglich berücksichtigt werden. Da Shopify hauptsächlich in Kanada ist, muss in der Datenschutzerklärung darauf hingewiesen werden, dass personenbezogene Daten im Auftrag der Konzernzentrale verarbeitet werden können. Allerdings wird im Falle eines Datentransfers nach Kanada ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission das angemessene Datenschutzniveau in Kanada als gewährleistet ansieht.
Allerdings werden die Daten auch in die USA verarbeitet. In diesem Zusammenhang muss im Rahmen der Datenschutzerklärung darauf hingewiesen werden, dass die in der USA beteiligten Unternehmen für das US-europäische Datenschutz-Übereinkommen “Privacy Shield” zertifiziert sind, welches die Einhaltung des in der EU geltenden Datenschutzniveau gewährleistet.
Datenweitergabe an Versanddienstleister
Beim Verkauf einer Ware über eine Online-Shop wird der Kaufvertrag mit der Versendung an den Käufer abgewickelt. Online-Shops verwalten keine eigenen Transporter, weshalb ein externer Versanddienstleister unverzichtbar ist. Mit der Beauftragung eines Versanddienstleisters werden auch personenbezogene Daten der Kunden übermittelt. Hierbei stellt sich die Frage, ob die Datenübermittlung auch datenschutzkonform ist.
Die Übermittlung der personenbezogenen Date ist immer dann datenschutzkonform, wenn eine Rechtsgrundlage besteht. Beauftragt ein Unternehmen eine Versanddienstleister schließen beide Parteien einen Beförderungsvertrag nach § 407 HGB. Die DSGVO sieht im Art. 6 Abs. 1 b) DSGVO vor, dass eine Verarbeitung von personenbezogenen Daten immer dann rechtmäßig ist, wenn es dem Vertragszweck dient. Der Art. 5 Abs 1 c) DSGVO beschränkt die Datenübermittlung an den Versanddienstleister in der Weise, dass nur Daten übermittelt werden dürfen die für die Ausführung der Tätigkeit bestimmt ist. Dies ist der sogenannte Grundsatz der Datenminimierung.
Wird ein Versanddienstleister beauftragt stellt sich stets die Frage, ob eine Auftragsverarbeitungsvertrag geschlossen werden muss. Nach der Auffassung des Bayerischen Landesamtes für Datenschutz, liegt kein Fall eines Auftragsverarbeitungsvertrags immer dann vor, wenn fremde Fachleistung mit eigenständiger Verantwortung In Anspruch genommen werden. Da der Online-Shop hier fremde Fachleistung (Lieferung der Ware) in Auftrag gibt, ist kein Auftragsverarbeitungvertrag notwendig. Erbringt der Versanddienstleister allerdings Dienstleistungen im Rahmen des Versands wie z.B. das Zusammenbauen von Möbeln oder weiteren Supportleistungen, könnte ein Auftragsverarbeitungsvertrag erforderlich sein.

Datenweitergabe an Zahlungsdienstleister
Kauft ein Kunde über den Online-Shop ein, so muss er zunächst einmal die Datenschutzerklärung des Online Shops akzeptieren. Bevor es zur Zahlung seitens des Käufers kommt, muss der Verkäufer dem Käufer vorher darauf hinweisen, dass dieser im Rahmen seiner Zahlungsabwicklung auf eine andere Webseite (z.B. zu Paypal) weitergeleitet wird und dort der Datenschutzerklärung des Zahlungsdienstleisters ebenfalls zustimmen muss. Der Grund dafür ist, dass beide Unternehmen personenbezogene Daten getrennt voneinander verarbeiten.
Datenschutzbeauftragter für Onlineshops
Oftmals erhalten wir die Frage, ob Onlineshops einen Datenschutzbeauftragten benötigen. Die Frage ist grundsätzlich, wie für jedes andere Unternehmen auch, gleich zu beantworten. Es gelten die Bedingungen aus dem Artikel 37 ff. DSGVO für alle Unternehmen, welche in Europa ihren Hauptsitz halten oder innerhalb der EU geschäftlich tätig werden. Zusammenfassend kann allerdings festgehalten werden, dass ein Onlineshop in vielen Fällen einen Datenschutzbeauftragten benötigt. Nachfolgend zeigen wir Ihnen auf in welchen Fällen klassischerweise ein Datenschutzbeauftragter für Onlineshops bestellt werden muss.
- Das Unternehmen, welches den Onlineshop betreibt, beschäftigt mehr als 20 Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten.
- Der Onlineshop erhebt besonders personenbezogene Daten, um ein passendes Angebot für die Onlineshop-Besucher zu unterbreiten. Das können beispielsweise die Erhebung von Angaben über Körpergewicht, Körpergröße, BMI oder Informationen über das Ernährungsverhalten sein. Oftmals findet man diese Art der Erhebung bei Online-Apotheken, Onlineshops der Fitness- und Modebranche.
- Der Online-Händler nutzt in seinem Onlineshop automatische Einzelfallentscheidungen oder Bewertungen. Viele Onlineshops kalkulieren aufgrund von verschiedensten Angaben Preise und ähnliche Ergebnisse, welche zum Teil durch große Datenbanken abgewickelt werden oder durch den Einsatz künstlicher Intelligenz. In jedem Fall ist bei einer solchen Verarbeitung eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.