Datenschutz Verstehen – Die Datenschutzerklärung im Onlineshop
Kurze Einleitung
In Zeiten der Digitalisierung ist der Onlinehandel zwingend notwendig geworden. Dies zeigen auch entsprechende Daten des Statistischen Bundesamtes. Demnach kaufen rund 30% der Deutschen mindestens einmal in der Woche über Onlineshops. Besonders während der Corona-Pandemie lieferten Online-Händler eine optimale Lösung für den Ausgleich von Umsatzeinbußen, den Unternehmen infolge von Schließungen erleiden mussten. Über den Onlineshop werden Einkäufe nicht nur einfach, sondern auch schnell abgewickelt. Nachdem der Kunde seine persönlichen Daten beim Betreiber des Onlineshops angegeben hat, erfolgt die Lieferung i.d.R. innerhalb der nächsten Tage.
Dem Betreiber geht demnach eine hohe Anzahl an personenbezogenen Informationen zu, weshalb ein datenschutzkonformer Umgang zwingend erforderlich ist. Wir erklären Ihnen, was Sie als Betreiber eines Onlineshops im Datenschutz unbedingt beachten sollten.
Inhalt:
- Datenschutz im Onlineshop
- Datenschutzerklärung Onlineshop
- Datenschutzerklärung Muster Onlineshop
- Datenschutz ebay
- Shopify Datenschutz
- Datenweitergabe an Versanddienstleister
- Datenweitergabe an Zahlungsdienstleister
- Datenschutzbeauftragter für Onlineshops
- Folgen einer mangelhaften Datenschutzerklärung im Onlineshop
- Fazit
- FAQ
Datenschutz im Onlineshop
Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben sich zahlreiche Änderungen im Umgang mit personenbezogenen Daten ergeben. Im Folgenden soll verdeutlicht werden, welche Auswirkungen diese Verordnung für Shopbetreiber hat und was Sie konkret tun müssen, um datenschutzkonform aufzutreten.
Nach der DSGVO werden Betreibern von Webseiten und Onlineshops diverse Pflichten auferlegt, um den Datenschutz zu gewährleisten. Das Einhalten der gesetzlichen Vorgaben soll für Transparenz sorgen. Der Betreiber muss damit rechnen, durch Wettbewerber oder die Verbraucherzentrale überwacht und somit kontrolliert zu werden. Zudem ist ein rechtskonformer Umgang mit dem Datenschutz ein wichtiges Instrument für das Marketing, da so Kundenvertrauen gewonnen werden kann.
Grundsätzlich muss jeder Websiteanbieter darüber informieren, welche personenbezogene Daten gespeichert oder erhoben werden. Zudem müssen Löschpflichten und die Betroffenenrechte eingehalten werden. Fordert ein Besucher z.B. das Löschen seiner Daten an, muss der Betreiber dieser Forderung Folge leisten. Hinzu kommen weitere Vorgaben, die der Betreiber beachten muss. So muss die Datenschutzerklärung aufgrund der Menge der erfassten Daten deutlich umfangreicher sein. Wenn ein Benutzerkonto auf der Website erstellt werden kann, muss dies passwortgeschützt sein. Bei jeder Online-Bestellung muss angegeben werden, welche Daten gespeichert werden (z.B. Name, Adresse, Zahlungsart). Falls eine Bonitätsprüfung durchgeführt wird, muss ausdrücklich darauf hingewiesen werden.
SSL-Verschlüsselung im Onlineshop
Auf der Website des Onlineshops werden besonders sensible Daten eingetragen, wie z.B. IBAN oder Kontonummer. Daher ist es wichtig, diese Daten abzusichern, ohne dass sie zu missbräuchlichen Zwecken genutzt werden können. Die Lösung dafür ist die sogenannte SSL-Verschlüsselung.
SSL steht für Secure Sockets Layer und soll den Datenverkehr im Internet so sicher wie möglich gestalten. Die Vorgabe zur Einhaltung dieser Sicherheitsmaßnahme ist in Art. 32 Abs. 1 lit. b) DSGVO vorgesehen. Demnach müssen technisch-organisatorische Maßnahmen getroffen werden, welche die Vertraulichkeit des Schutzniveaus sichern. Gibt ein Kunde z.B. seine Zahlungsinformationen an einen Onlineshop weiter oder loggt sich dort mit seinen Benutzerdaten ein, wird durch die SSL-Verschlüsselung sichergestellt, dass nur der Onlineshop Zugriff auf diese sensiblen Daten hat. Ohne die SSL-Verschlüsselung wäre das Maß an Sicherheit nicht gegeben, weshalb eine SSL ein „Muss“ für jeden Onlineshop ist. Die Vertraulichkeit aus Art 32. Abs. 1 lit. b) DSGVO wird somit durch die SSL-Verschlüsselung gewährleistet.
Rechtsgrundlage für die Erhebung personenbezogener Daten
Wie bereits erwähnt, werden personenbezogene Daten beim Onlineshop selbst verarbeitet. Dies ist allerdings nur möglich, wenn eine Rechtsgrundlage für diese Verarbeitung vorliegt. Grundsätzlich sollte die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt verstanden werden. Online-Händler benötigen demnach immer eine geeignete Rechtsgrundlage, ansonsten dürfen keine personenbezogenen Daten verarbeitet werden. Eine dieser Rechtsgrundlagen ist die Einwilligung der betroffenen Personen nach Art. 6 Abs.1 lit. a) DSGVO. Allerdings ist eine Einwilligung für den Onlinehändler nicht zwingend erforderlich. Eine in der Praxis besser geeignete Rechtsgrundlage ist in der Regel der Art. 6 Abs. 1 lit. b) DSGVO. Demnach darf der Onlineshop auch dann personenbezogene Daten verarbeiten, wenn dies zur Vertragserfüllung notwendig ist. Bestellt ein Kunde beispielsweise einen Artikel über den Onlinehändler, müssen für die Lieferung der Ware Adressdaten angegeben werden. Diese Adressdaten darf der Onlinehändler verarbeiten, weil sie dazu dienen, der Kaufvertragspflicht des Verkäufers nach § 433 Abs. 1 BGB nachzukommen.
Cookie-Banner im Onlineshop
Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom Oktober 2019 sind auch Onlinehändler dazu verpflichtet, über verwendete Cookies zu informieren und eine Einwilligung für das Setzen von Cookies einzuholen. Diese sind zum einen notwendig, um eine Webseite überhaupt richtig darzustellen („technisch notwendige Cookies“). Zum anderen werden sie aber auch für weitere Zwecke eingesetzt, z.B. zur Analyse des Verhaltens der Webseitenbesucher, für Werbezwecke oder bei der Einbindung von Social Plugins.
Darüber hinaus ist es laut EuGH unerheblich, ob durch die Cookies personenbezogene Daten gespeichert werden oder nicht, da das europäische Recht Webseiten-Nutzer vor jedem Eingriff in die eigene Privatsphäre schützt. In diesem Zusammenhang sollen EU-Bürger insbesondere vor sog. Hidden Identifiers oder anderen Tools geschützt werden. Diese dürfen nicht in das Gerät von betroffenen Personen gelangen, ohne dass eine aktive und informierte Einwilligung abgegeben wurde.
Ein vorher angekreuztes Kästchen erfüllt dementsprechend ebenfalls nicht die datenschutzrechtlichen Vorgaben. Ein Opt-Out-Verfahren oder Informationen nach dem Telemediengesetz genügen nicht mehr für die Speicherung von Cookies.
Newsletter im Onlineshop
Onlineshops greifen in Zeiten von Facebook und Video-Werbung zusätzlich auf den Versand von Newslettern zurück. Allerdings gibt es gerade nach Inkrafttreten der DSGVO zahlreiche rechtliche Aspekte, die bei Missachtung mit einer Abmahnung des Newsletter-Versenders enden können.
Will der Onlineshop Newsletter an seine Kunden versenden, sehen sowohl das Gesetz gegen unlauteren Wettbewerb (UWG) als auch die DSGVO Einschränkungen vor. Die Kontaktaufnahme zwecks Werbung darf nur mit vorheriger ausdrücklicher Zustimmung des Betroffenen erfolgen. Ohne vorherige Einwilligung ist das Versenden eines Newsletters rechtswidrig. Eine Zustimmung seitens des Kunden erfolgt in der Regel durch ein Anmeldeformular. Um nachzuweisen, dass der Empfänger die Zusendung des Newsletters bestätigt hat, wird das Double-Opt-in-Verfahren empfohlen. Beim Double-Opt-in-Verfahren wird der bei der Registrierung für einen Newsletter angegebenen E-Mail-Adresse eine Bestätigungs-E-Mail zugesendet. In dieser Bestätigungs-E-Mail wird der Adressat gebeten, seine Einwilligung durch das Anklicken des Bestätigungslinks zu bestätigen. Klickt der Adressat den Bestätigungslink an, kann damit gewährleistet werden, dass tatsächlich der Inhaber der E-Mail-Adresse, die bei der Registrierung angegeben wurde, auch die Einwilligung abgegeben hat. In einer klassischen Newsletter-Anmeldung werden die Daten wie Name und natürlich auch die E-Mail-Adresse abgefragt, welche eindeutig personenbezogene Daten sind.
Datenschutzerklärung Onlineshop
Onlineshops müssen auf ihren Websites eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Um diese Pflichten in Einklang zu bringen, wird ein gewisser Wortschatz in den Formulierungen und dem Aufbau erforderlich sein. Bei der Datenschutzerklärung muss darauf geachtet werden, den Besucher des Onlineshops über alle Vorgänge aufzuklären, bei denen dessen personenbezogenen Daten verarbeitet werden. Ferner muss jede Datenschutzerklärung den Namen und die Kontaktdaten (Anschrift, E-Mail) des Betreibers enthalten. Darüber hinaus müssen die Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) aufgeführt werden. Dazu gehören sowohl die Anschrift als auch die E-Mail-Adresse. Für jedes Tool, das personenbezogene Daten verarbeitet, müssen folgende Angaben gemacht werden. Im Folgenden werden beispielhafte Verarbeitungen aufgeführt:
- Facebook “Like-Buttons” oder ähnliche Social-Plugins anderer Anbieter
- Webformulare (Kontaktformulare, Newsletter etc.)
- Cookies (Information zu Zweck, Empfäner der Daten)
- Analyse-Tools (z.B. Google Analytics)
- Retargeting- bzw. Audience Optimisation Tool (z.B. AddThis, Facebook-Pixel)
Zu den eben genannte Verarbeitung müssen immer mindestens separate Angaben zu Zweck und Rechtsgrundlage der Datenverarbeitung erfolgen. Es kann erforderlich sein, weitere Angaben zu machen, um eine transparente Verarbeitung zu gewährleisten. Deshalb sollte diese Information im Zweifel immer zusätzlich aufgeführt werden. Dazu zählen:
- Dauer der Speicherung der personenbezogenen Daten
- Recht des Besuchers auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerrufsrecht
- Beschwerderecht bei der Aufsichtsbehörde
- Bestehen einer automatisierten Entscheidungsfindung
- die Umstände der Bereitstellung der Daten, unter anderem ob diese gesetzlich oder vertraglich vorgeschrieben ist
Die Datenschutzerklärung ist für jeden Onlineshop verpflichtend. Es gelten die Begriffsbestimmungen aus § 2 Abs. 2 TTDSG. Somit gelten auch Seiten, bei denen man nur per Mail, Fax oder Bestellformular bestellen kann, als Onlineshop, sodass eine Datenschutzerklärung erforderlich ist.
Datenschutzerklärung Muster Onlineshop
Neben den grundsätzlichen Anforderungen an eine Datenschutzerklärung für Webseiten müssen für den Betrieb eines Onlineshops spezifische Informationspflichten erfüllt werden. Hier können Sie kostenfrei ein Muster als Ergänzung zur allgemeinen Datenschutzerklärung erhalten. Das Muster muss in jedem Fall auf Ihre individuellen Verarbeitungen angepasst werden.
Datenschutz ebay
Datenschutz war für ebay-Verkäufer lange kein wichtiges Thema. Bis vor einigen Jahren konnten die Verkäufer sich damit herausreden, dass die Bußgelder und damit das finanzielle Risiko eher gering ausfallen. Durch die ab 2018 eingeführte DSGVO sieht das allerdings ganz anders aus. Die dort vorgesehenen Bußgelder können Unternehmen finanziell besonders hart treffen. Vielen stellt sich die Frage, ob ebay-Verkäufer Regelungen der DSGVO überhaupt einhalten müssen, da ebay der Vermittler der Produkte ist. Die Antwort ist klar. Sowohl eBay als auch der Verkäufer unterliegen den Regelungen der DSGVO, weil beide Parteien personenbezogene Daten verarbeiten.
Bis zum Vertragsschluss ist die Plattform (ebay) für die von den Nutzern bereitgestellten Daten verantwortlich. Bei der Verarbeitung der Daten durch den Händler wird dieser im Rahmen der Vertragsdurchführung Datenverantwortlicher.
Viele Verkäufer betreiben neben Ihrem Onlineshop auch einige Produkte auf ebay. Um sich doppelten Aufwand zu ersparen, greifen Verkäufer auf Plattformen für agiles Management zurück. Dazu gehört auch Products Up. Products Up bietet Verkäufern die Möglichkeit, ihre Produktdaten unabhängig vom Format oder Quelle zu exportieren und ist hiermit Marktführer im Bereich Product-Data-Feed-Management.
ebay Datenschutzerklärung
Wie bereits beschrieben, müssen ebay-Verkäufer ebenfalls die Regelungen DSGVO beachten. Auch im Hinblick auf die Datenschutzerklärung liegt es nun an den Verkäufern, diese selbst zu erstellen. Der Umfang der Datenschutzerklärung für die Plattform-Händler ist allerdings weniger umfangreich als die für einen klassischen Shop, da der Entscheidungsspielraum für Datenprozesse (z.B. Plugins, Zahlungsmittel sowie der Einsatz von Tracking-Tools) deutlich eingeschränkt ist.
Grundsätzlich gilt das bereits über Datenschutzerklärungen Gesagte (siehe oben). Die Datenschutzerklärung sollte jederzeit abrufbar sein. Der Text muss sowohl verständlich als auch einfach formuliert sein und alle relevanten Informationen enthalten. Dies erfordert eine gewisse Formulierungskunst für den ebay-Verkäufer. Außerdem müssen die Anschrift oder die E-Mail-Adresse des Datenschutzbeauftragten, die Dauer der Speicherung der personenbezogenen Daten, das Recht auf Widerruf der erklärten Einwilligung, das Beschwerderecht bei der Aufsichtsbehörde und Bereitstellung von Informationen über die Datenerhebung enthalten sein.
Shopify Datenschutz
Shopify ist ein kanadisches Unternehmen, welches eine E-Commerce-Software vertreibt. Mithilfe von Shopify können Unternehmen selbst Onlineshops erstellen und Werkzeuge zum Einrichten von Bezahloptionen nutzen. Das bedeutet, dass sowohl Shopify als auch die einzelnen Händler mit personenbezogenen Daten in Berührung kommen. Damit besteht eine gemeinsame Verantwortung bezüglich der Daten im Sinne des Art. 26 DSGVO.
Shopify ist verpflichtet, die verwendeten Cookies in die Datenschutzerklärung aufzunehmen und darüber zu informieren. Der von Shopify verwendete Cookie-Hinweis ist in englischer Sprache verfasst. Das erschwert den Händlern die Umsetzung der Vorgaben der DSGVO. Sie müssen nämlich alle Angaben zu den verwendeten Tools in ihrer Datenschutzerklärung erwähnen.
Wenn ein Onlineshop über Shopify betrieben werden soll, müssen wichtige Aspekte diesbezüglich berücksichtigt werden. Da Shopify hauptsächlich in Kanada ist, muss in der Datenschutzerklärung darauf hingewiesen werden, dass personenbezogene Daten im Auftrag der Konzernzentrale verarbeitet werden können. Allerdings ist im Falle eines Datentransfers nach Kanada ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission erforderlich, der das angemessene Datenschutzniveau in Kanada als gewährleistet ansieht.
Datenweitergabe an Versanddienstleister
Beim Verkauf einer Ware über einen Onlineshop wird der Kaufvertrag mit der Versendung an den Käufer abgewickelt. Onlineshops verwalten in der Regel keine eigenen Transporter, weshalb ein externer Versanddienstleister unverzichtbar ist. Mit der Beauftragung eines Versanddienstleisters werden auch personenbezogene Daten der Kunden übermittelt. Hierbei stellt sich die Frage, ob die Datenübermittlung auch datenschutzkonform ist.
Die Übermittlung der personenbezogenen Daten ist immer dann datenschutzkonform, wenn eine Rechtsgrundlage besteht. Beauftragt ein Unternehmen einen Versanddienstleister, schließen beide Parteien einen Beförderungsvertrag nach § 407 HGB. Die DSGVO sieht im Art. 6 Abs. 1 lit. b) DSGVO vor, dass eine Verarbeitung von personenbezogenen Daten immer dann rechtmäßig ist, wenn es dem Vertragszweck dient. Der Art. 5 Abs. 1 lit. c) DSGVO beschränkt die Datenübermittlung an den Versanddienstleister in der Weise, dass nur Daten übermittelt werden dürfen, die für die Ausführung der Tätigkeit bestimmt sind. Dies ist der sogenannte Grundsatz der Datenminimierung.
Wird ein Versanddienstleister beauftragt, stellt sich stets die Frage, ob ein Auftragsverarbeitungsvertrag geschlossen werden muss. Nach Auffassung des Bayerischen Landesamtes für Datenschutz liegt keine Auftragsverarbeitung vor, wenn fremde Fachleistungen mit eigenständiger Verantwortung in Anspruch genommen werden. Da der Onlineshop hier fremde Fachleistung (Lieferung der Ware) in Auftrag gibt, ist kein Auftragsverarbeitungsvertrag notwendig. Erbringt der Versanddienstleister allerdings Dienstleistungen im Rahmen des Versands, wie z.B. das Zusammenbauen von Möbeln oder weitere Supportleistungen, könnte ein Auftragsverarbeitungsvertrag erforderlich sein.
Datenweitergabe an Zahlungsdienstleister
Kauft ein Kunde über den Onlineshop ein, so muss er zunächst einmal die Datenschutzerklärung des Onlineshops akzeptieren. Bevor es zur Zahlung seitens des Käufers kommt, muss der Verkäufer den Käufer darauf hinweisen, dass dieser im Rahmen seiner Zahlungsabwicklung auf eine andere Webseite (z.B. zu Paypal) weitergeleitet wird und dort der Datenschutzerklärung des Zahlungsdienstleisters ebenfalls zustimmen muss. Der Grund dafür ist, dass beide Unternehmen personenbezogene Daten getrennt voneinander verarbeiten.
Datenschutzbeauftragter für Onlineshops
Oftmals erhalten wir die Frage, ob Onlineshops einen Datenschutzbeauftragten benötigen. Diese Frage lässt sich nicht einheitlich beantworten. Es gelten grundsätzlich die Bedingungen aus den Artikeln 37 ff. DSGVO für alle Unternehmen, welche in Europa ihren Hauptsitz halten oder innerhalb der EU geschäftlich tätig werden. Zusammenfassend kann festgehalten werden, dass ein Onlineshop in vielen Fällen einen Datenschutzbeauftragten benötigt. Nachfolgend zeigen wir Ihnen auf, in welchen Fällen klassischerweise ein Datenschutzbeauftragter für Onlineshops bestellt werden muss.
- Das Unternehmen, welches den Onlineshop betreibt, beschäftigt mehr als 20 Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten.
- Der Onlineshop erhebt besonders personenbezogene Daten, um ein passendes Angebot für die Onlineshop-Besucher zu unterbreiten. Das können beispielsweise die Erhebung von Angaben über Körpergewicht, Körpergröße, BMI oder Informationen über das Ernährungsverhalten sein. Oftmals findet man diese Art der Erhebung bei Online-Apotheken oder Onlineshops der Fitness- und Modebranche.
- Der Online-Händler nutzt in seinem Onlineshop automatische Einzelfallentscheidungen oder Bewertungen. Viele Onlineshops kalkulieren aufgrund verschiedener Angaben Preise und ähnliche Ergebnisse, welche zum Teil durch große Datenbanken abgewickelt oder durch den Einsatz künstlicher Intelligenz generiert werden. In jedem Fall ist bei einer solchen Verarbeitung eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.
Folgen einer mangelhaften Datenschutzerklärung im Onlineshop
Eine Datenschutzerklärung, die nicht den gesetzlichen Vorgaben entspricht, kann ungewollte Konsequenzen mit sich ziehen. Bei Verstößen besteht die Möglichkeit, durch Mitbewerber aufgrund von Wettbewerbsverstößen abgemahnt zu werden. Zudem kann es zu einem Bußgeldverfahren kommen, wobei der Betreiber die Abmahnkosten trägt. Eine Vertragsstrafe kann vier- bis fünfstellig ausfallen. Gegen die drohenden Bußgelder und Strafen ist man nur richtig abgesichert, wenn eine individuelle und vollständige Datenschutzerklärung vorhanden ist.
Fazit
Insgesamt lässt sich sagen, dass jeder Onlineshop und jede Website, bei der man etwas bestellen kann, eine Datenschutzerklärung benötigt. Diese muss immer individuell angepasst werden. Sie ist zudem wichtig, um dem Kunden gegenüber die notwendige Transparenz zu gewährleisten. Wenn keine Datenschutzerklärung vorhanden ist oder nicht alle vorgeschriebenen Punkte enthalten sind, drohen hohe Strafen und Bußgelder zusätzlich zu einer möglichen Rufschädigung und Wettbewerbsnachteilen.
FAQ
Es müssen alle Angaben enthalten sein, die in jeder Datenschutzerklärung – auch außerhalb von Onlineshops – stehen müssen. Dazu gehören:
- Dauer der Speicherung der personenbezogenen Daten
- Recht des Besuchers auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerrufsrecht
- Beschwerderecht bei der Aufsichtsbehörde
- Bestehen einer automatisierten Entscheidungsfindung
- die Umstände der Bereitstellung der Daten, unter anderem ob diese gesetzlich oder vertraglich vorgeschrieben ist
Darüber hinaus müssen für jedes Tool, das personenbezogene Daten verarbeitet, folgende Angaben gemacht werden (beispielhafte Aufzählung):
- Facebook “Like-Buttons” oder ähnliche Social-Plugins anderer Anbieter
- Webformulare (Kontaktformulare, Newsletter etc.)
- Cookies (Information zu Zweck, Empfäner der Daten)
- Analyse-Tools (z.B. Google Analytics)
- Retargeting- bzw. Audience Optimisation Tool (z.B. AddThis, Facebook-Pixel)
Dieses Muster enthält alle wesentlichen Punkte und muss auf den jeweiligen Betreiber individualisiert werden:
Ja, Onlineshops müssen auf ihren Websites eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung stellen. Alle vorgeschriebenen Punkte müssen enthalten sein.
Unter gewissen Anforderungen müssen Unternehmen, welche einen Onlineshop betreiben, einen Datenschutzbeauftragten bestellen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.