Ein Online-Shop muss den gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) genügen. Bei Nichteinhaltung der datenschutzrechtlichen Vorgaben drohen empfindliche Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes. Die folgenden Tipps helfen E-Commerce-Unternehmen, Datenschutz-Stolperfallen und Bußgelder sowie Abmahnungen zu vermeiden.
Inhaltsverzeichnis
- Warum ist Datenschutz im E-Commerce wichtig?
- Datenschutzerklärung im Online-Shops
- Rechtssicheres Impressum im Online-Shop
- Datenschutz-Pflicht: Gastzugang im Online-Shop etablieren
- Auftragsverarbeitungsvertrag mit dem Anbieter des Shop-Systems abschließen
- Kontaktformulare verschlanken
- E-Mail-Marketing und Newsletter DSGVO-konform gestalten
- Online Shop – Cookie -Banner einbinden
- E-Commerce Unternehmen Datenschutzbeauftragten benennen:
- Sonstige DSGVO-Pflichten bei Online Shops
- Sonstige rechtliche Pflichten:
- Sie benötigen Unterstützung bei dem Thema Datenschutz?
- FAQ Datenschutz für E-Commerce Unternehmen
Warum ist Datenschutz im E-Commerce wichtig?
Im Bereich E-Commerce ist die Verarbeitung personenbezogener Daten im alltäglichen Geschehen fest verankert. Dazu gehören Vorname, Nachname, Adressdaten, Telefonnummer, E-Mail-Adresse, Bankverbindung, Bestellinformationen, Steuernummern und technische Zugriffsinformationen.
Diese personenbezogenen Daten werden auf unterschiedliche Weise verarbeitet: Beim Aufruf des Online-Shops wird die IP-Adresse verarbeitet, Kunden erhalten Bestellbestätigungen per Mail und Newsletter bezüglich neuer Angebote, die Zahlung der letzten Bestellung erfolgt per Lastschriftmandat und der Social-Media-Kanal zeigt Fotos von Mitarbeitern beim letzten Team Event. Dies sind nur einige wenige Beispiele.
Um den Schutz personenbezogener Daten zu gewährleisten, müssen Online-Shops und E-Commerce Unternehmen hierbei die gesetzlichen Datenschutzvorgaben aus der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) beachten. Zur Vermeidung von Abmahnungen und Haftungsfallen sind von Händlern und Shop-Betreibern auch Vorgaben aus anderen Gesetzen wie dem Digitale-Dienste-Gesetz (DDG), Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten.
Datenschutzerklärung im Online-Shops
Um den Datenschutz im Onlineshop zu gewährleisten, benötigt jeder Händler für seinen Online-Shop eine Datenschutzerklärung (Art. 13 DSGVO). Der betroffenen Person muss diese in klarer, verständlicher und leicht zugänglicher Form auf der Website zur Verfügung stehen. Hierfür bietet sich eine jederzeit erreichbare Verlinkung, z.B. im Footer-Bereich der Webseite an. Die Datenschutzerklärung muss Folgendes beinhalten:
- Kontaktdaten des Händlers (Verantwortlicher)
- Kontaktdaten des Datenschutzbeauftragten
- Informationen über die erhobenen Daten, Verarbeitungszweck und Rechtsgrundlage
- Hinweise zu den Empfängern der Daten
- Informationen zur Übermittlung an Empfänger in Drittländern
- Rechte der betroffenen Person
Nicht selten bieten Anbieter von Shopsystemen in ihrem Admin-Bereich Vorlagen für Datenschutzerklärungen an. Diese sollten nicht unreflektiert übernommen werden, sondern zusammen mit dem Datenschutzbeauftragten auf den konkreten Online-Shop und die eingesetzten Drittanbieter-Dienste individualisiert werden.
Rechtssicheres Impressum im Online-Shop
Online-Shops und E-Commerce-Unternehmen unterliegen der Impressumspflicht. Dabei gibt es einiges zu beachten, um Abmahnungen zu vermeiden.
Besonders die Ausgestaltung und Erreichbarkeit des Impressums spielt eine wichtige Rolle. So muss das Impressum „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar“ sein. Was dies bedeutet, war bereits Gegenstand zahlreicher Gerichtsurteile. Demzufolge soll das Impressum von jeder Unterseiten mit maximal zwei Klicks erreichbar sein. Dies gilt nicht nur für den Online-Shop selbst, sondern auch für alle anderen Wbsites und geschäftliche Social-Media-Kanäle. Das Impressum hat den Zweck, dass Websitebesucher auf den ersten Blick erkennen können, wer für die Inhalte der Seite verantwortlich ist.
Darüber hinaus sollten Sie Ihr Impressum aktualisieren. Die Impressumspflicht ergibt sich seit dem 14.05.2024 aus dem sogenannten Digitale-Dienste-Gesetz (DDG). Zuvor ergab sich die Pflicht, auf Ihrer Webseite ein Impressum einzubinden aus § 5 Telemediengesetz (TMG). Inhaltlich hat sich nichts an der Impressumspflicht geändert. Sofern Sie aber in Ihrem Impressum auf die nunmehr veraltete Rechtsgrundlage § 5 TMG verwiesen haben, sollten Sie das jetzt ändern.
Datenschutz-Pflicht: Gastzugang im Online-Shop etablieren
Händler müssen ihren Kunden grundsätzlich einen Gastzugang für die Bestellung bereitstellen. Dies gilt unabhängig davon, ob Shop-Betreiber daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen. Dies hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) beschlossen. Begründet wurde dies mit dem Grundsatz der Datenminimierung. Demzufolge sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Die zulässige Verarbeitung der personenbezogenen Daten von natürlichen Personen hängt im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen KundInnen jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.
Auftragsverarbeitungsvertrag mit dem Anbieter des Shop-Systems abschließen
Händler nutzen diverse Dienste und Tools, die im Auftrag für die Verarbeitung personenbezogener Daten zuständig sind. Insbesondere E-Commerce-Software, z.B. Shopify wird häufig verwendet, um schnell und effizient einen eigenen Online-Shop aufzubauen. Die Inhalte des Shops sind dabei oftmals über die Server des Softwareanbieters abrufbar. Daher ist es notwendig, einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen. Die meisten Software-Anbieter stellen Auftragsverarbeitungsverträge zum Download bereit, die jedoch vor der Unterzeichnung auf DSGVO-Konformität geprüft werden sollten. Sofern Sie sich für einen Auftragsverarbeiter mit Ansässigkeit außerhalb der Europäischen Union entscheiden, sollten Sie zusätzlich die sog. Standarddatenschutzklauseln einbeziehen.
Kontaktformulare verschlanken
Viele Onlineshops bieten die Kontaktaufnahme über ein Kontaktformular an. Bei dem Einsatz muss der Grundsatz der Datenminimierung beachtet werden. Daher gilt: Nur notwendige Angaben abfragen und optionale Angaben als freiwillig kennzeichnen.
E-Mail-Marketing und Newsletter DSGVO-konform gestalten
Bei der Durchführung von E-Mail-Marketing gibt es einiges zu beachten. Die Anforderungen ergeben sich insbesondere auch aus der Datenschutz-Grundverordnung und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Zu den Voraussetzungen gehören insbesondere:
- der Empfänger des Newsletters wurde mittels Datenschutzerklärung über die Datenverarbeitung informiert
- Empfänger des Newsletters hat seine ausdrückliche Einwilligung abgegeben
- Von der Einwilligung umfasste Produkte und Dienstleistungen wurden konkret benannt
- Die informierte Einwilligung wird dokumentiert und kann nachgewiesen werden
- die informierte Einwilligung erfolgt freiwillig und wird nicht an die Vornahme anderer Handlungen geknüpft ist (sogenanntes Kopplungsverbot)
- in jedem Newsletter befindet sich eine Abmeldemöglichkeit (Möglichkeit zum Widerruf)
- in jedem Newsletter befindet sich das Impressum
Die Einwilligung muss unter Hinweis auf die jederzeitige Widerrufsmöglichkeit erfolgen und vom Verantwortlichen dokumentiert werden. Eine rechtssichere Einwilligung lässt sich nur mithilfe des sog. Double-Opt-in-Verfahrens einholen. Bei einer bestehenden Kundenbeziehung darf ein Newsletter ausnahmsweise ohne ausdrückliche Einwilligung verschickt werden, sofern die Bedingungen des § 7 Abs. 3 UWG erfüllt sind.
Online Shop – Cookie -Banner einbinden
Heute nutzen fast alle Webseiten Cookies. Cookies legen kleine Textdateien auf dem Rechner des Webseitenbesuchers ab. Einige Cookies haben beispielsweise den Vorteil, dass sich ein Online-Shop die Produkte merkt, die ein Besucher zuvor in den Warenkorb gelegt hat. Ohne den Einsatz der sog. Session Cookies wäre der digitale Warenkorb bei jedem Aufruf einer neuen Unterseite wieder leer. Andererseits gibt es auch Cookies, die das Surfverhalten des Nutzers analysieren. Insbesondere beim Einsatz von Analyse- und Marketing-Cookies ist gemäß § 25 TDDDG (seit Dezember 2021) eine Einwilligungspflicht vorgesehen. Die Einholung der Einwilligung beim Webseitenbesucher erfolgt mithilfe des Cookie-Consent-Banners.
Praxistipp: Sollten Sie auf Ihrer Webseite Cookies zu Analyse-, Marketing oder Werbezwecken einsetzen (technisch nicht notwendige Cookies), ist ein Cookie-Einwilligungsbanner unerlässlich. Dieser Banner muss beim erstmaligen Besuch der Website angezeigt werden und insbesondere folgende Anforderungen erfüllen:
- Der Banner darf den Zugang zur Datenschutzerklärung und zum Impressum nicht verdecken oder beeinträchtigen
- Ohne aktive und wirksame Einwilligung des Nutzers, dürfen nur technisch notwendige Cookies gesetzt werden, die für die Funktionsfähigkeit der Website erforderlich sind
- Eine Einwilligungserklärung muss den Anforderungen des Art. 7 DSGVO erfüllen (Opt-In)
- Die Widerrufsmöglichkeit der Einwilligung muss so einfach sein wie die Erteilung
- Separate Auflistung und Auswahlmöglichkeit der Dienste, die verwendet werden
Sofern nur technisch notwendige Cookies eingesetzt werden und kein Tracking erfolgen soll, kann auf einen Cookie-Banner verzichtet werden.
E-Commerce Unternehmen Datenschutzbeauftragten benennen:
Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten für E-Commerce Unternehmen in folgenden Fällen:
- Im Unternehmen sind mindestens 20 Personen damit beschäftigt, regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer – zu verarbeiten.
- Im Unternehmen werden in großem Umfang sensible Daten verarbeitet, z.B. Gesundheitsdaten oder Daten von Minderjährigen.
Weiterhin kann die freiwillige Benennung eines Datenschutzbeauftragten oder Beauftragung eines Datenschutzberaters sinnvoll sein, um bei der Umsetzung der DSGVO Unterstützung zu erhalten. Insbesondere wenn die Ressourcen oder das Know-How im eigenen Team fehlt. Die Höhe der genauen Kosten für einen Datenschutzbeauftragten hängen von verschiedenen Faktoren ab: datenschutzrechtlicher Ist-Zustand, Abrechnungsmodell des Dienstleisters, Geschäftsmodell und Größe des Unternehmens und der Umfang der Datenverarbeitung. Ein externer Datenschutzbeauftragter kann bereits ab 99 Euro im Monat beauftragt werden.
Sonstige DSGVO-Pflichten bei Online Shops
Defizite im Datenschutz können Beschwerden und Auseinandersetzungen insbesondere mit unzufriedenen Kunden auslösen. Vor diesem Hintergrund sollten Online-Shop Betreiber auch die übrigen DSGVO-Pflichten beachten und umsetzen. Dazu gehören beispielsweise auch die folgenden Themen:
- Verzeichnis von Verarbeitungstätigkeiten:
Alle datenschutzrelevanten Geschäftsprozesse, z. B. Registrierung, Bestellprozess, Personalmanagement, Buchhaltung, , Rechnungsstellung, Mahnprozess etc. sind im sog. Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren und fortlaufend zu aktualisieren. - Technische und organisatorische Maßnahmen:
Es sind Maßnahmen zur Datensicherheit durch den Shop-Betreiber festzulegen und zu dokumentieren. Sie umfassen z. B. den physischen Zutritt zu Gebäuden, Sicherheit der Zugänge, Authentifizierungsvorgänge, Brute Force Schutz der Kundenzugänge u.v.m. - Vorbereitung auf Anfragen von Betroffenen:
Ein richtiger Umgang mit Betroffenenrechten ist wichtig und bewahrt Sie vor hohen Bußgeldern und Klagen. Legen Sie ein separates Datenschutz-Postfach für Ihren Datenschutzbeauftragten an und bereiten Sie sich und Ihr Personal auf Auskunftsanfragen und Löschanfragen vor. - Mitarbeiter im Datenschutz schulen:
Regelmäßige Datenschutz-Schulungen für Mitarbeiter sind gesetzlich vorgesehen und unerlässlich in jedem Datenschutz-Konzept. - Datenlöschung:
Nach Wegfall des Zwecks sind Daten zu löschen. Es empfiehlt sich die Erstellung eines Löschkonzepts, um Datenschutzverstöße zu vermeiden.
Was es sonst für eine datenschutzkonforme Internetpräsenz zu beachten gilt, erfahren Sie in unserem gleichnamigen Artikel.
Sonstige rechtliche Pflichten:
Händler stehen einer Vielzahl von rechtlichen Anforderungen gegenüber. Bereits bei kleinen Rechtsverstößen drohen hohe Abmahnkosten. Achten Sie darauf, dass der auf Ihrer Website verwendete Inhalt (Bilder, Videos, Texte) keine Urheberrechtsverletzungen darstellt und beachten Sie auch die speziellen Informationspflichten bei Verbraucherbeteiligung.
Sie benötigen Unterstützung bei dem Thema Datenschutz?
Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Wir sind ein Team aus ausgebildeten Juristen und IT-Fachkräften mit Schwerpunkt Datenschutz und IT-Sicherheit. Unsere datenschutzrechtliche Beratung behält bei der DSGVO-Umsetzung Ihre unternehmerischen Ziele und die Besonderheiten Ihrer Branche im Blick.
FAQ Datenschutz für E-Commerce Unternehmen
Ein Unternehmen mit mindestens 20 Mitarbeitern muss regelmäßig einen Datenschutzbeauftragten bestellen. Dies gilt auch bei Unternehmen unterhalb dieser Schwelle, bei besonders sensiblen oder umfangreichen Datenverarbeitungen.
Die gesetzlichen Anforderungen rund um den Datenschutzbeauftragten finden sich in der Art. 37 Datenschutz-Grundverordnung. Sie werden ergänzt durch Regelungen in § 38 Bundesdatenschutzgesetz und den entsprechenden Landesdatenschutzgesetzen.
Jeder Online Shop Betreiber muss als verantwortliches Unternehmen ein Verzeichnis von Verarbeitungstätgkeiten erstellen (Art. 30 Abs. 1 DSGVO). Diese Übersicht aller datenschutzrelevanten Geschäftsaktivitäten muss der Datenschutz-Aufischtsbehörde auf Anfrage zur Verfügung gestellt werden (Art. 30 Abs. 4 DSGVO).
Betroffene Personen, z.B. Kunden, Website-Besucher, ehemalige Mitarbeiter können beispielsweise Auskunft über die sie betreffenden personenbezogene Daten verlangen. E-Commerce Unternehmen sollten Auskunftsanfragen und Löschanfragen ernst nehmen und sollten formal und inhaltlich korrekt innerhalb der gesetzlichen Monatsfrist antworten.