Datenschutz und Onlineshops – diese Anforderungen müssen Sie erfüllen!

Der #Datenschutz bildet das Fundament eines jeden #Onlineshops und einer jeden Online-Verkaufsplattform, insbesondere seit dem Inkrafttreten der Datenschutz-Grundverordnung (#DSGVO). Aufgrund der gesteigerten Anforderungen an die #Datenschutzhinweise und den Umgang mit personenbezogenen Daten ist es entscheidend, dass Onlineshop-Betreiber diese Anforderungen kennen und erfüllen. Welche Anforderungen das genau sind? Das erfahren Sie in unserem heutigen Newsletter – los geht’s! 🛒📲

Inhalte der Datenschutzerklärung 💬

Dreh- und Angelpunkt für den Datenschutz auf #Websites und Onlineshops sind die Datenschutzhinweise, die in transparenter, präziser, verständlicher und leicht zugänglicher Form bereitgestellt werden müssen.

Nach Artikel 13 und 14 DSGVO gibt es eine Reihe an Angaben, die in DSGVO-konformen Datenschutzhinweisen enthalten sein müssen:

• Identität des Verantwortlichen und eventuell des #Datenschutzbeauftragten (Name und Kontaktdaten)
• Zweck und Rechtsgrundlage der Verarbeitung, ggf. Absicht der Zweckänderung
• Berechtige Interessen, sofern die Datenerhebung auf einem berechtigen Interesse des Verantwortlichen oder eines Dritten beruht
• Empfänger bzw. Kategorien von Empfängern im Falle einer Übermittlung der #Daten
• Absicht der Übermittlung von Daten in Drittländer
• Vorhandensein eines Angemessenheitsbeschlusses bzw. geeigneter Garantien, sofern Daten an Drittländer übermittelt werden
• Dauer der Speicherung beziehungsweise Kriterien nach denen die Speicherdauer festgelegt wird
• Rechte der Betroffenen
• Recht auf Widerrufbarkeit der Einwilligung
• Beschwerderecht bei der Aufsichtsbehörde
• Aussagekräftigte Informationen über Logik, Tragweite und Auswirkungen im Falle einer automatisierten Entscheidungsfindung oder Profiling
• Ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten
• Sollten die Daten nicht bei der Person selbst erhoben worden sein, ist die Quelle anzugeben

Impressum und AGB’s 👀

Mindestens genauso wichtig wie die Datenschutzhinweise sind ein vollständiges #Impressum und die Allgemeinen Geschäftsbedingungen (AGB), welche leicht erkennbar, unmittelbar erreichbar und ständig zugänglich sein müssen.

Ein Impressum, das die Datenschutzhinweise und die AGB beinhaltet, ist allerdings nicht sinnvoll. Die fehlende Übersichtlichkeit kann hier sogar zu Abmahnungen und ungültigen Klauseln führen. Um solche Risiken zu vermeiden, ist es wichtig, eine formale Unterscheidung zwischen den bindenden Vertragsbedingungen (AGB) und den zusätzlichen Informationen zum Datenschutz vorzunehmen. Welche Pflichtinformationen ein Impressum enthalten muss, bestimmt größtenteils das Telemediengesetz.

Kontaktformulare in Onlineshops 🛒

Kontaktformulare in Onlineshops ermöglichen es Kund*innen, einfach und unkompliziert mit dem/der Onlinehändler*in in Kontakt zu treten. Die DSGVO legt hierbei einen erhöhten Schutz für Verbraucher*innen fest, da regelmäßig persönliche Daten abgefragt werden. Gemäß der EU-Richtlinie müssen die verwendeten Kontaktformulare ein datenschutzkonformes Vorgehen gewährleisten.

Konkret bedeutet dies für Onlinehändler*innen, dass sie Besucher*innen auf ihrer Website, vor der Nutzung des Kontaktformulars, über folgende Dinge informieren müssen:

• Die Art, den Umfang und den Zweck der Datenabfrage.
• Die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten.

Verschlüsselte Formulare 🔏

Wenn die Bestellung in einem Onlineshop aufgegeben wird, übermittelt der Warenkorb die Daten der Kund*innen mittels eines Formulars an den/die Onlineshop-Betreiber*in. Dieses und andere im Onlineshop und auf der Website eingesetzte Formulare unterliegen den Regelungen der DSGVO. Aus diesem Grund gilt es folgende Grundsätze beim Einsatz von Formularen zu beachten:

Grundsatz der #Datenminimierung:

Von den Besucher*innen des Onlineshops und der Websitedürfen nur solche Daten angefordert werden, die für die Erfüllung der jeweiligen Aufgabe wirklich notwendig sind. Es ist wichtig, die Formulare kritisch zu hinterfragen und zu überprüfen, ob möglicherweise Informationen angefordert werden, die nicht unbedingt notwendig sind. Zum Beispiel ist für eine Newsletter-Anmeldung weder eine Postanschrift noch eine Telefonnummer erforderlich.

Um den Kauf- und Versandvorgang abzuwickeln, benötigt der/die Onlineshop-Betreiber*in Name, Vorname, Anschrift, E-Mailadresse und, je nach Bezahlmöglichkeit, die Kontoinformationen. Mehr nicht.

Grundsatz der Integrität und Vertraulichkeit:

Der Vorgang der #Datenübertragung muss zwingend verschlüsselt ablaufen. Dies gewährleistet eine angemessene Sicherheit der personenbezogenen Daten und schützt sie somit vor unbefugter oder unrechtmäßiger Verarbeitung.

Verschlüsselte Webseiten 🔑

Das sichere Kommunikationsprotokoll #HTTPS ist Pflicht, wenn auf der Website Formulare zur Datenübertragung bereitgestellt werden. Gemäß der DSGVO ist die sichere, verschlüsselte Übertragung dieser Daten eine technische Maßnahme, die zum Schutz der personenbezogenen Daten ergriffen werden muss (Art. 32 Abs. 1 lit. a DSGVO).

Für die Umstellung auf HTTPS wird entweder ein SSL-Zertifikat („Secure-Sockets-Layer“) oder dessen Nachfolger, ein TLS-Zertifikat („Transport-Layer-Security“), benötigt.

Der Schutzbereich einer SSL-Verschlüsselung geht weiter als der einer TLS-Verschlüsselung. Bei einer TLS-Verschlüsselung sind die Daten auf den Wegen zwischen den Servern geschützt, während eine SSL-Verschlüsselung die Daten auf den Servern verschlüsselt. Sowohl SSL als auch TLS gewährleisten die:

• Authentifizierung der Kommunikationspartner
• Vertrauliche Ende-zu-Ende-Datenübertragung
• Sicherstellung der Integrität der übermittelten Daten.

Die Auftragsverarbeitung 🏃🏼♀️

Damit Onlineshop-Betreiber*innen alle notwendigen Prozesse rund um ihre Angebote und Verkäufe wirtschaftlich gestalten können, greifen sie regelmäßig auf Dienstleistungen externer Anbieter zurück. Dazu gehören beispielsweise Dienstleister für die Rechnungsabwicklung, die Namen, Adressen, Kontodaten und andere personenbezogene Daten der Kund*innen verarbeiten, sowie andere externe Tools wie CMS, Newsletter-Software oder Marketing- und Tracking-Tools wie Google Analytics.

Gleiches gilt für die Zusammenarbeit mit Dienstleistern in Form von Software-as-a-Service-Lösungen (SaaS) oder Cloud-Anbietern. Auch hier ist die Faustregel: Verarbeiten externe Dienstleister personenbezogene Daten, muss ein Auftragsverarbeitungsvertrag geschlossen werden. Nur wenn ein gültiger Auftragsverarbeitungsvertrag vorliegt, liegt eine Rechtsgrundlage für die Weitergabe der personenbezogenen Daten an Dritte vor.

Technische und organisatorische Maßnahmen 📲

Technische und organisatorische Maßnahmen sind auch für Onlineshop-Betreiber*innen von entscheidender Bedeutung. Neben den Verschlüsselungs-Aspekten müssen auch am physikalischen Standort des Onlineshops entsprechende Maßnahmen ergriffen werden, um den Anforderungen der DSGVO gerecht zu werden. Dazu gehören unter:

• Daten-Backups: Regelmäßige Sicherungskopien der Daten, um im Falle eines Datenverlusts die Wiederherstellung zu ermöglichen.
• Angemessene Verschlüsselungen von Daten: Um eine sichere Übertragung und Speicherung von personenbezogenen Daten zu gewährleisten, ist die Verwendung von Verschlüsselungstechnologien unerlässlich.
• Kontrollierter Zugang zu Datenverarbeitungssystemen: Einschränkung des Zugriffs auf Daten nur auf autorisierte Personen, um einen unbefugten Zugriff zu verhindern.
• Kontrolle über die Räumlichkeiten des physikalischen Standortes des Onlineshops: Sicherheitsmaßnahmen wie Überwachungskameras, Alarme oder Zugangskontrollsysteme, um den physischen Zugang zu sensiblen Bereichen zu kontrollieren.

Nicht vergessen: Alle Maßnahmen müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können.

Noch Fragen zur Umsetzung der Datenschutz-Anforderungen an Onlineshops?

Wir von der Kanzlei Krüger stellen Ihnen gerne eine Checkliste zur Verfügung, damit Ihr Onlineshop den rechtlichen Anforderungen entspricht!

Und wenn Sie ganz auf Nummer sicher gehen wollen, empfehlen wir Ihnen unseren Website-Legal-Check. So können Sie sicher sein, dass Sie vor #Abmahnungen, #Bußgeldern und allen anderen rechtlichen Stolperfallen geschützt sind. ✔️

Mehr dazu unter: https://legal-krueger.de/website-legal-check