Ist Ihr Onlineshop DSGVO-konform?
Letzte Bearbeitung: 10. Juli 2023 | Michael Ulm
DSGVO-Checkliste für Ihren Onlineshop
Erhalten Sie Tipps, wie Sie Ihren Webshop DSGVO-konform gestalten. Folgende Punkte müssen Sie beachten.
Sie benötigen sofort Unterstützung zur DSGVO in Ihrem Onlineshop?
Sind Sie sich darüber im Klaren, welche Daten Sie speichern?
Ein wichtiger Punkt der DSGVO ist die Dokumentation. Wie bereits in anderen Artikeln zum Datenschutz beschrieben, ist ein vollständiges Datenverarbeitungs-Verzeichnis dringend vorgeschrieben. Sind Sie sich sicher, dass dieses Verzeichnis auch alle Daten beinhaltet, die Sie tatsächlich verarbeiten? Offensichtliche Daten wie
- E-Mail-Adresse
- Name
- Anschrift
- Zahlungsinformationen
- etc.
Sollten ohnehin auf der Hand liegen. Darüber hinaus gibt es aber noch andere Datenarten, die Sie in Ihrem Onlineshop verarbeiten. Dies übernimmt das Shopsystem im Hintergrund und das ohne, dass Sie davon etwas aktiv wissen.
- IP-Adressen (diese gelten in der DSGVO als personenbezogene Daten)
- Login-Zeiten vom Shopbesucher
- Browser von dem aus sich der/die Betroffene einloggt
- Abgebrochene Bestellungen
- Anzahl und Häufigkeit von Bestellungen Ihrer Shopbesucher
All diese Daten gelten als personenbezogen, und werden oft unbewusst in Ihrem Onlineshop gespeichert und verarbeitet. Um herauszufinden, welche Daten Sie wirklich speichern, empfehlen wir, dass Sie sich ihr komplettes Shopsystem einmal durchsehen. Wenn Sie hierbei irgendeine Information finden, überlegen Sie sich am besten die folgenden Dinge:
- Ist diese Datenart in meinem Datenverarbeitungs-Verzeichnis aufgeführt?
- Sind Ihre Shopbesucher ausreichend über die Verarbeitung dieser Datenart aufgeklärt?
- Werden diese personenbezogenen Daten sicher abgelegt?
- Sind diese Daten für meinen Onlineshop notwendig?
Auf Cookies in Onlineshop hinweisen
Cookies zählen zu den personenbezogenen Daten. Ein Webshop Besucher kann anhand von Cookies identifiziert werden. Der Hinweis auf die Verwendung von eben diesen ist verpflichtend. Machen Sie Webshop Besucher deshalb beim erstmaligen Besuch in Form eines Cookie-Banners darauf aufmerksam. Der Cookie-Banner soll über die Datenerhebung informieren und via Checkboxen die Einwilligung bzw. Ablehnung der Cookies ermöglichen. Als Beispiel das Content-Management-System WordPress, bietet entsprechende Plugins für Cookies, um Ihren Onlineshop DSGVO-konform zu gestalten. Zeigen Sie Ihren Onlineshop Besuchern dadurch, dass Ihnen der Umgang mit Daten sehr wichtig ist.
Datenschutzerklärung einbinden
Als E-Commerce Händler müssen Sie Ihre Datenschutzerklärung transparent, einfach und für den Webshop Besucher leicht zugänglich im Webshop zur Verfügung stellen. Die DSGVO gibt dafür klare Richtlinien vor, die eine DSGVO–konforme Datenschutzerklärung enthalten muss. Als Betreiber müssen Sie Shopbesucher darüber informieren, wie Sie mit personenbezogenen Daten umgehen. Sie müssen den Onlineshop Besucher in der Datenschutzerklärung darüber informieren, wie und wofür personenbezogene Daten gespeichert werden und nach welcher Zeit die gespeicherten Daten wieder gelöscht werden. Dazu zählen Kunden- und Bestelldaten. Aber auch Daten, die durch Tracking-Tools wie Google Analytics oder Plugins wie z.B. Social-Media-Plugins erhoben werden. Außerdem sollte in der Datenschutzerklärung ein Link angeführt sein, um die Verwendung von Google Analytics zu deaktivieren. Wir möchten hier auf eine DSGVO-konforme Datenschutzerklärung eines umgesetzten Webshops Projekts verweisen, damit Sie sich gleich selbst ein Bild davon machen können.
Zusätzlich bietet die WKO Österreich eine Vorlage zur Datenschutzerklärung zum Download an.
Bietet Ihr Onlineshop eine SSL-Verschlüsselung?
Verstärken Sie das Vertrauen Ihrer Shopbesucher. Die Kommunikation der Daten, die vom jeweiligen Endgerät des Benutzers zum Server übertragen werden, verschlüsseln Sie via “Secure Sockets Layer“. Eine gültige SSL-Verschlüsselung ist z. B. anhand des grünen Schlosses im Firefox Browser “Verbindung sicher” neben der Domain ersichtlich. Ein Must-have für einen DSGVO-konformen Onlineshop. Als Full Service Internetagentur übernehmen wir diese technische Komponente gerne für Sie.
Datenschutzkonformes Kontaktformular in Onlineshop
Informieren Sie Shopbesucher über die Art, Umfang und dem Zweck der Datenabfrage sowie die Verwendung und Verarbeitung der personenbezogenen Daten. Und zwar noch bevor der Webshop Besucher seine Anfrage absendet. Fragen Sie in Ihren Kontaktformularen nur Daten ab, die von Ihnen tatsächlich benötigt werden. Hier gilt das Gebot der Datensparsamkeit (Art. 5 DSGVO). Beispielsweise ist für eine Bestellung in Ihrem Onlineshop die Lieferadresse des Onlineshop-Besuchers notwendig, dessen Telefonnummer jedoch nicht. Um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten, muss die Datenübertragung verschlüsselt übermittelt werden. Für die Zustimmung des Kontaktformulars ist ein Pflichtfeld empfehlenswert. Unter dem Kontaktformular können Sie noch zusätzlich auf die Datenschutzerklärung Ihres Onlineshops verweisen.
Drittanbieter-Dienste und Apps
Ein weiterer wichtiger Punkt für Ihren Onlineshop sind Dienstleistungen und Apps, die Sie von verschiedensten Anbietern beziehen. Dazu zählen unter anderem Zahlungsdienstleister wie Klarna oder PayPal, aber auch verschiedenste Analysetools wie beispielsweise Google Analytics. Den Großteil dieser Dienste dürfen und sollen Sie in Ihrem Onlineshop natürlich bereitstellen. Allerdings müssen Sie über die Nutzung dieser Dienste ihre Benutzerinnen und Benutzer informieren. Wir haben bereits sehr gute Erfahrungen mit den Zahlungsdienstanbietern PayPayl, Stripe, Concardis, Unzer sowie SIX Payment, in unseren Shopsystemen gemacht. Wir haben wir für Sie eine Onlineshop-Checkliste mit nützlichen Tipps zusammengestellt. Darin erfahren Sie, was Sie beim Aufbau Ihres eigenen, erfolgreichen Onlineshops beachten müssen. Erfahren Sie #mea darüber im Beitrag Onlineshop Checkliste – Schritte zum eigenen Onlineshop.
Wichtige Punkte, die Sie bei Drittanbieter-Dienste und Apps beachten sollten:
Ist der Dienst, den ich nutzen will, überhaupt legal?
Vor allem bei US-amerikanischen Unternehmen kann es hier eventuell zu Schwierigkeiten kommen. Sofern diese nicht garantieren können, dass die Daten innerhalb der EU gespeichert werden. Daher ist es wichtig, genauer zu betrachten, was die Anbieter mit den Daten machen.
Sind Onlineshop Besucher ausreichend über die Verwendung aufgeklärt?
Die meisten Anbieter haben bereits einen vorgefertigten Absatz, den Sie in Ihre Datenschutzerklärung integrieren können. Allerdings sollten Sie diese Absätze zuvor durchgehen. Machen Sie sich dabei Gedanken, ob die weitergegebenen Daten tatsächlich in einem Verhältnis zum #meawert der Dienstleistung stehen.
Wie lange speichern Sie personenbezogene Daten?
Grundsätzlich dürfen Sie alle Arten von gewöhnlichen Daten so lange speichern, solange sie glaubhaft einen Grund zur Datenverarbeitung argumentieren können (Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, berechtigte Interessen). So weit, so gut. Allerdings müssen diese Gründe für die Verarbeitung auch klar präsentierbar sein, und jeder Grund hat seine Schwächen:
- Wenn Sie sich auf die Einwilligung ihrer Shopbesucher verlassen, müssen Sie jederzeit damit rechnen, dass diese auch widerrufen werden kann. In diesem Fall müssen Sie die betroffenen Daten sofort löschen!
- Daten, die mit der Begründung der Vertragserfüllung gespeichert werden, müssen gelöscht werden, sobald sie für die Erfüllung dieses Vertrags nicht mehr notwendig sind.
- In gewissen Belangen ist der Grund der rechtlichen Verpflichtung sehr praktisch. Beispielsweise können Sie argumentieren, dass sie die Daten für eventuelle Garantiefälle benötigen. Allerdings ist hier Mäßigung geboten. Wenn Sie beispielsweise als Löschfrist die Frist für arglistig verschwiegene Mängel heranziehen, wird dies nur schwer zu argumentieren sein.
- Sofern Sie einen guten Grund finden, warum Sie gewisse Daten benötigen, können Sie dies auch argumentieren. Allerdings kommt es in diesem Fall zwischen einer Interessensabwägung zwischen Ihrer Begründung und den Rechten des Shopbesuchers. Daher ist auch dieser Grund eher wackelig.
Ein Beispiel für den obenangeführten Grund ist die Aufbewahrung der Daten für mögliche zukünftige Bestellungen, zur Erleichterung des nächsten Bestellvorgangs. Aber Vorsicht! Hier werden sich die entscheidenden Stellen sehr genau ansehen, ob die Fristen wirklich verhältnismäßig sind. Wenn Sie beispielsweise Produkte des täglichen Lebens anbieten, werden kürzere Fristen zwischen zwei Bestellungen durchgehen als bei Verkäufern von Elektrogeräten, die üblicherweise nicht monatlich ausgetauscht werden.
DSGVO-konformer Onlineshop – Es gibt noch #mea
Ich hoffe, wir konnten Ihnen mit diesem Beitrag einen Überblick über die häufigsten Probleme und Verstoße der DSGVO in Onlineshops geben. Oftmals werden aufgrund von Unwissenheit wichtige Punkte vom Shop-Betreiber:innen übersehen. Eine komplette Auflistung aller Aufgaben, die es für einen DSGVO-konformen Onlineshop zu erfüllen gilt, würde den Rahmen dieses Artikels sprengen. Sollten Sie weitere Informationen zur DSGVO benötigen haben wir eine allgemeine DSGVO Checkliste sowie einen Informationsartikel über die DSGVO in Österreich zusammengestellt. Als zertifizierte Datenschutz Experten beraten und unterstützen wir Sie gerne dabei, Ihren Onlineshop DSGVO-konform aufzubereiten. Gerne bieten wir Ihnen auch einen ersten DSGVO-Check an – denn wir bieten #mea!
Wir freuen uns, Ihren persönlichen #meawert zu schaffen