11 Tipps zum datenschutzkonformen Online-Shop
Autor:in
Corinna StankeViele deutsche Online-Shops sind immer noch nicht datenschutzkonform. Dabei ist der Datenschutz auch in Online-Shops von hoher Bedeutung. Die Nutzenden hinterlegen wichtige persönliche Informationen, wie ihre Anschrift und Kontodaten, um ihre Bestellungen abzuschließen. Diese Daten sollten sicher hinterlegt werden. Um Ihnen hierbei zu helfen, möchten wir Ihnen 11 Tipps vorstellen, wie Sie Ihren Online-Shop datenschutzkonform ausrichten können.
Unsere Tipps für einen datenschutzkonformen Online-Shop
Gesetzliche Vorgaben verpflichten die Betreibenden von Online-Shops rechtssicher mit privaten Daten ihrer Kundschaft umzugehen. Der transparente und sichere Umgang mit privaten Daten ist eines der wichtigsten Komponenten für den Erfolg Ihres Online-Shops. Wenn Ihre Kundschaft das Gefühl hat, dass sie auf Ihrer Webseite nicht sicher sind, suchen sie sich eine Alternative. Unsere Tipps für einen datenschutzkonformen Online-Shop sollen Ihnen dabei helfen, Ihren Online-Shop datenschutzkonform auszurichten und bestehende Sicherheitsmaßnahmen zu überprüfen.
1. Cookie-Banner
So ziemlich das Erste, was Ihre Kundschaft bei dem Besuch Ihres Online-Shops sieht, ist Ihr Cookie-Banner. Bei der Ausgestaltung des Banners sollten Sie im Wesentlichen darauf achten, dass Ihre Kundschaft die Wahl zwischen dem Einsatz der verschiedenen Arten von Cookies hat, z. B. durch Ankreuzen, und nur die notwendigen Cookies von Ihnen vorangekreuzt sind. Des Weiteren sollten Sie in Ihrem Cookie-Banner auf Ihre Datenschutzerklärung und Ihr Impressum hinweisen bzw. dürfen die Hinweise auf die Datenschutzerklärung und das Impressum durch den Cookie-Banner nicht verdeckt werden.
Nähere Informationen zur konkreten Ausgestaltung der Cookie-Banner finden Sie in unserem Blogartikel „BGH-„Cookie“-Urteil – Nutzende müssen aktiv zustimmen“, um den Umfang dieses Blogartikels nicht zu sprengen.
2. Datenschutzerklärung und Impressum
Ihr Online-Shop muss eine Datenschutzerklärung und ein Impressum haben. Beides muss gut sichtbar auf der Webseite platziert werden. Am besten eignet sich hierfür der Footer Ihrer Webseite, da von hieraus die Datenschutzerklärung und das Impressum mit jeweils nur einem Klick von jeder Unterseite Ihrer Webseite erreichbar sind. Datenschutzerklärung und Impressum müssen konkret als solche (z.B. „Synonyme“ für Datenschutzerklärung: Datenschutz oder Privacy Policy) bezeichnet und nicht auf einer Seite zusammengefasst werden. Auf keinen Fall darf die Datenschutzerklärung im Impressum „versteckt“ werden oder umgekehrt.
In die Datenschutzerklärung müssen Sie alle Verarbeitungsvorgänge inkl. der notwendigen Informationen nach Art. 13 DS-GVO und/oder Art. 14 DS-GVO aufnehmen, bei der Sie oder die von Ihnen eingesetzten Unternehmen personenbezogene Daten von Ihrer Kundschaft im Rahmen des Betriebs Ihres Online-Shops verarbeiten. Die gängigsten spezifischen Verarbeitungsvorgänge haben wir Ihnen im Folgenden aufgelistet.
Um Redundanzen zu vermeiden, wird im Folgenden nicht bei jeder Verarbeitungstätigkeit auf die notwendigen Informationen nach Art. 13 DS-GVO und/oder Art. 14 DS-GVO eingegangen. Grundsätzlich ist bei dem Betrieb eines Online-Shops insbesondere wichtig:
- Angabe von externen Dienstleistungsunternehmen (Auftragsverarbeiter1) in der Datenschutzerklärung.
- Abschluss Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO mit Auftragsverarbeitern (in der Regel wird der Auftragsverarbeitungsvertrag auf den Webseiten der Unternehmen angeboten bzw. auf Nachfrage bereitgestellt).
- Ggf. Angabe der Übermittlung von Daten Ihrer Kundschaft außerhalb der EU in der Datenschutzerklärung, z. B. bei dem Einsatz von US-amerikanischen Unternehmen.
- Verarbeitung der Daten Ihrer Kundschaft nur für die konkret genannten Zwecke; wenn Sie die Daten für andere Zwecke weiterverarbeiten möchten, müssen Sie Ihre Kundschaft darüber informieren bzw. eine Einwilligung vorher einholen.
3. Abwicklung Kaufvertrag
Ihr Online-Shop lebt natürlich davon, dass möglichst viel Kundschaft Ihre Produkte kauft. Je nach Größe Ihres Unternehmens müssen Sie andere Unternehmen einsetzen, um die Kaufverträge mit Ihrer Kundschaft abzuwickeln, z. B. um verschiedene Zahlungsmethoden anbieten zu können oder das finanzielle Ausfallrisiko Ihrer Kundschaft zu reduzieren („Bonitätsprüfung“). Wichtig ist, dass Sie in Ihrer Datenschutzerklärung die verschiedenen Verarbeitungsaktivitäten im Rahmen der Abwicklung von Kaufverträgen und die diesbezüglich relevanten Informationen nach Art. 13 DS-GVO und/oder Art. 14 DS-GVO, insbesondere die eingesetzten Auftragsverarbeiter und welche Daten jeweils an diese Unternehmen weitergegeben werden, angeben.
Zur Abwicklung des Kaufvertrages gehören beispielsweise der Bestellvorgang inklusive Angebot von verschiedenen Zahlungsmethoden, ggf. Bonitäts- und Identitätsprüfung und Forderungsmanagement.
4. Kontaktformulare
Bei dem Einsatz von Kontaktformularen sollten Sie darauf achten, dass Sie nur die Daten abfragen, die Sie zur Beantwortung der Anfragen Ihrer Kundschaft benötigen, z. B. ist die verpflichtende Angabe der Adresse Ihrer Kundschaft diesbezüglich nicht zwingend erforderlich.
Die angegebenen Daten dürfen Sie nach Art. 6 Abs. 1 lit. b) DS-GVO bzw. Art. 6 Abs. 1 lit. f) DS-GVO verarbeiten. Ihre Kundschaft muss nicht in die Verarbeitung ihrer Daten zum Zwecke der Beantwortung ihrer Anfragen einwilligen. Eine Checkbox oder Ähnliches ist daher nicht notwendig, es sei denn, Sie möchten die Daten für andere Zwecke weiterverarbeiten. Dann müssen Sie von Ihrer Kundschaft eine ausdrückliche Einwilligung, z. B. über eine nicht vorangekreuzte Checkbox, einholen und die Kundschaft insbesondere über den Zweck der Verarbeitung und die Widerrufsmöglichkeit ihrer Einwilligung informieren.
Die Daten sollten Sie nach Ihrer letzten finalen Rückmeldung innerhalb eines gewissen Zeitraums, z. B. 1 – 2 Monate, löschen und somit grundsätzlich nicht dauerhaft speichern; Ausnahme: Geltendmachung von Betroffenenrechten oder sonstigen Rechten/Aufbewahrungspflichten.
5. SSL-Verschlüsselung und reCaptcha (Formulare)
Die von Ihrer Kundschaft in den Formularen (z. B. Kontaktformular, Bestellvorgang) angegebenen Daten dürfen Sie bzw. Ihre Auftragsverarbeiter1 nur verschlüsselt übertragen.
Des Weiteren können Sie, um sich vor Spam etc. („berechtigtes Interesse“, Rechtsgrundlage Art. 6 Abs. 1 lit. f) DS-GVO) zu schützen, reCaptcha einsetzen. So können Sie analysieren, ob die angegebenen Informationen von einem Menschen oder einem automatisierten Programm stammen.
6. Sendungsverfolgung
Möchten Sie Ihrer Kundschaft den Komfort der Sendungsverfolgung anbieten, haben Sie aus datenschutzrechtlicher Sicht zwei Möglichkeiten:
a) Sie können die E-Mail-Adresse Ihrer Kundschaft an das Paketdienstleistungsunternehmen mit der ausdrücklichen Einwilligung Ihrer Kundschaft weitergeben. Ohne Einwilligung ist die Weitergabe grundsätzlich nicht rechtmäßig.
b) Sie binden den Link zur Sendungsverfolgung in die Bestellbestätigung ein und geben somit die Zustellungsinformationen selbst an Ihre Kundschaft weiter.
7. Newsletter
Newsletter dürfen Sie an Ihre Kundschaft nur mit einer ausdrücklichen Einwilligung versenden. Zur Einholung der Einwilligung setzen Sie das Double-Opt-In-Verfahren ein. Diesbezüglich senden Sie an die von Ihrer Kundschaft angegebene E-Mail-Adresse (Angabe E-Mail-Adresse zum Erhalt von Newslettern) einen Bestätigungslink. Erst wenn dieser Bestätigungslink angeklickt wird, dürfen Sie Ihre Kundschaft in den Newsletter-Verteiler aufnehmen. Im Newsletter (und in der E-Mail mit Bestätigungslink) ist ein deutlich sichtbarer Hinweis auf die Möglichkeit zur Abmeldung des Newsletters aufzunehmen. Geht eine solche Abmeldung (Widerruf der Einwilligung) ein, dürfen Sie keine Newsletter mehr an die entsprechende Kundschaft versenden und müssen die Kundschaft für den Versand von Newslettern sperren.
Bei der Anmeldung zum Newsletter weisen Sie auf den Zweck, die Widerrufsmöglichkeit und die Datenschutzerklärung hin. In der Datenschutzerklärung informieren Sie unter der Verarbeitungstätigkeit „Newsletter“ über die Inhalte und Aktionen der Newsletter und ggf. ob in den Newslettern für Produkte/Dienstleistungen von Partnerschaftsunternehmen geworben wird. Weisen Sie in der Datenschutzerklärung auch darauf hin, dass es ggf. durch die technische Vorlaufzeit bei dem Versand von Newslettern dennoch zu einem Versand nach Eingang des Widerrufs kommen kann; die Ausübung des Widerrufsrechts aber natürlich von Ihnen eingehalten wird.
8. Werbung
Kundschaft, die bei Ihnen Produkte in Ihrem Online-Shop gekauft hat, können Sie als Bestandskundschaft führen und diesen postalische Werbung über Ihre, auch über neue, Produkte zusenden. Werbung per E-Mail dürfen Sie nur für eigene, ähnliche Produkte, die die Kundschaft zuvor bei Ihnen gekauft hat, zusenden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DS-GVO. Auf die Widerspruchsmöglichkeit müssen Sie Ihre Kundschaft deutlich in der postalischen Werbung oder in der E-Mail, z. B. durch Fettdruck, hinweisen. Informieren Sie Ihre Kundschaft, wie bei dem Einsatz von Newslettern, auch wieder in Ihrer Datenschutzerklärung darauf hin, dass es bei der Umsetzung des Widerspruchs unter Umständen zu Verzögerungen kommen kann.
9. Gewinnspiel
Wenn Sie Gewinnspiele anbieten bzw. Ihrer Kundschaft anbieten möchten, hängt der Umfang der zu erhebenden Daten von der Art Ihres Gewinnspiels bzw. Preises ab. Sie können grundsätzlich die folgenden Daten zum Zwecke der Durchführung des Gewinnspiels abfragen: E-Mail-Adresse (Gewinnbenachrichtigung), Anschrift (Auslieferung/Bereitstellung des Gewinns), Geburtsdatum (Altersprüfung). Die Daten können Sie auf der Grundlage einer Einwilligung Ihrer Kundschaft, Art. 6 Abs. 1 lit. a) DSGVO, oder zur Vertragserfüllung (hier Gewinnspielvertrag), Art. 6 Abs. 1 lit. f) DS-GVO, verarbeiten.
Die Einwilligung zur Teilnahme an dem Gewinnspiel können Sie nach neuerer Rechtsprechung (OLG Frankfurt, Urteil vom 27.06.2019, Az. 6 U 6/19) wohl auch von dem Versand von Werbe-E-Mails abhängig machen. Sie müssen hierbei jedoch beachten, dass der Zweck der Werbe-E-Mails konkret genannt wird, z. B. zu welchen Produkten und/oder ggf. zu welchen Unternehmen die Werbe-E-Mails an Ihre Kundschaft versandt werden sollen (diesbezüglich ist wahrscheinlich nicht ausreichend allein den Zweck „Marketing“ für die Werbe-E-Mails anzugeben). Behalten Sie die aktuelle Rechtsprechung in diesem Bereich im Auge, um Abmahnungen oder dergleichen zu vermeiden.
Zur automatischen Auslosung der Gewinner können Sie z. B. Auftragsverarbeiter einsetzen und die Daten zu diesem Zweck an die entsprechenden Unternehmen weitergeben. Die Daten dürfen Sie bzw. Ihre Auftragsverarbeiter zur Abwicklung des Gewinnspiels (Gewinnermittlung, Gewinnbenachrichtigung, Zusendung Gewinn) verarbeiten. Die Daten der Verliererenden des Gewinnspiels müssen Sie bzw. Ihre Auftragsverarbeiter1 nach Ende des Gewinnspiels und der Bekanntgabe der Gewinner löschen. Die Daten der Gewinnenden speichern Sie für die Dauer der Abwicklung des Gewinnspiels bzw. für die Dauer von gesetzlichen Aufbewahrungsfristen (z. B. Betroffenenrechte, Gewährleistungsrechte bei Sachgewinnen).
10. Einbindung YouTube-Videos
YouTube-Videos oder Ähnliches sollten Sie im „datenschutzerweiterten“ Modus auf Ihrer Online-Shop-Webseite einbinden. Das heißt, dass Sie die Videos so einbinden sollten, dass keine Daten Ihrer Kundschaft an YouTube oder ähnliche Unternehmen übertragen werden, wenn die Kundschaft die jeweilige Unterseite Ihrer Webseite besucht, auf der die Videos eingebunden sind, die Kundschaft die Videos aber nicht abspielt. Erst wenn Ihre Kundschaft die Videos abspielt, dürfen die Daten übertragen werden.
11. Social Listening
Social-Media-Plattformen können Sie nicht nur zur Schaltung von Werbekampagnen nutzen, sondern auch, um sich über die Resonanz, Diskussionen, Themen etc. zu Ihren Produkten zu informieren und so mögliches Verbesserungspotenzial zu erkennen. Diesbezüglich können Sie Beiträge auf Social-Media-Plattformen (z. B. Instagram, Facebook, Xing) zu bestimmten Produkten von Ihnen analysieren. Die Analyse können Sie selbst oder über Tools betreiben. Aus datenschutzrechtlicher Sicht sollten Sie beachten, dass Sie nur Beiträge analysieren, die frei und öffentlich zugänglich auf den Social-Media-Plattformen veröffentlicht wurden und dass Sie die Beiträge (z. B. in Form von Text-Postings, Posting von Bildern) nicht dauerhaft speichern, sondern nur für Verbesserungsmöglichkeiten analysieren.
1Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.