DSGVO: Rechtliche Fallstricke für Betreiber von Onlineshops
Schnell ist es passiert: Ein fehlerhaftes Impressum, unzureichende Datenschutzerklärungen oder Cookie-Einwilligungen und schon flattert eine Abmahnung ins Haus. Im schlimmsten Fall drohen empfindliche Geldstrafen. Als Onlinehändler tragen Sie die Verantwortung für die Daten Ihrer Kunden – doch bei all den geltenden Anforderungen ist es nicht immer leicht, den Überblick zu behalten. Auch die Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in den Mitgliedsstaaten der EU in Kraft trat, macht es nicht einfacher und sorgt für zusätzliche Verunsicherung im E-Commerce: Einige Stellen der DSGVO sind unscharf formuliert und können unterschiedlich ausgelegt werden. Erst weitere gerichtliche Urteile werden hier für Betreiber von Onlineshops Klarheit schaffen.
Vielleicht sind auch Sie unsicher, ob Ihr Onlineshop den geltenden rechtlichen Anforderungen genügt? Wenn Sie nicht sicherstellen, dass Sie die Daten Ihrer Kunden rechtskonform erheben, verarbeiten und speichern, riskieren Sie eine Abmahnung und ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes. Hinzu kommt der Vertrauensverlust der Kunden, der im schlimmsten Fall eine existenzielle Bedrohung für Ihr E-Commerce-Unternehmen darstellt. Die Einhaltung des Datenschutzes und Transparenz im Umgang mit den Kundendaten schützt Sie vor diesem Risiko. Wenn Sie wissen wollen, ob Ihre Maßnahmen zum Datenschutz in Ihrem Onlineshop ausreichend sind, kann Ihnen unsere Checkliste bei einer ersten groben Einschätzung helfen.
Checkliste DSGVO: Was Sie als Onlineshop-Betreiber beachten sollten
- Verfügen die Formulare in Ihrem Onlineshop über eine Verschlüsselung mittels Transport Layer Security (TLS)? Sie erkennen die Verschlüsselung am grünen Schloss in der Browserleiste und dem Präfix „https://“ vor der URL. Das Präfix „http://“ lässt dagegen auf eine fehlende Verschlüsselung schließen.
- Ist die Datenschutzerklärung leicht verständlich, aktuell, vollständig und richtig eingebunden? Klären Sie über die Verarbeitung von Kundendaten auf und nennen Sie die eingesetzten Cookies? Auf der sicheren Seite sind Sie, wenn Sie die Datenschutzerklärung für Ihren Onlineshop von einem Fachanwalt prüfen lassen.
- Nutzen Sie eine rechtskonforme Cookie-Einwilligung? Cookies, die technisch nicht notwendig sind, dürfen Sie nur dann einsetzen, wenn der Nutzer aktiv zugestimmt hat.
- Häufig verstößt die Nutzung von Social Media Plug-ins gegen die DSGVO. Stellen Sie sicher, dass Sie die Plug-ins rechtskonform nutzen und fragen Sie im Zweifel einen Experten.
- Falls Sie Google Webfonts in Ihrem Webshop verwenden, sollten diese Schriften auf Ihrem Server gespeichert sein. Anderenfalls können Sie nicht kontrollieren, welche Daten Google hierüber abgreift.
- Haben Sie Auftragsdatenverarbeitungsverträge (ADV-Verträge) abgeschlossen? Dies ist unter anderem bei Ihrem Hostingprovider, bei der Nutzung von Analysetools wie Google Analytics, bei Tools für den Newsletter-Versand oder bei dem Anbieter des Plug-ins für den Bankabgleich dringend zu empfehlen.
- Hat Ihr Anbieter für den Newsletter-Versand seinen Sitz in der EU? Anderenfalls kann es sein, dass die Nutzung nicht mit der DSGVO vereinbar ist. Prüfen Sie, ob das Anmeldeformular für den Newsletter rechtssicher ist. Machen Sie hier nur die E-Mail-Adresse zum Pflichtfeld. Nutzen Sie für die Anmeldung das Double-Opt-In-Verfahren und stellen Sie sicher, dass Sie Einwilligungen in den Newsletter-Empfang nachweisen können. Ein Versand ohne explizite Einwilligung des Empfängers ist lediglich unter bestimmten Voraussetzungen und nur an Bestandskunden erlaubt. Informieren Sie den Empfänger bei jedem Versand über sein Widerrufsrecht und gestalten Sie die Abmeldung unkompliziert.
- Stellen Sie sicher, dass Ihr Provider die IP-Adressen der Nutzer nicht speichert, wenn diese einen Kommentar in Ihrem Onlineshop hinterlassen, eine Bestellung ausführen oder ein Kontaktformular ausfüllen.
- Haben Sie die Gravatar-Funktion in WordPress abgeschaltet? Wenn Ihre Kunden auf Ihrer WordPress-Seite unter Angabe ihrer E-Mail-Adresse einen Kommentar hinterlassen, erscheint neben dem Kommentarfeld ihr Avatar beziehungsweise ein Platzhalterbild. Gemäß der DSGVO ist dies nicht zulässig, da hierbei die IP-Adresse an einen Server in den USA übermittelt wird. Alternativ zur Abschaltung der Funktion ist es auch möglich, Gravatare mit einem Plug-in auf dem eigenen Server abzulegen.
- Erfüllt Ihr Shopsystem die Anforderungen an den Datenschutz? Informieren Sie den alle Webshop-Besucher und Kunden über die Nutzung seiner ihrer Daten – überall dort, wo Daten erhoben werden – und geben Sie ihm ihnen die Möglichkeit zum Widerruf seiner ihrer Einwilligung und zum Löschen seiner ihrer Daten. Ausnahme: Bei Bestandskunden ist eine Löschung aller Daten nicht möglich, solange Sie vorgeschriebene Aufbewahrungsfristen einhalten müssen oder die Speicherung der Daten aus anderen Gründen erforderlich ist..
- Nutzen Sie eine DSGVO-konforme Tracking-Lösung? Google Analytics speichert die IP-Adressen der Nutzer und leitet diese in die USA weiter. Es ist nicht abschließend geklärt, ob ein Hinweis in der Datenschutzerklärung ausreichend ist. Wenn Sie Ihren Traffic rechtssicher messen wollen, empfiehlt sich die Wahl alternativer Anbieter wie Matomo. Achtung: Hier sind Sie selbst für die Sicherheit der Nutzerdaten verantwortlich, da Sie der Host sind.
- Führen Sie als Unternehmensleitung ein Verzeichnis aller Verarbeitungstätigkeiten? Bei einer Überprüfung durch die Datenschutzbehörden müssen Sie ein solches Verzeichnis nach Artikel 30 DSGVO vorweisen können.
Möglichkeiten der Absicherung und Haftungsfrage
Verzichten Sie nicht auf regelmäßige Updates – dies wird als Fahrlässigkeit gewertet, sodass Sie im Schadensfall die Haftung übernehmen müssen. Ein erfahrener Dienstleister kann Sie bei der Installation von Updates sowie bei weiteren Sicherheitsmaßnahmen unterstützen und Ihr Haftungsrisiko so auf ein Minimum reduzieren. Zudem kann es ratsam sein, eine Cyber-Versicherung abzuschließen, um im Schadensfall abgesichert zu sein. Haben Sie das Gefühl, dass Sie die Vorgaben der Datenschutz-Grundverordnung bisher nur unzureichend umgesetzt oder dass Sie etwas übersehen haben? Dann empfehlen wir Ihnen einen unverbindlichen Check Ihres Onlineshops. Wir geben Ihnen eine kostenfreie Einschätzung Ihres persönlichen Abmahnrisikos und helfen Ihnen, Sicherheitslücken zu schließen. Setzen Sie auf unsere langjährige Expertise – gemeinsam machen wir Ihren Onlineshop rechtssicher und sichern das Vertrauen Ihrer Kunden. Spielen Sie nicht das Vertrauen Ihrer Kunden und kontaktieren Sie uns noch heute.