Der Datenschutz bildet das Fundament eines jeden Onlineshops und einer jeden Online-Verkaufsplattform, insbesondere seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO). Aufgrund der gesteigerten Anforderungen an die Datenschutzhinweise und den Umgang mit personenbezogenen Daten ist es entscheidend, dass Onlineshop-Betreiber diese Anforderungen kennen und erfüllen. Welche Anforderungen das genau sind? Das erfahren Sie in unserem Blogbeitrag.
Inhalte der Datenschutzerklärung
Dreh- und Angelpunkt für den Datenschutz auf Websites und Onlineshops sind die Datenschutzhinweise, die in transparenter, präziser, verständlicher und leicht zugänglicher Form bereitgestellt werden müssen.
Nach Artikel 13 und 14 DSGVO gibt es eine Reihe an Angaben, die in DSGVO-konformen Datenschutzhinweisen enthalten sein müssen:
· Identität des Verantwortlichen und eventuell des Datenschutzbeauftragten (Name und Kontaktdaten)
· Zweck und Rechtsgrundlage der Verarbeitung, ggf. Absicht der Zweckänderung
· Berechtige Interessen, sofern die Datenerhebung auf einem berechtigen Interesse des Verantwortlichen oder eines Dritten beruht
· Empfänger bzw. Kategorien von Empfängern im Falle einer Übermittlung der Daten
· Absicht der Übermittlung von Daten in Drittländer
· Vorhandensein eines Angemessenheitsbeschlusses bzw. geeigneter Garantien, sofern Daten an Drittländer übermittelt werden
· Dauer der Speicherung beziehungsweise Kriterien nach denen die Speicherdauer festgelegt wird
· Rechte der Betroffenen
· Recht auf Widerrufbarkeit der Einwilligung
· Beschwerderecht bei der Aufsichtsbehörde
· Aussagekräftigte Informationen über Logik, Tragweite und Auswirkungen im Falle einer automatisierten Entscheidungsfindung oder Profiling
· Ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten
· Sollten die Daten nicht bei der Person selbst erhoben worden sein, ist die Quelle anzugeben
Impressum und AGB`s
Mindestens genauso wichtig wie die Datenschutzhinweise sind ein vollständiges Impressum und die Allgemeinen Geschäftsbedingungen (AGB), welche leicht erkennbar, unmittelbar erreichbar und ständig zugänglich sein müssen.
Ein Impressum, das die Datenschutzhinweise und die AGB beinhaltet, ist allerdings nicht sinnvoll. Die fehlende Übersichtlichkeit kann hier sogar zu Abmahnungen und ungültigen Klauseln führen. Um solche Risiken zu vermeiden, ist es wichtig, eine formale Unterscheidung zwischen den bindenden Vertragsbedingungen (AGB) und den zusätzlichen Informationen zum Datenschutz vorzunehmen. Welche Pflichtinformationen ein Impressum enthalten muss, bestimmt größtenteils das Telemediengesetz.
Kontaktformulare in Onlineshops
Kontaktformulare in Onlineshops ermöglichen es Kunden, einfach und unkompliziert mit dem Onlinehändler in Kontakt zu treten. Die DSGVO legt hierbei einen erhöhten Schutz für Verbraucher fest, da regelmäßig persönliche Daten abgefragt werden. Gemäß der EU-Richtlinie müssen die verwendeten Kontaktformulare ein datenschutzkonformes Vorgehen gewährleisten.
Konkret bedeutet dies für Onlinehändlerdass sie Besuchern auf ihrer Website, vor der Nutzung des Kontaktformulars, über folgende Dinge informieren müssen:
· Die Art, den Umfang und den Zweck der Datenabfrage.
· Die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten.
Verschlüsselte Formulare
Wenn die Bestellung in einem Onlineshop aufgegeben wird, übermittelt der Warenkorb die Daten der Kunden mittels eines Formulars an den Onlineshop-Betreiber. Dieses und andere im Onlineshop und auf der Website eingesetzte Formulare unterliegen den Regelungen der DSGVO. Aus diesem Grund gilt es folgende Grundsätze beim Einsatz von Formularen zu beachten:
Grundsatz der Datenminimierung:
Von den Besuchern des Onlineshops und der Websitedürfen nur solche Daten angefordert werden, die für die Erfüllung der jeweiligen Aufgabe wirklich notwendig sind. Es ist wichtig, die Formulare kritisch zu hinterfragen und zu überprüfen, ob möglicherweise Informationen angefordert werden, die nicht unbedingt notwendig sind. Zum Beispiel ist für eine Newsletter-Anmeldung weder eine Postanschrift noch eine Telefonnummer erforderlich.
Um den Kauf- und Versandvorgang abzuwickeln, benötigt der Onlineshop-Betreiber Name, Vorname, Anschrift, E-Mailadresse und, je nach Bezahlmöglichkeit, die Kontoinformationen. Mehr nicht.
Grundsatz der Integrität und Vertraulichkeit:
Der Vorgang der Datenübertragung muss zwingend verschlüsselt ablaufen. Dies gewährleistet eine angemessene Sicherheit der personenbezogenen Daten und schützt sie somit vor unbefugter oder unrechtmäßiger Verarbeitung.
Verschlüsselte Webseiten
Das sichere Kommunikationsprotokoll HTTPS ist Pflicht, wenn auf der Website Formulare zur Datenübertragung bereitgestellt werden. Gemäß der DSGVO ist die sichere, verschlüsselte Übertragung dieser Daten eine technische Maßnahme, die zum Schutz der personenbezogenen Daten ergriffen werden muss (Art. 32 Abs. 1 lit. a DSGVO).
Für die Umstellung auf HTTPS wird entweder ein SSL-Zertifikat („Secure-Sockets-Layer“) oder dessen Nachfolger, ein TLS-Zertifikat („Transport-Layer-Security“), benötigt.
Der Schutzbereich einer SSL-Verschlüsselung geht weiter als der einer TLS-Verschlüsselung. Bei einer TLS-Verschlüsselung sind die Daten auf den Wegen zwischen den Servern geschützt, während eine SSL-Verschlüsselung die Daten auf den Servern verschlüsselt. Sowohl SSL als auch TLS gewährleisten die:
· Authentifizierung der Kommunikationspartner
· Vertrauliche Ende-zu-Ende-Datenübertragung
· Sicherstellung der Integrität der übermittelten Daten.
Die Auftragsverarbeitung
Damit Onlineshop-Betreiber alle notwendigen Prozesse rund um ihre Angebote und Verkäufe wirtschaftlich gestalten können, greifen sie regelmäßig auf Dienstleistungen externer Anbieter zurück. Dazu gehören beispielsweise Dienstleister für die Rechnungsabwicklung, die Namen, Adressen, Kontodaten und andere personenbezogene Daten der Kunden verarbeiten, sowie andere externe Tools wie CMS, Newsletter-Software oder Marketing- und Tracking-Tools wie Google Analytics.
Gleiches gilt für die Zusammenarbeit mit Dienstleistern in Form von Software-as-a-Service-Lösungen (SaaS) oder Cloud-Anbietern. Auch hier ist die Faustregel: Verarbeiten externe Dienstleister personenbezogene Daten, muss ein Auftragsverarbeitungsvertrag geschlossen werden. Nur wenn ein gültiger Auftragsverarbeitungsvertrag vorliegt, liegt eine Rechtsgrundlage für die Weitergabe der personenbezogenen Daten an Dritte vor.
Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen sind auch für Onlineshop-Betreiber von entscheidender Bedeutung. Neben den Verschlüsselungs-Aspekten müssen auch am physikalischen Standort des Onlineshops entsprechende Maßnahmen ergriffen werden, um den Anforderungen der DSGVO gerecht zu werden. Dazu gehören unter:
· Daten-Backups: Regelmäßige Sicherungskopien der Daten, um im Falle eines Datenverlusts die Wiederherstellung zu ermöglichen.
· Angemessene Verschlüsselungen von Daten: Um eine sichere Übertragung und Speicherung von personenbezogenen Daten zu gewährleisten, ist die Verwendung von Verschlüsselungstechnologien unerlässlich.
· Kontrollierter Zugang zu Datenverarbeitungssystemen: Einschränkung des Zugriffs auf Daten nur auf autorisierte Personen, um einen unbefugten Zugriff zu verhindern.
· Kontrolle über die Räumlichkeiten des physikalischen Standortes des Onlineshops: Sicherheitsmaßnahmen wie Überwachungskameras, Alarme oder Zugangskontrollsysteme, um den physischen Zugang zu sensiblen Bereichen zu kontrollieren.
Nicht vergessen: Alle Maßnahmen müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können.
Noch Fragen zur Umsetzung der Datenschutz-Anforderungen an Onlineshops?
Wir stehen Ihnen gerne zur Seite damit Ihr Onlineshop den rechtlichen Anforderungen entspricht! Buchen Sie jetzt Ihre DEMO bei uns. Wir helfen Ihnen gerne.