Datenschutzerklärung im Onlineshop: Wie Händler ihren Shop DSGVO-konform machen

Nick Knuppe
Head of Product Marketing

Dass eine Datenschutzerklärung im Onlineshop vorhanden sein muss, ist gesetzlich festgeschrieben. Welche Informationen hineingehören, ist für Händler jedoch nicht immer eindeutig. Im Folgenden erklären wir, was beim Aufsetzen der Datenschutzerklärung zu beachten ist und welche weiteren Datenschutzvorgaben der DSGVO wichtig für E-Commerce-Händler sind.

Was ist die Datenschutzerklärung im Onlineshop?

Jede Website, die personenbezogene Daten erhebt, bedarf einer Datenschutzerklärung. Darin geben Shopbetreiber Besuchern Auskunft über Art, Umfang und Zweck der Datenverarbeitung. Außerdem gilt es, User aufzuklären, welche Möglichkeiten sie haben, eine Datenspeicherung zu widerrufen.

Für Onlineshops mit fehlender oder unvollständiger Datenschutzerklärung besteht das Risiko einer Abmahnung durch entsprechende Aufsichtsbehörden. Die gesetzliche Grundlage hierfür bildet die Datenschutz-Grundverordnung (DSGVO).

Was ist die DSGVO?

Im Jahr 2016 verabschiedete das Europäische Parlament die EU-Datenschutz-Grundverordnung. Innerhalb der zweijährigen Übergangsfrist bis zum 25. Mai 2018 mussten Onlinehändler daher einige Änderungen in ihrem Webshop vornehmen. Diese betreffen insbesondere die folgenden Bereiche:

  • Datenerhebung
  • Auskunftspflichten
  • Newsletter-Versand
  • Auftragsverarbeitung

Ziel der DSGVO war es, den Datenschutz online für alle EU-Mitgliedsstaaten zu vereinheitlichen. Das bietet nicht nur Vorteile für Käufer, sondern auch für Shopbetreiber. So erleichtert beispielsweise das One-Stop-Shop-Prinzip (OSS) den internationalen E-Commerce-Handel. Shopbetreiber müssen aufgrund derselben Datenverarbeitung nicht mehr parallel mit mehreren Datenschutzbehörden kommunizieren, sondern nur noch mit einer Zentrale.

Warum ist eine Datenschutzerklärung für Onlineshops wichtig?

Warum ist eine Datenschutzerklärung für Onlineshops wichtig?

Every web shop collects data – and not just when a purchase is made. Tracking tools, social media plugins and cookies also collect information about shop visitors. In order to ensure that online retailers handle this data responsibly and do not misuse it, the data protection declaration as well as the imprint is a must for every web shop. Otherwise, they risk a warning and high fines.

Darüber hinaus ist eine Datenschutzerklärung im Onlinehandel essenziell, um Vertrauen bei potenziellen Kunden zu schaffen. Verbraucher möchten wissen, welche ihrer Daten der Webshop erhebt und ob ihre Angaben dabei geschützt sind. Nur wenn sie eine Website als vertrauenswürdig einstufen, sind sie bereit, etwas zu kaufen. Eine vollständige Datenschutzerklärung sowie das Impressum gehören daher neben sicheren Zahlungsmethoden zu den wichtigsten vertrauensbildenden Maßnahmen im Onlineshop.

Wie sieht eine korrekte Datenschutzerklärung für E-Commerce-Händler aus?

Laut DSGVO haben Onlineshops eine Datenschutzerklärung zur Verfügung zu stellen, die folgenden Anforderungen entspricht:

  • präzise
  • transparent
  • verständlich
  • leicht zugänglich

Daher gilt es in erster Linie sicherzustellen, dass die Datenschutzerklärung im Onlineshop öffentlich und von jeder Unterseite aus erreichbar ist. So besteht auch mitten im Kaufprozess für Kunden noch die Möglichkeit, die allgemeinen Informationen zum Datenschutz nachzulesen. Weiterhin ist der Inhalt so zu formulieren, dass ihn jeder versteht. Grundsätzlich umfasst eine Datenschutzerklärung im Onlineshop die folgenden vier Bereiche:

1. Verantwortliche und Kontakt

Oft beginnt die Datenschutzerklärung im Onlineshop mit Informationen über die verantwortliche Stelle für die Verarbeitung. Gemäß Art. 13 Abs. 1 lit. a und b DSGVO besteht für Shopbetreiber die Informationspflicht, folgende Kontaktdaten aufzuführen:

  • des Verantwortlichen der Datenerhebung
  • ggf. seines Vertreters
  • ggf. des Datenschutzbeauftragten

2. Personenbezogene Daten

Viele Onlineshops definieren in ihrer Datenschutzerklärung zunächst, was personenbezogene Daten sind. Dies ist laut DSGVO nicht zwingend erforderlich, erleichtert aber möglicherweise das Verständnis der Kunden.

Anschließend gilt es darüber aufzuklären, …

  • … which data the web shop collects and processes.
  • … where the data is collected.
  • … for what purpose this happens.
  • … who receives the data.
  • … für wie lange sie gespeichert werden.

The legal basis must also be stated for each data collection. Here, retailers usually refer to a specific article of the GDPR. A common legal basis is, for example, Art. 6 (1) (f) GDPR: “The processing is necessary to protect the legitimate interests of the person responsible or a third party […]”. The legitimate interests must also be mentioned here. As an example for the collection of the IP address, the following table lists the associated legal basis and interests:

Personenbezogene DatenIP-Adresse
Zeitpunkt der ErhebungWährend des Verbindungsaufbaus
RechtsgrundlageArt. 6 Abs. 1 lit. f DSGVO
Zweck und berechtigtes InteresseDamit wir Ihnen unsere Website zur Verfügung stellen können

4. Betroffenenrechte

Die DSGVO schreibt Onlineshops vor, ihre Besucher über ihre Rechte aufzuklären. Dazu gehören die folgenden:

DSGVO-ArtikelArt des BetroffenenrechtsErläuterung
15AuskunftsrechtBesucher haben das Recht, vom Shopbetreiber eine Bestätigung darüber zu verlangen, ob er personenbezogene Daten verarbeitet . Wenn ja, ist aufzuführen, welche dies sind sowie die näheren Umstände der Verarbeitung.
16Recht auf BerichtigungKunden haben bei unrichtigen Daten das Recht, die Berichtigung derer zu verlangen.
17Recht auf LöschungBetroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn sie für den ursprünglichen Zweck nicht mehr notwendig sind, die Rechtsgrundlage fehlt oder ähnliche Gründe gemäß Art. 17 DSGVO zutreffen.
18Recht auf Einschränkung der VerarbeitungKunden haben das Recht, die Einschränkung der Verarbeitung zu verlangen.
20Recht auf DatenübertragbarkeitDieses Recht greift bei Daten, die zur Erfüllung eines Vertrags notwendig sind oder in deren Verarbeitung Kunden eingewilligt haben. Hier können Kunden verlangen, dass Verantwortliche ihnen die erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen, um sie an andere Verantwortliche zu übermitteln . Alternativ besteht die Möglichkeit, dass Händler auf Wunsch die Daten selbst an diese übermitteln.
21Widerspruchsrecht
21WiderspruchsrechtBei der Datenverarbeitung für Direktwerbung besteht jederzeit das Recht, Widerspruch einzulegen.
77Recht auf Beschwerde bei einer AufsichtsbehördeBesucher haben das Recht, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen geltendes Recht verstößt .

Gibt es eine Vorlage für die Datenschutzerklärung im Onlineshop?

Es besteht keine allgemeine Vorlage, die sich auf jeden Onlineshop anwenden lässt. Die DSGVO schreibt Händlern nicht vor, wie genau sie ihre Kunden über den Umgang mit Daten aufklären. Daher gibt es Datenschutzerklärungen in unterschiedlichen Formen. Einige bauen sie ähnlich den AGBs auf. Andere Shopbetreiber bereiten ihre Datenschutzerklärung etwa in Form einer FAQ-Seite auf, um die leichte Verständlichkeit zu gewährleisten. Hier beantworten sie ihren Kunden z. B. die folgenden Fragen:

  • Wie erfassen wir Ihre Daten?
  • Wofür nutzen wir Ihre Daten?
  • Welche Rechte haben Sie bezüglich Ihrer Daten?

Im Internet gibt es verschiedene Vorlagen, die sich als Muster für eine Datenschutzerklärung eignen. Da jedoch jeder Shopbetreiber Besucherdaten auf andere Weise verarbeitet, ist solch eine Vorlage stets an die eigenen Vorgänge anzupassen. Zudem empfiehlt es sich, die Datenschutzerklärung von einem Rechtsanwalt individuell erstellen oder zumindest überprüfen zu lassen. So lässt sich gewährleisten, dass sie richtig und vollständig ist.

Was ist im E-Commerce beim Datenschutz noch zu beachten?

Was ist im E-Commerce beim Datenschutz noch zu beachten?

Neben der Datenschutzerklärung sind weitere Vorgaben zu berücksichtigen, damit der Onlineshop als DSGVO-konform gilt. Diese betreffen die folgenden Inhalte:

  • Formulare
  • Website-Verschlüsselung
  • E-Mail-Marketing
  • cookies
  • Social-Media-Plugins

Formulare

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Formulare

Im Onlineshop gibt es meist verschiedene Formulare, die Kundendaten übermitteln, etwa im Warenkorb oder bei der Anmeldung zum Newsletter. Hier verlangt die DSGVO die Einhaltung zweier wichtiger Grundsätze:

  • Datenminimierung: Shopbetreiber dürfen von ihren Besuchern nur solche Daten anfordern, die für die Erfüllung des Auftrags zwingend erforderlich sind. Das bedeutet im Warenkorb beispielsweise, dass Name und Anschrift notwendig sind, um die Onlinebestellung versenden zu können. Um einen E-Mail-Newsletter zu empfangen, sind Postanschrift und Telefonnummer hingegen nicht erforderlich. Daher dürfen Händler sie an dieser Stelle nicht abfragen.
  • Vertraulichkeit: Jegliche Datenübertragung hat verschlüsselt zu erfolgen. Onlinehändler sind somit verpflichtet, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen.

Website-Verschlüsselung

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Website encryption

According to Art. 32 Para. 1 lit. a GDPR, shop operators are required to ensure encrypted data transmission. For this purpose, it is advisable to secure the web shop with the https communication protocol. With the help of this so-called SSL certificate, retailers guarantee …

  • … the authentication of the communication partners through asymmetric encryption methods.
  • … confidential end-to-end data transmission using symmetrical encryption processes.
  • … the integrity of the transported data.

Wie Sie ein SSL-Zertifikat erhalten und welche weiteren Sicherheitsvorgaben zu beachten sind, lesen Sie in unserem ausführlichen Artikel zur Webshop-Sicherheit.

E-Mail-Marketing

Was ist im E-Commerce beim Datenschutz noch zu beachten? - E-Mail-Marketing

Seit Einführung der DSGVO sind Onlineshops verpflichtet, das Double-Opt-in-Verfahren für die Einwilligung in Datenverarbeitungen einzurichten, etwa bei der Anmeldung zum Newsletter. Das bedeutet, dass Interessierte zunächst aktiv dem Informations- oder Werbeangebot zustimmen, wenn sie ihre Kontaktdaten angeben, beispielsweise indem sie einen Haken in einer Checkbox setzen. Daraufhin erhalten sie einen Bestätigungslink per E-Mail, den es anzuklicken gilt. Damit willigen sie ein zweites Mal in den Erhalt künftiger Angebote ein. Erst danach dürfen Shopbetreiber Newsletter und ähnliche Inhalte an die angegebene Adresse senden. Wird der Bestätigungslink nicht angeklickt, dürfen sie die E-Mail-Adresse nicht verwenden bzw. speichern.

cookies

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Cookies

Eine weitere wichtige Rolle beim Datenschutz im Onlineshop spielen die Cookies. Viele Webshops nutzen Cookies, um ihre Usability zu erhöhen. So speichern sie beispielsweise diese Informationen, damit User sie nicht bei jedem Besuch aufs Neue eingeben müssen:

  • Spracheinstellungen
  • Warenkorbinhalt
  • Login-Daten

Als Ergänzung zur DSGVO gibt es daher die sogenannte EU-Cookie-Richtlinie (Richtlinie 2009/136/EG). Diese besagt, dass Shopbetreiber nur solche Cookies ohne Zustimmung der Besucher einsetzen dürfen, die technisch notwendig sind. Auf deren Verwendung ist jedoch in Form eines Cookie-Banners ausdrücklich hinzuweisen. Für andere Cookies, die technisch nicht für die Funktionsfähigkeit des Shops notwendig sind, gilt es, zuvor die Zustimmung der Kunden einzuholen.

Die folgende Tabelle führt Beispiele hierzu auf, welche Cookies als technisch notwendig gelten und welche nicht:

Technisch notwendige CookiesTechnisch nicht notwendige Cookies
Session-Cookies zur Speicherung von Nutzereinstellungen wie die SprachauswahlTracking- und Analysetools
Flash-Cookies zur Wiedergabe von MedieninhaltenAffiliate-Dienste
Opt-out-Cookies zum Widerruf von Cookie-EinwilligungenRemarketing- und Retargeting-Dienste
Zahlungscookies von eingebundenen Zahlungsdienstleistern (die ausschließlich der Zahlungsabwicklung dienen und keiner Analyse des Nutzerverhaltens)Social-Media-Plugins
Cookies aus Live-Chat-SystemenOnline-Kartendienste

Social-Media-Plugins

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Social-Media-Plugins

In der Vergangenheit haben Social-Media-Plugins von Beginn an Daten von Shopbesuchern gesammelt. Daher sind sie laut DSGVO im Onlineshop nur noch dann zulässig, wenn sie zunächst inaktiv sind. Der passive Button aktiviert sich bei korrekter Einbindung erst, wenn User ihn anklicken. Die Betätigung des Buttons gilt in dem Fall als Zustimmung für die Datenübertragung an die jeweilige Plattform. Denn es ist davon auszugehen, dass User nur dann auf den Button klicken, wenn sie diesen auch nutzen möchten, etwa um Inhalte des Webshops zu teilen.

Bei dieser gängigen Lösung handelt es sich um sogenannte Shariff-Buttons. Daneben ist analog zum Double-Opt-in-Verfahren für den Newsletter auch die Zwei-Klick-Einwilligung in die Social-Media-Button-Nutzung möglich. Hier klicken Besucher zuerst das gewünschte Social-Media-Symbol an. Anschließend fragt der Shop explizit nach der Zustimmung für die Datenübertragung.

Auftragsverarbeitung

Shopbetreiber arbeiten mit zahlreichen Dienstleistern zusammen, z. B. mit:

  • Zahlungsdienstleistern
  • SaaS-Anbietern
  • Cloud-Diensten

Diese verarbeiten ebenfalls personenbezogene Daten der Onlineshopkunden. Daher ist laut DSGVO ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Nur wenn ein gültiger AVV vorliegt, existiert eine Rechtsgrundlage, um die Kundendaten an Dritte weiterzugeben. Wenngleich ein solcher Vertrag zusätzlichen Aufwand für Onlinehändler bedeutet, gibt er ihnen auch eine größere Sicherheit als in der Vergangenheit. So lässt sich etwa im Falle eines Datenschutzverstoßes durch den Dienstleister nachweisen, dass die Verantwortung in seinem Aufgabenbereich lag.

Fazit zum Datenschutz im Webshop: Checkliste zur Datenschutzerklärung

Jeder Onlineshop erhebt personenbezogene Daten seiner Besucher. Um diese entsprechend zu schützen, gibt es die Datenschutz-Grundverordnung. Sie vereinheitlicht die Datenschutzvorgaben im Internet für alle EU-Mitgliedsstaaten. Auf dieser Basis gilt es für E-Commerce-Händler, besondere Regeln etwa in Bezug auf den Newsletter-Versand, Social-Media-Buttons und Formulare zu berücksichtigen. Daneben besteht die Vorschrift, dass Shopbetreiber ihre Besucher über die Datenverarbeitung sowie den Datenschutz in ihrem Webshop unterrichten. Damit diese Datenschutzerklärung für den Onlineshop DSGVO-konform ist, finden Sie im Folgenden eine zusammenfassende Checkliste:

InhaltErläuterungBeispiel
VerantwortlichkeitWer ist für die Datenerfassung im Webshop verantwortlich?Webshop-Inhaber, Datenschutzbeauftragte
Art und Umfang der DatenerhebungWelche der Besucherdaten erhebt und verarbeitet der Webshop?IP-Adresse, Name und Anschrift
Art und Umfang der DatenerhebungAn welcher Stelle im Webshop erfolgt die genannte Datenerhebung?Absenden eines Kontaktformulars, Aufruf des Webshops, Social-Media-Buttons
Art und Umfang der DatenerhebungWas passiert mit den Daten?Speicherung bis zu einem bestimmten Zeitpunkt
Art und Umfang der DatenerhebungZu welchem Zweck geschieht das?Marketingzwecke, Ausführung einer Bestellung
Art und Umfang der DatenerhebungWie lange erfolgt die Datenspeicherung?Bis zum Abschluss einer Bestellung, bis zum Widerspruch
Art und Umfang der DatenerhebungWerden die Daten an Dritte weitergegeben und warum?Google Analytics, Versanddienstleister
Art und Umfang der DatenerhebungWelche Maßnahmen ergreift der Shopbetreiber, um die Sicherheit der Daten zu gewährleisten?https-Protokoll
RechtsgrundlageAuf welcher Grundlage gilt die Datenerhebung als rechtmäßig?Art. 6 Abs. 1 lit. f DSGVO
WiderspruchsrechtWann haben User das Recht, der Verarbeitung ihrer Daten zu widersprechen?Jederzeit bei Direktwerbung, bei allen anderen Zwecken nur unter Abwägung besonderer Gründe
Weitere User-RechteWelche weiteren Rechte haben Seitenbesucher?Recht auf Auskunft, Berichtigung und Löschung

Erhalten Sie jetzt bessere Zahlungen.
Anmelden