Datenschutzerklärung im Onlineshop: Wie Händler ihren Shop DSGVO-konform machen

Datenschutzerklärung im Onlineshop: Wie Händler ihren Shop DSGVO-konform machenDatenschutzerklärung im Onlineshop: Wie Händler ihren Shop DSGVO-konform machen
Nick Knuppe
Product Marketing Manager
Kundenfokussiert und marktorientiert: Ein Marketer mit Hang zum Perfektionismus.

Dass eine Datenschutzerklärung im Onlineshop vorhanden sein muss, ist gesetzlich vorgeschrieben. Welche Informationen hineingehören, ist für Händler jedoch nicht immer eindeutig. Im Folgenden erklären wir, was beim Aufsetzen der Datenschutzerklärung zu beachten ist und welche weiteren Datenschutzvorgaben der DSGVO wichtig für E-Commerce-Händler sind.

Was ist die Datenschutzerklärung im Onlineshop?

Jede Website, die personenbezogene Daten erhebt, bedarf einer Datenschutzerklärung. Darin geben Shopbetreiber Besuchern Auskunft über Art, Umfang und Zweck der Datenverarbeitung. Außerdem gilt es, User aufzuklären, welche Möglichkeiten sie haben, eine Datenspeicherung zu widerrufen.

Für Onlineshops mit fehlender oder unvollständiger Datenschutzerklärung besteht das Risiko einer Abmahnung durch entsprechende Aufsichtsbehörden. Die gesetzliche Grundlage hierfür bildet die Datenschutz-Grundverordnung (DSGVO).

Was ist die DSGVO?

Im Jahr 2016 verabschiedete das Europäische Parlament die EU-Datenschutz-Grundverordnung. Innerhalb der zweijährigen Übergangsfrist bis zum 25. Mai 2018 mussten Onlinehändler daher einige Änderungen in ihrem Webshop vornehmen. Diese betreffen insbesondere die folgenden Bereiche:

  • Datenerhebung

  • Auskunftspflichten

  • Newsletter-Versand

  • Auftragsverarbeitung

Ziel der DSGVO war es, den Datenschutz online für alle EU-Mitgliedsstaaten zu vereinheitlichen. Das bietet nicht nur Vorteile für Käufer, sondern auch für Shopbetreiber. So erleichtert etwa das One-Stop-Shop-Prinzip (OSS) den internationalen E-Commerce-Handel. Shopbetreiber müssen aufgrund derselben Datenverarbeitung nicht mehr parallel mit mehreren Datenschutzbehörden kommunizieren, sondern nur noch mit einer Zentrale.

Warum ist eine Datenschutzerklärung für Onlineshops wichtig?

Warum ist eine Datenschutzerklärung für Onlineshops wichtig?

Jeder Webshop erhebt Daten – und zwar nicht nur bei einem Kaufabschluss. Auch Tracking-Tools, Social-Media-Plugins und Cookies sammeln Informationen über die Shopbesucher. Um sicherzugehen, dass Onlinehändler verantwortungsvoll mit diesen Daten umgehen und sie nicht missbrauchen, ist die Datenschutzerklärung ebenso wie das Impressum ein Muss für jeden Webshop. Andernfalls riskieren sie eine Abmahnung sowie hohe Geldbußen.

Darüber hinaus ist eine Datenschutzerklärung im Onlinehandel essenziell, um Vertrauen bei potenziellen Kunden zu schaffen. Verbraucher möchten wissen, welche ihrer Daten der Webshop erhebt und ob ihre Angaben dabei geschützt sind. Nur wenn sie eine Website als vertrauenswürdig einstufen, sind sie bereit, etwas zu kaufen. Eine vollständige Datenschutzerklärung sowie das Impressum gehören daher neben sicheren Zahlungsmethoden zu den wichtigsten vertrauensbildenden Maßnahmen im Onlineshop.

Wie sieht eine korrekte Datenschutzerklärung für E-Commerce-Händler aus?

Laut DSGVO haben Onlineshops eine Datenschutzerklärung zur Verfügung zu stellen, die folgenden Anforderungen entspricht:

  • präzise

  • transparent

  • verständlich

  • leicht zugänglich

Daher gilt es in erster Linie sicherzustellen, dass die Datenschutzerklärung im Onlineshop öffentlich und von jeder Unterseite aus erreichbar ist. So besteht auch mitten im Kaufprozess für Kunden noch die Möglichkeit, die allgemeinen Informationen zum Datenschutz nachzulesen. Weiterhin ist der Inhalt so zu formulieren, dass ihn jeder versteht. Grundsätzlich umfasst eine Datenschutzerklärung im Onlineshop die folgenden vier Bereiche:

1. Verantwortliche und Kontakt

Oft beginnt die Datenschutzerklärung im Onlineshop mit Informationen über die verantwortliche Stelle für die Verarbeitung. Gemäß Art. 13 Abs. 1 lit. a und b DSGVO besteht für Shopbetreiber die Informationspflicht, folgende Kontaktdaten aufzuführen:

  • des Verantwortlichen der Datenerhebung

  • ggf. seines Vertreters

  • ggf. des Datenschutzbeauftragten

2. Personenbezogene Daten

Viele Onlineshops definieren in ihrer Datenschutzerklärung zunächst, was personenbezogene Daten sind. Dies ist laut DSGVO nicht zwingend erforderlich, erleichtert aber möglicherweise das Verständnis der Kunden.

Anschließend gilt es darüber aufzuklären, …

  • welche Daten der Webshop erhebt und verarbeitet.

  • an welcher Stelle die Datenerhebung erfolgt.

  • zu welchem Zweck das geschieht.

  • wer die Daten empfängt.

  • für wie lange sie gespeichert werden.

3. Rechtsgrundlage

Für jede Datenerhebung ist zusätzlich die Rechtsgrundlage zu nennen. Hier verweisen Händler meist auf einen bestimmten Artikel der DSGVO. Eine häufige Rechtsgrundlage bildet insbesondere Art. 6 Abs. 1 lit. f DSGVO: „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich […]“. Hierbei sind zusätzlich die berechtigen Interessen zu nennen. Beispielhaft für die Erhebung der IP-Adresse führt die folgende Tabelle die dazugehörige Rechtsgrundlage sowie die Interessen auf:

Personenbezogene Daten IP-Adresse
Zeitpunkt der Erhebung Während des Verbindungsaufbaus
Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO
Zweck und berechtigtes Interesse Damit wir Ihnen unsere Website zur Verfügung stellen können

4. Betroffenenrechte

Die DSGVO schreibt Onlineshops vor, ihre Besucher über ihre Rechte aufzuklären. Dazu gehören die folgenden:

DSGVO-Artikel Art des Betroffenenrechts Erläuterung
15 Auskunftsrecht Besucher haben das Recht, vom Shopbetreiber eine Bestätigung darüber zu verlangen, ob er personenbezogene Daten verarbeitet. Wenn ja, ist aufzuführen, welche dies sind sowie die näheren Umstände der Verarbeitung.
16 Recht auf Berichtigung Kunden haben bei unrichtigen Daten das Recht, die Berichtigung derer zu verlangen.
17 Recht auf Löschung Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn sie für den ursprünglichen Zweck nicht mehr notwendig sind, die Rechtsgrundlage fehlt oder ähnliche Gründe gemäß Art. 17 DSGVO zutreffen.
18 Recht auf Einschränkung der Verarbeitung Kunden haben das Recht, die Einschränkung der Verarbeitung zu verlangen.
20 Recht auf Datenübertragbarkeit Dieses Recht greift bei Daten, die zur Erfüllung eines Vertrags notwendig sind oder in deren Verarbeitung Kunden eingewilligt haben. Hier können Kunden verlangen, dass Verantwortliche ihnen die erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen, um sie an andere Verantwortliche zu übermitteln. Alternativ besteht die Möglichkeit, dass Händler auf Wunsch die Daten selbst an diese übermitteln.
21 Widerspruchsrecht Betroffene haben bei besonderen Gründen das Recht, gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen, die ansonsten gemäß Art. 6 DSGVO als rechtmäßig einzustufen ist.
Bei der Datenverarbeitung für Direktwerbung besteht jederzeit das Recht, Widerspruch einzulegen.
77 Recht auf Beschwerde bei einer Aufsichtsbehörde Besucher haben das Recht, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen geltendes Recht verstößt.

Gibt es eine Vorlage für die Datenschutzerklärung im Onlineshop?

Es besteht keine allgemeine Vorlage, die sich auf jeden Onlineshop anwenden lässt. Die DSGVO schreibt Händlern nicht vor, wie genau sie ihre Kunden über den Umgang mit Daten aufklären. Daher gibt es Datenschutzerklärungen in unterschiedlichen Formen. Einige bauen sie ähnlich den AGB auf. Andere Shopbetreiber bereiten ihre Datenschutzerklärung etwa in Form einer FAQ-Seite auf, um die leichte Verständlichkeit zu gewährleisten. Hier beantworten sie ihren Kunden z. B. die folgenden Fragen:

  • Wie erfassen wir Ihre Daten?

  • Wofür nutzen wir Ihre Daten?

  • Welche Rechte haben Sie bezüglich Ihrer Daten?

Im Internet gibt es verschiedene Vorlagen, die sich als Muster für eine Datenschutzerklärung eignen. Da jedoch jeder Shopbetreiber Besucherdaten auf andere Weise verarbeitet, ist solch eine Vorlage stets an die eigenen Vorgänge anzupassen. Zudem empfiehlt es sich, die Datenschutzerklärung von einem Rechtsanwalt individuell erstellen oder zumindest überprüfen zu lassen. So lässt sich gewährleisten, dass sie richtig und vollständig ist.

Was ist im E-Commerce beim Datenschutz noch zu beachten?

Was ist im E-Commerce beim Datenschutz noch zu beachten?

Neben der Datenschutzerklärung sind weitere Vorgaben zu berücksichtigen, damit der Onlineshop als DSGVO-konform gilt. Diese betreffen die folgenden Inhalte:

  • Formulare

  • Website-Verschlüsselung

  • E-Mail-Marketing

  • Cookies

  • Social-Media-Plugins

Formulare

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Formulare

Im Onlineshop gibt es meist verschiedene Formulare, die Kundendaten übermitteln, etwa im Warenkorb oder bei der Anmeldung zum Newsletter. Hier verlangt die DSGVO die Einhaltung zweier wichtiger Grundsätze: 

  • Datenminimierung: Shopbetreiber dürfen von ihren Besuchern nur solche Daten anfordern, die für die Erfüllung des Auftrags zwingend erforderlich sind. Das bedeutet im Warenkorb beispielsweise, dass Name und Anschrift notwendig sind, um die Onlinebestellung versenden zu können. Um einen E-Mail-Newsletter zu empfangen, sind Postanschrift und Telefonnummer hingegen nicht erforderlich. Daher dürfen Händler sie an dieser Stelle nicht abfragen.

  • Vertraulichkeit: Jegliche Datenübertragung hat verschlüsselt zu erfolgen. Onlinehändler sind somit verpflichtet, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen.

Website-Verschlüsselung

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Website encryption

Laut Art. 32 Abs. 1 lit. a DSGVO sind Shopbetreiber dazu angehalten, eine verschlüsselte Datenübertragung zu gewährleisten. Hierfür empfiehlt es sich, den Webshop durch das https-Kommunikationsprotokoll abzusichern. Mithilfe dieses sogenannten SSL-Zertifikats garantieren Händler …

  • … die Authentifizierung der Kommunikationspartner durch asymmetrische Verschlüsselungsverfahren.

  • … die vertrauliche Ende-zu-Ende-Datenübertragung durch symmetrische Verschlüsselungsverfahren.

  • … die Integrität der transportierten Daten.

Wie Sie ein SSL-Zertifikat erhalten und welche weiteren Sicherheitsvorgaben zu beachten sind, lesen Sie in unserem ausführlichen Artikel zur Webshop-Sicherheit.

E-Mail-Marketing

Was ist im E-Commerce beim Datenschutz noch zu beachten? - E-Mail-Marketing

Seit Einführung der DSGVO sind Onlineshops verpflichtet, das Double-Opt-in-Verfahren für die Einwilligung in Datenverarbeitungen einzurichten, etwa bei der Anmeldung zum Newsletter. Das bedeutet, dass Interessierte zunächst aktiv dem Informations- oder Werbeangebot zustimmen, wenn sie ihre Kontaktdaten angeben, beispielsweise indem sie einen Haken in einer Checkbox setzen. Daraufhin erhalten sie einen Bestätigungslink per E-Mail, den es anzuklicken gilt. Damit willigen sie ein zweites Mal in den Erhalt künftiger Angebote ein. Erst danach dürfen Shopbetreiber Newsletter und ähnliche Inhalte an die angegebene Adresse senden. Wird der Bestätigungslink nicht angeklickt, dürfen sie die E-Mail-Adresse nicht verwenden bzw. speichern. 

Cookies

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Cookies

Eine weitere wichtige Rolle beim Datenschutz im Onlineshop spielen die Cookies. Viele Webshops nutzen Cookies, um ihre Usability zu erhöhen. So speichern sie beispielsweise diese Informationen, damit User sie nicht bei jedem Besuch aufs Neue eingeben müssen:

  • Spracheinstellungen

  • Warenkorbinhalt

  • Login-Daten

Als Ergänzung zur DSGVO gibt es daher die sogenannte EU-Cookie-Richtlinie (Richtlinie 2009/136/EG). Diese besagt, dass Shopbetreiber nur solche Cookies ohne Zustimmung der Besucher einsetzen dürfen, die technisch notwendig sind. Auf deren Verwendung ist jedoch in Form eines Cookie-Banners ausdrücklich hinzuweisen. Für andere Cookies, die technisch nicht für die Funktionsfähigkeit des Shops notwendig sind, gilt es, zuvor die Zustimmung der Kunden einzuholen.

Die folgende Tabelle führt Beispiele hierzu auf, welche Cookies als technisch notwendig gelten und welche nicht:

Technisch notwendige Cookies Technisch nicht notwendige Cookies
Session-Cookies zur Speicherung von Nutzereinstellungen wie die Sprachauswahl Tracking- und Analysetools
Flash-Cookies zur Wiedergabe von Medieninhalten Affiliate-Dienste
Opt-out-Cookies zum Widerruf von Cookie-Einwilligungen Remarketing- und Retargeting-Dienste
Zahlungscookies von eingebundenen Zahlungsdienstleistern (die ausschließlich der Zahlungsabwicklung dienen und keiner Analyse des Nutzerverhaltens) Social-Media-Plugins
Cookies aus Live-Chat-Systemen Online-Kartendienste

Social-Media-Plugins

Was ist im E-Commerce beim Datenschutz noch zu beachten? - Social-Media-Plugins

In der Vergangenheit haben Social-Media-Plugins von Beginn an Daten von Shopbesuchern gesammelt. Daher sind sie laut DSGVO im Onlineshop nur noch dann zulässig, wenn sie zunächst inaktiv sind. Der passive Button aktiviert sich bei korrekter Einbindung erst, wenn User ihn anklicken. Die Betätigung des Buttons gilt in dem Fall als Zustimmung für die Datenübertragung an die jeweilige Plattform. Denn es ist davon auszugehen, dass User nur dann auf den Button klicken, wenn sie diesen auch nutzen möchten, etwa um Inhalte des Webshops zu teilen.

Bei dieser gängigen Lösung handelt es sich um sogenannte Shariff-Buttons. Daneben ist analog zum Double-Opt-in-Verfahren für den Newsletter auch die Zwei-Klick-Einwilligung in die Social-Media-Button-Nutzung möglich. Hier klicken Besucher zuerst das gewünschte Social-Media-Symbol an. Anschließend fragt der Shop explizit nach der Zustimmung für die Datenübertragung.

Auftragsverarbeitung

Shopbetreiber arbeiten mit zahlreichen Dienstleistern zusammen, z. B. mit:

  • Zahlungsdienstleistern

  • SaaS-Anbietern

  • Cloud-Diensten

Diese verarbeiten ebenfalls personenbezogene Daten der Onlineshopkunden. Daher ist laut DSGVO ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Nur wenn ein gültiger AVV vorliegt, existiert eine Rechtsgrundlage, um die Kundendaten an Dritte weiterzugeben. Wenngleich ein solcher Vertrag zusätzlichen Aufwand für Onlinehändler bedeutet, gibt er ihnen auch eine größere Sicherheit als in der Vergangenheit. So lässt sich etwa im Falle eines Datenschutzverstoßes durch den Dienstleister nachweisen, dass die Verantwortung in seinem Aufgabenbereich lag.

Fazit zum Datenschutz im Webshop: Checkliste zur Datenschutzerklärung

Jeder Onlineshop erhebt personenbezogene Daten seiner Besucher. Um diese entsprechend zu schützen, gibt es die Datenschutz-Grundverordnung. Sie vereinheitlicht die Datenschutzvorgaben im Internet für alle EU-Mitgliedsstaaten. Auf dieser Basis gilt es für E-Commerce-Händler, besondere Regeln etwa in Bezug auf den Newsletter-Versand, Social-Media-Buttons und Formulare zu berücksichtigen. Daneben besteht die Vorschrift, dass Shopbetreiber ihre Besucher über die Datenverarbeitung sowie den Datenschutz in ihrem Webshop unterrichten. Damit diese Datenschutzerklärung für den Onlineshop DSGVO-konform ist, finden Sie im Folgenden eine zusammenfassende Checkliste:

Inhalt Erläuterung Beispiel
Verantwortlichkeit Wer ist für die Datenerfassung im Webshop verantwortlich? Webshop-Inhaber, Datenschutzbeauftragte
Art und Umfang der Datenerhebung Welche der Besucherdaten erhebt und verarbeitet der Webshop? IP-Adresse, Name und Anschrift
An welcher Stelle im Webshop erfolgt die genannte Datenerhebung? Absenden eines Kontaktformulars, Aufruf des Webshops, Social-Media-Buttons
Was passiert mit den Daten? Speicherung bis zu einem bestimmten Zeitpunkt
Zu welchem Zweck geschieht das? Marketingzwecke, Ausführung einer Bestellung
Wie lange erfolgt die Datenspeicherung? Bis zum Abschluss einer Bestellung, bis zum Widerspruch
Werden die Daten an Dritte weitergegeben und warum? Google Analytics, Versanddienstleister
Welche Maßnahmen ergreift der Shopbetreiber, um die Sicherheit der Daten zu gewährleisten? https-Protokoll
Rechtsgrundlage Auf welcher Grundlage gilt die Datenerhebung als rechtmäßig? Art. 6 Abs. 1 lit. f DSGVO
Widerspruchsrecht Wann haben User das Recht, der Verarbeitung ihrer Daten zu widersprechen? Jederzeit bei Direktwerbung, bei allen anderen Zwecken nur unter Abwägung besonderer Gründe
Weitere User-Rechte Welche weiteren Rechte haben Seitenbesucher? Recht auf Auskunft, Berichtigung und Löschung

Next Step: ein sicheres Online-Erlebnis anbieten
Tipps zur Webshop-Sicherheit lesen