Um sicherzustellen, dass Ihr Shop mit der DSGVO konform ist, ist eine Datenschutzrichtlinie unerlässlich. Es gibt jedoch einige andere Regeln, die Sie ebenfalls beachten müssen. Diese Regeln beziehen sich auf:
Webformulare
Website-Verschlüsselung
E-Mail-Marketing
Cookies
Social-Media-Plugins
Webformulare
Wenn ein Kunde seine persönlichen Daten auf Ihrer Website eingeben möchte (zum Beispiel während des Checkouts oder bei der Anmeldung für Ihren Newsletter), muss er ein Webformular ausfüllen. Um sicherzustellen, dass die Webformulare auf Ihrer Seite mit der DSGVO übereinstimmen, müssen sie zwei wichtige Anforderungen erfüllen:
Datenminimierung: Als Shopbetreiber dürfen Sie nur die Mindestmenge an Daten anfordern, die für die Erfüllung Ihrer vertraglichen Verpflichtung (zum Beispiel zur Abwicklung einer Bestellung) erforderlich ist. So benötigen Sie beim Checkout eigentlich nur Name und Adresse des Kunden. Möchte Ihr Kunde sich nur für Ihren E-Mail-Newsletter anmelden, dürfen Sie ihn nicht verpflichten, Ihnen auch seine Postanschrift und Telefonnummer zu geben.
Vertraulichkeit: Als Onlinehändler sind Sie verpflichtet, alle persönlichen Daten Ihrer Kunden vor unbefugter oder rechtswidriger Verarbeitung zu schützen. Das bedeutet, dass jede Datenübertragung verschlüsselt sein muss.
Website-Verschlüsselung
Artikel 32.1.a der DSGVO verpflichtet Shopbetreiber dazu, ihre Datenübertragung zu verschlüsseln. Es ist eine gute Idee, das HTTPS-Protokoll zu verwenden, um die Kommunikation auf Ihrer Website zu sichern. Sie können auch ein SSL-Zertifikat verwenden, um sicherzustellen, dass…
… Kommunikationspartner über einen asymmetrischen Verschlüsselungsprozess autorisiert werden.
… die Datenübertragung mit einem symmetrischen Verschlüsselungsprozess von Ende zu Ende gesichert ist.
… die Integrität der übertragenen Daten nicht beeinträchtigt ist.
Um mehr darüber zu erfahren, wie Sie ein SSL-Zertifikat erhalten und welche anderen Sicherheitsmaßnahmen Sie ergreifen können, lesen Sie unseren Artikel über eCommerce-Sicherheit.
E-Mail-Marketing
Seit der DSGVO in Kraft getreten ist, sind Online-Shops verpflichtet, einen Double-Opt-In-Prozess zu verwenden, um die Zustimmung des Kunden zur Verarbeitung seiner Daten zu erhalten (zum Beispiel, wenn sich ein Kunde für Ihren Newsletter anmeldet). Das bedeutet, dass ein Kunde, der an Informationen oder Werbung von Ihnen interessiert ist, seine Zustimmung dazu geben muss, wenn er Ihnen seine Kontaktdaten gibt (zum Beispiel, indem er ein Kästchen ankreuzt, um zu zeigen, dass er Werbe-E-Mails von Ihnen erhalten möchte). Danach müssen Sie ihm auch einen Bestätigungslink per E-Mail senden, den er anklicken muss, um den Anmeldevorgang abzuschließen. Das bedeutet, dass er zweimal seine Zustimmung zur zukünftigen Erhalt von Informationen/Angeboten von Ihnen gibt. Wenn Sie diese doppelte Zustimmung nicht erhalten, dürfen Sie dem Kunden keine Werbe- oder Marketingnachrichten an seine E-Mail-Adresse senden. Klickt der Kunde nicht auf den Bestätigungslink, dürfen Sie seine E-Mail-Adresse nicht für Marketingzwecke verwenden oder speichern.
Cookies
Cookies sind ein weiteres wichtiges Thema, wenn es um Datensicherheit geht. Viele Online-Shops verwenden Cookies, um ein benutzerfreundlicheres Erlebnis zu schaffen. Zum Beispiel können Cookies Informationen speichern, sodass Benutzer ihre Angaben nicht jedes Mal eingeben müssen, wenn sie die Seite besuchen. Dazu gehören Informationen wie:
Spracheinstellungen
Artikel im Einkaufswagen
Login-Daten
Die EU-Cookie-Richtlinie (2009/136/EG) ist ein weiteres Gesetz, das eng mit der DSGVO zusammenhängt. Nach dieser Richtlinie darf ein Shopbetreiber Cookies ohne die Zustimmung des Besuchers nur verwenden, wenn sie aus technischer Sicht unbedingt notwendig sind. Außerdem muss Ihre Website immer ein Banner enthalten, das Besucher darüber informiert, dass sie Cookies verwendet. Und Sie müssen immer die Zustimmung des Besuchers im Voraus einholen, bevor Sie Cookies verwenden, die nicht notwendig sind, um Ihre Seite ordnungsgemäß funktionieren zu lassen.
Die Tabelle unten zeigt Beispiele dafür, welche Arten von Cookies als technisch notwendig angesehen werden und welche nicht:
Social-Media-Plugins
In der Vergangenheit konnten Social-Media-Plugins anfangen, Benutzerdaten zu sammeln, sobald ein Besucher auf Ihrer Seite ankam. Die DSGVO hat das alles geändert. Nach den neuen Regeln müssen Social-Media-Plugins immer standardmäßig inaktiv sein, wenn ein Benutzer auf eine Seite kommt. Wenn ein Plugin korrekt auf Ihrer Seite eingebunden ist, ist es ein passiver Knopf, der nur aktiv wird, wenn der Benutzer darauf klickt. Indem der Benutzer auf den Knopf klickt, gibt er seine Zustimmung dazu, dass seine Daten an die jeweilige Social-Media-Plattform übertragen werden. Immerhin ist es logisch anzunehmen, dass sie es nutzen möchten (zum Beispiel, um Inhalte über soziale Medien zu teilen).
Social-Media-Plugins sind im E-Commerce sehr verbreitet und erscheinen in der Regel in Form von Shariff-Buttons. Zusätzlich können Sie ein Zwei-Klick-Zustimmungsprinzip für Social-Media-Buttons auf Ihrer Seite verwenden (ähnlich dem Double-Opt-In-Prinzip für Newsletter). Bei dem Zwei-Klick-System klickt der Benutzer zunächst auf den Social-Media-Button, den er verwenden möchte. Dann fragt Ihr Shop ausdrücklich, ob er seine Zustimmung dazu gibt, dass Sie seine Daten an die Social-Media-Plattform übertragen.
Bestellabwicklung
Als Shopbetreiber arbeiten Sie wahrscheinlich mit vielen Dienstleistern zusammen, wie zum Beispiel:
Zahlungsdienstleister
SaaS-Anbieter
Cloud-Services
Diese Dienstleister verarbeiten auch personenbezogene Daten in Bezug auf Ihre Kunden, daher verlangt die DSGVO, dass Sie mit jedem Partner eine Datenverarbeitungsvereinbarung (DPA) abschließen. Ohne eine DPA haben Sie keine rechtliche Grundlage, Kundendaten an Dritte weiterzugeben. Obwohl das Erstellen einer DPA ein wenig mehr Aufwand bedeutet, bietet es Ihnen mehr Sicherheit als in der Vergangenheit. Beispielsweise definiert eine DPA klar, wer im Falle eines Datenlecks verantwortlich ist.