Appetit auf Erfolg?

DSGVO für Shops und Webseiten

veröffentlicht von Steffen Flemming am 27.03.2018

Was bedeutet die Datenschutz-Grundverordnung für Ihre Webseite oder Ihren Webshop? Kann ich meine Webseite oder meinen Online-Shop wie gewohnt nutzen und welche Dienste verstoßen gegen die DSGVO?

Viele Unternehmer und Datenschutzbeauftragte stehen mit ihrer IT und den diversen Online-Diensten (Webseite, Webshop, Social Media, Newsletter etc.) vor einer Herausforderung. Um der Abmahnfalle zu entgehen, gibt es einiges zu beachten.

+++ UPDATE+++
Alle aktuellen Informationen zur Cookie Opt In Pflicht und für Webshops und Webseiten.

Was ist die DSGVO (GDPR) und wann tritt sie in Kraft?

Ab dem 25. Mai tritt die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR) ausnahmslos in Kraft. 

Die DSGVO ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen.

Für die Daten die Sie von Ihren Kunden, Dritten oder über Ihre eigene Webseite erhalten und verarbeiten, gelten gewisse Regeln, Bestimmungen und Löschfristen. 

In diesem Artikel gehen wir explizit auf die Datenschutz-Grundverordnung (DSGVO) für Webseitenbetreiber ein. 

Entspricht meine Webseite/mein Online-Shop der DSGVO?

Man kann sagen, dass die Grundidee der Datenschutzgrundverordnung lautet: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, das Gesetz erlaubt sie. Dementsprechend kommen folgende Erlaubnisgrundlagen in Betracht:

  • Berechtigte Interessen, zu denen z. B. ein Online-Shop oder Online-Marketing gehören (Art. 6 Abs. 1 lit. f DSGVO)
  • Einwilligung der Nutzer (Art. 6 Abs. 1 lit. a, 7 DSGVO).  

Sofern Sie auf Ihrer Webseite Daten Ihrer Besucher in Form eines Kontaktformulars, Newsletters, Reichweiten- und Tracking-Tools oder Cookies erheben und verarbeiten, ist eine neue, angepasste Datenschutzerklärung erforderlich, welche dem Besucher Ihrer Webseite verständlich erklärt, wie mit seinen Daten verfahren wird.

Worauf muss ich in der Datenschutzerklärung hinweisen?

In einer individuellen Datenschutzerklärung muss verständlich erklärt sein, wer auf Ihrer Webseite welche Daten sammelt, zu welchem Zweck und wie diese verarbeitet werden. Darüber hinaus müssen Sie über die verwendeten Tools (z. B. Google Analytics, Sharing-Funktionen, …) und deren Funktionsweise informieren. Ausschlaggebend für die Informationspflicht ist nicht die Größe Ihres Unternehmens, sondern lediglich der Umstand, dass personenbezogene Daten verarbeitet werden. Diese Daten sind als solche Informationen zu verstehen, über die sich die Identität der Personen erschließen lässt. Somit gehören etwa Kunden-, aber auch Mitarbeiter- und Nutzerdaten zu diesen Daten, sofern diese auf der Webseite erhoben werden.

Der Cookie-Hinweis – darf ich Cookies weiter nutzen?

Wenn Sie Cookies Ihrer Online-Besucher zu Marketingzwecken sammeln oder ein Content Management System (CMS) wie Drupal, WordPress, TYPO3 etc. verwenden, ist ein entsprechender Hinweis im Zuge der kommenden ePrivacy Verordnung (Cookie-Banner) erforderlich bzw. zumindest Ratsam, denn viele CMS nutzen Cookies, um ihre Besucher zu identifizieren und auch Verhalten zu tracken.

Der Cookie-Banner muss so platziert sein, dass er keine informativen Links wie z. B. das Impressum verdeckt und muss auf der ersten Seite (Home) beim Aufruf der Webseite erscheinen und zu der bereits angesprochenen Datenschutzerklärung verlinken.

Sollten Sie einen Shop betreiben, der auch einen internationalen Geschäftszweck verfolgt, sind wiederum besondere Richtlinien zu beachten. In der Regel ist daher Opt-in für Cookies (es sei denn, diese sind für den Login oder Session-Daten notwendig) statt der bisherigen Opt-out-Methode ratsam.

Social Media – darf ich Facebook & Co. auf meiner Webseite einbinden?

Für die Nutzung und Verlinkung externer Services wie Facebook, Google oder die Newsletter-Anmeldung Ihres Customer Relationship Management-System (CRM) oder z. B. MailChimp ist ein Datenschutzhinweis erforderlich, ebenso kann hier ein Auftragsdatenverarbeitungs-Vertrag mit dem Dienstleister nötig werden.

Formulare – welche Daten darf ich erfassen?

Ein Ziel der DSGVO ist die Datenminimierung, d. h. personenbezogene Daten sind auf das notwendige Maß für den Verarbeitungszweck zu beschränken. Im Falle eines Kontaktformulars zur einfachen Kontaktaufnahme bedeutet dies, dass die E-Mail-Adresse und der Name ausreichen, um dieses zu nutzen. Oft sind Telefonnummer oder die Postanschrift Pflichtfelder, um ein Kontaktformular zu nutzen.

Dasselbe gilt für die Newsletter-Anmeldung, dort muss zusätzlich eine Einwilligung des Benutzers zur Datenverarbeitung abgefragt werden. Eine Überprüfung und Anpassung der Newsletteranmeldungsmaske auf DSGVO-Konformität ist hier zwingend erforderlich.

Sind Analyse-Tools wie Google Analytics erlaubt?

Grundsätzlich ja. Die statistische Reichweitenerfassung durch einen lokalen oder externen Dienst (z.B. Piwik/Google Analytics) ist heute bereits sehr weit verbreitet. Für die Nutzung externer Dienste wie Google Analytics ist ein Auftragsdatenverarbeitungsvertrag, der mit Google abgeschlossen wird, nötig. Google zum Beispiel verpflichtet sich damit vertraglich, die Nutzerdaten nur weisungsgemäß zu verarbeiten, und ist unter dem Privacy-Shield zertifiziert.

Wenn die Anonymisierung der IP-Adressen aktiviert ist, dem User eine einfache Möglichkeit des Widerrufs angeboten wird, die Nutzer in der Datenschutzerklärung der Website über die Funktionsweise von Google Analytics oder anderer Analyse-Tools aufgeklärt werden sowie den Link zum Opt-out erhalten, ist die Privatsphäre der Nutzer hinreichend geschützt. Die Nutzer können dann selbst entscheiden, ob sie die Opt-out-Lösung nutzen oder nicht.

Gilt die DSGVO auch außerhalb der EU? 

Alle Unternehmen die Waren oder Dienste auf dem europäischen Markt anbieten, müssen die Vorgaben des europäischen Datenschutzes verbindlich berücksichtigen. 

Fazit –  Möglichkeiten und zur Umsetzung 

Eine auf Ihre Webseite individuell zugeschnittene Datenschutzerklärung zusätzlich zu den nötigen Funktionen wie Einwilligungsbestätigungen bei Newslettern bewahrt Sie vor den Konsequenzen einer Abmahnung.

Die DSGVO sieht bei Nichteinhaltung empfindliche Strafen vor, daher sollten Sie für die Umsetzung, die fachliche Expertise Ihres verantwortlichen Administrators oder Datenschutzbeauftragten hinzuziehen und die Vorgaben frühzeitig umsetzen.

Möglichkeiten zur Umsetzung

Nutzen Sie einen individuellen Check durch unsere Administratoren – Ihre Webseite oder Ihr Online-Shop wird nach den Vorgaben der DSGVO geprüft und auf Wunsch werden die auf Sie zutreffenden Datenschutzvorgaben umgesetzt oder rechtlich bedenkliche Inhalte entfernt oder angepasst. Kontaktieren Sie uns für ein unverbindliches Angebot. 

Datenschutzgenerator:

https://www.activemind.de/datenschutz/datenschutzhinweis-generator/ 

Hinweis:
Dieser Artikel stellt keine rechtliche Beratung dar. Bei Fragen empfehlen wir die Einbeziehung eines externen Datenschutzbeauftragten bzw. Rechtsbeistands.