Onlineshops hinken der DSGVO nach

Genau: 70 % aller Shopbetreiber

25.5.2018

Da tritt die DSGVO in Kraft!

DSGVO für Onlineshops

Wollen Sie zu den 30% die es gut machen?

Am 25. Mai 2018, tritt die DSGVO für Onlineshops europaweit in Kraft. Laut einer Studie von Consent-as-a-Service-Anbieters Usercentrics, sind derzeit 70% der Onlineshops noch nicht DSGVO konform aufgestellt. Das könnte für diese Shop-Betreiber mit einer Strafzahlung bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, sehr teuer werden.

Warum ist das so?

Einerseits durch einfache Ignoranz. Andererseits aufgrund von Unwissenheit. Fakt ist, viele Online-Shop Betreiber haben schlichtweg keine Vorstellung davon, mit welchen Services, Produkten, Programmen digital gearbeitet wird und wie/ob Sie von der DSGVO betroffen sind. So kann es schon mal passieren, dass auf die Aktualisierung der Datenschutzerklärung vergessen oder bewusst weggeschaut wird.

Die häufigsten DSGVO-Verstöße

Checkliste, Website-Inhalte & Verordnungspunkte, die von Online-Shop Betreibern am häufigsten vernachlässigt werden:

  • Alle Cookies – denn aufgrund von Cookies kann ein Websitebesucher identifiziert werden, was personenbezogene Daten entspricht.
  • Einwilligungen wie beispielsweise zum Newsletterversand werden zwar eingeholt, doch nicht in nachweisbarer Form gespeichert.
  • Informationen für den Nutzer sind in den meisten Fällen nicht gut ersichtlich und in einer einfachen, klarer Weise beschrieben.
  • Achtung bei Jugendlichen. Erst ab einem Alter von 16 Jahren, ist die erteilte Zustimmung auch rechtskräftig. Die Daten von unter 16-Jährige, dürfen also nicht mehr getrackt werden. Wer Dienste für Jugendliche unter 16 Jahren anbietet, braucht also die Erlaubnis der Eltern. In Österreich ist das Alter auf 14 Jahren heruntergesetzt. Das heißt die Zustimmung eines 14-Jährigen ist in Österreich rechtskräftig. Doch muss ein Online Shop Betreiber, der Geschäfte in einem anderen EU-Mitgliedsstaat hat, dessen Bestimmungen berücksichtigen.
  • Es werden Fremdprogramme verwendet wie Google Analytics, Facebook-Integrationen oder Remarketing-Codes, die Daten an diese Anbieter weitergeben. Jedoch muss die Einwilligung des Nutzers vorab und in nachweisbarer Form eingeholt werden.

Vemeiden Sie diese Punkte, dann sind Sie bestens gerüstet für die DSGVO für Ihren Onlineshop.

Cookies & Webanalyse

Durch Cookies können personenbezogene als auch nicht personenbezogene Daten gespeichert werden.

Sobald Sie mithilfe von Cookies personenbezogene Daten und dazu gehört auch die IP-Adresse des Websitebesuchers, erhalten, gelten die Bestimmungen der DSGVO.

Darüber hinaus gelten bei Cookies auch die E-Privacy-Richtlinie und das Telekommunikationsgesetz (TKG). Eine E-Privacy-Richtlinie auf EU-Ebene ist gerade in Bearbeitung und soll ebenso eine einheitliche Verordnung zum Thema Cookies enthalten.

Laut TKG müssen folgende Informationen dem Nutzer bekannt gegeben werden:

  • Welche personenbezogenen Daten erhoben, verarbeitet oder an Drittanbieter weitergegeben werden.
  • Auf welcher Rechtsgrundlage dies erfolgt (bsp: Aufgrund eines Vertrages, Gesetztes oder dgl.).
  • Für welche Zwecke die Daten gesammelt werden.
  • Wie lange die Daten gespeichert werden.

Die Bestimmungen laut TKG  decken sich zum Großteil mit der DSGVO, daher ist eine gesonderte bzw. doppelte Informationspflicht nicht notwendig.

Die Datenschutzerklärung auf Ihrer Website

In Österreich herrscht eine Impressumspflicht. Innerhalb des Impressums kann auch die Datenschutzerklärung enthalten sein. Dies ist zwar weiterhin erlaubt, trotzdem empfehlen wir eine eigene Seite für die Datenschutzerklärung anzulegen. So können Sie diese Seite gut ersichtlich auf Ihrer Website platzieren.

Zudem muss die Datenschutzerklärung einfach und leicht verständlich dargelegt werden. Daher gilt, keine merkwürdigen Klauseln in kleiner Schrift formatieren oder in schwer verständlicher, juristischer Sprache zu verfassen.

Informationen zu Cookies, wie der User alle oder einzelne Cookies akzeptieren oder auch in Zukunft diese Einstellungen ändern kann, müssen klar angeführt werden. Dazu reicht auch ein Hinweis, dass Einstellungen zu Cookies in dessen Browsereinstellungen getroffen werden können.

Beispielsweise den Link zur Deaktivierung von Google Analytics im Browser  anführen, die Verwendung von “anonymizeIP” beschreiben und den Link zum “Opt-Out-Cookie” anführen.

Informationen zur Datennutzung, Drittanbietern, Datenverarbeitung & Speicherdauer

Es ist den meisten klar, dass der Websitenutzer darüber informiert werden muss, weshalb seine Daten erhoben werden, wozu diese verwendet werden und wie lange diese Gespeichert werden.

Zudem muss bekanntgegeben werden, wenn Drittanbieter involviert sind. Der erste Gedanke fällt dabei auf Google Analytics oder anderen Plugin-Programmen. Doch gerade bei Shop-Anbietern werden beispielsweise Kreditkarten-Daten erhoben und dementsprechend an den Drittanbieter wie der zugehörigen Bank weitergegeben. Dies muss auch in der Datenschutzerklärung beschrieben sein. Das heißt, auch die Einwilligung des Kunden, dass dessen Daten an den jeweiligen Drittanbieter weitergegeben wird, muss VORHER eingeholt werden.

Zusätzlich bietet es sich an, dass Sie anführen, dass Daten unter gesetzlichen Bestimmungen an Dritte (bspw. Anwalt, Steuerprüfer oder drgl) weitergegeben werden.

Wer Online-Bewerbungen über ein entsprechendes Formular einholt, welche von einem externen Personaldienstleiter bearbeitet werden, muss das ebenso anführen.

Der Datenverarbeitungs-Vertrag

Sobald man ein Programm in Verwendung hat, dass ebenso Zugriff auf personalisierte Daten hat, muss ein Datenverarbeitungsvertrag geschlossen werden. Beispielsweise wird nach Ansicht der Aufsichtsbehörden, mit der Verwendung von Google Analytics, ein Auftrag an Google erteilt. Somit ist ein schriftlicher Vertrag mit Google abzuschließen, der die Auftragsdatenverarbeitung beinhaltet.

Wer schon länger mit einem Google Analytics Account arbeitet, hat solch einen Vertrag mit Google nicht abgeschlossen. Daher gibt es eigene Vertrags-Vorlagen, die genützt werden können um den offiziellen, schriftlichen Vertrag nachzuholen.

Somit muss generell mit einem Drittanbieter (dazu zählen E-Mail-Dienste, Hoster, Website Baukasten-Dienste, Soziale Netzwerke und mehr) ein Auftragsverarbeitungsvertrag geschlossen werden, sobald dieser mit personenbezogenen Daten in Kontakt tritt.

Unser Fazit

Die neue DSGVO bringt viele Neuerung von Onlineshops und nähert sich in großen Schritten, die Strafen wie auch das Potential etwas zu übersehen sind hoch. Es ist in jedem Fall empfehlenswert sich über die DSGVO für Onlineshops zu informieren. Bestenfalls erstellen Sie eine Checkliste mit allen Punkte, sprich eine für interne Bestimmungen und eine für Externe wie der Website, Webshop, Newsletter usw.

Wenn Sie nun am Ende dieses Artikels angelangt sind, haben Sie bestimmt den einen oder anderen Punkt entdeckt, den Sie in Ihrem Unternehmen noch nicht berücksichtigt haben.

Schnell auf die Checkliste setzen! Sprechen Sie zudem mit andere Unternehmer, schauen Sie auf die WKO-Seite zu diesem Thema oder holen Sie sich gar einen Rat eines Anwaltes mit Themenschwerpunkt ein. Gerne stehen auch wir Ihnen mit Rat und Tat zur Verfügung.

Sollten die neuen Anforderungen für Verwirrung sorgen.
Kein Problem – wir helfen Ihnen bei der Umsetzung.

Ähnliche Beiträge