Letzte Änderung: Uhr

DSGVO für Onlineshops

Datenschutz-Verordnung im E-Commerce

25.5.2018

Seit diesem Datum ist die DSGVO in Kraft!

DSGVO für Onlineshops gilt, doch…

30% der Shopbetreiber beachten sie, 70% nicht!

Zu welcher Gruppe wollen Sie gehören?

Am 25. Mai 2018 ist die DSGVO für Onlineshops europaweit in Kraft getreten. Laut einer Studie von Consent-as-a-Service-Anbieters Usercentrics, sind derzeit 70% der Onlineshops noch nicht DSGVO konform aufgestellt. Das könnte für diese Shop-Betreiber mit einer Strafzahlung bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, sehr teuer werden.

Warum ist das so?

Einerseits durch einfache Ignoranz. Andererseits aufgrund von Unwissenheit. Fakt ist, viele Online-Shop Betreiber haben schlichtweg keine Vorstellung davon, mit welchen Services, Produkten, Programmen digital gearbeitet wird und wie/ob Sie von der DSGVO betroffen sind. So kann es schon mal passieren, dass auf die Aktualisierung der Datenschutzerklärung vergessen oder bewusst weggeschaut wird.

Die häufigsten Verstöße gegen die DSGVO für Onlineshops

Checkliste, Website-Inhalte & Verordnungspunkte, die von Online-Shop Betreibern am häufigsten vernachlässigt werden:

  • Alle Cookies – denn aufgrund von Cookies kann ein Websitebesucher identifiziert werden, was personenbezogene Daten entspricht.
  • Einwilligungen wie beispielsweise zum Newsletterversand werden zwar eingeholt, doch nicht in nachweisbarer Form gespeichert.
  • Informationen für den Nutzer sind in den meisten Fällen nicht gut ersichtlich und in einer einfachen, klarer Weise beschrieben.
  • Achtung bei Jugendlichen. Erst ab einem Alter von 16 Jahren, ist die erteilte Zustimmung auch rechtskräftig. Die Daten von unter 16-Jährige, dürfen also nicht mehr getrackt werden. Wer Dienste für Jugendliche unter 16 Jahren anbietet, braucht also die Erlaubnis der Eltern. In Österreich ist das Alter auf 14 Jahren heruntergesetzt. Das heißt die Zustimmung eines 14-Jährigen ist in Österreich rechtskräftig. Doch muss ein Online Shop Betreiber, der Geschäfte in einem anderen EU-Mitgliedsstaat hat, dessen Bestimmungen berücksichtigen.
  • Es werden Fremdprogramme verwendet wie Google Analytics, Facebook-Integrationen oder Remarketing-Codes, die Daten an diese Anbieter weitergeben. Jedoch muss die Einwilligung des Nutzers vorab und in nachweisbarer Form eingeholt werden.

Vemeiden Sie diese Punkte, dann sind Sie bestens gerüstet für die DSGVO für Onlineshops.

DSGVO für Onlineshops richtig umsetzen

Cookies & Webanalyse

Durch Cookies können personenbezogene als auch nicht personenbezogene Daten gespeichert werden.

Sobald Sie mithilfe von Cookies personenbezogene Daten und dazu gehört auch die IP-Adresse des Websitebesuchers, erhalten, gelten die Bestimmungen der DSGVO.

Darüber hinaus gelten bei Cookies auch die E-Privacy-Richtlinie und das Telekommunikationsgesetz (TKG). Eine E-Privacy-Richtlinie auf EU-Ebene ist gerade in Bearbeitung und soll ebenso eine einheitliche Verordnung zum Thema Cookies enthalten.

Laut TKG müssen folgende Informationen dem Nutzer bekannt gegeben werden:

  • Welche personenbezogenen Daten erhoben, verarbeitet oder an Drittanbieter weitergegeben werden.
  • Auf welcher Rechtsgrundlage dies erfolgt (z.B. Aufgrund eines Vertrages, Gesetztes oder dgl.).
  • Für welche Zwecke die Daten gesammelt werden.
  • Wie lange die Daten gespeichert werden.

Die Bestimmungen laut TKG decken sich zum Großteil mit der DSGVO. Daher ist eine gesonderte bzw. doppelte Informationspflicht nicht notwendig.

Die Datenschutzerklärung auf Websites

Des Weiteren gilt im Rahmen der DSGVO für Onlineshops in Österreich eine Impressumspflicht. Innerhalb des Impressums kann auch die Datenschutzerklärung enthalten sein. Dies ist zwar weiterhin erlaubt, trotzdem empfehlen wir eine eigene Seite für die Datenschutzerklärung anzulegen. So können Sie diese Seite gut ersichtlich auf Ihrer Website platzieren.

Zudem muss die Datenschutzerklärung einfach und leicht verständlich dargelegt werden. Daher gilt, keine merkwürdigen Klauseln in kleiner Schrift formatieren oder in schwer verständlicher, juristischer Sprache zu verfassen.

Informationen zu Cookies, wie der User alle oder einzelne Cookies akzeptieren oder auch in Zukunft diese Einstellungen ändern kann, müssen klar angeführt werden. Dazu reicht auch ein Hinweis, dass Einstellungen zu Cookies in dessen Browsereinstellungen getroffen werden können.

Beispielsweise den Link zur Deaktivierung von Google Analytics im Browser  anführen, die Verwendung von „anonymizeIP“ beschreiben und den Link zum „Opt-Out-Cookie“ anführen.

Informationen zur Datennutzung, Drittanbietern, Datenverarbeitung & Speicherdauer

Es ist den meisten klar, dass der Websitenutzer darüber informiert werden muss, weshalb seine Daten erhoben werden, wozu diese verwendet werden und wie lange diese Gespeichert werden.

Zudem muss bekanntgegeben werden, wenn Drittanbieter involviert sind. Der erste Gedanke fällt dabei auf Google Analytics oder anderen Plugin-Programmen. Doch gerade bei Shop-Anbietern werden beispielsweise Kreditkarten-Daten erhoben und dementsprechend an den Drittanbieter wie der zugehörigen Bank weitergegeben. Dies muss auch in der Datenschutzerklärung beschrieben sein. Das heißt, auch die Einwilligung des Kunden, dass dessen Daten an den jeweiligen Drittanbieter weitergegeben wird, muss VORHER eingeholt werden.

Zusätzlich bietet es sich an, dass Sie anführen, dass Daten unter gesetzlichen Bestimmungen an Dritte (bspw. Anwalt, Steuerprüfer oder drgl) weitergegeben werden.

Wer Online-Bewerbungen über ein entsprechendes Formular einholt, welche von einem externen Personaldienstleiter bearbeitet werden, muss das ebenso anführen.

Der Datenverarbeitungs-Vertrag

Auch dieser wird fällig, wenn man die DSGVO für Onlineshops einhalten möchte. Sobald man ein Programm in Verwendung hat, dass ebenso Zugriff auf personalisierte Daten hat, muss ein Datenverarbeitungsvertrag geschlossen werden. Beispielsweise wird nach Ansicht der Aufsichtsbehörden, mit der Verwendung von Google Analytics, ein Auftrag an Google erteilt. Somit ist ein schriftlicher Vertrag mit Google abzuschließen, der die Auftragsdatenverarbeitung beinhaltet.

Wer schon länger mit einem Google Analytics Account arbeitet, hat solch einen Vertrag mit Google nicht abgeschlossen. Daher gibt es eigene Vertrags-Vorlagen, die genützt werden können um den offiziellen, schriftlichen Vertrag nachzuholen.

Somit muss generell mit einem Drittanbieter (dazu zählen E-Mail-Dienste, Hoster, Website Baukasten-Dienste, Soziale Netzwerke und mehr) ein Auftragsverarbeitungsvertrag geschlossen werden, sobald dieser mit personenbezogenen Daten in Kontakt tritt.

Unser Fazit zur DSGVO für Onlineshops

Die neue DSGVO bringt viele Neuerungen von Onlineshops und nähert sich in großen Schritten. Die Strafen wie auch das Potential etwas zu übersehen sind hoch. Es ist in jedem Fall empfehlenswert sich über die DSGVO für Onlineshops zu informieren. Bestenfalls erstellen Sie eine Checkliste mit allen Punkten, sprich eine für interne Bestimmungen und eine für externe wie Website, Webshop, Newsletter usw.

Wenn Sie nun am Ende dieses Artikels angelangt sind, haben Sie bestimmt den einen oder anderen Punkt entdeckt, den Sie in Ihrem Unternehmen noch nicht berücksichtigt haben.

Schnell auf die Checkliste setzen! Sprechen Sie zudem mit anderen Unternehmern, schauen Sie auf die WKO-Seite zu diesem Thema oder holen Sie sich gar den Rat eines Anwalts zu diesem Themenschwerpunkt ein. Gerne stehen auch wir Ihnen mit Rat und Tat zur Verfügung.

Sollten die neuen Anforderungen für Verwirrung sorgen…  Kein Problem – wir helfen Ihnen bei der Umsetzung.