08. Jun 2018 | Gründung

Was die DSGVO für Onlineshop-Betreiber bedeutet

Alles neu macht der Mai und in diesem Jahr hat er in Sachen Datenschutz ordentlich hingelangt: Seit dem 25. Mai gilt die neue Datenschutzgrundverordnung (DSGVO), die für Onlineshop-Betreiber einige Arbeit bedeutet, soll sie richtig umgesetzt werden. Auf dich kommt damit eine Reihe weiterer potenzieller juristischer Fallstricke zu, die du ganz sicher vermeiden willst, um dein Geschäft nicht durch Nachlässigkeiten zu gefährden. Ein Blick auf die ersten Gerichtsurteile zur DSGVO zeigt, worauf du in Zukunft noch mehr achten musst, um einen rechtskonformen Onlineshop vorweisen zu können.

Was die DSGVO für Onlineshop-Betreiber bedeutet? Mit dieser Liste schützt du dich vor Abmahnungen!
Was die DSGVO für Onlineshop-Betreiber bedeutet? Mit dieser Liste schützt du dich vor Abmahnungen! (Foto: Fotolia.com, © Cifotart)

Veränderung für die Vereinfachung

Erstmal klingt es paradox, da die Liste konkreter Maßnahmen, die es für die Umsetzung der DSGVO braucht, recht lang ist: Aber grundsätzlich ist mit den Änderungen im Rahmen der DSGVO eine Vereinfachung beabsichtigt, und zwar für dich als Shop-Betreiber wie auch für deine Kunden. Mit der neuen Gesetzgebung werden die rechtlichen Grundlagen des Datenschutzes für alle EU-Mitgliedstaaten angeglichen.

Irritationen oder unbeabsichtigte Fehler aufgrund der bislang unterschiedlichen Gesetzeslage bei den europäischen Nachbarn sind damit prinzipiell vom Tisch. Was allerdings nicht bedeutet, dass es in der Praxis nicht noch einiges zu klären gäbe. Wie häufig in solchen Situationen, in denen Details der Rechtslage noch erörtert werden müssten, erhalten die ersten Unternehmen trotzdem bereits Abmahnungen. Ein paar Beispiele, was unter Berufung auf die DSGVO so alles abgemahnt wird.

Abmahnungen wegen der DSGVO

Fehlende Datenschutzerklärung

Im Grunde genommen ist das gar kein neues Vergehen, denn die Unterrichtung darüber, ob, welche und in welchem Umfang du Daten von deinen Kunden erfasst, wurde bisher schon vom Telemediengesetz verlangt. Wenn du bislang also keine Datenschutzerklärung auf deiner Seite eingestellt hast, wäre es spätestens jetzt an der Zeit. Damit diese den Anforderungen der DSGVO entspricht und alle Eventualitäten umfasst, kannst du zum Beispiel auf einen Datenschutz-Generator zurückgreifen, der dir bei der Erstellung der entsprechenden Erklärung hilft.

Einbindung von Google Fonts

Eigentlich sind sie ja praktisch, wenn es um das Aufhübschen deiner Shop-Seite mit Schriftarten geht, die nicht bloß Standard sind. Mit Google Fonts einfach die gewünschte Typographie auswählen, runterladen und auf der Seite einbinden. Ganz so simpel ist es unter den Bedingungen der DSGVO allerdings nicht mehr.

Das Problem liegt darin, dass die Fonts üblicherweise von einem, meistens in den USA sitzenden, Server geladen werden. Der weiß dann aber immer, wenn jemand deine Seite besucht hat. Das entspricht einer Weitergabe von Nutzerdaten (noch dazu über die EU-Grenzen hinaus), die so eigentlich angemeldet werden müsste. Es ist allerdings möglich, die Fonts lokal einzubinden und die Verbindung zum Google Fonts-Server zu deaktivieren. Wie du das anstellst, entnimmst du am besten dieser Anleitung.

Bei der Seitengestaltung mit Google Fonts sind gewisse Vorsichtsmaßnahmen zu ergreifen, um im Rahmen der DSVGO zu bleiben.
Bei der Seitengestaltung mit Google Fonts sind gewisse Vorsichtsmaßnahmen zu ergreifen, um im Rahmen der DSVGO zu bleiben. (Foto: Fotolia.com, © REDPIXEL)

Fehlerhafte Einbindung von Google Analytics

Um Besucherzahlen und andere statistische Werte rund um das Verhalten der Nutzer auf deiner Seite sind natürlich praktisch, um Verbesserungen vornehmen oder Marketingmaßnahmen anbringen zu können. Alleine der Umfang der gesammelten Daten macht das Tracking-Tool schon einigermaßen problematisch, dass diese Daten an Google in die USA übermittelt werden und das Unternehmen lange Zeit keine Informationen darüber preisgab, welche dieser Angaben tatsächlich transferiert und gespeichert werden, machte die Verwendung unter datenschutztechnischen Gründen bisweilen heikel.

Die notwendigen Schritte, um Google Analytics auch unter der DSGVO nutzen zu können, sind daher:

  1. Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung (sollte einer bestehen, aber vor dem September 2016 abgeschlossen worden sein, muss ein neuer Vertrag her) bzw. dessen Aktualisierung (das kann über die Kontoeinstellungen unter dem Punkt „Zusatz zur Datenverarbeitung“ erledigt werden).
  2. Die Einbindung einer IP-Anonymisierung (Analytics hatte teilweise vollständige IP-Adressen von Nutzern erfasst und übermittelt).
  3. Die Aktualisierung der Datenschutzerklärung.
  4. Der Einsatz von Opt-Out-Cookies und ein Link zum Browser-Plugin.

Weitere Schritte, die für deinen Shop eventuell relevant sind, um Google Analytics rechtskonform nutzen zu können, werden unter datenschutzbeauftragter-info.de angeführt.

Facebook Like- und Share-Buttons

Es ist einigermaßen selbstverständlich geworden, dass viele Seiten einen Like- oder Sharebutton des Sozialen Netzwerks platzieren. Aus rechtlicher Sicht ist das allerdings problematisch. Denn: Die dahinterliegenden Plugins übertragen Nutzerdaten direkt an Facebook. Ohne einen Hinweis auf diese Form der Datennutzung, ohne Widerspruchsmöglichkeit und sogar bei Nutzern, die gar nicht bei Facebook angemeldet sind.

Aus diesem Grund hat die Verbraucherzentrale NRW bereits 2016 ein Urteil vor dem Landgericht Düsseldorf erwirkt, das zwar in erster Linie die Einbindung des Page-Plugins (das Plugin verbindet den Like-Button mit der genauen Anzahl der Facebook-Fans und deren Profilbildern) von Facebook untersagt. Die Entscheidung des Gerichts ist aber von deutlich größerer Tragweite, wie ein Blick auf die genauen Umstände der Urteilsfindung und den daraus erwachsenen Konsequenzen zeigt.

Gut möglich also, dass die DSGVO zum Anlass genommen wird, wieder kritischer auf solche Plugins zu schauen und diese erneut abzumahnen. Hier ist für dich also Vorsicht geboten.

Die Share- und Likebuttons von Facebook und Co. sind unter datenschutzrechtlichen Gesichtspunkten schwierige Fälle.
Die Share- und Likebuttons von Facebook und Co. sind unter datenschutzrechtlichen Gesichtspunkten schwierige Fälle. (Foto: Fotolia.com, © nanomanpro)

Seitens der Politik wird übrigens laut über eine mögliche Gesetzesänderung nachgedacht, die zumindest innerhalb einer Frist von einem Jahr derartige Abmahnungen untersagt. Damit will man einem vorschnellen Vorgehen gegen Seitenbetreiber und Unternehmen entgegenwirken, die die Umstellung auf die DSGVO noch nicht gänzlich vollzogen haben und so unbewusst oder unwillentlich gegen diese verstoßen. Trotzdem ist es ratsam, deine Shop-Seite so schnell wie möglich an die neuen Regelungen anzupassen, um dich gar nicht erst der Gefahr auszusetzen.

Was also tun, um Abmahnungen zu vermeiden?

Grundsätzlich solltest du in puncto Datenschutz weiterhin all jene Maßnahmen beherzigen, die auch nach der alten Gesetzgebung notwendig waren, um eine Website zu betreiben. Zur Sicherheit schaust du vielleicht über unsere zweiteilige Serie mit den 12 Fehlern, die Onlineshop-Betreiber vermeiden sollten. Auf diese Weise übersiehst du keinen Punkt, der nachträglich im Zusammenhang mit dem Datenschutz relevant werden könnte (von anderen rechtlichen Belangen einmal ganz abgesehen).

Dazu kommt eine umfangreiche Liste von Angaben, die im Zuge der DSGVO für das Impressum oder die Datenschutzerklärung als Neuerung beigefügt werden müssen. Das umfasst die Auskunft darüber,

  • welche Daten zu welchen Zwecken verarbeitet werden.
  • welche Verarbeitungstätigkeiten im Einzelnen durchgeführt werden, d.h. was du zum Beispiel mit den gespeicherten E-Mail-Adressen deiner Kunden machst.
  • wo genau deine berechtigten Interessen an der Datenverarbeitung liegen. Darunter fällt zum Beispiel der oben angesprochene Einsatz von Google Analytics, um mit gezielten Marketingmaßnahmen deine Gewinne zu steigern.
  • in welchem rechtlichen Bezug deine Datenverarbeitung zur DSGVO steht, hier geht es also um die Rechtsgrundlage der Datenverarbeitung.
  • innerhalb welcher Fristen du personenbezogene Daten löschst.
  • welche anderen Datenquellen du nutzt, um Daten über deine Kunden zu beziehen, die diese dir gar nicht selbst mitteilen. Hierunter fallen unter anderem Zahlungsdienste oder die Schufa.
  • welche Nutzerrechte deinen Kunden zustehen, als da wären: das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit. Dazu kommt die Verpflichtung zu einem Hinweis darauf, dass es bei Problemen mit dem Datenschutz ein Beschwerderecht bei der zuständigen Aufsichtsbehörde gibt.

Was du sonst noch beachten solltest

Für Kunden ist es ungeheuer komfortabel, per Sendungsverfolgung genau nachvollziehen zu können, wo sich ihre Bestellung gerade befindet und wann sie mit ihr zu Hause rechnen können. Nach der DSGVO ist das allerdings nur noch möglich, wenn die Kunden dir ihre ausdrückliche Erlaubnis erteilt haben, ihre E-Mail-Adresse an die verantwortlichen Zustelldienste zu übermitteln. Dieses Problem lässt sich auf unterschiedliche Weise lösen, so könntest du beispielsweise die Abfrage der Einwilligung in den Bestellvorgang aufnehmen oder die Track-Nummer des Pakets mit der Versandbestätigung mitschicken und den Kunden die Sendungsverfolgung selbst übernehmen lassen.

Die Sendungsverfolgung ist zwar ein bekanntes Feature im Onlinehandel, die Weitergabe von E-Mail-Adressen an die Lieferdienste ist aber nach der DSGVO so nicht zulässig.
Die Sendungsverfolgung ist zwar ein bekanntes Feature im Onlinehandel, die Weitergabe von E-Mail-Adressen an die Lieferdienste ist aber nach der DSGVO so nicht zulässig. (Foto: Fotolia.com, © auremar)

Falls du in deinem Onlineshop Medikamente anbietest, sind die Lösungen hingegen unter Umständen gar nicht so einfach. Das Landgericht Dessau-Roßlau jedenfalls hat dazu bereits geurteilt, dass es eine ausdrückliche Einwilligung des Kunden braucht, wenn apothekenpflichtige Medikamente über einen Onlineshop verkauft werden sollen. Als Shop-Betreiber kannst du nämlich theoretisch auch aus den Bestell- bzw. Medikamentendaten Rückschlüsse auf den Gesundheitszustand des Kunden ziehen.

Insofern fallen diese, so die Argumentation des Gerichts, als Gesundheitsdaten in den Bereich der personenbezogenen Daten, für die es, wie schon gesagt, eine Einwilligung braucht. Denkbar ist, dass sich solche Fälle, in denen übermittelte Nutzerdaten erst korrekt eingestuft werden müssen, noch wiederholen werden, bis sich eine praktikable und allgemeingültige Praxis etabliert hat.

Ähnliche Beiträge