Inhaber von Onlineshops sind bereits mehr als genug beschäftigt. SEO, Social Media, Design, Werbung. Du brauchst nicht noch mehr, um das du dich kümmern musst. Wir entschuldigen bereits vorab, weil wir deiner To-do-Liste noch ein weiteres Element hinzufügen werden. Es ist nur so, dass die Compliance im Rahmen der DSGVO einfach zu wichtig ist, um sie zu ignorieren.
Es ist schon über ein Jahr her, seit die DSGVO implementiert wurde. Trotzdem wird es sicherlich noch Lektionen zu lernen und Schritte zu unternehmen geben, um deine Datenschutz-Compliance gemäß DSGVO zu verbessern.
In diesem Beitrag wird untersucht, was die Datenschutzbestimmungen der DSGVO aussagen, was die DSGVO-Compliance für dich bedeutet, was es braucht, um die Vorgaben zu erfüllen, und wie du das Datenschutzgesetz zu deinem Vorteil nutzen kannst.
Beitragsinhalte
- Was ist die DSGVO?
- Warum die DSGVO wichtig ist
- Für wen gilt die DSGVO?
- Was bedeutet DSGVO-Compliance?
- Die DSGVO und kleine Unternehmen
- Was sollten Shop-Inhaber im Rahmen der DSGVO-Compliance tun?
- Was sind die Anforderungen der DSGVO?
- DSGVO für Onlineshops: Gibt es auch Vorteile?
- Was ist mit DSGVO und Marketing?
- DSGVO und E-Commerce: Schlussfolgerungen
- Du möchtest mehr erfahren?
Was ist die DSGVO?
Wir haben die fünf Buchstaben schon so oft gehört, aber was bedeutet DSGVO eigentlich? Die DSGVO ist eine Abkürzung für die Datenschutz Grundverordnung der EU. Die im April 2016 verabschiedete DSGVO schafft Regeln für die Art und Weise, wie die Daten aller europäischen Einwohner verwaltet werden müssen. Die DSGVO trat im Mai 2018 in Kraft und hat Auswirkungen auf den Umgang mit Daten, die von der Krankengeschichte über Finanzdaten bis hin zu Internetaktivitäten reichen.
Dabei wird die DSGVO den Betrieb von E-Commerce-Unternehmen im europäischen Raum neu gestalten und beeinflussen, wie du mit deinen Kunden interagierst, welche Tools du verwendest und wie du diese nutzt.
Die DSGVO ist dabei kein technologisches Dokument. Tatsächlich wird der E-Commerce als solcher nur einmal erwähnt. Und das in einer Fußnote. Dort wird er zudem als „elektronischer Handel“ bezeichnet. Die DSGVO ist weniger ein digitales Handbuch als vielmehr eine Erklärung zu den Grundrechten aller EU-Bürger: „Die Verarbeitung personenbezogener Daten sollte so gestaltet sein, dass sie dem Menschen dient.“
Es gibt aber immer noch viel Dinge, die es für Shop-Inhaber zu beachten gilt. Machen wir uns also mit der DSGVO etwas näher vertraut.
Warum die DSGVO wichtig ist
Die Implementierung der DSGVO ergibt sich aus der zunehmenden Menge an Daten, die heutzutage gesammelt, übertragen, verwaltet und genutzt werden. Bereits im Jahr 1995 hatte die EU ihre Datenschutzrichtlinie (Richtlinie 95/46/EG) in Kraft gesetzt. Allerdings ist dieses Regelwerk heute veraltet und nicht mehr ganz auf das digitale Zeitalter anwendbar.
Infolgedessen wurde die DSGVO als Ersatz für den ordnungsgemäßen Schutz der Daten der Bürgerinnen und Bürger der Europäischen Union eingeführt. Gemäß der DSGVO sind Organisationen verpflichtet, sich an eine verantwortungsvolle Datenerhebung und -nutzung zu halten, um die Rechte und die Privatsphäre der Nutzer zu schützen.
Indem die DSGVO diese Verantwortung den Organisationen auferlegt, gibt es Personen in der EU mehr Rechte, um zu erfahren, wie und warum ihre persönlichen Daten gesammelt und verarbeitet werden. Es gibt ihnen auch das Recht zu entscheiden, wie diese Informationen verwendet werden sollen.
Wenn du zum Inkrafttreten der DSGVO ein E-Commerce-Business betrieben hast, dann wirst du bereits einiges an Arbeit geleistet haben, um die Compliance zu gewährleisten. Wenn du aber gerade erst als angehender E-Commerce-Entrepreneur loslegst und das Thema DSGVO in deinem Kopf herumspukt, ist es völlig normal, sich ein wenig überfordert zu fühlen.
Wir werden es nicht beschönigen: DSGVO-konform zu sein, ist eine Menge Arbeit. Aber es ist auch extrem wichtig und sicherlich nicht etwas, das man einfach mit der Hoffnung unter den Teppich kehren kann, dass es verschwindet.
Nach Angaben der Europäischen Kommission gab es im ersten Jahr seit der Umsetzung der DSGVO etwa 145.000 Anfragen und Beschwerden und fast 90.000 Meldungen von Datenschutzverletzungen.
Die Nichtbeachtung der DSGVO kann zu ziemlich hohen Bußgeldern und Strafen führen – wir sprechen hier von bis zu 4 Prozent des Jahresumsatzes eines Unternehmens! Ein Beispiel: Erst kürzlich wurde ein polnischer Einzelhändler mit der bisher höchsten DSGVO-Strafe von 650.000 Euro belegt.
In den folgenden Abschnitten sehen wir uns an, wie sich die EU-DSGVO auf dich auswirkt und wie du die Compliance gewährleisten kannst.
Für wen gilt die DSGVO?
Unabhängig davon, wo du ansässig bist, gilt die DSGVO für alle Unternehmen, die Produkte oder Dienstleistungen für Verbraucher in Europa anbieten.
„Es spielt keine Rolle, ob das Unternehmen in Europa, außerhalb Europas oder auf irgendeiner Insel ansässig ist“, so Dr. Christoph Bauer, Geschäftsführer von ePrivacy. „Wenn die Dienstleistungen europäischen Kunden angeboten werden, müssen sie sich an die Gesetze halten.“
Wenn dein E-Commerce-Shop also in Europa verfügbar ist, musst du höchstwahrscheinlich auch die DSGVO einhalten.
Denke also daran: Die Compliance gemäß DSGVO gilt nicht nur für europäische Unternehmen, die Produkte an europäische Kunden verkaufen. Das Gesetz für den Datenschutz deckt jede Interaktion mit Kunden in Europa ab. Punkt.
Natürlich gilt die DSGVO nicht nur für Inhaber von Onlineshops. Die Compliance gemäß DSGVO bezieht sich auch auf deine bevorzugten Tools. Auch Google, Facebook und Shopify, um nur einige zu nennen, müssen die Vorgaben der DSGVO einhalten. Später werden wir uns ansehen, wie diese Tools und Plattformen das Thema DSGVO-Compliance angehen.
Was bedeutet DSGVO-Compliance?
Bevor wir uns mit der Einhaltung der DSGVO befassen, müssen wir zunächst verstehen, was Compliance tatsächlich bedeutet.
Um dir den Einstieg zu erleichtern, wollen wir an dieser Stelle noch nicht zu technisch werden. Nachfolgend also ein einfacher Ansatz für das Verständnis der DSGVO-Compliance.
Navigiere durch deine Website und stelle dich dabei als normalen Nutzer vor. Wann immer nach deinen Daten gefragt wird, sei es dein Name, deine E-Mail-Adresse, deine Telefonnummer etc., solltest du dir diese vier Fragen stellen:
- Weiß ich, welche Daten der Anbieter sammelt und wofür er diese Daten verwendet?
- Benötigt er diese Informationen für die Aktionen, die ich auf seiner Website durchführe?
- Kann ich jederzeit verlangen, dass meine Daten geändert oder gelöscht werden?
- Werde ich über meine Rechte als Nutzer informiert?
Wenn die Antwort auf eine der Fragen nein lautet, dann bist du wahrscheinlich noch nicht ganz DSGVO-konform. Wenn es zu einigen oder allen Fragen ein Ja gibt, dann herzlichen Glückwunsch – du bist auf dem richtigen Weg! Wie dem auch sei, werden dir die nächsten Abschnitte helfen, dein Wissen aufzufrischen, um die DSGVO-Compliance für dich und dein Unternehmen zu gewährleisten.
Die DSGVO und kleine Unternehmen
Die DSGVO betrifft Unternehmen jeder Größe. Von einem Mitarbeiter bis zu 10.000 Mitarbeitern – wenn ein Unternehmen Daten über Einwohner der EU verarbeitet, dann gilt die DSGVO.
Die meisten Onlineshops sind jedoch weitaus näher an einem Mitarbeiter als 10.000. Von daher ist es wichtig zu verstehen, wie die DSGVO zwischen großen und kleinen Unternehmen unterscheidet.
Inhaber von E-Commerce-Shops sollten wissen, dass die DSGVO sie nicht so behandelt, wie es große Unternehmen behandelt. Beispielsweise gelten bestimmte Aufzeichnungspflichten im Rahmen der DSGVO nur für Unternehmen mit mehr als 250 Beschäftigten.
Wenn du Ratschläge liest wie: „Es ist wichtig, Ihren Ansatz zur DSGVO-Compliance jetzt zu planen und die Schlüsselpersonen in Ihrem Unternehmen einzubeziehen“, kannst du dich entspannen. Wenn du Inhaber eines Onlineshops bist, dann sind die „Schlüsselpersonen“ und die „Organisation“ wahrscheinlich du selbst. Wenn das der Fall ist, gestaltet sich die DSGVO etwas einfacher.
Aber! Es gibt immer noch viele DSGVO-Anforderungen, die für alle gelten, egal was passiert. Lass uns also direkt einsteigen.
Was sollten Shop-Inhaber im Rahmen der DSGVO-Compliance tun?
Die DSGVO ist 88 Seiten und mehr als 50.000 Wörter lang. Der Inhalt ist dabei so interessant wie eine lange Schlange bei der Post. Wenn du die DSGVO nicht lesen möchtest, dann sei dir vergeben.
Die darin definierten Regeln gelten jedoch für alle Geschäfte, die an Verbraucher in Europa verkaufen. Und auf Europa entfallen etwa 25 % des weltweiten BIP. Selbst wenn du dir also nicht die Mühe machst, die DSGVO zu lesen, gibt es einige Dinge, die du bei der Einhaltung der DSGVO beachten solltest.
Was sind die Anforderungen der DSGVO?
Jedes Verwaltungsorgan oder jeder Text legt Grundsätze und Vorschriften fest, die als Grundlage für die von ihm erlassenen Regelungen dienen.
Die DSGVO bildet dabei sicherlich keine Ausnahme. Sie verfügt über sieben Prinzipien, die seine Umsetzung, Regulierung und die Bestrafung bei Nichteinhaltung bestimmen. Dieser nächste Abschnitt wird ein wenig (nur ein bisschen, versprochen) technischer, da wir einen Blick auf die sieben Grundsätze der DSGVO werfen.
Habe also etwas Geduld.
Die sieben Grundsätze der DSGVO
1. Treu und Glauben, Rechtmäßigkeit, Transparenz
Dies besagt, dass alle Daten, die du von deinen Benutzern sammelst, den DSGVO-Anforderungen entsprechen müssen. Treu und Glauben sowie Transparenz beziehen sich auf die Datennutzung und die Sichtbarkeit dieser Nutzung. Mit anderen Worten: Wofür du laut eigener Aussage die Daten deiner Nutzer erfasst, muss mit deinen Handlungen übereinstimmen. Zudem müssen die Benutzer über diese Handlungen informiert werden.
2. Zweckbindung
Die Verarbeitung von Daten muss „spezifiziert, ausdrücklich und rechtmäßig“ sein. Das bedeutet, dass die Verwendung von Daten, die über deren spezifizierten Zweck hinaus gesammelt wurden, als Verletzung angesehen wird. Um es einfach auszudrücken: Wenn der Benutzer zustimmt, dir seine E-Mail für den Erhalt von Newslettern zu geben, sollten diese Informationen nicht auf andere Weise verwendet werden, auch nicht für „statistische Zwecke“.
3. Datenminimierung
Nach dem Prinzip der Datenminimierung müssen die gesammelten Daten auf ein Minimum und nur auf das Notwendige beschränkt werden. Genauer gesagt müssen die Daten „in Bezug zu den Zwecken stehen, für die sie verarbeitet werden“. Wenn du mehr Daten verlangst, als tatsächlich für ihren Zweck benötigt werden, wird dies wahrscheinlich als Verstoß betrachtet.
4. Richtigkeit
Richtigkeit bedeutet hier genau das, wonach es klingt: nur aktuelle Informationen zu haben und sich um deren Aktualität zu bemühen. Das bedeutet, dass du deine Daten regelmäßig überprüfen und bereinigen solltest. Daten, die als „ungenau“ gelten, müssen sofort entfernt werden – oder, wenn du es lieber aus erster Hand hören möchtest, „unverzüglich gelöscht oder berichtigt“ werden.
5. Speicherbegrenzung
Dieser fünfte Grundsatz der DSGVO ist ziemlich lang und voller juristischem Fachjargon. Wir möchten das für dich vereinfachen und auf den Punkt bringen: Lösche alle Daten, die du nicht mehr benötigst, es sei denn, du hast echte und rechtlich fundierte Gründe für ihre Speicherung. Wenn du dich für eine Speicherung entscheidest, musst du bestimmen, wie lange und zu welchem Zweck die Daten gespeichert werden sollen (die DSGVO gibt nicht explizit an, wie lange personenbezogene Daten aufbewahrt werden sollen).
6. Integrität und Vertraulichkeit
„Integrität und Vertraulichkeit“ zielt darauf ab, die gesammelten Daten zu schützen. Nach diesem Grundsatz musst du über die richtigen und angemessenen „technischen oder organisatorischen“ Sicherheitsmaßnahmen verfügen, um Datendiebstahl und -verlust (intern oder extern) zu verhindern. Also definitiv nichts wie der Facebook-Cambridge Analytica-Skandal oder irgendetwas, was nur ansatzweise in diese Richtung geht.
7. Rechenschaftspflicht
Der letzte DSGVO-Grundsatz ist die Art und Weise der EU, um sicherzustellen, dass du DSGVO-konform bist. Es besagt, dass du in der Lage sein musst, die von dir unternommenen Schritte nachzuweisen, um die entsprechenden Anforderungen zu erfüllen. Das bedeutet klare Aufzeichnungen darüber zu haben, was wann getan wurde, ob du einen Datenschutzspezialisten eingestellt hast, ob du deine Daten regelmäßig überprüfst und ganz allgemein, ob und wie du die DSGVO einhältst.
Best Practices für die DSGVO
Keine Frage, die sieben Grundsätze der DSGVO können ein ganz schöner Brocken sein.
Es mag wie ein Haufen demotivierender technischer und juristischer Fachsprache erscheinen (und das ist es auch), die einen dazu bringt, alles andere zu wollen, als sich daran zu halten. Aber keine Sorge: Wir sind hier, um dir alles Wichtige in einfachen Worten zu erklären.
In diesem nächsten Abschnitt gehen wir auf die Best Practices für die DSGVO ein und stellen dir einige Beispiele vor, um dich auf den Weg eines vollständig konformen E-Commerce-Entrepreneurs zu bringen.
Wie erreicht man die GDPR-Compliance?
Einwilligung ist Trumpf.
Die DSGVO gibt EU-Bürgern die Möglichkeit, genau zu bestimmen, wie ihre Daten verwendet werden. Die Datenschutz Compliance nach der DSGVO bedeutet daher, dass du nicht davon ausgehen kannst, was deine Benutzer wollen.
Zum Beispiel besagt die DSGVO: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“
Sammle nur Daten, die du benötigst.
Das Herzstück der DSGVO-Compliance ist der Schutz der Daten der Benutzer. Du kannst dein Risiko begrenzen, indem du keine Daten sammelst, die du nicht benötigst.
Wenn es zum Beispiel keinen geschäftlichen Wert für dich hat, zu wissen, für welches Unternehmen dein Kunde arbeitet, dann gibt die DSGVO einen Anstoß, gar nicht erst danach zu fragen.
Mit Shopify kannst du die Fragen, die du deinen Besuchern stellst, in den „Checkout“-Einstellungen anpassen.
Wenn du bestimmte Informationen nicht nutzen wirst, dann solltest du auch nicht danach fragen. Falls du sie aber benutzen wirst, sollten du eindeutig und klar darlegen, wofür du sie benutzen möchtest.
Zum Beispiel sieht man manchmal Checkout-Seiten, auf denen nach der Telefonnummer eines Käufers gefragt wird. Shop-Inhaber müssen sich hier fragen: „Wozu werde ich die Telefonnummer dieser Person benutzen?“
Es gibt definitiv legitime Gründe, nach einer Telefonnummer zu fragen. Dies könnte zum Beispiel die Durchführung von SMS-Kampagnen oder als Schutz gegen betrügerische Bestellungen sein. Die Betrugserkennung von Shopify markiert Bestellungen, wenn sich die Lieferadresse und die IP-Adresse an verschiedenen Orten befinden, und verwendet dann die Telefonnummer, um die Verbraucher zu schützen und eine Bestätigung zu erhalten.
Was die Einhaltung der DSGVO betrifft, ist das völlig in Ordnung. Stelle einfach sicher, dass du diese Dinge in den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung erklärst.
Mache alles wirklich klar.
Die für die DSGVO-Compliance zuständigen Regulierungsbehörden lieben Transparenz. Du könntest auf deiner Website einen „Abmelden“-Link neben „Abonnieren“ platzieren. Du könntest von deiner Fußzeile aus direkt auf deine Allgemeinen Geschäftsbedingungen verlinken. Und natürlich auf deine Datenschutzerklärung.
All diese Dinge so transparent und zugänglich wie möglich zu gestalten, ist eine der einfachsten Möglichkeiten, sich vor Bedenken hinsichtlich der DSGVO-Compliance zu schützen. Und wenn du sogar zertifizierte oder verifizierte Prozesse hast, dann kannst du dies ruhig proaktiv kommunizieren. So macht es auch der Moderiese Zalando:
Vermeide Heimlichtuerei
Für Unternehmen unter 250 Beschäftigten läuft ein Großteil der DSGVO darauf hinaus, jegliche Art der Heimlichtuerei oder Hinterhältigkeit zu vermeiden. Wenn du ehrlich und transparent bist und Best Practices implementierst, musst du dir auch keine Gedanken über massive Bußgelder wegen Verstößen gegen die DSGVO Gedanken machen.
In einem Blogbeitrag über die DSGVO formulierte es der Tech-Sicherheitsanbieter Sophos so:
„So einschüchternd es auch erscheinen mag, können sich kleine Unternehmen mit Folgendem trösten: Solange sie nachweisen können, dass sie ihr Bestes gegeben haben, um die Anforderungen der DSGVO zu erfüllen, werden die Regulierungsbehörden mit ihnen an allen möglicherweise auftretenden Problemen arbeiten.“
Und das bedeutet …
Verkaufe auch weiterhin in Europa!
Die Europäische Union versucht nicht, Onlineshops zu schließen. Ganz im Gegenteil: Angesichts des „Digitalen Binnenmarkts“ und zig Milliarden, die in Breitbandnetze investiert werden, ist die EU von der Schaffung einer robusteren digitalen Wirtschaft fast besessen.
Außerdem sind sich die Regulierungsbehörden darüber im Klaren, dass eine gewisse Datenspeicherung unerlässlich ist, um die digitale Wirtschaft am Laufen zu halten.
Auch wenn die DSGVO ein wenig altmodisch erscheint, ist es nicht Teil einer koordinierten Anstrengung, den elektronischen Handel zu torpedieren. Das heißt, dass du auch weiterhin nach Belieben in Europa verkaufen kannst.
Checkliste für die DSGVO-Compliance
Nachfolgend findest du eine DSGVO Checkliste, an die du dich halten musst, um konform zu sein.
- Achte darauf, eine klare Einwilligung zu erhalten. Das bedeutet weder bereits angekreuzte Kästchen noch Annahmen.
- Erhebe nur notwendige Informationen. Die Regel ist einfach: Wenn du es nicht brauchst, dann frage auch nicht danach.
- Sei offen über deine DSGVO-Compliance. Opt-out-Optionen, Geschäftsbedingungen, Datenschutzerklärungen – all das muss klar und sichtbar sein. Wenn du Zertifizierungen erworben hast, kannst du sie auch ruhig zur Schau stellen.
- Sei transparent und ehrlich. Die vollständige Einhaltung der DSGVO ist vielleicht kein Kinderspiel. Wenn du mit deinen Methoden aber ehrlich bist, können die Aufsichtsbehörden bei leichten Verstößen ein Auge zudrücken und dich sogar bei der Behebung unterstützen.
Beachte bitte, dass diese DSGVO-Checkliste nur als Leitfaden dient. Jede Organisation hat ihre eigenen spezifischen DSGVO-Anforderungen zu erfüllen und ihre eigenen Richtlinien zu formulieren.
Wie man eine DSGVO-konforme Datenschutzerklärung aufsetzt
Du wirst inzwischen bemerkt haben, dass die Begriffe Datenschutz und Datenschutzerklärung immer wieder auftauchen. Das liegt daran, dass sie eine der wichtigsten Anforderungen und Komponenten der DSGVO sind.
Unabhängig davon, ob du einen Online-Generator für Datenschutzrichtlinien verwendest oder eine solche von Grund auf neu verfasst, sollte deine Datenschutzrichtlinie klar darlegen, wie du deine Daten erfasst und verarbeitest und welche Maßnahmen du getroffen hast, um eine Verletzung deiner Datenschutzgrundsätze zu verhindern.
Für den Anfang muss deine Datenschutzerklärung:
- von jeder einzelnen Seite deiner Website aus leicht zugänglich sein;
- sichtbar sein und nicht durch Farbgebung oder Positionierung verdeckt werden;
- einen häufig verwendeten Begriff wie „Datenschutzerklärung“ oder Datenschutz“ der „Datenschutzhinweis“ verwenden.
Im Beispiel unten kannst du sehen, wie Shopify seine Datenschutzerklärung in die Fußzeile integriert hat.
In der Datenschutzerklärung selbst muss eine „klare und einfache“ Sprache verwendet werden. Das bedeutet, dass eine Sprache wie in den nachfolgenden Beispielen (aus den offiziellen Transparenzrichtlinien der EU übernommen) vermieden werden sollte:
„Wir können Ihre personenbezogenen Daten für die Entwicklung neuer Dienste nutzen.“ (Hier ist unklar, was mit den „Diensten“ gemeint ist bzw. in welcher Weise die Daten für deren Entwicklung hilfreich sind.)
„Wir können Ihre personenbezogenen Daten zu Forschungszwecken verwenden.“ (Hier ist unklar, auf welche Art von „Forschung“ Bezug genommen wird.)
„Wir können Ihre personenbezogenen Daten nutzen, um personalisierte Dienste anzubieten.“ (Hier ist unklar, was die „Personalisierung“ beinhaltet.)
Diese Formulierungen sind allesamt vage und nicht prägnant genug, damit die Benutzer verstehen können, wie ihre Daten verwendet werden.
Hier ist ein gutes Beispiel der EU, das für E-Commerce-Unternehmen gilt:
„Wir werden Ihre Einkaufshistorie speichern und Informationen zu den bereits von Ihnen gekauften Produkten dazu zu verwenden, Ihnen Vorschläge für weitere Produkte zu unterbreiten, die Sie unserer Ansicht nach ebenfalls interessieren werden.“
Abgesehen von einer klaren und einfachen Sprache muss deine Datenschutzerklärung, damit sie den Anforderungen der DSGVO entspricht, auch umfassend sein. Daher solltest du die folgenden Dinge einbeziehen:
- Die vollständigen Kontaktdaten deines Unternehmens. Dazu gehören zumindest dein Name, deine Adresse, deine Telefonnummer und deine E-Mail-Adresse.
- Welche Daten du sammelst und wie du diese Daten verarbeitest. Auch hier – und das können wir nicht genug betonen – sollte eine klare Sprache verwendet werden.
- Wie lange die Daten gespeichert werden. Wenn du keinen bestimmten Zeitraum angeben kannst, führe einfach die Kriterien auf, die du zur Bestimmung dieses Zeitraums verwendest.
- Ob die Daten in irgendeiner Weise in ein Drittland (außerhalb der EU) übertragen werden sollen. Wenn du nicht in der EU ansässig bist, wirst du wahrscheinlich auf die eine oder andere Weise Daten übertragen.
- Ob die von dir gesammelten Daten weitergegeben werden. Dies kann z. B. bei Einsatz von Drittanbietern/Dienstleistern erfolgen.
- Das Recht des Nutzers auf seine persönlichen Daten. Du musst die Rechte der Benutzer auf den Zugriff, die Änderung und das Löschen ihrer Daten und alles dazwischen explizit angeben.
- Das Recht des Nutzers, die Einwilligung zu widerrufen. Nach den DSGVO-Richtlinien gilt Folgendes: „Der Widerruf muss dabei genauso leicht möglich sein, wie die Abgabe der Einwilligungserklärung selbst“.
DSGVO für Onlineshops: Gibt es auch Vorteile?
Dem ist so – und diese Vorteile sind nicht unerheblich! Die DSGVO bedeutet nicht nur Regeln und Kopfschmerzen. Sie ist auch eine riesige Chance: Europäische Kunden werden dich mehr mögen, wenn du DSGVO-konform bist.
Zweifellos ist der Datenschutz in Europa eine große Sache. Dementsprechend gibt es auch bereits viele Artikel und Beiträge, die sich mit der DSGVO und einer entsprechenden Compliance befassen. Tatsächlich nutzen europäische Unternehmen aus allen Branchen das Thema Datenschutz als Verkaufsargument und Unterscheidungsmerkmal. Shop-Inhaber können dasselbe tun.
Hier ist zum Beispiel die Homepage der Supermarktkette Edeka. Wenn man auf der Seite landet, erhält man einen Hinweis, dass hier Cookies verwendet werden. Außerdem findet man einen Link zur Seite mit den „Datenschutzhinweisen“.
Diese Hinweise zum Datenschutz sind dabei viel präsenter als das Edeka-Logo. Es steht im Vordergrund und ist ziemlich groß.
Interessierte Kunden finden im Impressum auch einen umfangreichen Cookie-Abschnitt sowie einen weiteren Link zum Abschnitt „Datenschutz“. Themen rund um die DSGVO finden sich auf der gesamten Website.
Hierbei handelt es sich aber um keine Finanzinstitution oder Regierungsstelle. Es ist ein Supermarkt.
Das ist auch keine rein deutsche Sache. Die französische Unterhaltungswebsite tf1.fr setzt ein schwebendes Banner zum Thema Cookies ein – direkt unter den Rubriken „Datenschutz“ und „Cookies“:
Inzwischen hat die wichtigste niederländische Nachrichtenseite Telegraaf nicht weniger als drei datenschutzbezogene Abschnitte in der Fußzeile:
Einfach ausgedrückt: Datenschutz und Datensicherheit sind große Themen in Europa. Sicher, einige Länder verlangen, dass Websites Details über Cookies und Datenschutz angeben. Aber diese Websites geben nicht einfach nur Details an. Sie heben sie prominent hervor und setzen sie bewusst ein. Es ist Marketing!
Die europäischen Verbraucher möchten sich vor dem Kauf oder der Beschäftigung mit einer Marke in Bezug auf die Einhaltung der DSGVO sicher fühlen. Das ist der Grund, warum Websites vom Supermarkt bis zu Nachrichtenagenturen sich so viel mit DSGVO-Themen wie Cookies und Datenschutz befassen.
Du kannst diese Einstellungen nutzen , um dein E-Commerce-Business aktiv auszubauen. Teile den Menschen mit, dass du DSGVO-konform bist. Mache die DSGVO-Compliance zu einem Teil deiner Allgemeinen Geschäftsbedingungen. Platziere Links und Hinweise dazu in die Fußzeile deiner E-Mails. Jeder kleine Vorteil hilft.
Wenn du DSGVO-konform bist und dein Konkurrent es nicht ist (oder selbst wenn ihr beide DSGVO-konform seid, du jedoch der Einzige bist, der damit offensiv auftritt), dann könnte das ein großes Verkaufsargument sein.
Was ist mit DSGVO und Marketing?
Nehmen wir an, du tust alles in deiner Macht Stehende, um DSGVO-konform zu sein. Du entfernst diese vorab angekreuzten Kästchen, sammelst nur wichtige Daten und erklärst deine Richtlinien klar und deutlich. Prima.
Es gibt jedoch immer noch das Problem deiner Tools: Sind sie DSGVO-konform?
Schließlich verwenden Shop-Inhaber normalerweise eine Handvoll Plattformen und Lösungen, um ihr Marketing, ihre Analysen, ihre sozialen Netzwerke, ihr E-Mail-Marketing und so weiter zu optimieren. Außerdem sind die meisten dieser E-Commerce-Tools außerhalb Europas angesiedelt – Google Analytics, Google AdWords, Facebook, E-Mail-Services und vieles mehr.
Kann ein Shop-Inhaber also DSGVO-konform sein und diese Tools trotzdem verwenden? Schauen wir uns das genauer an:
Google und die DSGVO
Die Chancen stehen gut, dass du die Google-Produktpalette so gut wie täglich nutzt. Als die weltweit am häufigsten verwendete Analyselösung ist Google Analytics wahrscheinlich ein Tool, das du für dein E-Business verwendest. Außerdem ist Google AdWords die Nr. 1 im Suchmaschinenmarketing. Vielleicht nutzt du Google sogar als deine E-Mail-Lösung.
Die meisten Shop-Inhaber werden Google also ziemlich gut kennen. Aber kennt Google die DSGVO?
Absolut. Tatsächlich hat sich Google bemüht, den Inhabern von Onlineshops zu versichern, dass es bis Mai 2018 vollständig DSGVO-konform sein wird. Google drückt es folgendermaßen aus:
„Wir arbeiten hart an den Vorbereitungen auf die Datenschutz-Grundverordnung der EU (DGSVO) … Wir haben uns zur Einhaltung der neuen Gesetzgebung verpflichtet und werden in diesem Prozess mit Partnern zusammenarbeiten.“
Google AdWords hat seine Geschäftsbedingungen im August 2017 aktualisiert und Datenschutzmaßnahmen „im Zusammenhang mit der Datenschutz-Grundverordnung der EU“ vorgestellt.
Google kündigte vor kurzem auch an, dass es das Scannen von E-Mails einstellen würde, um personalisierte Anzeigen und Dienstleistungen bereitzustellen. PageFair, eine britische Gruppe, die sich auf digitale Werbung spezialisiert hat, spekuliert, dass die Einhaltung der DSGVO „der wahre Grund oder zumindest ein wesentlicher Grund sein könnte, warum Google angekündigt hat, dass es das Scannen von E-Mails für Werbezwecke einstellen wird“.
Unter Googles dedizierter URL für die DSGVO-Compliance (google.com/cloud/security/gdpr) findest du, was auf ein Versprechen von Google bezüglich DSGVO-Compliance und Google Cloud hinausläuft:
„Sie können sich darauf verlassen, dass Google die DSGVO für alle Google-Cloud-Services einhält. Wir sind auch bestrebt, unsere Kunden bei der Einhaltung der DSGVO-Richtlinien zu unterstützen, indem wir über die Jahre hinweg zuverlässige Datenschutz- und Sicherheitsvorkehrungen in unsere Dienstleistungen und Verträge integriert haben.“
Google hat sich also gut vorbereitet.
Shopify und die DSGVO?
Wenn dein Shop auf Shopify läuft, brauchst du dir keine Sorgen machen. Shopify ist ein durch und durch globales Unternehmen. Der Gründer und CEO kommt aus Deutschland; das Unternehmen hat seinen Sitz in Kanada; Neueinstellungen erfolgen derzeit in San Francisco und Irland und die Anwender sind über den ganzen Globus verstreut.
Shopify hat jetzt sogar einen Abschnitt in seinem Benutzerhandbuch, der sich speziell mit DSGVO-Themen befasst:
Shopify hat sich seit seiner Gründung mit internationalen Vorschriften befasst, weshalb das Unternehmen auch die Einführung der DSGVO ohne großes Aufsehen meistern konnte.
Facebook und die DSGVO
Facebook hatte definitiv seine rechtlichen Probleme in Europa. Das Unternehmen wurde im Mai 2017 mit einer Geldstrafe von 110 Millionen Euro belegt, weil es Benutzerkonten und Benutzerdaten zwischen Facebook und seiner Messaging-App WhatsApp verknüpft hat. Das ist genau die Art von Datenschutzproblem, welche die DSGVO behandelt.
Aber selbst wenn Facebook eine Vorgeschichte mit europäischen Regulierungsbehörden hat, weiß das Unternehmen, dass die Einhaltung der DSGVO eine Notwendigkeit ist. Außerdem möchte man, dass jeder Shop-Inhaber, der die Marketinginstrumente (Facebook Custom Audiences, Facebook Connect, Facebook Beacon und so weiter) von Facebook nutzt, dies auch weiterhin tun wird.
Im August 2017 sagte ein Facebook-Sprecher der Financial Times:
„Wir haben jetzt das größte funktionsübergreifende Team in der Geschichte der Facebook-Unternehmensfamilie zusammengestellt. Dutzende von Menschen bei Facebook Irland arbeiten Vollzeit an diesem Projekt.“
DSGVO und E-Commerce: Schlussfolgerungen
Was bedeutet das alles für deinen Onlineshop? Hier eine kurze Zusammenfassung der wichtigsten Punkte:
- Die DSGVO betrifft Unternehmen, die mit Verbrauchern in Europa interagieren oder es könnten, unabhängig davon, wo diese Unternehmen ansässig sind.
- Die DSGVO-Compliance ist für kleine Unternehmen etwas einfacher. Das bedeutet, dass sich die DSGVO-Compliance für dein E-Commerce-Business anders gestaltet als für ein riesiges Unternehmen.
- Du kannst einen Beitrag zur Einhaltung der DSGVO leisten, indem du sicherstellst, dass deine Geschäftsbedingungen klar sind, vorab angekreuzte Kästchen entfernt werden und du generell die Privatsphäre deiner Kunden und potenziellen Kunden respektierst.
- Dein E-Business kann die DSGVO zu seinem Vorteil nutzen. Datenschutz ist ein großes Thema in Europa. Wenn du also Schritte zur Einhaltung der DSGVO-Compliance unternimmst, kannst du alle deine europäischen Kunden darüber informieren.
- Die Marketinginstrumente und -kanäle, die du in deinem Onlineshop verwendest, müssen ebenfalls DSGVO-konform sein. Dies solltest du auf jeden Fall im Auge behalten und die Anbieter direkt kontaktieren, wenn du Fragen hast. Aber auch das sollte kein Problem sein, da die DSGVO für niemanden ein Geheimnis mehr ist.
Ressourcen
Es gibt einige großartige Ressourcen für Leute, die sich fragen, wie sich die DSGVO auf ihren Onlineshop oder ihr Dropshipping-Business auswirkt. Hier ist eine kleine Auswahl:
Beitrag auf Internetworld.de: Die 5 häufigsten Datenschutz-Irrtümer im E-Commerce
Der DSGVO-Bereich des „Trust Center“ von Microsoft
Der Abschnitt Datenschutz-Grundverordnung im Shopify-Help Center
Übersicht von Boxcryptor zu DSGVO-Apps
Und wenn du dich mutig fühlst, findest du hier den eigentlichen Text der Datenschutz-Grundverordnung
HINWEIS: Dieser Leitfaden dient nur zu Informationszwecken. Durch die Bereitstellung dieses Leitfadens handeln wir nicht als dein Anwalt oder bieten Rechtsberatung, und wir sind nicht für die Art und Weise verantwortlich, wie du diesen Leitfaden verwendest. Durch die Verwendung dieses Leitfadens erklärst du dich mit diesem Haftungsausschluss einverstanden.