Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Verordnung, die den Schutz personenbezogener Daten und die Rechte der Betroffenen regelt. Sie trat am 25. Mai 2018 in Kraft und ist für alle Unternehmen verbindlich, die Daten von EU-Bürger:innen verarbeiten – unabhängig davon, ob das Unternehmen in der EU ansässig ist. Für Online-Shops bedeutet die DSGVO klare Anforderungen an die Erhebung, Speicherung und Nutzung von Kundendaten.
Relevanz der DSGVO für Online-Shops
Online-Shops verarbeiten regelmäßig personenbezogene Daten, z. B. Namen, Adressen, Zahlungsinformationen oder E-Mail-Adressen. Daher müssen sie sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden, um Bußgelder zu vermeiden und das Vertrauen der Kund:innen zu stärken.
Wichtige Anforderungen der DSGVO für Online-Shops
- Rechtsgrundlage für die Datenverarbeitung:
- Online-Shops dürfen personenbezogene Daten nur verarbeiten, wenn eine rechtliche Grundlage vorliegt, z. B.:
- Vertragserfüllung (z. B. für Bestellungen)
- Einwilligung (z. B. für Newsletter-Abonnements)
- Berechtigtes Interesse (z. B. zur Verhinderung von Betrug).
- Online-Shops dürfen personenbezogene Daten nur verarbeiten, wenn eine rechtliche Grundlage vorliegt, z. B.:
- Einwilligung:
- Nutzer:innen müssen aktiv in die Verarbeitung ihrer Daten einwilligen (z. B. durch Ankreuzen eines Kästchens).
- Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
- Transparenz und Informationspflicht:
- In der Datenschutzerklärung muss klar und verständlich erläutert werden, welche Daten verarbeitet werden, zu welchem Zweck und wie lange sie gespeichert werden.
- Betroffene müssen über ihre Rechte informiert werden (z. B. Auskunft, Löschung, Berichtigung).
- Datensicherheit:
- Online-Shops müssen geeignete technische und organisatorische Maßnahmen (TOMs) treffen, um personenbezogene Daten vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen (z. B. SSL-Verschlüsselung).
- Cookie-Management:
- Cookies, die nicht technisch notwendig sind (z. B. Tracking-Cookies), dürfen nur nach vorheriger Einwilligung der Nutzer:innen gesetzt werden.
- Ein Cookie-Banner muss klar über die verwendeten Cookies informieren und eine Opt-In/Opt-Out-Möglichkeit bieten.
- Auftragsverarbeitung:
- Werden Daten an externe Dienstleister übermittelt (z. B. Hosting-Anbieter, Zahlungsdienstleister), muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
- Löschung und Speicherbegrenzung:
- Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind.
- Es müssen Routinen für die Datenlöschung definiert werden.
- Meldepflicht bei Datenpannen:
- Datenschutzverletzungen müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden.
Konkrete Maßnahmen für DSGVO-konforme Online-Shops
- Implementierung einer ausführlichen Datenschutzerklärung.
- Einrichtung eines Cookie-Banners mit Opt-In/Opt-Out-Optionen.
- Bereitstellung eines Kontaktformulars oder Tools für Betroffenenanfragen (z. B. Datenlöschung).
- Sicherstellung der Datenübertragung über SSL/TLS-Verschlüsselung.
- Abschluss von AVVs mit Drittanbietern wie Zahlungsdiensten, Versanddienstleistern oder Hosting-Anbietern.
- Regelmäßige Schulung von Mitarbeiter:innen im Datenschutz.
Bußgelder und Konsequenzen
Verstöße gegen die DSGVO können zu hohen Bußgeldern führen:
- Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Darüber hinaus können Imageschäden und Vertrauensverluste erhebliche Auswirkungen auf das Geschäft haben.
Bedeutung der DSGVO für Online-Shops
Die DSGVO schafft Klarheit und stärkt die Rechte der Kund:innen. Für Online-Shops ist die Einhaltung der DSGVO nicht nur eine rechtliche Pflicht, sondern auch eine Chance, das Vertrauen der Kund:innen zu gewinnen und sich als seriöser Anbieter zu positionieren.
Synonyme
- General Data Protection Regulation (GDPR)
- Datenschutzrichtlinie