Datenschutz ist keine Erscheinung des digitalen Mainstreams, vielmehr haben datenschutzrechtliche Diskurse bereits Zeitgeschichte geschrieben und sich dabei global mobilisiert. 1960 in den USA, aufgrund der dortigen rasanten Entwicklungen in der Computertechnologie aus der Taufe gehoben, wurde der Datenschutz nur ein Jahrzehnt später in Deutschland institutionalisiert.

In Hessen wurde 1970 das erste Datenschutzgesetz auf den Weg gebracht und schließlich im Jahr 1977 als Bundesdatenschutzgesetz (BDSG) verabschiedet. Mit verschiedenen Novellierungen behielt das Bundesdatenschutzgesetz bis 1990 auf Länderebene und bis zum 25. Mai 2018 Gültigkeit für die BRD. Bereits zwei Jahre zuvor, ebenfalls im Monat Mai, trat aufgrund der fortschreitenden Globalisierung auf europäischer Ebene die Datenschutz-Grundverordnung in Kraft.

Gemäß dem Europäischen Parlament und dem Rat vom 27. April 2016 dient diese dem „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“.

Das nichteuropäische Ausland muss, um in Europa Handel zu betreiben, nachweisen, dass es sich den Richtlinien des Europäischen Datenschutzgesetzes angepasst hat – und zwar im Sinne des „Safe-Harbor-Abkommens“.

„Alles neu macht der Mai“,
heißt es bereits 1829 bei Hermann Adam Kamp, seines Zeichen kein Datenschützer, sondern Lehrer und Heimatdichter.

„Alles neu macht der Mai“,
könnte es auch bei Frau Andrea Voßhoff, der Bundesdatenschutzbeauftragten heißen.

Nicht alles, aber vieles hat sich seit dem 25. Mai 2018 im Bereich Datenschutz tatsächlich geändert.

Die Datenschutz-Grundverordnung regelt:
Für jedes Unternehmen den Umfang der DSGVO.
Anhand konkret formulierter Datenschutzmaßnahmen kann für jedes Unternehmen entsprechend seiner Branche, Größe, Leistungs- und Produktportfolios etc. ein detailgenauer und gesetzeskonformer Datenschutz erarbeitet werden.

Die Datenschutz-Grundverordnung sorgt:
Für erheblichen Zuwachs an Chancengleichheit im unternehmerischen Wettbewerb.
Unternehmen, die sich zukünftig strikt an der DSGVO ausrichten, werden von Kunden als vertrauenswürdig eingestuft. Dieses Vertrauen in den datenschutzgerechten Umgang mit Kundendaten, Kaufabwicklungen und sensiblem Geldtransfer leistet enormen Vorschub bei der finalen Kaufentscheidung.

Das Nichteinhalten der Datenschutz-Grundverordnung birgt:
Ein hohes Risiko strafrechtlicher Konsequenzen. Strafen bis zu 20 Millionen Euro bzw. bis zu 4 % des gesamten unternehmerischen Jahresumsatzes können verhängt werden.
Einen Image- und Vertrauensverlust, der sich langfristig negativ auf den unternehmerischen Erfolg auswirkt.
Eine Gefährdung des unternehmerischen Standortes bzw. der unternehmerischen Existenz.

Für Unternehmerinnen und Unternehmer, die bis heute keinerlei Maßnahmen zum Datenschutz getroffen haben, werden die ersten Datenschutz-Prüfberichte und die darin enthaltenen Handlungsempfehlungen zu technisch-organisatorischen Maßnahmen bisweilen großes Erstaunen, Entsetzen und viele Fragen aufwerfen.

Fragen wie:
Wie werden Organisation, Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag und Verfügbarkeit in einem Unternehmen kontrolliert?
Was ist unter dem Trennungsgebot zu verstehen?
Wie sehen die Handlungsempfehlungen im Bereich online-gestützter Aktivitäten aus? Wie sind Handlungsempfehlungen umzusetzen?
Was darf – was muss sogar – von Geschäftspartnern datenschutzrechtlich gefordert werden?
etc.

Onlineshop

Es ist der Brite Michael Aldrich, der im Jahr 1979 an seinem TV-Gerät so lange herumbastelte, bis er mit diesem mittels einer Telefonleitung mit einem Transaktionsserver kommunizieren konnte. Dieses „Online Transaction Processing“ gilt als die Geburtsstunde des Onlineshops. Rasant geht es weiter:

1981 – Die CitiBank führt per Videotext das Onlinebanking ein – schnell folgen weitere Banken.
1984 – Jane Snowball gilt als die erste Homeshopperin des Unternehmens TESCO.
1987 – Zusammen mit zahlreichen Programmierern und Online-Autoren entwickelt das Unternehmen SWREG die ersten Programme für das Onlineshopping – es bleibt bis heute erfolgreich im Online-Markt. Und dann geht alles ganz schnell – zu schnell?
1994 – Onlinegiganten wie Amazon, Ebay etc. etablieren sich auf dem Onlinemarkt. Während bundesdeutsche Verbraucher durch das Bundesdatenschutzgesetz geschützt sind, bekommen ihre Daten jedoch sprichwörtlich Flügel.

Ein millionenfacher und vor allem millionenschwerer Handel mit Kundendaten nimmt seinen Lauf. Die persönlichen Daten sind die neue digitale Währung, denn in ihnen liegt das Wachstumspotenzial. Zukünftige Kundinnen und Kunden können nun – nach eingehender, spezifizierter Analyse der persönlichen Datenmengen – gezielt angesprochen werden.

Kundendaten spielen auch bei der Entwicklung von Systemen zur künstlichen Intelligenz eine prominente Rolle. In solcherart konzipierten Systemen werden z. B. User und Userinnen auf Onlineplattformen gehalten und gezielt zu Leistungen und Produkten gesteuert, die zuvor über die eigenen persönlichen Daten entsprechend generiert und platziert wurden.

Die Europäische Kommission sieht sich spätestens jetzt veranlasst einzugreifen und konstatiert, dass eingebrachte personenbezogene Daten das Eigentum der jeweils Betroffenen sind. Seitdem bieten die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz-neu (BDSG-neu) und das Telemediengesetz (TMG) diesem Umgang mit Daten Einhalt.

Datenschutz und Onlineshop

Der Onlinehandel wächst weiterhin im zweistelligen Bereich – seine Kinderkrankheiten wachsen offensichtlich mit.

Neben hohen Versandkosten und unpassenden Zahlungsmodulen sind es vor allem die intransparente Handhabung der Kundenkonten und ein allgemein fehlendes Unternehmensvertrauen, die einem Kaufabschluss in einem Onlineshop entgegenstehen.

Es ist somit an der Zeit, den Onlineshop und dessen datenrelevante Unternehmensstrukturen – im Sinne der Datenschutz-Grundverordnung (DSGVO) – zu überprüfen.

Für einen nachhaltigen unternehmerischen Erfolg des Onlineshops und dessen gesetzeskonforme Betreibung müssen vor allem onlinegestützte Tools wie:

• Kontakt- und Bestellformulare

• Bewertungs- und Kommentarmodule

• Beratungschat

• Kundendatenbanken

• Auftragsdatenverarbeitung (intern, extern)

• Warenlogistik

• Finanzwesen

• Google & Co.

der neuen Datenschutz-Grundverordnung entsprechen.

Wie sicher ist Ihr Onlineshop?

Onlineshops jüngeren Datums bzw. ab 2018:
Die Basisprogramme zur Konzeption eines Onlineshops berücksichtigen bereits die aktuellen Richtlinien der DSGVO. Um den Onlineshop unternehmerisch erfolgreich zu betreiben, ist es fast unumgänglich, mehr und aussagekräftige Kundendaten zu generieren. Dieses Vorgehen muss jedoch unbedingt datenschutzkonform ausgerichtet sein, ansonsten drohen empfindliche Strafen (Abmahnungen, Bußgelder etc.).

Datenschutzkonforme Maßnahmen sind z. B.:

• Sichtbarmachung der Datenschutzerklärung/AGB auf dem Weg zur Kasse.

• Beim Ankauf von Shoptools ist eine datenschutzkonforme Programmierung abzufragen.

Insbesondere bei Produkten aus dem nichteuropäischen Ausland ist sicherzustellen, dass eine Abschöpfung von Daten durch Dritte nicht stattfindet.

Onlineshops älteren Datums bzw. vor 2018:
Der Aufwand zur Datensicherheit stellt sich bei gut etablierten, älteren Onlineshops ungleich schwerer dar.

Sämtliche Programme und Tools müssen auf ihre Konformität hinsichtlich der aktuellen DSGVO überprüft und entsprechend angepasst werden.

Basiskriterien der DSGVO in Ihrem Onlineshop

Datenschutzerklärung
Ihre Datenschutzerklärung auf Ihrer Webseite sollte DSGVO-konforme Textinhalte aufweisen. Sie beschreibt sämtliche Maßnahmen zum Schutz der personenbezogenen Kundendaten und den Zweck, der mit den Daten verfolgt wird. Hier wird beschrieben, wie Daten gesammelt und genutzt werden. Darüber hinaus beschreibt die Datenschutzerklärung sämtliche Funktionen Ihres Shops bis ins kleinste Detail – sprich die Tools, die Sie nutzen, mit entsprechenden Verlinkungen zu deren Datenschutzerklärungen. Die Datenschutzerklärung muss jederzeit für Kundinnen und Kunden durch das 1-Klick-Prinzip sichtbar sein. Eine Einwilligung zur Datenschutzerklärung muss Ihnen Ihre Kundin bzw. Ihr Kunde erteilen. Ohne eine Einwilligung durch das Klicken auf eine Checkbox geht es nicht weiter zur Kasse bzw. zur Bezahlung der Ware.

Führen eines Verarbeitungsverzeichnisses
Erstellen Sie ein schriftliches bzw. ein digitales Verarbeitungsverzeichnis. In diesem Verzeichnis sollten folgende Fragen beantwortet werden: Wer erfasst, was wird erfasst, warum wird was erfasst, auf welche Art wird erfasst, wo werden Daten erfasst und wie lange werden die Daten erfasst?

Setzen Sie sich Löschungsfristen für bestimmte Kundendaten. Daten von Kunden, die bei Ihnen nichts bestellt haben, können nach drei Jahren gelöscht werden. Nach der neuen DSGVO generieren Ihnen überschüssige Kundendaten keinen Mehrwert. Daten von Kunden, die bei Ihnen etwas erworben haben, können nach sechs Jahren im digitalen Sinne gelöscht werden. Originalrechnungen dieser Kundinnen und Kunden haben Sie bereits in Papierform für die zehnjährige Aufbewahrungspflicht gemäß Anweisung Ihrer Finanzbehörde ausgedruckt.

Cookie-Hinweise
Seit dem 25. Mai 2018 besteht eine allgemeine Cookie-Pflicht für sämtliche Internetauftritte – nicht nur für Onlineshops.

Cookies werden genutzt, um Informationen über das Surfverhalten Ihrer Kundinnen und Kunden zu geben. Diese Informationen werden sowohl in Ihrem Onlineshop gespeichert als auch auf den Endgeräten Ihrer Kundinnen und Kunden. Besuchen Ihre Kundinnen und Kunden Ihren Shop wiederkehrend und erkennen beide Systeme den vorhandenen Erstkontakt, wird sich die Ladezeit der besuchten Webseite dadurch verringern.

Für alle gängigen Content-Management-Systeme (CMS) werden Tools für Cookie-Banner zum Download bereitgestellt.

Formulare & Co.
Auch hier kommen entsprechende Tools von Drittanbietern zum Einsatz. Achten Sie bei einem Kauf dieser Tools auf die DSGVO-Konformität. Sind diese Tools wie viele andere auch nicht DSGVO-konform, so stehen Sie in der Haftung.

Stellen Sie bei jedem Formular sicher, dass die Anwendungsbeschreibungen in Ihrer Datenschutzerklärung zu sehen sind. Richten Sie einen Spamschutz durch „Google NoRecaptcha“ ein und stellen Sie eine zwingend klickbare Checkbox sichtbar zur Verfügung. Ohne Bestätigung der komplett gesehenen Datenschutzerklärung wird das Senden der Nachricht oder Kauferklärung unterbunden.

SSL-Verschlüsselung
Installieren Sie eine HTTPS/SSL-Verschlüsselung. Diese Maßnahme stellt sicher, dass Nachrichten oder Käufe verschlüsselt in Ihrem Unternehmen ankommen und nicht von Dritten mitgelesen werden können.

Social Sharing Icons DSGVO-konform machen
Internetnutzung bedeutet, mit anderen Plattformen zu kommunizieren. Sie kennen „YouTube“, „Facebook“, „Twitter & Co.“. Leider sind diese Share-Buttons nicht DSGVO-konform. Diese Buttons übertragen auch ohne Anklicken Kundendaten an Dritte, ergo auf deren Plattformen. Diese Medienplattformen analysieren die empfangenen Daten, um möglichst genaue Informationen zu Kaufverhalten zu erhalten. Den Kunden werden über andere Plattformen Werbeanzeigen visualisiert. Daraus ließe sich ein verstecktes Konkurrenzverhalten schließen. Sharing-Tools, die DSGVO-konform sind und keine Daten weiterleiten, sind heute käuflich zu erwerben.

Newsletterfunktion
Prüfen Sie, ob die von Ihnen verwendete Newsletter-Software den Richtlinien zur DSGVO entspricht. Sie müssen sich davon überzeugen, dass Sie ein datenschutzkonformes Newsletter-System im Einsatz haben. Ihre Kundinnen und Kunden müssen hierzu ihre aktive Einwilligung erteilen. Zudem haben sie jederzeit ein Recht auf Löschung bzw. auf die Beendigung der Zustellung des Newsletters.

Google Analytics & Co.
Google Analytics datenschutzkonform nutzen bedeutet, einige Punkte zu beachten. Weisen Sie in Ihrer Datenschutzerklärung darauf hin, dass Sie Google Analytics benutzen. Sofern Sie externe Webanalyse-Tools wie z. B. Google Analytics nutzen und damit personenbezogene Daten erheben, müssen Sie in der Datenschutzerklärung zwingend darauf hinweisen. Erlauben Sie Ihren Kundinnen und Kunden die Datenerfassung durch einen „Opt-Out“-Befehl zu deaktivieren.

Geben Sie Ihren Besucherinnen und Besuchern die zwingende Möglichkeit, sich von der Datenerfassung auszuschließen. Hierzu müssen Sie jedem Ihrer Kunden ein Recht auf Widerspruch zugestehen. Es ist enorm wichtig, die IP-Adressen Ihrer Besucherinnen und Besucher mittels der Funktion „anonymizeIP“ zu anonymisieren.

Für eine seriöse Nutzung von Google Analytics ist ein Auftragsdatenverarbeitungsvertrag (ADV) erforderlich. Diesen können Sie direkt in Ihrem Google-Konto downloaden, ausfüllen und per Einschreiben/Rückschein an Google Ireland Ltd. versenden.

Onlinechat-Nutzung
Nutzen Sie einen Online-Chat zur Kundenberatung, dann stellen Sie sicher, dass es im Chatfenster einen Link zur Datenschutzerklärung gibt.

Checkbox mit nachfolgendem Text:
„Hiermit willige ich ein, dass meine hier eingetragenen An- und Eingaben zur Kontaktaufnahme und Beratung mittels Live-Chat mit mir verwendet werden dürfen. Diese Einwilligung kann ich jederzeit kostenfrei formlos widerrufen.“

Achten Sie darauf, dass die Checkbox nicht mit einem „Einverstanden“ voreingestellt ist. Dieses müssen Ihre Kundinnen und Kunden selbst erledigen.

Fazit

In diesem kurzen Beitrag ist es uns leider nicht möglich, sämtliche wichtigen Aspekte zum Datenschutz anzugehen. Es bestehen noch viele weitere datenschutzrechtliche Kriterien, die in Ihrem Onlineshop berücksichtigt werden müssen.