Datenschutz ist keine Erscheinung des digitalen Mainstreams, vielmehr haben datenschutzrechtliche Diskurse bereits Zeitgeschichte geschrieben und sich dabei global mobilisiert. 1960 in den USA, aufgrund der dortigen rasanten Entwicklungen in der Computertechnologie aus der Taufe gehoben, wurde der Datenschutz nur ein Jahrzehnt später in Deutschland institutionalisiert.

In Hessen wurde 1970 das erste Datenschutzgesetz auf den Weg gebracht und schlussendlich im Jahr 1977 als Bundesdatenschutzgesetz (BDSG) verabschiedet. Mit verschiedenen Novellierungen behielt das Bundesdatenschutzgesetz bis 1990 auf Länderebene und bis zum 25. Mai 2018 Gültigkeit für die BRD. Bereits zwei Jahr zuvor ebenfalls im Monat Mai trat aufgrund der fortschreitenden Globalisierung auf auf Europäischer Ebene die Datenschutz-Grundverordnung in Kraft.

Gemäß des Europäischen Parlaments und des Rates vom 27. April 2016 dient diese dem „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“.

Das nichteuropäische Ausland muss, um in Europa Handel zu betreiben, nachweisen, dass es sich den Richtlinien des Europäischen Datenschutzgesetzes angepasst hat – und zwar im Sinne des „Safe Harbor – Abkommens“.

„Alles neu macht der Mai“,
heißt es bereits 1829 bei Hermann Adam Kamp, seines Zeichen kein Datenschützer, sondern Lehrer und Heimatdichter.

„Alles neu macht der Mai“,
könnte es auch bei Frau Andrea Voßhoff, der Bundesdatenschutzbeauftragten heißen.

Nicht alles, aber vieles hat sich seit dem 25. Mai 2018 im Bereich Datenschutz tatsächlich geändert.

Die Datenschutz-Grundverordnung regelt:

• Für jedes Unternehmen den Umfang der DSGVO.
• Anhand konkret formulierten Datenschutzmaßnahmen, kann für jedes Unternehmen entsprechend seiner Branche, Größe, Leistungs- und Produktportfolio, etc. ein detailgenauer und gesetzeskonformer Datenschutz erarbeitet werden.

Die Datenschutz-Grundverordnung sorgt:

• Für erheblichen Zuwachs an Chancengleichheit im unternehmerischen Wettbewerb.
• Unternehmen, die sich zukünftig strikt an der DSGVO ausrichten, werden von Kunden als vertrauenswürdig eingestuft. Dieses Vertrauen in den datenschutzgerechten Umgang mit Kundendaten, Kaufabwicklungen, sensibler Geldtransfer leisten enormen Vorschub bei der finalen Kaufentscheidung.

Das Nichteinhalten der Datenschutz-Grundverordnung birgt:

• Ein hohes Risiko strafrechtlicher Konsequenzen. Strafen bis zu 20 Millionen bzw. bis zu 4 % des gesamten unternehmerischen Jahresumsatzes können verhängt werden.
• Einen Image– und Vertrauensverlust, der sich langfristig auf den unternehmerischen Erfolg negativ auswirkt.
• Eine Gefährdung des unternehmerischen Standortes bzw. der unternehmerischen Existenz.

Für Unternehmerinnen und Unternehmer, die bis heute keinerlei Maßnahmen zum Datenschutz getroffen haben, werden die ersten Datenschutz-Prüfberichte und den darin enthaltenden Handlungsempfehlungen zu technisch-organisatorischer Maßnahmen bisweilen großes Erstaunen, Entsetzen und viele Fragen aufwerfen.

Fragen wie:

• Wie werden Organisation, Zutritt, Zugang, Zugriff, Weitergabe, Eingabe, Auftrag, Verfügbarkeit in einem Unternehmen kontrolliert?
• Was ist unter dem Trennungsgebot zu verstehen?
• Wie sehen die Handlungsempfehlungen im Bereich online-gestützter Aktivitäten aus? Wie sind Handlungsempfehlungen umzusetzen?
• Was darf – was muss sogar – von Geschäftspartnern datenschutzrechtlich gefordert werden?
• Etc.

Onlineshop

Es ist der Brite Michael Aldrich, der im Jahr 1979 an seinem TV-Gerät solange herumtüffelte, bis er mit diesem mittels einer Telefonleitung mit einem Transaktionsserver kommunizieren konnte. Dieses „Online Transaction Processing“ gilt als die Geburtsstunde des Onlineshops. Rasant geht es weiter:

• 1981 - Die CitiBank führt per Videotext das Onlinebanking ein – schnell folgen weitere Banken.
• 1984 – Jane Snowball gilt als die erste Homeshopperin des Unternehmens TESCO.
• 1987 – Zusammen mit zahlreichen Programmieren und Online-Autoren entwickelt das Unternehmen SWREG die ersten Programme für das Onlineshopping – es bleibt bis heute erfolgreich im Online-Markt. Und dann geht alles ganz schnell – zu schnell?
• 1994 – Onlinegiganten wie Amazon, Ebay, etc etablieren sich auf dem Onlinemarkt. Während bundesdeutsche Verbraucher durch das Bundesdatenschutzgesetz sind, bekommen ihre Daten jedoch sprichwörtlich Flügel.

Ein millionenfacher und vor allem millionenschwerer Handel mit Kundendaten nimmt seinen Lauf. Die persönlichen Daten sind die neue digitale Währung, denn in ihnen liegt das Wachstumspotenzial. Zukünftige Kundinnen und Kunden können nun – nach eingehender, spezifizierter Analyse der persönlichen Datenmengen – gezielt angesprochen werden.

Kundendaten spielen auch bei der Entwicklung von Systemen zur künstlichen Intelligenz eine prominente Rolle. In solcherart konzipierten Systemen werden z. B. User und Userinnen auf Onlineplattformen gehalten und gezielt zu Leistungen und Produkten gesteuert, die zuvor über die eigenen persönlichen Daten entsprechend generiert und platziert wurden.

Die Europäische Kommission sieht sich spätestens jetzt veranlasst einzugreifen und konstatiert, dass eingebrachte personenbezogene Daten das Eigentum der jeweilig Betroffenen sind. Seitdem bieten die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz-neu (BDSG-neu) und das Telemediengesetz (TMG) diesem Umgang mit Daten, Einhalt.

Datenschutz und Onlineshop

Der Onlinehandel wächst weiterhin im zweistelligen Bereich – seine Kinderkrankheiten wachsen offensichtlich mit.

Neben hohen Versandkosten und unpassenden Zahlungsmodulen sind es vor allem die intransparente Handhabung der Kundenkonten und ein allgemein, fehlendes Unternehmensvertrauen die einem Kaufabschluss in einem Onlineshop entgegenstehen.

Es ist somit an der Zeit den Onlineshop und dessen datenrelevanten Unternehmensstrukturen – im Sinne der Datenschutz-Grundverordnung (DSGVO) – zu überprüfen.

Für einen nachhaltigen unternehmerischen Erfolg des Onlineshops und dessen gesetzeskonforme Betreibung müssen vor allem onlinegestützte Tools wie,

• Kontakt- und Bestellformulare
• Bewertungs- und Kommentarmodule
• Beratungchat
• Kundendatenbanken
• Auftragsdatenverarbeitung (intern, extern)
• Warenlogistik
• Finanzwesen
• Google & Co…

der neuen Datenschutz-Grundverordnung entsprechen.

Wie sicher ist Ihr Onlineshop?

Onlineshops jüngeren Datums bzw. ab 2018:
Die Basis-Programme zur Konzeption eines Onlineshops berücksichtigen bereits die die aktuellen Richtlinien der DSGVO. Um den Onlineshop unternehmerisch erfolgreich zu betreiben, ist es fast unumgänglich mehr und aussagekräftige Kundendaten zu generieren. Dieses Vorgehen muss jedoch unbedingt datenschutzkonform ausgerichtet sein, ansonsten drohen empfindliche Strafen (Abmahnungen, Bußgelder, etc.).

Datenschutzkonforme Maßnahmen sind z.B.:
Sichtbarmachung der Datenschutzerklärung / AGB’s auf dem Weg zur Kasse. Bei dem Ankauf von Shoptools ist eine datenschutzkonforme Programmierung abzufragen.

Insbesondere bei Produkten aus dem nichteuropäischen Ausland ist sicherzustellen, dass eine Abschöpfung von Daten durch Dritte nicht stattfindet.

Onlineshops älteren Datum bzw. vor 2018:
Der Aufwand zur Datensicherheit stellt sich bei gut etablierten, älteren Onlineshops ungleich schwerer dar.

Sämtliche Programme und Tool müssen auf deren Konformität hinsichtlich der aktuellen DSGVO überprüft und entsprechend angepasst werden.

Basiskriterien der DSGVO in Ihrem Onlineshop

Datenschutzerklärung

Ihre Datenschutzerklärung auf Ihrer Webseite sollte DSGVO-konforme Textinhalte aufweisen. Sie beschreibt sämtlich Maßnahmen zum Schutz der personenbezogenen Kundendaten und welcher Zweck mit den Daten verfolgt wird. Hier wird beschrieben wie Daten gesammelt und genutzt werden. Darüber hinaus beschreibt die Datenschutzerklärung sämtliche Funktionen Ihres Shops bis in das kleinste Detail – sprich die Tools die Sie nutzen mit entsprechenden Verlinkungen zu deren Datenschutzerklärungen. Die Datenschutzerklärung muss jederzeit für Kundinnen und Kunden durch das 1-Klick Prinzip sichtbar sein. Eine Einwilligung zur Datenschutzerklärung muss Ihnen Ihre Kunde bzw. Ihr Kunden erteilen. Ohne eine Einwilligung durch das Klicken auf eine Checkbox geht es nicht weiter zur Kasse bzw. zur Bezahlung der Ware.

Führen eines Verarbeitungsverzeichnisses

Erstellen Sie ein schriftliches bzw. ein digitales Verarbeitungsverzeichnis. In diesem Verzeichnis sollten folgende Fragen beantwortet werden: Wer erfasst, was wird erfasst, warum wird was erfasst, auf welche Art wird verfasst, wo werden Daten erfasst und wie lange werden die Daten erfasst?

Setzen Sie sich Löschungsfristen für bestimmte Kundendaten. Daten von Kunden die bei Ihnen nichts bestellt haben, können durch Sie selbst nach drei Jahren gelöscht werden. Nach der neuen DSGVO generieren Ihnen die überschüssigen Kundendaten keinen Mehrwert. Daten von Kunden die bei Ihnen etwas erworben haben, können nach sechs Jahren im digitalen Sinne gelöscht werden. Originalrechnungen dieser Kundinnen und Kunden haben Sie bereits in Papierform für die zehnjährige Aufbewahrungspflicht gemäß Anweisung Ihrer Finanzbehörde ausgedruckt.

Cookie-Hinweise

Seit dem 25. Mai 2018 besteht eine allgemeine Cookie.Pflicht für sämtliche Internetauftritte – nicht nur für Onlineshops.

Cookies werden genutzt, um Informationen über das Surfverhalten Ihrer Kundinnen und Kunden Auskunft zu geben. Diese Informationen werden sowohl in Ihrem Onlineshop gespeichert als auch auf den Endgeräten Ihrer Kundinnen und Kunden. Besuchen Ihre Kund_innen Ihren Shop wiederkehrend und erkennen beide Systeme den vorhandenen Erstkontakt wird sich die Ladezeit der besuchten Webseite dadurch verringern.

Für alle gängigen Content-Managemt-Systeme (CMS) werden Tools für Cookie-Banner zum Download bereitgestellt.

Formulare & Co.

Auch hier kommen entsprechende Tools von dritten Anbietern zum Einsatz. Achten Sie bei einem Kauf dieser Tools auf die DSGVO-Konformität. Sind diese Tools wie viele andere auch nicht DGSVO-konform, so stehen Sie in der Haftung.

Stellen Sie bei jedem Formular sicher, dass die Anwendungsbeschreibungen in Ihrer Datenschutzerklärung zu sehen ist. Richten Sie einen Spamschutz durch „Google NoRecapcha“ ein und stellen Sie eine zwingend klickbare Checkbox sichtbar zu Verfügung. Ohne Bestätigung der komplett gesehenen Datenschutzerklärung wird das Senden der Nachricht oder Kauferklärung unterbunden.

SSL-Verschlüsselung

Installieren Sie eine HTTPS/SSL-Verschlüsselung. Diese Maßnahme stellt sicher, dass Nachrichten oder Käufe verschlüsselt in Ihrem Unternehmen ankommen und nicht von Dritten mitgelesen werden können.

Social Sharing Icons DSGVO-konform machen

Internetnutzung bedeutet, mit anderen Plattformen zu kommunizieren. Sie kennen „YouTube“, „Facebook“, „Twitter & Co.“. Leider sind diese Share-Buttons nicht DSGVO-konform. Diese Buttons übertragen auch ohne ein Anklicken Kundendaten zu Dritten, ergo auf deren Plattformen. Diese Media-Plattformen analysieren die empfangenen Suchergebnisse Ihrer Kunden, um möglichst genaue Informationen zu deren Kaufverhalten zu erhalten. Diesen Kunden werden über andere Plattformen Werbeanzeigen visualisiert. Daraus ließe sich ein verstecktes Konkurrenzverhalten schließen. Sharing-Tools, die bereits die DSGVO-konform sind und keine Daten weiterleiten, sind heute käuflich zu erwerben.

Newsletterfunktion

Prüfen Sie, ob die Ihre verwendete Newsletter-Software den Richtlinien zur DSGVO entspricht. Sie müssen sich davon überzeugen, dass Sie ein datenschutzkonformes Newsletter-System in Einsatz haben. Ihre Kund_innen müssen hierzu ihre aktive Einwilligung erteilen. Zudem haben sie jederzeit und sofort ein Recht auf Löschung bzw. auf die Beendigung der Zustellung des Newsletters.

Google Analytics & Co.

Google Analytics datenschutzkonform nutzen, bedeutet einige Punkte zu beachten. Weisen Sie in Ihrer Datenschutzerklärung darauf hin, dass Sie Google-Analytics benutzen. Sofern Sie externe Webanalyse-Tools wie z.B. Google Analytics nutzen und damit personenbezogene Daten erheben, müssen Sie in der Datenschutzerklärung zwingend darauf hinweisen. Erlauben Sie Ihren Kund_innen die Datenerfassung durch einen „OPT-OUT“ Befehl, zu deaktivieren.

Geben Sie Ihren Besucher_innen die zwingende Möglichkeit, sich von der Datenerfassung auszuschließen. Hierzu müssen Sie jedem Ihrer Kunden ein Recht auf Widerspruch zugestehen. Es ist enorm wichtig die IP-Adressen Ihrer Besucher_innen mittel der Funktion „anonymizeIP“, zu annonymisieren.

Für eine seriöse Nutzung von Google Analytics ist ein Auftragsdatenverarbeitungs-vertrag (ADV) erforderlich. Diese können Sie direkt in Ihrem Googlekonto downloaden, ausfüllen und per Einschreiben/Rückschein zu Google Ireland Ltd. versenden.

Onlinechat-Nutzung

Nutzen Sie einen Online-Chat zur Kundenberatung, dann stellen Sie sicher, dass es im Chatfenster einen Link zur Datenschutzerklärung gibt.

Checkbox mit nachfolgendem Text:

"Hiermit willige ich ein, dass meine hier eingetragenen An- und Eingaben zur Kontaktaufnahme und Beratung mittels Live-Chat mit mir verwendet werden dürfen. Diese Einwilligung kann ich jederzeit kostenfrei formlos widerrufen.“

Achten Sie darauf, dass die Checkbox nicht mit einem „Einverstanden“ voreingestellt ist. Dieses müssen Ihre Kund_innen selbst erledigen.

Fazit In diesem kurzen Beitrag ist es uns leider nicht möglich sämtliche wichtige Aspekte zum Datenschutz anzugehen. Es bestehen noch viele weitere datenschutzrechtliche Kriterien, die eine Berücksichtigung in Ihrem Onlineshop finden müssen.