Seit 2018 regelt die Datenschutzgrundverordnung (DSGVO) sämtliche Aspekte des Datenschutzes auf europäischer sowie nationaler Ebene. Insbesondere E-Commerce-Unternehmen, die einen Onlineshop betreiben, sollten genau hinschauen: Sie müssen zahlreiche Vorgaben bei der Verarbeitung personenbezogener Daten erfüllen. In diesem Artikel erfahren Sie, warum die DSGVO eingeführt wurde, was die wichtigsten Vorschriften der Verordnung sind und welche Bedeutung sie für E-Commerce-Unternehmen hat. Zudem erläutern wir, welche Anforderungen Unternehmen zur Einhaltung der DSGVO erfüllen müssen und welche Strafen bei Nichteinhaltung drohen.

Worum geht es in diesem Artikel?

• Warum wurde die DSGVO eingeführt?
  
• Was sind die wichtigsten Vorschriften der DSGVO?
  
• Welche Bedeutung hat die DSGVO im E-Commerce?
  
• Welche Anforderungen müssen E-Commerce-Unternehmen erfüllen, um die Vorschriften der DSGVO einzuhalten?
  
• Welche Strafen drohen Unternehmen bei der Nichteinhaltung der DSGVO?
  

Warum wurde die DSGVO eingeführt?

Die DSGVO wurde eingeführt, um den Datenschutz in der Europäischen Union zu vereinheitlichen und den Schutz personenbezogener Daten in einer zunehmend digitalisierten Welt zu verbessern. Vor der DSGVO hatten die Mitgliedstaaten der EU unterschiedliche Datenschutzgesetze. Dies führte zu erheblichen Unterschieden im Schutzniveau und stellte eine große Herausforderung für Unternehmen dar, die in mehreren EU-Ländern tätig sind. Die DSGVO setzt einen einheitlichen Rechtsrahmen, der für alle EU-Staaten gilt.

Das primäre Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dadurch soll die Verordnung das Vertrauen der Bürger/innen in den Umgang mit ihren Daten fördern. Unternehmen in der EU ermöglicht die DSGVO, effizienter zu agieren, da sie sich an einheitlichen Datenschutzstandards orientieren können.

In Deutschland wurde der Datenschutz bis zur Einführung der DSGVO durch das Bundesdatenschutzgesetz (BDSG) geregelt. Dieses wurde mittlerweile angepasst und gilt seitdem als Ergänzung zur DSGVO – insbesondere in Bereichen, in denen die DSGVO den Mitgliedstaaten Gestaltungsspielraum lässt.

Was sind die wichtigsten Vorschriften der DSGVO?

Die DSGVO enthält in elf Kapiteln und 99 Artikeln mehrere zentrale Vorschriften. Die wichtigsten finden Sie nachfolgend im Überblick.

Grundsätze der Datenverarbeitung

Artikel 5 der DSGVO regelt die Grundsätze für die Verarbeitung personenbezogener Daten. Diese Daten müssen unter anderem:

• auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
  
• für festgelegte, eindeutige und legitime Zwecke erhoben und weiterverarbeitet werden
  
• nur in dem Umfang verarbeitet werden, wie es für den jeweiligen Zweck notwendig ist
  
• aktuell und korrekt sein
  
• gelöscht werden, wenn sie für den Verarbeitungszweck nicht mehr erforderlich sind
  
• durch technische und organisatorische Maßnahmen geschützt werden, um unbefugten Zugriff, Verlust oder Zerstörung zu verhindern
  

Rechtmäßigkeit der Verarbeitung

In Artikel 6 DSGVO wird festgelegt, dass Daten nur verarbeitet werden dürfen, wenn eine der folgenden Rechtsgrundlagen vorliegt:

• eine Einwilligung der betroffenen Person
  
• ein Vertrag mit der betroffenen Person
  
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
  
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt
  
• die Verarbeitung ist zur Wahrung der berechtigten Interessen der Verantwortlichen oder von Dritten erforderlich – sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen
  

Rechte der betroffenen Personen

Die DSGVO regelt in Kapitel 3 die verschiedenen Rechte der betroffenen Personen in Bezug auf den Umgang mit ihren Daten.

• Betroffene haben das Recht, zu erfahren, welche personenbezogenen Daten über sie gespeichert sind, wie diese verarbeitet werden und an wen sie weitergeleitet werden (Art. 15 DSGVO).
  
• Unrichtige oder unvollständige personenbezogene Daten müssen auf Wunsch der betroffenen Personen berichtigt werden (Art. 16 DSGVO).
  
• Betroffene Personen können unter bestimmten Bedingungen verlangen, dass ihre Daten gelöscht werden (Art. 17 DSGVO).
  
• Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format von den Verantwortlichen zu erhalten (Art. 20 DSGVO).
  
• Betroffene Personen können der Verarbeitung ihrer Daten aus bestimmten Gründen widersprechen, insbesondere bei der Verarbeitung zu Direktmarketingzwecken (Art. 21 DSGVO).
  

Pflichten der Verantwortlichen

In Kapitel 4 sind die Pflichten der Verantwortlichen und Auftragsverarbeiter/innen aufgelistet. Hierzu zählen unter anderem die folgenden Pflichten:

• Verantwortliche müssen sicherstellen, dass Auftragsverarbeiter/innen, die personenbezogene Daten in ihrem Auftrag verarbeiten, ebenfalls den DSGVO-Anforderungen gerecht werden (Art. 28 DSGVO).
  
• Datenpannen müssen von den Verantwortlichen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, wenn sie zu einem Risiko für die Rechte und Freiheiten von Personen führen (Art. 33 DSGVO).
  
• Für bestimmte Arten der Datenverarbeitung, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, müssen die Verantwortlichen eine Datenschutz-Folgenabschätzung durchführen (Art. 35 DSGVO).
  

Welche Bedeutung hat die DSGVO im E-Commerce?

Die DSGVO ist von zentraler Bedeutung für E-Commerce-Unternehmen, da diese große Mengen personenbezogener Daten verarbeiten. Kundeninformationen wie Name, Adresse, Zahlungsdetails und Bestellhistorien sind elementar für den Betrieb eines Onlineshops. Daher hat die DSGVO erhebliche Auswirkungen auf die Gestaltung und den rechtlichen Rahmen der Geschäftsmodelle im E-Commerce. Ein fahrlässiger Umgang mit personenbezogenen Daten in Onlineshops kann leicht eine Datenschutzverletzung zur Folge haben. Diese kann juristische Auseinandersetzungen, behördliche Sanktionen und Imageschäden nach sich ziehen. Daher müssen besonders Betreiber/innen von Onlineshops die DSGVO und ihre damit verbundenen Pflichten kennen.

Zum Beispiel ist es nicht gestattet, eine Telefonnummer zu erfassen, wenn diese für den Bestell- und Auslieferungsprozess nicht benötigt wird. Es ist nur erlaubt, Daten zu erheben, die zur Lieferung und Bezahlung bestellter Waren erforderlich sind. Ebenso dürfen Marketingdaten wie E-Mail-Adressen für Newsletter nur dann gespeichert und verwendet werden, wenn eine ausdrückliche Zustimmung des Kunden vorliegt. Auch die Speicherung von Kreditkartendaten sollte nur so lange erfolgen, wie es für den Zahlungsprozess notwendig ist. Zudem dürfen Informationen wie das Geburtsdatum nur erhoben werden, wenn dies für Altersverifikationen erforderlich ist, etwa beim Verkauf von altersbeschränkten Waren. Erfahren Sie mehr über E-Commerce-Zahlungen.

Welche Anforderungen müssen E-Commerce-Unternehmen erfüllen, um die Vorschriften der DSGVO einzuhalten?

Um die Vorschriften der DSGVO einzuhalten, müssen E-Commerce-Unternehmen eine Vielzahl von Anforderungen erfüllen. Diese leiten sich größtenteils aus den oben genannten Rechten der Betroffenen (Kapitel 3 der DSGVO) sowie den Pflichten der Verantwortlichen ab (Kapitel 4 der DSGVO).

Datenschutzerklärung

E-Commerce-Unternehmen müssen eine umfassende Datenschutzerklärung bereitstellen. Diese muss transparent und verständlich erklären, welche personenbezogenen Daten zu welchem Zweck erhoben werden, wie die Daten verarbeitet werden und welche Rechte die betroffenen Personen haben. Die Datenschutzerklärung muss leicht auffindbar sein, zum Beispiel im Website-Footer oder als Direktlink beim Aufruf der Seite. In Artikel 13 DSGVO werden sämtliche Angaben einer DSGVO-konformen Datenschutzerklärung aufgeführt. Dazu gehören unter anderem:

• die Namen und Kontaktdaten der Verantwortlichen
  
• gegebenenfalls die Namen und Kontaktdaten der Datenschutzbeauftragten
  
• die Rechtsgrundlage und Verarbeitungszwecke von personenbezogenen Daten
  
• die Angabe der berechtigten Interessen der Verantwortlichen, wenn die Datenverarbeitung auf diesen beruht (siehe Art. 1 Absatz 1 Buchstabe f DSGVO)
  
• die Empfänger/innen personenbezogener Daten im Falle einer Weitergabe
  
• die Dauer der Speicherung personenbezogener Daten
  
• die Rechte der betroffenen Personen, inklusive der Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch, Widerruf und Einschränkung der Verarbeitung
  
• die Schilderung der Folgen einer Nichtbereitstellung personenbezogener Daten
  

Cookie-Richtlinien

Für die Verarbeitung personenbezogener Daten, die nicht zur Vertragserfüllung notwendig sind, muss eine informierte Einwilligung des Nutzers eingeholt werden. Dies betrifft insbesondere den Einsatz von Cookies. Dabei handelt es sich um Textdateien, die vorübergehend im Browser der Nutzer/innen gespeichert werden. Sogenannte technisch notwendige Cookies werden beispielsweise eingesetzt, um die passende Sprache der Website für die Nutzer/innen anzuzeigen oder Warenkorbinhalte zu speichern. Sie sind essenziell für eine fehlerfreie Funktion von Webseiten. Darüber hinaus werden Cookies jedoch auch verwendet, um Nutzerprofile anzulegen, die für personalisierte Werbung genutzt werden. Dies kann in Einzelfällen kritisch sein, da nicht nur statistische, sondern auch personenbezogene Daten gespeichert werden. Daher müssen Nutzer/innen vorab in die Speicherung und Verarbeitung von Cookies einwilligen können. Ein einfaches „Cookie-Banner“ reicht nur, wenn es die Möglichkeit zum Ablehnen oder Anpassen der Cookie-Einstellungen bietet.

Technische und organisatorische Maßnahmen

Um personenbezogene Daten unter anderem vor dem Zugriff Dritter zu schützen, müssen Onlineshops technische Sicherheitsvorkehrungen treffen. Diese beinhalten eine Verschlüsselung der Datenübertragung – beispielsweise durch das Kommunikationsprotokoll HTTPS (Art. 32 DSGVO). Hierfür wird entweder ein SSL- oder ein TLS-Zertifikat benötigt. Darüber hinaus müssen Onlineshops sicherstellen, dass personenbezogene Daten sicher gespeichert werden, zum Beispiel in verschlüsselten Datenbanken. Auch Daten-Backups sind Pflicht.

Einwilligung für Werbe- und Informationsangebote

E-Mail-Adressen von Kundinnen und Kunden dürfen nicht automatisch für den Versand von Newslettern, Werbe- oder Informationsangeboten genutzt werden. Hierfür ist eine aktive Einwilligung der Kundinnen und Kunden erforderlich. Mit Inkrafttreten der DSGVO bedarf es laut Artikel 7 und Artikel 8 DSGVO des sogenannten Double-Opt-In-Verfahrens. „Opt-In“ kann dabei frei übersetzt werden mit „sich für etwas entscheiden“ oder „wählen“. Double-Opt-In sieht eine zweifache Bestätigung der Kundinnen und Kundinnen vor. Sie müssen zunächst gefragt werden, ob sie beispielsweise einen Newsletter erhalten möchten. Wird dies mittels einer Anmeldung – und der damit verbundenen Übermittlung der E-Mail-Adresse – bestätigt, folgt ein zweiter Schritt: Unternehmen müssen eine Bestätigungslink versenden, der angeklickt werden muss, um das Angebot zu aktivieren.

AV-Verträge

Verarbeiten externe Dienstleister/innen personenbezogene Daten eines Onlineshops, müssen Auftragsverarbeitungsverträge geschlossen werden. Dies ist die zwingende Voraussetzung für die Weitergabe der Daten an Dritte. Mit AV-Verträgen wird sichergestellt, dass Dritte ebenfalls DSGVO-konform arbeiten. Typische Dienstleister/innen für Onlineshops sind Zahlungsdienstleister/innen oder Anbieter/innen von Cloud-Diensten und Software-as-a-Service-Lösungen.

Hier kann Stripe Checkout Sie unterstützen: ein vorgefertigtes Bezahlformular, das Onlineshops einen reibungslosen Bezahlvorgang ermöglicht. Checkout kann in die eigene Website integriert werden oder Kundinnen und Kunden auf eine von Stripe gehostete Seite führen. Dort können Zahlungen oder Abonnements einfach, sicher und DSGVO-konform akzeptiert werden.

Benennung von Datenschutzbeauftragten

Laut Artikel 37 DSGVO ist unter bestimmten Voraussetzungen die Benennung von Datenschutzbeauftragten für einen Onlineshop verpflichtend. Diese überwachen die Einhaltung der DSGVO und fungieren als Ansprechpartner/innen für Aufsichtsbehörden und betroffene Personen.

Welche Strafen drohen Unternehmen bei der Nichteinhaltung der DSGVO?

Laut Artikel 83 DSGVO können Unternehmen bei Missachtung der Datenschutzregeln mit hohen Geldbußen belegt werden. Diese reichen bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes des Unternehmens. Ordnungswidrig ist beispielsweise die absichtliche, vorsätzliche oder fahrlässige Verschleierung der Absender/innen oder des kommerziellen Charakters einer Nachricht. Gleiches gilt für eine Erhebung, Verarbeitung oder Speicherung personenbezogener Daten gegen die gesetzlichen Bestimmungen. Zudem müssen die betroffenen Personen jederzeit über eine Datenerfassung informiert werden.