Wenn du Produkte oder Dienstleistungen über einen Online-Shop - wie zum Beispiel den Online Shop von GoDaddy - verkaufst oder eine anderes E-Commerce-Business betreibst, solltest du bereits von der General Data Protection Regulation - kurz GDPR - gehört haben, die in Deutschland auch als Datenschutz-Grundverordnung (DSGVO) bekannt ist. Die GDPR ist eine EU-weit gültige Richtlinie zum Schutz personenbezogener Daten durch private Unternehmen und öffentliche Stellen und kann beträchtliche Auswirkungen auf deine Webseite und auf die Art und Weise haben, wie du mit deinen Kunden kommunizierst - und zwar unabhängig davon, wo der Geschäftssitz deines Unternehmens ist. Denn die Datenschutzgrundverordnung gilt für alle Unternehmen, die mit Kunden aus der Europäischen Union (EU) Geschäfte machen.
1. Was ist die General Data Protection Regulation (GDPR)?
Die General Data Protection Regulation ist bereits im Mai 2016 in Kraft getreten. Sie regelt den Umgang mit personenbezogene Daten europäischer Bürger: wie diese Daten gesammelt, verarbeitet, gespeichert und weitergegeben werden.
Den vollen Text der GDPR findest du hier:
Die GDPR wird ab dem 25. Mai 2018 angewendet, das heißt: Verstöße können dann empfindliche Strafen zur Folge haben.
Eine gute Nachricht vorweg: Es ist noch nicht zu spät, um mehr über die Vorschriften der GDPR zu erfahren und dein Business zu schützen. Wir zeigen dir hier vier relevante Punkte zum Thema GDPR und E-Commerce, die du beachten solltest und wie du deine Webseite an die Regelungen anpassen kannst.
2. Die Nichteinhaltung der GDPR kann teuer werden
Unternehmen, die die Vorgaben der General Data Protection Regulation (GDPR) nicht einhalten, können ab dem 25.05.2018 mit hohen Geldstrafen belegt werden. Die Strafen für Unternehmen können bis zu 4 Prozent ihres jährlichen weltweit erzielten Umsatzes betragen. Als gravierender Verstoß gegen die GDPR gilt zum Beispiel, wenn du keine ausreichende Zustimmung deiner Kunden für die Erhebung und Verarbeitung personenbezogener Daten eingeholt hast. Drastische Strafen werden sicherlich die Ausnahme sein, dennoch werden die Bußgelder in Zusammenhang mit Datenschutzverstößen in Zukunft deutlich höher ausfallen.
Weitere Informationen zum Thema findest du hier:
Verstoß gegen den Datenschutz: Hohe Bußgelder möglich!
5 Thesen zu Bußgeldern unter der DSGVO
Sicherlich möchtest du vermeiden, dass du selbst von Abmahnungen und Bußgeldern betroffen bist, deshalb solltest du ernsthafte Schritte unternehmen, um deine Webseite an die Anforderungen der GDPR anzupassen.
Die Geldbußen bei Datenbankverstößen werden erheblich sein.
Die Verarbeitung von personenbezogenen Informationen von Kunden aus der EU ohne deren Zustimmung kann ernsthafte Konsequenzen für dein Unternehmen haben. Natürlich muss man abwarten, wie sich die Durchsetzung der GDPR nach dem 25.05.2018 entwickelt, aber ich würde an deiner Stelle nichts riskieren.
3. Hole dir die Zustimmung deiner Kunden für die Erhebung personenbezogener Daten
Zunächst einmal stellt sich die Frage: Was ist eine ausreichende Zustimmung des Kunden? Entscheidend ist, dass die Einwilligung des Kunden auf die richtige Art erfolgt.
Gemäß Artikel 4 des GDPR (DSGVO)
Die Einwilligung der betroffenen Person muss freiwillig erfolgen. Die betroffene Person muss zu verstehen geben, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Willensbekundung muss unmissverständlich sein, zum Beispiel in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, z.B. durch das aktive Anklicken eines Buttons oder einer Checkbox.
Kundendaten, die von deiner Webseite erfasst werden, werden von der EU als "persönlich" oder "sensibel" eingestuft. Diese Kategorie erfordert eine besondere Einwilligung. Beispielsweise ist eine "ausdrückliche" Einwilligung erforderlich, wenn du solche sensiblen personenbezogenen Daten verarbeiten möchtest.
Gemäß Artikel 9 GDPR (DSGVO)
Solange der Benutzer nicht aktiv deine Bedingungen und Richtlinien der Datenverarbeitung bestätigt, hat er keine ausdrückliche Einwilligung zur Nutzung gegeben.
Welche Art Daten betrifft die GDPR? Zu der Kategorie personenbezogener Daten gehören z.B.:
- Daten zur rassischen oder ethnischen Herkunft
- politische Meinungen
- religiöse und weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- …
Personenbezogene Daten sind aber auch:
- genetische und biometrischen Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
- …
Wenn du Informationen, die in diese Kategorien fallen, über deine Kunden sammelst, musst du sicherstellen, dass sich deine Kunden dessen absolut bewusst sind und der Erhebung aktiv zugestimmt haben.
Aber auch weitere Daten werden als personenbezogen eingestuft. Die Erhebung, Speicherung und Verarbeitung dieser Informationen bedarf deshalb ebenfalls einer "eindeutigen Zustimmung" durch die betroffenen Personen.
Beispiele dafür sind:
- E-Mail-Adressen, die ein Benutzer eingibt, um sich zum Beispiel für einen Service anzumelden
- Persönliche Daten wie Name und Anschrift, die ein User zum Beispiel bei einer Online-Bestellung angibt
- …
Tipp:
Damit du nicht gegen die Einwilligungsklauseln der GDPR verstößt, solltest du alle Informationen zusammenstellen, die du auf deiner Webseite sammelst und für die du eine Zustimmung deiner Kunden benötigst.
4. Sorge für eine „eindeutige Zustimmung" zu AGB und Datenschutzerklärung
Viele Webseiten nutzen aktuell eine „Browse-Wrap“-Zustimmung. In den meisten Fall sind im Footer Textlinks zu AGB und Datenschutzerklärung platziert. Allerdings sind während des Bezahlvorgangs die Links zu AGB und Datenschutzerklärung für viele Kunden nur schwer oder gar nicht erkennbar.
Leider haben sich viele Webseiten in den letzten Jahren auf diese unaufdringliche Methode konzentriert, um sich rechtlich abzusichern. Das kann zu einem Problem werden, denn die „Browse-Wrap“-Methode erfordert keine physische Maßnahme, mit der Kunden ihre aktive Zustimmung zu deinen AGB und deiner Datenschutzerklärung geben können. Die AGB und die Datenschutzrichtlinie werden zwar auf der Webseite aufgeführt, die Benutzer müssen aber nirgendwo wirklich auf etwas klicken.
Beim „Browse-Wrap“ gibt es außerdem keine Möglichkeit zur Dokumentation, im Zweifelsfall kannst du nicht nachweisen, dass deine Kunden den AGB bzw. den Datenschutzhinweisen tatsächlich zugestimmt oder überhaupt zur Kenntnis genommen haben.
Rechtsbewusste Website-Betreiber setzen deshalb schon länger nicht mehr auf „Browse-Wrap“, sondern verwenden stattdessen Methoden für konkretere Formen der Zustimmung.
Die Lösung für viele ist die „Click-Wrap“-Methode. In diesem Fall ist der Benutzer dazu gezwungen, aktiv auf einen Link/Button zu klicken, um seine Zustimmung zu geben.
Tipp:
Füge deinen AGB einen Abschnitt mit Datenschutz-Hinweisen hinzu, der idealerweise direkt auch einen Link zu deiner Datenschutzerklärung enthält.
Du kannst dafür zum Beispiel ein PopUp mit Anklickfeldern nutzen oder einen Hinweis mit entsprechendem Klickfeld direkt in deinen Bestellprozess integrieren.
Facebook macht das auch, aber auf eine etwas andere Art und Weise. Zum Beispiel bei der Erstellung eines Facebook-Kontos. Die Hinweise zu Nutzungsbedingungen, zu Datenschutz und Cookie-Richtlinie präsentiert Facebook deutlich sichtbar direkt über dem Button, mit dem man ein neues Konto erstellt.
Allerdings ist der Benutzer niemals gezwungen, die Richtlinien auf deiner Webseite aktiv anzuerkennen und zu akzeptieren sodass dir dieses Verfahren keine Sicherheit bei Rechtsstreitigkeiten gibt. Es braucht nur einen verärgerten Kunden, der im Zweifelsfall zu einem Gerichtsverfahren führen kann.
Wenn du dich zwischen den beiden Methoden „Browse-Wrap“ und „Click-Wrap“ entscheiden musst, solltest du diesen Aspekt beachten und das „Click-Wrap“-Verfahren wählen – auch wenn es dir lästiger erscheint – insbesondere, wenn es sich um den Neuaufbau einer Webseite handelt.
5. Biete deinen Kunden mehr Transparenz in puncto Datenschutz
Die GDPR setzt im Datenschutzbestimmung neue Akzente. Transparenz ist das Herzstück der GDPR. Wenn du auf deiner Webseite personenbezogene Daten erhebst, speicherst oder verarbeitest, musst du dem Besucher mitteilen, wie seine Daten erhoben und gespeichert werden, wie sie verarbeitet werden, wer sie verarbeitet und wie diese Daten - falls erforderlich - geändert oder sogar gelöscht werden können.
Der einfachste Weg, um dieser Forderungen gerecht zu werden ist, wenn du diese Informationen auf deiner Webseite in Form einer Datenschutzerklärung dokumentierst.
Laut GDPR muss deine Datenschutzerklärung "prägnant, transparent, verständlich und leicht zugänglich" sowie "klar und deutlich geschrieben" sein. Die Datenschutzerklärung muss erklären, dass und wie personenbezogene Daten von dir erhoben werden. Welche Daten du erhebst. Wie du sie speicherst und verarbeitest. Und - auch das ist wichtig! - an wen man sich in puncto Einsicht, Änderung oder Löschung seiner Daten wenden kann…
Wenn du das Geld dafür hast, solltest du am besten einen Anwalt für Internetrecht damit beauftragen, eine Datenschutzerklärung für deine E-Commerce-Webseite zu erstellen.
Im Internet gibt aber auch kostenlose Online-Tools, mit denen du eine Datenschutzerklärung für dein Unternehmen selbst zusammenstellen kannst.
Ein guter Datenschutz-Generator ist zum Beispiel der von eRecht24.
Fazit
Ich weiß: rechtliche Regeln sind für E-Commerce-Betreiber in der Regel ein kompliziertes und sehr lästiges Thema. Dennoch solltest du dich um die Anforderungen der GDPR und die Konsequenzen für dein Business jetzt kümmern und die notwendigen Vorkehrungen treffen. So kannst Du dich nicht nur vor möglichen Abmahnungen und Bußgeldzahlungen schützen, sondern deine Besucher werden auf deiner Webseite auch ein sichereres Gefühl haben und schneller kaufen.
Rechtlicher Hinweis:
Unsere Tipps zur General Data Protection Regulation (GDPR) bzw. Datenschutz-Grundverordnung (DSGVO) ersetzen keine Rechtsberatung! Die korrekte Umsetzung der datenschutzrechtlichen Anforderungen solltest du zur Sicherheit von einem Anwalt oder einem Spezialisten für Internetrecht prüfen lassen.
Bildnachweis: Pixabay Free Pictures
