Online verkaufen und Konformität mit der DSGVO (Datenschutz-Grundverordnung) bewahren

Die Datenschutz-Grundverordnung (DSGVO) wird am 25. Mai 2018 in Kraft treten. Sie wird auch Sie betreffen, wenn:

Mit den Vorschriften möchte man versuchen, die personenbezogenen Daten von EU-Bürger zu schützen, indem vorgegeben wird:

• welche Daten Sie von Kunden und Besuchern aus der EU erfassen dürfen 
• was Sie mit diesen Daten tun dürfen und
• über welche Rechte die durch diese Daten ermittelten Personen verfügen
• wie Sie diese Daten schützen müssen

Die Geldstrafen bei Nichteinhaltung sind enorm: bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes; je nachdem, welche Summe höher ist. Damit wird das Ignorieren der DSGVO zu einem hohes Risiko, das man keinesfalls unterschätzen sollte.

Dennoch sind die Dinge für Online-Verkäufer nicht ganz so schlimm, wie sie auf den ersten Blick erscheinen mögen. Das liegt daran, dass die Verordnung auch die Verkäufer berücksichtigt, um die Einhaltung zu erleichtern.

Und diese Regelungen enthalten nichts vollkommen Neues. In der neuen Verordnung werden bereits bestehende Regelungen verfeinert und gestärkt.

Unsere Online-Systeme und -Dienste entsprechen bereits der DSGVO, um Sie zu unterstützen.

Die folgenden Informationen erläutern, wie Sie von der DSGVO betroffen sind. Beachten Sie bitte, dass diese Informationen keiner Rechtsberatung gleichkommen. Sollten Sie Zweifel haben, sollten Sie immer rechtlichen Rat für Ihren konkreten Fall einholen.

Packen wir es an.

Was ist unter den personenbezogenen Daten zu verstehen, die durch die DSGVO geschützt werden?

Die DSGVO definiert Daten als personenbezogen, wenn sie direkt oder indirekt die Identifizierung eines Individuum ermöglichen, das so genannte Datensubjekt. Wenn Sie sich personenbezogener Daten bedienen möchten, müssen Sie über die Zustimmung der betroffenen Person (des Datensubjekts) verfügen.

Dazu gehören Name, Kontaktdaten und Anschrift der Person. Aber auch Online-Benutzernamen, Kreditkartennummern, Tracking-Cookies, Bilder in E-Mails mit Verfolgungsfunktion und sogar IP-Adressen.

Hinzu kommen spezielle Kategorien von personenbezogenen Daten, wie Geschlecht, Religion, Haar- und Hautfarbe, politische Zugehörigkeiten und mehr. Diese sind noch stärker reguliert und für Online-Verkäufer tabu.

Welche Daten dürfen Sie verarbeiten?

Sie dürfen ohne zusätzliche Zustimmung alle personenbezogenen Daten verarbeiten, die Sie benötigen, um eine Bestellung abzuwickeln. Und das deshalb, weil eine Bestellung – oder sogar nur die Absicht, eine Bestellung zu tätigen (z. B. die Anforderung eines Angebots) – eine automatische Zustimmung gemäß der DSGVO beinhaltet.

Dies gilt für Name, Versand- und Lieferanschrift, Kontaktdaten und Zahlungsinformationen.

Mit Verarbeitung ist übrigens alles gemeint, was Sie mit den personenbezogenen Daten tun: vom Sammeln, Speichern, Anzeigen, Ausdrucken bis hin zum Ausführen über automatisierte Prozesse. Zum Beispiel, um Zahlungen zu genehmigen oder eine E-Mail zu senden.

Und was ist mit dem Hinzufügen von Kunden zu Ihrer Direktmarketing-Liste? Das ist für die Ausführung einer Bestellung nicht erforderlich. Können Sie Ihren Kunden zukünftig also noch Sonderangebote und Newsletter ohne deren ausdrückliche Zustimmung zusenden?

Versenden von Marketing-E-Mails an Ihre Kunden

Ja, das ist gestattet.

Weil die DSGVO eine weitere Ausnahme beinhaltet, die sich zu Ihren Gunsten auswirkt. Genau wie bei der alten Verordnung haben Sie das Recht, personenbezogene Daten zu nutzen, die Sie aus berechtigtem Interesse erheben (Artikel 6f). Und dieses berechtigte Interesse verlangt keine Zustimmung.

in Erwägungsgrund 47 ist Direktmarketing ganz klar als ein „berechtigtes Interesse“ definiert. Damit sind Sie in Sachen E-Mail-Marketing an Ihre Kunden vollkommen abgesichert.

Was ist mit Marketingmitteilungen an potenzielle Kunden?

Genau wie in der Vergangenheit müssen Sie diese immer um Erlaubnis bitten, um sie Ihrer E-Mail-Liste hinzufügen zu dürfen. Ein simples Auswahlfeld mit dem Text „Bitte senden Sie mir Informationen zu Sonderaktionen“, was bereits Bestandteil eines Kontaktformulars ist, ist alles, was Sie dazu benötigen (Erwägungsgrund 32). Stellen Sie sicher, dass es nicht bereits vorangekreuzt ist, da es dann nicht zählt.

Neu ist, dass Sie diese Zustimmung speichern müssen. Damit können Sie zukünftig die Echtheit der Zustimmung beweisen, falls dies erforderlich sein sollte.

Marketingstrategien mithilfe von Informationsschriften

Wenn Sie auf Ihrer Website Informationsschriften, Bilder oder andere Werbegeschenke anbieten, benötigen Sie kein zusätzliches Kontrollkästchen. Sie müssen jedoch klar herausstellen, dass Sie die E-Mail-Adresse zu Ihrer Marketingliste hinzufügen.

Das liegt daran, dass die DSGVO eine eindeutige und fundierte Entscheidung eines Besuchers verlangt, um seine Zustimmung kenntlich zu machen.

Um dies zu erreichen, fügen Sie Ihrer Download- oder Startseite einfach den entsprechenden Text hinzu, im Idealfall direkt über dem Download-Button. Zum Beispiel könnte dieser Text lauten: „Indem Sie dieses Dokument herunterladen, stimmen Sie der Aufnahme in unsere E-Mail-Liste zu. Sie können sich jederzeit abmelden.“

Was mache ich mit meinen alten E-Mail-Kontakten?

Sie können Ihren bisherigen Kunden weiterhin E-Mails senden. Sie können weiterhin E-Mails an alle senden, die sich gemäß der alten Verordnung für Ihre E-Mail-Listen angemeldet haben.

Denken Sie nur daran, in Ihren Marketing-E-Mails immer einen Abmeldelink einzufügen.

Was ist mit Cookies?

Gemäß der DSGVO sind Cookies personenbezogene Daten, wenn sie einen bestimmten Nutzer identifizieren können.

Die einzigen Cookies, die ShopFactory und Santu verwenden, sind sogenannte Session-Cookies und die Einkaufswagen-Cookies. Diese sind von der DSGVO und sogar vom so genannten Cookie-Gesetz ausgenommen.

Sofern Sie keine anderen Skripte auf Ihrer Website haben, müssen Sie Ihren EU-Kunden nicht einmal die Cookie-Warnung anzeigen (Artikel 29 Arbeitsgruppenrichtlinien).

Was ist mit Google Analytics und anderen Skripten?**

Google, Facebook, Online-Chat-Programme und andere Skripte verwenden häufig Tracking-Cookies, um Besucher zu verfolgen und zu identifizieren. Nicht nur auf Ihrer Website, sondern manchmal auch im Internet. Email-Marketing-Programme fügen Tracking-Bilder zu Marketing-Emails hinzu.

Wir meinen, dass die Verwendung von simplem Website-Tracking über Google Analytics und ähnliche Dienste ebenfalls unter Artikel 6 (f) fällt. Das heißt, Sie benötigen keine Zustimmung, wenn Sie sie benutzen. Tatsächlich denken wir nicht einmal, dass Sie die Cookie-Warnung noch anzeigen müssen, vorausgesetzt, Sie können ein berechtigtes Interesse klar vertreten.

Das gleiche gilt für Social-Media-Cookies, mit denen Sie Ihre Produkte und Dienstleistungen besser vermarkten können.

Wenn Sie jedoch Cookies verwenden, die personenbezogene Daten gemäß der DSGVO erfassen, müssen Sie die Besucher auf Ihrer Datenschutzseite darauf aufmerksam machen. Und Sie müssen ihnen gestatten, diese Cookies zu deaktivieren.
Wir passen ShopFactory derzeit an, um diese Anforderungen zu erfüllen. Dies bedeutet, dass ShopFactory bei Bedarf automatisch eine Deaktivierungsfunktion zu Ihrer Datenschutzseite hinzufügt. Passen Sie Ihre DSGVO-Einstellungen in ShopFactory Central / Mein Shop nach Bedarf an, sobald wir diese Version veröffentlicht haben.

Wir empfehlen Ihnen auch, am unteren Rand Ihrer Datenschutzseite Text hinzuzufügen, in dem Sie angeben, dass Sie Cookies verwenden, und warum. Wir werden dann die Deaktivierungsfunktion unten auf der Datenschutzseite ergänzen.

Hier ist ein mögliches Beispiel:

Wir verwenden Cookies oder ähnliche Methoden auf unserer Website und in unseren Emails entsprechend unseren berechtigten Interessen gemäß Artikel 6 (f) der DSGVO.

Dies erlaubt uns:
• unseren Online-Shop zu betreiben,
• Ihre Kundenerfahrung zu verbessern,
• den Webseitenverkehr zu verfolgen, was uns bei der Verwaltung unserer Website unterstützt,
• Social-Media-Funktionen bereitzustellen,
• den Website-Traffics zu Marketingzwecken zu analysieren,
• und dieAntworten auf Marketing-Emails auszuwerten.

Nicht jeder stimmt diesem Ansatz zu. Wenn Ihr Rechtsberater Ihnen also mitteilt, dass Sie Ihren Kunden die Verwendung von Tracking-Cookies erlauben müssen, können Sie dies ebenfalls einrichten.Was ist mit Google Analytics und anderen Skripten?

Das Recht, personenbezogene Daten zu vergessen und zu korrigieren

Die DSGVO gibt auch Datensubjekten mehr Rechte in Bezug auf ihre personenbezogenen Daten an die Hand. Diese können Sie bitten, ihre personenbezogenen Daten zu korrigieren, die Sie falsch gespeichert haben, und sie haben das Recht, vergessen zu werden.

Wir arbeiten momentan an der Fertigstellung einer Funktion, mit der Sie in Ihren ShopFactory-Cloud- oder Santu-Konten personenbezogene Daten nach Bedarf aktualisieren können.

Das Recht, vergessen zu werden bedeutet, dass ein Kunde oder eine andere Person Sie darum bitten kann, personenbezogene Daten vollständig aus Ihren Systemen zu entfernen.

Jedoch gilt dieses Recht nicht für den Fall, dass Sie Daten aus steuerlichen oder anderen regulatorischen Gründe speichern müssen. In den meisten Ländern müssen Sie Verträge sieben oder acht Jahre und manchmal sogar noch länger speichern. Während dieser Zeit gilt das Recht, zu vergessen, nicht.

Sobald die Frist abgelaufen ist, können Sie Benutzer und die von ihnen getätigten Bestellungen auswählen und sie einfach löschen.

Wir werden Ihnen auch eine Funktion zur Verfügung stellen, mit der Sie die Bestellungen aktualisieren können, indem Sie die personenbezogenen Daten entfernen, sobald die offizielle Aufbewahrungsfrist abgelaufen ist. Das wird es Ihnen ermöglichen, Aufträge für statistische Zwecke unter Einhaltung der DSGVO aufzubewahren.

Datensicherheit

Wir akzeptieren und verarbeiten personenbezogene Daten für Sie sicher und online, als Teil der Kaufabwicklung und der Auftragsverwaltung. Wir verschlüsseln diese während der Übertragung und wir verschlüsseln sie, wenn wir diese in unseren Datenbanken in Europa für Sie speichern. Dies wird als Verschlüsselung beim Transport (Data in Transit) und während der Speicherung (Data at Rest) bezeichnet.

Wir führen auch stetige Backups Ihrer Daten durch, um Verluste zu verhindern.

Wenn Sie also Ihre Bestellungen online bei uns speichern, haben Sie stets die Kontrolle in Sachen Datensicherheit.

Achten Sie nur darauf, dass Sie eine Datenverarbeitungsvereinbarung mit uns abgeschlossen haben. Ebenso wie Ihre anderen Service-Provider, wie von der DSGVO gefordert (mehr dazu weiter unten).

Seien Sie sich dessen bewusst, dass die DSGVO auch dann gilt, wenn Sie die Kontaktdaten zum Beispiel am Telefon akzeptieren und auf Papier notieren. Oder wenn Sie Direktmarketingbriefe per Post versenden. Sie müssen sicherstellen, dass dieser Teil Ihres Unternehmens ebenfalls die personenbezogenen Daten sicher schützt.

Glücklicherweise benötigen Sie keine Datenschutzfolgenabschätzung oder einen Datenschutzbeauftragten, wenn Sie ein ganz normales Online-Geschäft betreiben.

Datenbearbeitungsvereinbarung

Wenn es um die Erhebung und Verarbeitung personenbezogener Daten geht, sind Sie als Geschäftsinhaber dafür verantwortlich, was mit den Daten geschieht. Wenn Sie uns diese Arbeit überlassen, werden wir gemäß der DSGVO Ihr Datenverarbeiter.

Dies bedeutet, dass die DSGVO verlangt, dass Sie über eine Datenbearbeitungsvereinbarung mit uns verfügen, damit Sie sicher sein können, dass wir die DSGVO in Ihrem Auftrag einhalten.

Dies gilt nicht nur für uns. Es gilt für alle Dienstleistungen, die Sie zum Verarbeiten von Daten in Ihrem Auftrag nutzen. Zum Beispiel gehören dazu Ihre Zahlungsschnittstellen, Versanddienstleister und Online-Buchhaltungssysteme.

In Kürze können Sie unsere Bearbeitungsvereinbarung herunterladen, indem Sie sich bei Ihrem ShopFactory-Cloud - oder Santu-Konto anmelden und zum Abschnitt „Mein Konto“ gehen. Sie müssen nur das Dokument gegenzeichnen und per E-Mail an uns senden, wie im Dokument erläutert, um die Vereinbarung verbindlich zu machen.

Welche Anforderungen müssen Sie außerdem erfüllen?

Nachdem Sie die Sicherheit von personenbezogenen Daten online durch den Einsatz unserer Dienste gewährleistet haben und mit den verschiedenen Verarbeitern, die Sie nutzen, Verarbeitungsvereinbarungen abschließen, sind noch ein paar Formalitäten zu erledigen.

Das liegt daran, dass die DSGVO von Ihnen als Betreiber eines Online-Shops verlangt, zu dokumentieren, welche Daten Sie erheben und was Sie damit tun.

Unten finden Sie ein einfaches Beispiel. Achten Sie nur darauf, es von Ihrem Rechtsberater absegnen zu lassen, wenn Sie es für Ihre Zwecke anpassen, da wir keine Rechtsberatung geben können.

Name des Unternehmens: Keksbäckerei GmbH,

Verantwortlicher: Egon Bäcker, Bäckerstr.. 25, Backhausen, Deutschland

Wir verarbeiten personenbezogene Daten von Website-Besuchern und Kunden auf unserer Website und in E-Mails.

Wir erfassen und verarbeiten personenbezogene Daten, um Bestellungen abzuwickeln. Zu diesen personenbezogenen Daten gehören Name, Kontaktdaten, Adressdaten und Zahlungsdetails. Wir erfassen auch Daten über Cookies und ähnliche Tracking-Technologien, um das Verhalten der Besucher auf unserer Website und in E-Mails zu überwachen, damit wir das Besuchererlebnis auf unserer Website und in E-Mails verbessern können, zum Beispiel durch entsprechende Produktempfehlungen. Wir nutzen erfasste personenbezogene Daten auch für legitime Marketingzwecke.

Wir verwenden Santu Pty Ltd als Verarbeiter, um Kundendaten in unserem Auftrag zu erheben. Wir verwenden PayPal als Bearbeiter, um Zahlungen in unserem Auftrag zu bearbeiten. Wir nutzen XY Couriers als Verarbeiter, um Produkte in unserem Auftrag versenden. Wir verwenden Google Analytics, um die Zugriffe auf unsere Website zu erfassen. Wir nutzen Monkeymail als Verarbeiter zum Senden und Verfolgen von Marketing-E-Mails. 

Personenbezogene Daten werden acht (8) Jahre lang gespeichert, um den gesetzlichen Bestimmungen zu entsprechen.

Wenn wir von einer Sicherheitsverletzung Kenntnis errangen, bei der personenbezogene Daten offengelegt wurden, werden wir innerhalb von 72 Stunden mit unserer Aufsichtsbehörde Kontakt aufnehmen, konkret mit der: Name der Behörde und Kontaktdaten.

Die Personen, deren personenbezogene Daten offengelegt wurden, werden ebenfalls ohne ungebührliche Verzögerung über ihre registrierte E-Mail-Adresse in Kenntnis gesetzt.

Ihre Datenschutzrichtlinie

Stellen Sie sicher, dass Sie Ihre Datenschutzrichtlinie und Ihre Bestimmungen auf Ihrer Website aktualisieren, damit sie der DSGVO entsprechen. Erläuterungen hierzu würden jedoch den Rahmen dieses Artikels sprengen.

Sie können aber online einige gute Generatoren für DSGVO-konforme Datenschutzrichtlinien finden, wie beispielsweise https://goo.gl/piu79B.

DSGVO-Konformität mit ShopFactory 12 und ShopFactory Cloud

Wir haben bereits viel Arbeit investiert, um Sie zu unterstützen, DSGVO-konform zu werden.

Änderungen, damit Sie Tracking-Cookies und andere Skripte auf Ihrer Website verwenden können, werden in ShopFactory 12 rechtzeitig zum Gültigkeitsbeginn der DSGVO integriert sein. Durch die Speicherung Ihrer Bestellungen in der ShopFactory Cloud erhalten Sie Zugriff auf die DSGVO-konforme Online-Verarbeitung und eine Datenverarbeitungsvereinbarung.

Wenn Sie noch kein Upgrade auf ShopFactory 12 durchgeführt haben, empfehlen wir Ihnen, dies so schnell wie möglich zu tun. Sie können ShopFactory 12 auf demselben Computer wie frühere Versionen ausführen. Sie können Ihren bestehenden Shop importieren und damit weiterarbeiten. ShopFactory Cloud ist für das erste Jahr kostenlos enthalten, wenn Sie sich für eine jährliche Bezahlung entschieden haben.

Falls Sie weitere Fragen haben oder zusätzliche Informationen benötigen, dann zögern Sie bitte nicht, sich mit uns in Verbindung zu setzen.

** Wir haben den Abschnitt über Google Analytics und andere Skripte angepasst, um neuesten Erkenntnissen Rechnung zu tragen.