DSGVO (Datenschutz-Grundverordnung) und Shops

Die DSGVO (Datenschutz-Grundverordnung) ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft getreten ist.

Die DSGVO ist nicht auf europäische Unternehmen beschränkt. Die Verordnung betrifft jedes Unternehmen, das potenziell Daten von EU-Bürgern verarbeiten kann – also im Grunde jedes Unternehmen auf der Welt, unabhängig von seinem Sitz.

Die DSGVO gibt den Menschen mehr Rechte über ihre persönlichen Daten. Insbesondere sieht sie das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung von Verbraucherdaten vor und legt strenge Richtlinien für die Einwilligung der Benutzer fest. Falls Sie Informationen erheben oder speichern, die mit einer Person in Verbindung gebracht werden können, zählen diese als personenbezogene Daten. Sie können den vollständigen Text der DSGVO lesen, um mehr zu erfahren.

Wir empfehlen Ihnen, sich diesbezüglich an einen Rechtsexperten zu wenden, da jedes Unternehmen anders ist. Manche Unternehmen benötigen möglicherweise mehr Vorbereitung als andere, um die DSGVO einzuhalten. Dieser Artikel bietet einen allgemeinen Überblick über die DSGVO-Compliance und verweist Sie auf die häufigsten Anforderungen.


Schritte für die Vorbereitung auf die DSGVO

Gemäß der DSGVO müssen Händler die Verordnung einhalten, wenn sie in der EU ansässig sind oder an EU-Kunden verkaufen.

Ihr Shop erhebt und verarbeitet personenbezogene Daten auf eine konforme Weise. Es liegt jedoch in Ihrer Verantwortung, die DSGVO-Anforderungen einzuhalten, wenn Sie personenbezogene Daten von Ihren EU-Kunden erfassen und verarbeiten. Im Rahmen der neuen Verordnung werden personenbezogene Daten als alle Informationen definiert, die zur direkten oder indirekten Identifizierung einer Person verwendet werden können. Dazu gehören: ein Name, ein Foto, eine E-Mail-Adresse, eine IP-Adresse, Bankdaten, Beiträge in sozialen Netzwerken, medizinische Informationen und sogar zufällige Codes, die den Benutzern zugewiesen werden, um Analysen sowie A/B-Tests durchzuführen und mehr.

Wir empfehlen Folgendes:

Holen Sie eine eindeutige Zustimmung ein, bevor Sie Daten erheben

Sie müssen die Zustimmung zur Verarbeitung der personenbezogenen Daten Ihrer Kunden einholen. Bereiten Sie eine verständliche Datenschutzerklärung vor, in der Sie angeben, warum Sie personenbezogene Daten erheben, erklären, welche Daten gespeichert werden, und ein Recht auf Widerruf der Zustimmung anbieten.

Um von Ihren Kunden zu verlangen, dass sie Ihre Geschäftsbedingungen vor der Durchführung des Bezahlvorgangs akzeptieren, aktivieren Sie die Option Zustimmung zu den Geschäftsbedingungen an der Kasse verlangen in Ihrer Shop-Verwaltung im Abschnitt Zustimmung der Kunden unter Einstellungen → Rechtliches. Diese Funktion stellt sicher, dass alle Bestellungen eine Zustimmungsbestätigung aufweisen: das Kontrollkästchen „Ich stimme den Geschäftsbedingungen zu“ auf der Warenkorbseite. Da es nicht möglich ist, eine Bestellung aufzugeben, ohne den Geschäftsbedingungen zuzustimmen, gilt die Tatsache, dass eine Bestellung aufgegeben wurde, als Bestätigung der Zustimmung.

Wie Sie Ihrem Shop eine Datenschutzerklärung, Geschäftsbedingungen und andere rechtliche Seiten hinzufügen können, erfahren Sie unter Rechtliche Seiten in Ihrem Shop.

Holen Sie eine eindeutige Zustimmung ein, bevor Sie Promo-E-Mails versenden

Sie müssen eine eindeutige Zustimmung zum Versand von nicht bestellbezogenen E-Mails an Kunden einholen. Mit Ihrem Shop können Sie eine Registrierungsoption oberhalb der Kassenschaltfläche in Ihrem Shop hinzufügen. Auf diese Weise erfassen Sie die entsprechende Zustimmung und bauen dann eine Liste von Kunden auf, die dem Erhalt Ihrer Promo-E-Mails zugestimmt haben.

So fügen Sie die Registrierungsoption für Ihre Promo-E-Mails zur Kasse Ihres Shops hinzu:

  1. Gehen Sie in Ihrer Shop-Verwaltung zu Einstellungen → Rechtliches.
  2. Scrollen Sie nach unten zum Abschnitt Zustimmung der Kunden.
  3. Aktivieren Sie die Option An der Kasse die Zustimmung der Kunden zum Empfang Ihrer Marketing-E-Mails anfordern.
  4. (Optional:) Drücken Sie auf Bearbeiten, um den angezeigten Text für die Registrierungsoption zu ändern und/oder die Registrierungsoption vorab auszuwählen.

Sie können die Registrierungsoption auch unter Marketing → Newsletter oder Einstellungen → Allgemeine Einstellungen → Warenkorb (Abschnitt Newsletter) zur Kasse Ihres Shops hinzufügen. Erfahren Sie mehr über das Sammeln von Kunden-E-Mail-Adressen an der Kasse.

Kennzeichnen Sie bei Formularen deutlich, welche Felder optional oder erforderlich sind

Ihr Shop zeigt deutlich, welche Felder erforderlich und welche optional sind:

GDPR__5_.png

Diese EU-Anforderung ist nur erfüllt, wenn Sie die Option Next Generation Storefront aktiviert haben.

Holen Sie eine eindeutige Zustimmung für das Tracking von Shop-Besuchern über Cookies ein

Sie sollten Ihre Shop-Besucher um Zustimmung bitten, ihre Aktionen in Ihrem Schaufenster über Cookies zu verfolgen. We ermöglichen es Händlern, ein spezielles Banner hinzuzufügen, um solche Zustimmungen einzuholen.

So fügen Sie das Banner für die Cookie-Einwilligung zu Ihrem Schaufenster hinzu:

  1. Gehen Sie in Ihrer Shop-Verwaltung zu Einstellungen → Rechtliches.
  2. Scrollen Sie nach unten zum Abschnitt Zustimmung der Kunden.
  3. Aktivieren Sie das Banner für Cookie-Einwilligung.

Sie können es auch unter Einstellungen → Allgemein → Tracking und Analyse aktivieren, indem Sie die Option Banner für DSGVO-Cookie-Einwilligung einschalten.

Sobald diese Option aktiviert ist, wird das Banner für Cookie-Einwilligung im Schaufenster angezeigt. Kunden können Cookies zulassen oder ablehnen:

GDPR__3_.png

Diejenigen Besucher, die auf „Akzeptieren“ geklickt haben, können ihre Entscheidung später auf der Seite Mein Konto in Ihrem Shop jederzeit ändern (diese Seite/Option ist sowohl für Kunden, die ein Konto bei Ihrem Shop haben, als auch für nicht registrierte Besucher verfügbar).

Falls Sie das Besucherverhalten mithilfe von Google Analytics/Facebook Pixel verfolgen, werden Besucher, die im Banner auf „Ablehnen“ klicken (oder ihre Zustimmung später widerrufen), nicht in den Statistiken gezählt.

Möglicherweise müssen Sie den im Cookie-Banner angezeigten Text anpassen oder einen anderen Text hinzufügen. Hierzu können Sie das Textlabel „Notice.TrackingConsent.description“ bearbeiten.

Das Banner für Cookie-Einwilligung funktioniert nur, wenn Sie die Option Next Generation Storefront aktiviert haben.

Räumen Sie Kunden das Recht ein, Auskunft über ihre Daten einzuholen

Sie müssen Ihren Kunden eine Kopie ihrer personenbezogenen Daten in einem leicht lesbaren und übertragbaren Format zur Verfügung stellen, wenn sie danach fragen. Sie können die personenbezogenen Daten der Kunden direkt in Ihrer Shop-Verwaltung einsehen.

So rufen Sie die personenbezogenen Daten eines Kunden ab:

  1. Gehen Sie in Ihrer Shop-Verwaltung zu Einstellungen → Rechtliches.
  2. Scrollen Sie nach unten zum Abschnitt Personenbezogene Daten der Kunden.
  3. Klicken Sie auf Kundendaten abrufen.
  4. Geben Sie die E-Mail-Adresse des Kunden in das Feld ein.
  5. Klicken Sie auf Übermitteln.

Danach erhalten Sie eine Nachricht unter der E-Mail-Adresse, mit der Ihr Shop-Konto registriert wurde. Diese Nachricht enthält personenbezogene Daten des Kunden, die im .zip-Format zum Download bereitstehen (der Link ist 10 Tage lang gültig).

Falls Sie Hilfe bei der Beschaffung und Bereitstellung der Daten benötigen, kann Ihr Shop Ihnen auf Anfrage die gespeicherten Informationen zur Verfügung stellen. Sie sollten auch etwaige Dienste Dritter berücksichtigen, die Sie nutzen und die möglicherweise Zugriff auf die personenbezogenen Daten Ihrer Kunden haben.

Räumen Sie Kunden das Recht ein, bestimmte Daten zu löschen, zu bearbeiten oder deren Verwendung einzuschränken

Neben Auskunftsanfragen kann Ihr Shop Sie auch dabei unterstützen, personenbezogene Daten zu löschen, die es in Ihrem Namen speichert.

So löschen Sie personenbezogene Daten eines Kunden:

  1. Gehen Sie in Ihrer Shop-Verwaltung zu Einstellungen → Rechtliches.
  2. Scrollen Sie nach unten zum Abschnitt Personenbezogene Daten der Kunden.
  3. Klicken Sie auf Kundendaten löschen.
  4. Geben Sie die E-Mail-Adresse des Kunden in das Feld ein.
  5. Klicken Sie auf Übermitteln.

Nachdem Sie auf Übermitteln gedrückt haben, werden alle mit dieser E-Mail-Adresse verbundenen personenbezogenen Daten innerhalb von 7 Tagen dauerhaft gelöscht. Außerdem informiert Ihr Shop die einschlägigen App-Entwickler des App-Markts (falls Sie Apps von dort verwenden) darüber, dass der Kunde die Löschung der personenbezogenen Daten beantragt hat.

Falls Sie das geplante Löschen von Daten abbrechen möchten, klicken Sie auf den Link Abbrechen daneben.

Grundlegende Anfragen (z. B. wenn ein Kunde Sie bittet, seine Bestellung zu löschen) können ebenfalls zügig in Ihrer Shop-Verwaltung abgewickelt werden.

Mitteilungen über Datenschutzverletzungen

Ihr shop agiert als Datenverarbeiter, während unsere Händler (Sie) als Datenverantwortliche auftreten. Falls es auf Ihrer Website zu einer Datenschutzverletzung irgendeiner Art kommt, sind Sie möglicherweise verpflichtet, die betroffenen Kunden zu benachrichtigen. Gemäß der DSGVO muss eine Mitteilung innerhalb von 72 Stunden ab dem Zeitpunkt, an dem Sie von der Verletzung Kenntnis erlangen, erfolgen. Datenverarbeiter sind außerdem verpflichtet, sowohl die Benutzer als auch die Datenverantwortlichen unverzüglich nach Bekanntwerden einer Datenschutzverletzung zu benachrichtigen.

Stellen Sie sicher, dass Sie starke Passwörter (Sie können diese mithilfe eines Passwortgenerators erstellen) für Ihren Shop verwenden, um die Sicherheit der Daten Ihrerseits zu erhöhen.


Bemühungen seitens Shop um DSGVO-Konformität

Wir erheben, speichern, verarbeiten und teilen personenbezogene Daten auf Grundlage der DSGVO-Richtlinien und hält die DSGVO-Anforderungen auf folgende Weise ein:

  • Wir haben einen Datenschutzbeauftragten ernannt, der für die Datenschutzpolitik verantwortlich ist.
  • Wir haben damit begonnen, unseren Schlüsselteams und -mitarbeitern DSGVO-bezogene Schulungen anzubieten.
  • Wir haben ein detailliertes Verfahren implementiert, um alle Auskunftsersuchen von betroffenen Personen und Behörden sowie Löschanträge zu bearbeiten.
  • Wir arbeiten ausschließlich mit Unterauftragsverarbeitern zusammen, die durch robuste technische und organisatorische Maßnahmen einen angemessenen Schutz der personenbezogenen Daten gewährleisten.
  • Wir haben eine zuverlässige Methode entwickelt, um eine Verletzung des Schutzes personenbezogener Daten zu erkennen, zu melden und zu untersuchen.
  • Wir haben die notwendigen Aufzeichnungen über die Datenverarbeitungstätigkeiten erstellt.
  • Wir sind zertifiziert nach dem EU-U.S.- und dem Schweiz-U.S.- Privacy-Shield-Framework; diese Vereinbarung verlangt von zertifizierten Organisationen die Gewährleistung eines Sicherheitsniveaus, das dem EU-Datenschutzrecht in Bezug auf die Übertragung von personenbezogenen Daten aus dem EWR und der Schweiz in die USA entspricht.