DSGVO
Die Datenschutz-Grundverordnung (DSGVO) tritt ab dem 05.05.2018 in Kraft und soll vor allem Endverbraucher einen besseren Datenschutz gewährleisten. Diese beschreibt die schon lange überfälligen Regelungen zum Datenschutz und zur Datenverarbeitung und muss Ihnen als ShopbetreiberIn keine Ängste bereiten, denn auch vorher erfüllte Ihr Shopsystem schon die meisten der in den neuen Datenschutzbestimmungen geforderten Regelungen.
Ihr Shopsystem bietet alle Sicherheiten und Möglichkeiten, die Anforderungen der DSGVO zu erfüllen.
Im Folgenden werden alle relevanten Aspekte der DSGVO für Sie zusammengefasst.
Die wichtigsten Begrifflichkeiten
Die DSGVO lässt sich im Grunde auf wenige wichtige Stichworte und Begrifflichkeiten reduzieren:
- Einwilligung
- Kopplungsverbot
- Rechenschaftspflicht
- Gebot der Datensparsamkeit
- Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung
Gastbestellung ermöglichen?
Diese Schlussfolgerung folgt aus dem "Kopplungsverbot": Ein Kunde, der bei Ihnen im Shopsystem bestellen möchte, darf nicht "gezwungen" werden, die Bestellung mit der Eröffnung eines Kundenaccount verbinden zu müssen, solange dies keinem Zweck dient oder solange Sie nicht eine zusätzliche Bestellmöglichkeit anbieten (z.B. per Telefon, realisierbar über das Modul "manuelle Bestelleingabe").
Wenn also die einzige Bestellmöglichkeit an die Eröffnung eines Kundenaccount "gekoppelt" ist, dies aber nur dem Zweck dient, den Kunden über ein Kundenkonto an den eigenen Onlineshop zu binden, dann ist dies laut DSGVO nicht erlaubt. Sie sollten sich somit die Fragen stellen: Ist die Eröffnung eines Kundenkontos zur Vertragserfüllung (also für die Bestellung) erforderlich? Biete ich noch eine andere Bestellmöglichkeit an, bei der Kunden auch ohne Kundenkonto bestellen können? Sollte dies in Ihrem Shop nicht der Fall sein, stellen Sie unter 'Einstellungen->Allgemein' im Tab 'Sonstiges' die Einstellung "Gast-Modus" auf "aktiviert".
Bei folgenden Ausnahmen kann die Gast-Bestellung weiterhin wegfallen:
- Alternativer Bestellweg möglich (z.B. per Telefon)
- Spezielle Shops für beschränkte Zielgruppen (etwa Nutzer von Bonussystemen, Mitglieder von Vereinen, Körperschaften oder Gewerkschaften)
- Reine B2B-Shops, die eine Legitimation des Bestellers als Unternehmer erfordern
- Rabattaktionen für bestimmte Käuferkreis (z.B. durch Nachweis einer bestimmten Mitgliedschaft)
Neue Datenschutzerklärung
- Benennung des datenschutzrechtlich Verantwortlichen (natürliche Person (z.B. Einzelunternehmer) oder auch ein rechtsfähiges Unternehmen (z.B. GmbH als juristische Person), welche wesentliche Entscheidungsbefugnis für die Verarbeitung von personenbezogenen Daten hat)
Datenschutzbeauftragter
In der Regel muss kein Datenschutzbeauftragter benannt werden.
Ein Datenschutzbeauftragter muss nur benannt werden, wenn Sie mehr als 9 tätige Personen beschäftigt haben, die an der Verarbeitung personenbezogener Daten beteiligt sind oder Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA). Letzeres ist beispielsweise bei automatisierten Bonitätsprüfung oder Profiling der Fall und dürfte i.d.R. nicht auf Sie zutreffen ; Zudem würde Ihr Datenverarbeitungsfall dann der bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle unterliegen, d.h. Sie wären auch beim aktuell gültigen datenschutzrecht mit einem Sonderfall in Kontakt gekommen.
Auftragsverarbeitungsvertrag
Wenn Sie als Online-Händler einen Dienstleister beauftragen, personenbezogene Daten zu verarbeiten, dann müssen Sie nach der künftigen Datenschutzgrundverordnung mit diesem Dienstleister einen Vertrag abschließen, der jedoch nicht zwingend schriftlich, sondern auch elektronisch erfolgen kann.
Zu Ihren Auftragsverarbeitern zählen primär wir, denn wir als Anbieter und Hoster Ihres Webshops verarbeiten personenbezogene Daten. Dazu zählen nicht nur die Kundendaten Ihrer Bestellungen, sondern vieles mehr, was unter die Auftragsverarbeitung der DSGVO fällt: E-Mail-Verwaltung, E-Mail Archivierung, Backup-Sicherheitsspeicherung usw. ; Wir bieten Ihnen jedoch eine einfache, elektronische Möglichkeit, dieser DSGVO-Anforderung nachzukommen: [XXYYZZ Mustervertrag].
Keine Auftragsverarbeiter (nach [3]):
- Transportdienstleister
- Bezahldienstleister
- Steuerberater, Rechtsanwälte
- Tracking mit Piwik / Matamo (da dies auf dem eigenen Server betrieben wird)
Auftragsverarbeiter (in diesen Fällen muss also ein Auftragsverarbeitungsvertrag geschlossen werden):
- Anbieter Onlineshop-Hosting (also mit uns, Serverspot) ([XXYYZZ Mustervertrag])
- Tracking mit Google (auch Google bietet die Möglichkeit der elektronischen Zustimmung des Vertrages unter "Kontoeinstellungen -> Zusatz zur Datenverarbeitung" nach Login in Ihr Analytics-Konto.)
Einen allgemeinen Mustervertrag zum Thema Auftragsverarbeitung finden Sie hier (Link).
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis kann (theoretisch) von Aufsichtsbehörden angefordert werden und muss in diesem konkreten Fall dann ausgehändigt werden. Das Verzeichnis ist nicht öffentlich sondern betriebsintern und kann nur von Behören angefordert werden. Ob dies jedoch tatsächlich jemals angefordert wird, kann angezweifelt werden, da die Aufsichtsbehörde wichtigere Dinge zu tun hat, als jeden Onlinehändler nach diesem Verzeichnis zu fragen.
Nichtsdestotrotz gehört zur neuen Dokumentationspflichten nach der DSGVO für Verantwortliche die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Das Verzeichnis ist die wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Für Onlinehändler gilt generell, dass ein Verarbeitungsverzeichnis erstellt werden muss, da regelmäßig (durch die Besucher und Bestellungen in Ihrem Onlineshop) personenbezogene Daten verarbeitet werden.
Ein passendes Muster für ein Verarbeitungsverzeichnis, welches alle in Ihrem Onlineshop stattfindenden Datenverarbeitungen umfasst, finden Sie hier: HHGGDD
Allgemeines Muster: [4]
Auskunftsrecht
Kunden haben ein Recht darauf, sich über die von Ihnen verarbeiteten Daten zu informieren. Daraus folgt entweder eine "positive Auskunft" (mit allen notwendigen Informationen der Datenverarbreitung) oder eine "negative Auskunft" (falls keine Daten von der anfragenden Person verarbeitet wurden).
AABBCC
AABBCC