DSGVO
Die Datenschutz-Grundverordnung (DSGVO) tritt ab dem 25.05.2018 in Kraft und soll vor allem Endverbraucher einen besseren Datenschutz gewährleisten. Diese beschreibt die schon lange überfälligen Regelungen zum Datenschutz und zur Datenverarbeitung und muss Ihnen als ShopbetreiberIn keine Ängste bereiten, denn auch vorher erfüllte Ihr Shopsystem schon die meisten der in den neuen Datenschutzbestimmungen geforderten Regelungen.
Ihr Shopsystem bietet alle Sicherheiten und Möglichkeiten, die Anforderungen der DSGVO zu erfüllen.
Im Folgenden werden alle relevanten Aspekte der DSGVO für Sie zusammengefasst.
Die wichtigsten Begrifflichkeiten
Die DSGVO lässt sich im Grunde auf wenige wichtige Stichworte und Begrifflichkeiten reduzieren:
- Einwilligung
- Kopplungsverbot
- Rechenschaftspflicht
- Gebot der Datensparsamkeit
- Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung
Neue Datenschutzerklärung
Eine neue Datenschutzerklärung ist das Kernthema (das Wichtigste) an der DSGVO, denn grundsätzlich können nur Umstände der neuen DSGVO abgemahnt werden, die nach außen hin sichtbar sind.
Dies ist i.d.R. nur die Datenschutzbestimmung, denn nach außen hin weiß niemand, ob Sie einen Datenschutzbauftragten benötigen, ob Sie Auftragsverarbeitungsverträge abschließen müssten und diese auch abgeschlossen haben oder ob Sie ein Verarbeitungsverzeichnis angelegt haben.
Sie sollten in Ihrer Datenschutzerklärung alle personenbezogenen Datenverarbeitungsprozesse transparent und in klaren Worten aufführen.
Hier finden Sie eine Musterdatenschutzerklärung, die wir auf die grundlegenden Bestimmungen für Ihr Shopsystem angepasst haben:
PDF: Datei:Musterdatenschutzerklärung.pdf
WORD: Datei:Musterdatenschutzerklärung.docx (Formatierung bleibt beim Kopieren des Textes erhalten, kann also aus dem WORD-Dokument heraus in den Editor der Administration kopiert werden.)
Ihr Shopsystem
Ihr Shopsystem erfüllt alle Vorgaben der DSGVO, die diese an den Umgang mit personenbezogenen Daten stellt. Dazu zählen folgende Punkte:
- Ein registrierter Kunde kann nun seinen Account löschen. Die Accountdaten des Kunden werden dabei vollständig gelöscht und alle etwaigen unter diesem Account getätigten Bestellungen werden als Gast-Bestellungen verbucht. (Die jeweiligen Bestelldaten bleiben dabei natürlich vollständig erhalten).
- Die Abmeldung vom Newsletter bewirkt die vollständige Löschung der personenbezogenen Daten
- Sämtliche IPs (Piwik, Google Analytics, Newsletteranmeldungen, Bestellungen, Kundenregistrierungen, Kommentare, Suchbegriffe) werden anonymisiert gespeichert
- Das im Shop eingesetzt Social-Media Plugin ist das Shariff-Plugin und somit legal (mit den DSGVO-Regelungen vereinbar), da erst nach aktivem Klick durch den Nutzer die Verbindung zur jeweiligen Social-Media-Plattform hergestellt wird, nicht jedoch vorher. Alle anderen Social-Media-Plugins und -Anbindungen sind nicht mehr legal und müssen von Ihnen entfern werden (bswp. ein Facebook-Widget).
- Im Kontaktformular ist, im Kontext der personenbezogenen Daten, nur die Email ein Pflichtfeld. Die Datenschutzbestimmungen sind verlinkt innerhalb der Einwilligung, dass diese Formular-Daten im Zuge der Beantwortung der Anfrage verarbeitet werden. Genauso verhält es sich auch im Falle eines Reviews, einer Newsletter-Anmeldung und einer Kundenaccount-Registrierung.
- Produktreviews / - kommentare können nur eingefügt werden, wenn die Datenschutzbedingungen akzeptiert werden.
- Im Falle der Nutzung des Moduls 'Manuelle Bestelleingabe' ist es nun möglich, diese per Gast anzulegen, ohne das ein bestehender Kundenaccount benötigt wird.
- Die Datenschutzerklärung muss nun per Opt-In (aktives anklicken einer Checkbox) vor Bestellabsendung akzeptiert werden.
- Wenn Sie die Weitergabe der Kunden-Email-Adresse an den Versanddienstleister über einen externen Service (z.B. Shipcloud) ermöglichen, dann können Sie die Genehmigung dafür im Bestellablauf abfragen lassen ('Einstellungen->Versand' im Tab 'Sonstiges' unter 'Abfrage für Weitergabe der Kunden-Email-Adresse an Versanddienstleister').
Gastbestellung ermöglichen?
Diese Schlussfolgerung folgt aus dem "Kopplungsverbot": Ein Kunde, der bei Ihnen im Shopsystem bestellen möchte, darf nicht "gezwungen" werden, die Bestellung mit der Eröffnung eines Kundenaccount verbinden zu müssen, solange dies keinem Zweck dient oder solange Sie nicht eine zusätzliche Bestellmöglichkeit anbieten (z.B. per Telefon, realisierbar über das Modul "manuelle Bestelleingabe").
Wenn also die einzige Bestellmöglichkeit an die Eröffnung eines Kundenaccount "gekoppelt" ist, dies aber nur dem Zweck dient, den Kunden über ein Kundenkonto an den eigenen Onlineshop zu binden, dann ist dies laut DSGVO nicht erlaubt. Sie sollten sich somit die Fragen stellen: Ist die Eröffnung eines Kundenkontos zur Vertragserfüllung (also für die Bestellung) erforderlich? Biete ich noch eine andere Bestellmöglichkeit an, bei der Kunden auch ohne Kundenkonto bestellen können? Sollte dies in Ihrem Shop nicht der Fall sein, stellen Sie unter 'Einstellungen->Allgemein' im Tab 'Sonstiges' die Einstellung "Gast-Modus" auf "aktiviert".
Bei folgenden Ausnahmen kann die Gast-Bestellung weiterhin wegfallen:
- Alternativer Bestellweg möglich (z.B. per Telefon)
- Spezielle Shops für beschränkte Zielgruppen (etwa Nutzer von Bonussystemen, Mitglieder von Vereinen, Körperschaften oder Gewerkschaften)
- Reine B2B-Shops, die eine Legitimation des Bestellers als Unternehmer erfordern
- Rabattaktionen für bestimmte Käuferkreis (z.B. durch Nachweis einer bestimmten Mitgliedschaft)
AVV (Auftragsverarbeitungsvertrag)
Wenn Sie als Online-Händler einen Dienstleister beauftragen, personenbezogene Daten zu verarbeiten, dann müssen Sie nach der künftigen Datenschutzgrundverordnung mit diesem Dienstleister einen Vertrag abschließen, der jedoch nicht zwingend schriftlich, sondern auch elektronisch erfolgen kann.
Zu Ihren Auftragsverarbeitern zählen primär wir, denn wir als Anbieter und Hoster Ihres Webshops verarbeiten personenbezogene Daten. Dazu zählen nicht nur die Kundendaten Ihrer Bestellungen, sondern vieles mehr, was unter die Auftragsverarbeitung der DSGVO fällt: E-Mail-Verwaltung, E-Mail Archivierung, Backup-Sicherheitsspeicherung usw. ; Wir bieten Ihnen jedoch eine einfache, elektronische Möglichkeit, dieser DSGVO-Anforderung nachzukommen: Loggen Sie sich dazu im Kundencenter ein (http://kunde.serverspot.de) und folgen Sie den Hinweisen direkt auf der Startseite.
Keine Auftragsverarbeiter (nach [3]):
- Transportdienstleister
- Bezahldienstleister
- Steuerberater, Rechtsanwälte
- Tracking mit Piwik / Matomo (da dies auf dem eigenen Server betrieben wird)
Auftragsverarbeiter (in diesen Fällen muss also ein Auftragsverarbeitungsvertrag geschlossen werden):
- Anbieter Onlineshop-Hosting (also mit uns, Serverspot) ; Wir bieten unseren Kunden die Möglichkeit, einen AVV-Vertrag elektronisch mit uns zu schließen. Loggen Sie sich dazu im Kundencenter ein (http://kunde.serverspot.de) und folgen Sie den Hinweisen direkt auf der Startseite.
- Tracking mit Google (auch Google bietet die Möglichkeit der elektronischen Zustimmung des Vertrages unter "Kontoeinstellungen -> Zusatz zur Datenverarbeitung" nach Login in Ihr Analytics-Konto.)
Einen allgemeinen Mustervertrag zum Thema Auftragsverarbeitung finden Sie hier (Link).
TOM (Technische und organisatorische Maßnahmen)
Kurz gesagt ist TOM ein Dokument, welches darlegt, was für Maßnahmen getroffen wurden und werden, um sensible personenbezogene Daten adäquat zu schützen.
Das Wichtigste für Sie als OnlineshopbetreiberIn ist es, mit Ihrem Hoster (also uns) einen AVV abzuschließen. Dies stellt für Sie sicher, dass wir zusichern, mit personenbezogenen Daten DSGVO-konform umzugehen und diese zu sichern. Unser TOM finden Sie in unserem AVV-Dokument als Anlage 1, den Sie über das Kundencenter (http://kunde.serverspot.de) einsehen und abschließen können.
Zudem müssen alle Daten, die über Ihr Shopsystem / Ihre Domain laufen, verschlüssel sein. Dazu wird Ihre Domain SSL verschlüsselt. Die Standarddomain, über die Ihr Shopsystem erreichbar ist (webXX.cologneXXX.serverspot.de) ist von uns standardmäßig SSL verschlüsselt. Bei einer dazugebuchten Domain (bspw. www.mein-shop.de) müssen Sie eine SSL-Verschlüsselung über unser Kundencenter (http://kunde.serverspot.de) hinzubuchen. Sollte eine Domain, über die Ihr Shop aufrufbar ist, nicht SSL verschlüsselt sein, erhalten Sie in Ihrer Shop-Administration einen Hinweis.
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis kann (theoretisch) von Aufsichtsbehörden angefordert werden und muss in diesem konkreten Fall dann ausgehändigt werden. Das Verzeichnis ist nicht öffentlich sondern betriebsintern und kann nur von Behören angefordert werden. Ob dies jedoch tatsächlich jemals angefordert wird, kann angezweifelt werden, da die Aufsichtsbehörde wichtigere Dinge zu tun hat, als jeden Onlinehändler nach diesem Verzeichnis zu fragen.
Nichtsdestotrotz gehört zur neuen Dokumentationspflichten nach der DSGVO für Verantwortliche die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Das Verzeichnis ist die wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Für Onlinehändler gilt generell, dass ein Verarbeitungsverzeichnis erstellt werden muss, da regelmäßig (durch die Besucher und Bestellungen in Ihrem Onlineshop) personenbezogene Daten verarbeitet werden.
Allgemeines Muster: [4]
Datenschutzbeauftragter
In der Regel muss kein Datenschutzbeauftragter benannt werden.
Ein Datenschutzbeauftragter muss nur benannt werden, wenn Sie mehr als 9 tätige Personen beschäftigt haben, die an der Verarbeitung personenbezogener Daten beteiligt sind oder Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA) bedarf. Letzeres ist beispielsweise bei automatisierten Bonitätsprüfung oder Profiling der Fall und dürfte i.d.R. nicht auf Sie zutreffen ; Zudem würde Ihr Datenverarbeitungsfall dann der bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle unterliegen, d.h. Sie wären auch beim aktuell gültigen Datenschutzrecht mit einem Sonderfall in Kontakt gekommen.
Auskunftsrecht
Auch bisher hatten die Kunden/Besucher in Ihrem Onlineshop ein Auskunftsrecht. Dieses stand auch so in unserer Standard-Datenschutzbestimmung (letzter Punkt). Dieses Auskunftsrecht wurde in der DSGVO konkretisiert:
Kunden haben ein Recht darauf, sich über die von Ihnen verarbeiteten Daten zu informieren. Daraus folgt entweder eine "positive Auskunft" (mit allen notwendigen Informationen der Datenverarbreitung) oder eine "negative Auskunft" (falls keine Daten von der anfragenden Person verarbeitet wurden).