Die Datenschutzgrundverordnung (DSGVO) regelt die Erhebung und Verarbeitung aller personenbezogenen Daten der in der EU ansässigen Unternehmen. Um hohe Bußgelder und Abmahnungen zu vermeiden, zeigen wir in diesem Beitrag die typischen Verstöße gegen die DSGVO auf.
Diese Fehler sollten Onlinehändler*innen vermeiden:
Newsletteranmeldung
Verarbeitung von personenbezogenen Daten ist nur unter folgenden Voraussetzungen zulässig:
- die betroffene Person muss der Verarbeitung der Daten eingewilligt haben
- wenn ein berechtigtes Interesse an der Verarbeitung vorliegt (d.h. wenn es sich um Direktwerbung / Bestandskundenwerbung handelt)
Die Einwilligung zum Newsletter muss aktiv abgegeben werden (Opt-in Methode = Häkchen setzen). Ein voreingestelltes, also bereits gesetztes Häckchen zur Newsletteranmeldung, welches Kund*innen während eines Bestellprozess erst entfernen müssen, wenn diese der Newsletteranmeldung nicht zustimmen möchten, ist nicht erlaubt. Außerdem müssen Kund*innen über den Umfang (Inhalt des Newsletters, wie oft findet Newsletterzusendung statt) der Zustimmung zur Newsletteranmeldung aufgeklärt werden, und jederzeit die Möglichkeit haben zu widersprechen.
Marketing-E-Mails versenden ohne Einwilligung
(berechtigtes Interesse an personenbezogener Datenverarbeitung)
Wenn bereits eine Geschäftsbeziehung zwischen Kund*innen und Shopbetreiber*innen besteht, gilt dies als berechtigtes Interesse. Hierbei ist folgendes zu beachten:
- es muss sich um Direktwerbung handeln (Kund*innen müssen ähnliche Artikel schon mal im Onlineshop bestellt haben)
- Kund*innen müssen ihre E-Mail-Adresse bereits im Onlineshop angegeben haben. Hierzu müssen Kund*innen bei der Erhebung der E-Mailadresse darüber informiert worden sein, dass die E-Mail-Adresse für Direktwerbung verwendet werden kann und darauf hingewiesen werden, dass jederzeit widersprochen werden kann.
Es empfiehlt sich für die Newsletteranmeldung die rechtssichere Methode des Double-in-Verfahrens zu verwenden, denn im Streitfall müssen Onlinehändler*innen beweisen, ob eine Einwilligung tatsächlich stattgefunden hat.
Das erste Opt-in erfolgt über das Anmeldformular auf der Website des Onlineshops und das zweite Opt-in durch einen Klick auf den Bestätigungslink in einer an die Kund*innen zugeschickten E-Mail (diese darf keine Werbung enthalten).
Verwendung von Marketing-Cookies
Shopbetreiber*innen müssen immer dann eine Einwilligung Ihrer Webseitenbesucher*innen einholen, wenn Nutzerdaten auf deren Endgerät gespeichert werden. Der Verwendung von nicht notwendigen Cookies müssen Shopbesucher*innen zustimmen (über ein Consent-Tool). Einzige Ausnahme bilden technisch notwendige Cookies wie Cookies, ohne die der Betrieb der Website nicht möglich ist. Analyse- und Marketing-Cookies zum Beispiel sind nicht notwendig und daher Zustimmungspflichtig.
Datenminimierung während des Bestellvorganges
Während einer Bestellung im Onlineshop dürfen nur die Daten abgefragt werden (Pflichtfelder), die für die Bestellung (Vertragserfüllung) notwendig sind.
Notwendige Daten:
- Vollständiger Name
- Liefer- und Rechnungsadresse
- E-Mail-Adresse
- Kontodaten bei Lastschriftverfahren
Nicht notwendige Daten:
- Anrede
- Geburtsdatum (Ausnahme Artikel mit Altersbeschränkung)
- Telefonnummer (Ausnahme Speditionslieferungen)
- Weitergabe der E-Mail-Adresse an Versandunternehmen
Erreichbarkeit der Datenschutzerklärung
Die Datenschutzerklärung muss im Onlineshop von jeder Seite aus erreichbar sein. Dies erreicht man, indem man diese im Footer verlinkt. Die Datenschutzerklärung muss von Kund*innen im Check-out-Prozess nicht abgehakt werden, da diese lediglich die Informationspflicht, deren Onlinehändler*innen nachkommen müssen, erfüllt.
Generell muss in der Datenschutzerklärung über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgeklärt werden (Verarbeitung IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tool und Social Media Plugins).
Die Datenschutzerklärung muss verständlich und in einer klaren und einfachen Sprache informieren. Außerdem muss sie auf nachfolgende Fragen Antwort geben können:
- Welche personenbezogenen Daten werden erhoben
- Was passiert mit den erhobenen Daten
- Warum werden Daten erhoben
- Werden die Daten an Dritte weitergegeben
- Welche Maßnahmen zur Gewährleistung der Sicherheit wird ergriffen
- Findet grenzüberschreitender Datenverkehr statt
FAZIT: Shopbetreiber*innen sollten also darauf achten, dass ihr Onlineshop immer auf dem neuesten Stand ist. Je aktueller die Datenschutzerklärung ist, desto weniger läuft man Gefahr, abgemahnt zu werden.
fotogestoeber - stock.adobe