Der Shopify Blog

DSGVO: Was du (und dein Shop) über das neue Datenschutzgesetz wissen müsst

If you collect data related to your European customers, you need to know about GDPR

In der Europäischen Union tritt am 25. Mai 2018 eine neue Datenschutz-Regelung in Kraft: die sogenannte Datenschutz-Grundverordnung, kurz DSGVO (oder auf Englisch: General Data Protection Regulation, kurz GDPR).

Wir haben uns über das Thema mit unserem hausinternen Datenschutzbeauftragten Vivek Narayanadas unterhalten. Wir wollten von ihm wissen, was diese neue Regelung für unsere Onlinehändler bedeutet und was du bedenken solltest.

Fangen wir mit dem Wesentlichen an: Was ist die DSGVO und muss ich mir als Händler darüber überhaupt Gedanken machen?

Die Datenschutz-Grundverordnung, die ich ab jetzt nur noch DSGVO nennen werde, ist das neue Datenschutzgesetz der Europäischen Union. Es ist das umfangreichste Datenschutzgesetz der Welt und wird Auswirkungen darauf haben, wie Unternehmen (selbst ganz kleine) personenbezogene Daten ihrer Kunden erfassen und verarbeiten können.

Die DSGVO wird sich auf so gut wie jedes Unternehmen auswirken, das entweder in Europa ansässig ist oder Kunden in Europa hat.

Die DSGVO wird sich auf so gut wie jedes Unternehmen auswirken, das entweder in Europa ansässig ist oder Kunden in Europa hat.

Das heißt dann also, dass ich auf jeden Fall darüber Bescheid wissen muss. Ohne jegliches Juristendeutsch: Worum es geht es genau?

Die DSGVO räumt den Verbrauchern mehr Rechte über ihre persönlichen Daten ein und definiert ganz allgemein, was überhaupt alles zu persönlichen Daten gehört.

WEITERE DETAILLIERTE INFORMATIONEN ZUR DSGVO findest du beim Händlerbund, einem Shopify Partner. Dort kannst du auch einen umfangreichen Leitfaden zum neuen Gesetz herunterladen.

Die DSGVO gibt den Verbrauchern ausdrücklich das Recht, auf ihre persönlichen Daten zuzugreifen, sie zu korrigieren, zu löschen und die Verarbeitung der Daten einzuschränken. Außerdem enthält die Verordnung strikte Vorgaben, dass Kunden erst genehmigen müssen, dass man ihre Daten überhaupt verwenden darf (die sogenannte Zustimmung). Dies ist besonders dann wichtig, wenn du die Daten deiner Kunden, außer für die Ausführung von Bestellungen, auch für Marketing- und Werbezwecke nutzen willst.

In der DSGVO ist ebenfalls festgelegt, dass du für den Schutz dieser Daten verantwortlich bist (auch wenn du eine Cloud-Lösung wie die von Shopify für die Speicherung der Daten verwendest). Dazu ist es deine Aufgabe, dafür zu sorgen, dass deine Kunden und die Besucher deiner Website von all den Rechte, die ihnen ab jetzt zustehen, auch Gebrauch machen können.

Wenn dir also zum Beispiel jemand irgendwo aus der EU eine E-Mail schickt und dich bittet, seine Daten aus deinem Shop zu löschen, musst du das tun können. Eine Ausnahme zu dieser Regel stellen Bestelldaten, Rechnungen etc. dar. Diese gelten als steuerlich relevante Dokumente und dürfen nicht gelöscht werden. Weitere Informationen zu den Ablehnungsgründen für das Löschungsrecht findest du hier.

Lesetipp: Du willst den vollen Durchblick? Wie du deinen Shopify-Store rechtssicher machst, erfährst du in diesem Beitrag (inkl. kostenlosem Whitepaper und Webinar)!

Was sind denn eigentlich alles personenbezogene Daten?

Die DSGVO definiert, dass sämtliche Informationen, die du erfasst und speicherst und die mit einer Einzelperson in Verbindung gebracht werden können, als personenbezogene Daten gelten.

Als personenbezogene Daten gelten sämtliche Informationen, die du erfassst und speicherst und die mit einer Einzelperson in Verbindung gebracht werden können.

Ich stelle das mal an zwei ganz einfachen Beispielen dar: Wenn du deinen Kunden ermöglichst, in deinem Shop ein Konto zu erstellen oder du E-Mail-Adressen erfasst, erhebst du in beiden Fällen personenbezogenen Daten.

Aber die DSGVO geht sogar noch einen Schritt weiter: Selbst Informationen wie eine IP-Adresse, die die Identität einer bestimmten Person nicht verraten, gelten als personenbezogene Daten. 

Händler müssen also darauf vorbereitet sein, das alles einzuhalten. Wann geht es los?

Die DSGVO tritt am 25. Mai 2018 in Kraft.

Was genau muss ich bis dahin tun?

Es gibt ein paar Dinge, die du dir in Vorbereitung auf die DSGVO überlegen solltest:

  • Muss deine Datenschutzerklärung aktualisiert werden oder müssen die Auskünfte, die du deinen Kunden gibst, geändert werden?
  • Sind die externe Anwendungen oder Themes, die du möglicherweise zur Unterstützung deines Shops verwendest, regelkonform mit der DSGVO?
  • Brauchst du einen Datenschutzbeauftragten?
  • Musst du anfangen, dokumentierte Datenschutz-Folgenabschätzungen durchzuführen?
  • Brauchst du die Zustimmung deiner Kunden, um Daten zu verarbeiten. Musst du ändern, wie du diese Zustimmung erhältst, um den erhöhten Zustimmungsverpflichtungen der DSGVO gerecht zu werden?
  • Wirst du die Rechte, die deinen Kunden und Benutzern in der DSGVO zustehen, einhalten können, einschließlich deren Rechte, auf eigene Daten zuzugreifen, sie zu korrigieren, zu löschen und zu exportieren?

Das sind also hauptsächlich Fragen, die du dir stellen solltest, und nicht so sehr Handlungsschritte. Das liegt daran, dass jedes Unternehmen anders ist. Du musst dich vielleicht mehr (oder auch weniger!) darauf vorbereiten als ein anderer Shop, um den Bestimmungen der DSGVO gerecht zu werden. Wenn du dir nicht sicher bist, wie sich das alles auf dein Unternehmen auswirken wird, empfehlen wir dir, einen Rechtsanwalt aufzusuchen.

Aber was ist ganz speziell mit meinem Shop?

Ich bin leider nicht dein Anwalt und kann dir daher keine Rechtsauskunft geben. Es ist das Beste, wenn du mit einem Rechtsanwalt über die Fragestellungen sprichst, bei denen du dir nicht so ganz sicher bist.

Außerdem findest du im englischsprachigen Teil unseres Help Centers ein detailliertes White Paper zur DSGVO.

Noch eine letzte, aber ganz wichtige Frage. Was hat Shopify eigentlich schon in Bezug auf die DSGVO gemacht?

Wir arbeiten schon eine ganze Weile daran, uns auf die DSGVO vorzubereiten. Bisher haben wir:

  • Unsere Nutzungsbedingungen aktualisiert. Sie enthalten jetzt für alle Händler automatisch ein Data Processing Addendum, in dem geregelt ist, wie wir die persönlichen Daten deiner europäischen Kunden verarbeiten.
  • Unsere Privacy Policy aktualisiert, um dich darüber zu informieren, welche  Rechte den Einzelnen im Rahmen der DSGVO zustehen. Außerdem erhältst du mehr Auskunft darüber, wie wir persönliche Daten verarbeiten.
  • Unsere Cookie Policy aktualisiert. Sie enthält jetzt spezifische Informationen über die Cookies, die wir über deinen Onlineshop platzieren.
  • Unseren Privacy Policy Generator aktualisiert und Informationen hinzugefügt, zu denen du eventuell gemäß der DSGVO Angaben machen musst.
  • Unseren Marketing-Opt-in-Prozess aktualisiert, damit du diesen für dein Geschäft deaktivieren kannst. Zudem kannst du Benachrichtigungen zu Warenkorb-Abbrüchen steuern auf der Basis, ob deine Kunden diese erlaubt haben oder nicht.
  • Ein Whitepaper vorbereitet, in dem wir erklären, wie wir gewisse gesetzliche Vorgaben der DSGVO angehen.
  • Hinweis: Sämtliche oben verlinkte Dokumente existieren bislang ausschließlich auf Englisch.

Was wird Shopify sonst noch bis zum 25. Mai vorbereiten?

Wir arbeiten an weiteren wichtigen Projekten, die wir vor dem 25. Mai veröffentlichen werden:

  • Wir werden dir die Möglichkeite geben, dass auf deinen Wunsch hin sämtliche Daten eines einzelnen Kunden gelöscht werden. Beziehungsweise, dass du alle Informationen, die wir im Rahmen einer Zugriffsanfrage in deinem Adminbereich über einen Kunden erfasst haben, anfordern können. Wenn du uns bittest, die Daten eines einzelnen Kunden zu löschen, werden wir dies auch auf die relevanten Apps übertragen, die du in deinem Geschäft installiert hast. Du findest die Informationen und die Lösch-Funktion in jedem Kundenprofil im Shopify-Adminbereich.

  • Wir werden die Benutzeroberfläche des App Stores aktualisieren, damit du genau sehen kannst, auf welche persönlichen Daten die Apps, die du installiert hast (oder installieren willst) Zugriff haben. Außerdem werden wir dir eine detailliertere Datenschutzerklärung der App-Entwickler zur Verfügung stellen.

Wir verstehen auch, dass du dich an deinem Ende unabhängig von uns auf die DSGVO vorbereiten musst. Deshalb haben wir ein Dokument ausgearbeitet, das dir bei den nächsten Schritten, die du unternehmen musst, damit dein Geschäft den Richtlinien der DSGVO entspricht, helfen soll. Nichtsdestotrotz enthält die DSGVO extrem komplizierte Anforderungen, die für jedes Geschäft auf unterschiedliche Weise gelten. Daher empfehlen wir dir, dich von einem Anwalt oder einem Datenschutzexperten beraten zu lassen, wenn du konkrete Fragen zur DSGVO in Bezug auf dein Geschäft hast.

Hilfreiche Links zur DSGVO

Hinweis: Dieser Artikel wurde am 24. Mai noch einmal überarbeitet.


Which method is right for you?Geposted von Hendrik Breuer: Hendrik ist Redakteur des deutschen Shopify-Blogs. Möchtest du einen Gastbeitrag veröffentlichen? Dann lies bitte zuerst diesen Leitfaden.

Dieser Artikel von Desirae Odjick erschien ursprünglich auf Englisch im Shopify.com-Blog und wurde lokalisiert von Freddie Debachy.