DSGVO: Was Sie (und Ihr Shop) über das neue Datenschutzgesetz wissen müssen

DSGVO: Was Sie (und Ihr Shop) über das neue Datenschutzgesetz wissen müssen

If you collect data related to your European customers, you need to know about GDPRIn der Europäischen Union tritt am 25. Mai 2018 eine neue Datenschutz-Regelung in Kraft: die sogenannte Datenschutz-Grundverordnung, kurz DSGVO (oder auf Englisch: General Data Protection Regulation, kurz GDPR).

Wir haben uns über das Thema mit unserem hausinternen Datenschutzbeauftragten Vivek Narayanadas unterhalten. Wir wollten von ihm wissen, was diese neue Regelung für unsere Onlinehändler bedeutet und was Sie bedenken sollten.

Fangen wir mit dem Wesentlichen an: Was ist die DSGVO und muss ich mir als Händler darüber überhaupt Gedanken machen?

Die Datenschutz-Grundverordnung, die ich ab jetzt nur noch DSGVO nennen werde, ist das neue Datenschutzgesetz der Europäischen Union. Es ist das umfangreichste Datenschutzgesetz der Welt und wird Auswirkungen darauf haben, wie Unternehmen (selbst ganz kleine) personenbezogene Daten ihrer Kunden erfassen und verarbeiten können.

Die DSGVO wird sich auf so gut wie jedes Unternehmen auswirken, das entweder in Europa ansässig ist oder Kunden in Europa hat.

Die DSGVO wird sich auf so gut wie jedes Unternehmen auswirken, das entweder in Europa ansässig ist oder Kunden in Europa hat.

Das heißt dann also, dass ich auf jeden Fall darüber Bescheid wissen muss. Ohne jegliches Juristendeutsch: Worum es geht es genau?

Die DSGVO räumt den Verbrauchern mehr Rechte über ihre persönlichen Daten ein und definiert ganz allgemein, was überhaupt alles zu persönlichen Daten gehört.

WEITERE DETAILLIERTE INFORMATIONEN ZUR DSGVO finden Sie beim Händlerbund, einem Shopify Partner. Dort können Sie auch einen umfangreichen Leitfaden zum neuen Gesetz herunterladen.

Die DSGVO gibt den Verbrauchern ausdrücklich das Recht, auf Ihre persönlichen Daten zuzugreifen, sie zu korrigieren, zu löschen und die Verarbeitung der Daten einzuschränken. Außerdem enthält die Verordnung strikte Vorgaben, dass Kunden erst genehmigen müssen, dass man Ihre Daten überhaupt verwenden darf (die sogenannte Zustimmung). Dies ist besonders dann wichtig, wenn Sie die Daten Ihrer Kunden, außer für die Ausführung von Bestellungen, auch für Marketing- und Werbezwecke nutzen wollen.

In der DSGVO ist ebenfalls festgelegt, dass Sie für den Schutz dieser Daten verantwortlich sind (auch wenn Sie eine Cloud-Lösung wie die von Shopify für die Speicherung der Daten verwenden). Dazu ist es Ihre Aufgabe, dafür zu sorgen, dass Ihre Kunden und die Besucher Ihrer Website von all den Rechte, die ihnen ab jetzt zustehen, auch Gebrauch machen können.

Wenn Ihnen also zum Beispiel jemand irgendwo aus der EU eine E-Mail schickt und Sie bittet, seine Daten aus Ihrem Shop zu löschen, müssen Sie das tun können. Eine Ausnahme zu dieser Regel stellen Bestelldaten, Rechnungen etc. dar. Diese gelten als steuerlich relevante Dokumente und dürfen nicht gelöscht werden. Weitere Informationen zu den Ablehnungsgründen für das Löschungsrecht finden Sie hier.

Was sind denn eigentlich alles personenbezogene Daten?

Die DSGVO definiert, dass sämtliche Informationen, die Sie erfassen und speichern und die mit einer Einzelperson in Verbindung gebracht werden können, als personenbezogene Daten gelten.

Als personenbezogene Daten gelten sämtliche Informationen, die Sie erfassen und speichern und die mit einer Einzelperson in Verbindung gebracht werden können.

Ich stelle das mal an zwei ganz einfachen Beispielen dar: Wenn Sie Ihren Kunden ermöglichen, in Ihrem Shop ein Konto zu erstellen oder Sie E-Mail-Adressen erfassen, erheben Sie in beiden Fällen personenbezogenen Daten.

Aber die DSGVO geht sogar noch einen Schritt weiter: Selbst Informationen wie eine IP-Adresse, die die Identität einer bestimmten Person nicht verraten, gelten als personenbezogene Daten. 

Händler müssen also darauf vorbereitet sein, das alles einzuhalten. Wann geht es los?

Die DSGVO tritt am 25. Mai 2018 in Kraft.

Was genau muss ich bis dahin tun?

Es gibt ein paar Dinge, die Sie sich in Vorbereitung auf die DSGVO überlegen sollten:

  • Muss Ihre Datenschutzerklärung aktualisiert werden oder müssen die Auskünfte, die Sie Ihren Kunden geben, geändert werden?
  • Sind die externe Anwendungen oder Themes, die Sie möglicherweise zur Unterstützung Ihres Shops verwenden, regelkonform mit der DSGVO?
  • Brauchen Sie einen Datenschutzbeauftragten?
  • Müssen Sie anfangen, dokumentierte Datenschutz-Folgenabschätzungen durchzuführen?
  • Brauchen Sie die Zustimmung Ihrer Kunden, um Daten zu verarbeiten. Müssen Sie ändern, wie Sie diese Zustimmung erhalten, um den erhöhten Zustimmungsverpflichtungen der DSGVO gerecht zu werden?
  • Werden Sie die Rechte, die Ihren Kunden und Benutzern in der DSGVO zustehen, einhalten können, einschließlich deren Rechte, auf eigene Daten zuzugreifen, sie zu korrigieren, zu löschen und zu exportieren?

Das sind also hauptsächlich Fragen, die Sie sich stellen sollten, und nicht so sehr Handlungsschritte. Das liegt daran, dass jedes Unternehmen anders ist. Sie müssen sich vielleicht mehr (oder auch weniger!) darauf vorbereiten als ein anderer Shop, um den Bestimmungen der DSGVO gerecht zu werden. Wenn Sie sich nicht sicher sind, wie sich das alles auf Ihr Unternehmen auswirken wird, empfehlen wir Ihnen, einen Rechtsanwalt aufzusuchen.

Aber was ist ganz speziell mit meinem Shop?

Ich bin leider nicht Ihr Anwalt und kann Ihnen daher keine Rechtsauskunft geben. Es ist das Beste, wenn Sie mit einem Rechtsanwalt über die Fragestellungen sprechen, bei denen Sie sich nicht so ganz sicher sind.

Außerdem finden Sie im englischsprachigen Teil unseres Help Centers ein detailliertes White Paper zur DSGVO.

Noch eine letzte, aber ganz wichtige Frage. Was hat Shopify eigentlich schon in Bezug auf die DSGVO gemacht?

Wir arbeiten schon eine ganze Weile daran, uns auf die DSGVO vorzubereiten. Bisher haben wir:

  • Unsere Nutzungsbedingungen aktualisiert. Sie enthalten jetzt für alle Händler automatisch ein Data Processing Addendum, in dem geregelt ist, wie wir die persönlichen Daten Ihrer europäischen Kunden verarbeiten.
  • Unsere Privacy Policy aktualisiert, um Sie darüber zu informieren, welche  Rechte den Einzelnen im Rahmen der DSGVO zustehen. Außerdem erhalten Sie mehr Auskunft darüber, wie wir persönliche Daten verarbeiten.
  • Unsere Cookie Policy aktualisiert. Sie enthält jetzt spezifische Informationen über die Cookies, die wir über Ihren Onlineshop platzieren.
  • Unseren Privacy Policy Generator aktualisiert und Informationen hinzugefügt, zu denen Sie eventuell gemäß der DSGVO Angaben machen müssen.
  • Unseren Marketing-Opt-in-Prozess aktualisiert, damit Sie diesen für Ihr Geschäft deaktivieren können. Zudem können Sie Benachrichtigungen zu Warenkorb-Abbrüchen steuern auf der Basis, ob Ihre Kunden diese erlaubt haben oder nicht.
  • Ein Whitepaper vorbereitet, in dem wir erklären, wie wir gewisse gesetzliche Vorgaben der DSGVO angehen.
  • Hinweis: Sämtliche oben verlinkte Dokumente existieren bislang ausschließlich auf Englisch.

Was wird Shopify sonst noch bis zum 25. Mai vorbereiten?

Wir arbeiten an weiteren wichtigen Projekten, die wir vor dem 25. Mai veröffentlichen werden:

  • Wir werden Ihnen die Möglichkeite geben, dass auf Ihren Wunsch hin sämtliche Daten eines einzelnen Kunden gelöscht werden. Beziehungsweise, dass Sie alle Informationen, die wir im Rahmen einer Zugriffsanfrage in Ihrem Adminbereich über einen Kunden erfasst haben, anfordern können. Wenn Sie uns bitten, die Daten eines einzelnen Kunden zu löschen, werden wir dies auch auf die relevanten Apps übertragen, die Sie in Ihrem Geschäft installiert haben. Sie finden die Informationen und die Lösch-Funktion in jedem Kundenprofil im Shopify-Adminbereich.

  • Wir werden die Benutzeroberfläche des App Stores aktualisieren, damit Sie genau sehen können, auf welche persönlichen Daten die Apps, die sie installiert haben (oder installieren wollen) Zugriff haben. Außerdem werden wir Ihnen eine detailliertere Datenschutzerklärung der App-Entwickler zur Verfügung stellen.

Wir verstehen auch, dass Sie sich an Ihrem Ende unabhängig von uns auf die DSGVO vorbereiten müssen. Deshalb haben wir ein Dokument ausgearbeitet, das Ihnen bei den nächsten Schritten, die Sie unternehmen müssen, damit Ihr Geschäft den Richtlinien der DSGVO entspricht, helfen soll. Nichtsdestotrotz enthält die DSGVO extrem komplizierte Anforderungen, die für jedes Geschäft auf unterschiedliche Weise gelten. Daher empfehlen wir Ihnen, sich von einem Anwalt oder einem Datenschutzexperten beraten zu lassen, wenn Sie konkrete Fragen zur DSGVO in Bezug auf Ihr Geschäft haben.

Hilfreiche Links zur DSGVO

Hinweis: Dieser Artikel wurde am 24. Mai noch einmal überarbeitet.


Which method is right for you?Geposted von Hendrik Breuer: Hendrik ist Redakteur des deutschen Shopify-Blogs. Möchten Sie einen Gastbeitrag veröffentlichen? Dann lesen Sie bitte zuerst diesen Leitfaden.

Dieser Artikel von Desirae Odjick erschien ursprünglich auf Englisch im Shopify.com-Blog und wurde lokalisiert von Freddie Debachy.

Starten Sie Ihren kostenlosen 14-tägigen Shopify-Test