Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Sie sind auch betroffen, wenn:
- Sie Kunden in der EU haben
- Sie E-Mails an EU-Bürger senden
- Bürger aus der Europäischen Union Ihre Webseite besuchen
Mit den Vorschriften möchte man versuchen, die personenbezogenen Daten von EU-Bürger zu schützen, indem vorgegeben wird:
- welche Daten Sie von Kunden und Besuchern aus der EU erfassen dürfen
- was Sie mit diesen Daten tun dürfen und
- über welche Rechte die durch diese Daten ermittelten Personen verfügen
- wie Sie diese Daten schützen müssen
Die Geldstrafen bei Nichteinhaltung sind enorm: bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes; je nachdem, welche Summe höher ist. Damit wird das Ignorieren der DSGVO zu einem hohes Risiko, das man keinesfalls unterschätzen sollte.
Dennoch sind die Dinge für Online-Verkäufer nicht ganz so schlimm, wie sie auf den ersten Blick erscheinen mögen. Das liegt daran, dass die Verordnung auch die Verkäufer berücksichtigt, um die Einhaltung zu erleichtern.
Und diese Regelungen enthalten nichts vollkommen Neues. In der neuen Verordnung werden bereits bestehende Regelungen verfeinert und gestärkt.
Unsere Online-Systeme und -Dienste entsprechen bereits der DSGVO, um Sie zu unterstützen.
Die folgenden Informationen erläutern, wie Sie von der DSGVO betroffen sind. Beachten Sie bitte, dass diese Informationen keiner Rechtsberatung gleichkommen. Sollten Sie Zweifel haben, sollten Sie immer rechtlichen Rat für Ihren konkreten Fall einholen.
Packen wir es an.
Was ist unter den personenbezogenen Daten zu verstehen, die durch die DSGVO geschützt werden?
Die DSGVO definiert Daten als personenbezogen, wenn sie direkt oder indirekt die Identifizierung eines Individuum ermöglichen, das so genannte Datensubjekt. Wenn Sie sich personenbezogener Daten bedienen möchten, müssen Sie über die Zustimmung der betroffenen Person (des Datensubjekts) verfügen.
Dazu gehören Name, Kontaktdaten und Anschrift der Person. Aber auch Online-Benutzernamen, Kreditkartennummern, Tracking-Cookies, Bilder in E-Mails mit Verfolgungsfunktion und sogar IP-Adressen.
Hinzu kommen spezielle Kategorien von personenbezogenen Daten, wie Geschlecht, Religion, Haar- und Hautfarbe, politische Zugehörigkeiten und mehr. Diese sind noch stärker reguliert und für Online-Verkäufer tabu.
Welche Daten dürfen Sie verarbeiten?
Sie dürfen ohne zusätzliche Zustimmung alle personenbezogenen Daten verarbeiten, die Sie benötigen, um eine Bestellung abzuwickeln. Und das deshalb, weil eine Bestellung – oder sogar nur die Absicht, eine Bestellung zu tätigen (z. B. die Anforderung eines Angebots) – eine automatische Zustimmung gemäß der DSGVO beinhaltet.
Dies gilt für Name, Versand- und Lieferanschrift, Kontaktdaten und Zahlungsinformationen.
Mit Verarbeitung ist übrigens alles gemeint, was Sie mit den personenbezogenen Daten tun: vom Sammeln, Speichern, Anzeigen, Ausdrucken bis hin zum Ausführen über automatisierte Prozesse. Zum Beispiel, um Zahlungen zu genehmigen oder eine E-Mail zu senden.
Und was ist mit dem Hinzufügen von Kunden zu Ihrer Direktmarketing-Liste? Das ist für die Ausführung einer Bestellung nicht erforderlich. Können Sie Ihren Kunden zukünftig also noch Sonderangebote und Newsletter ohne deren ausdrückliche Zustimmung zusenden?
Versenden von Marketing-E-Mails an Ihre Kunden
Ja, das ist gestattet.
Weil die DSGVO eine weitere Ausnahme beinhaltet, die sich zu Ihren Gunsten auswirkt. Genau wie bei der alten Verordnung haben Sie das Recht, personenbezogene Daten zu nutzen, die Sie aus berechtigtem Interesse erheben (Artikel 6f). Und dieses berechtigte Interesse verlangt keine Zustimmung.
in Erwägungsgrund 47 ist Direktmarketing ganz klar als ein „berechtigtes Interesse“ definiert. Damit sind Sie in Sachen E-Mail-Marketing an Ihre Kunden vollkommen abgesichert.
Was ist mit Marketingmitteilungen an potenzielle Kunden?
Genau wie in der Vergangenheit müssen Sie diese immer um Erlaubnis bitten, um sie Ihrer E-Mail-Liste hinzufügen zu dürfen. Ein simples Auswahlfeld mit dem Text „Bitte senden Sie mir Informationen zu Sonderaktionen“, was bereits Bestandteil eines Kontaktformulars ist, ist alles, was Sie dazu benötigen (Erwägungsgrund 32). Stellen Sie sicher, dass es nicht bereits vorangekreuzt ist, da es dann nicht zählt.
Neu ist, dass Sie diese Zustimmung speichern müssen. Damit können Sie zukünftig die Echtheit der Zustimmung beweisen, falls dies erforderlich sein sollte.
Marketingstrategien mit Hilfe von Informationsschriften
Wenn Sie auf Ihrer Website Informationsschriften, Bilder oder andere Werbegeschenke anbieten, benötigen Sie kein zusätzliches Kontrollkästchen. Sie müssen jedoch klar herausstellen, dass Sie die E-Mail-Adresse zu Ihrer Marketingliste hinzufügen.
Das liegt daran, dass die DSGVO eine eindeutige und fundierte Entscheidung eines Besuchers verlangt, um seine Zustimmung kenntlich zu machen.
Um dies zu erreichen, fügen Sie Ihrer Download- oder Startseite einfach den entsprechenden Text hinzu, im Idealfall direkt über dem Download-Button. Zum Beispiel könnte dieser Text lauten: „Indem Sie dieses Dokument herunterladen, stimmen Sie der Aufnahme in unsere E-Mail-Liste zu. Sie können sich jederzeit abmelden.“
Was mache ich mit meinen alten E-Mail-Kontakten?
Sie können Ihren bisherigen Kunden weiterhin E-Mails senden. Sie können weiterhin E-Mails an alle senden, die sich gemäß der alten Verordnung für Ihre E-Mail-Listen angemeldet haben.
Denken Sie nur daran, in Ihren Marketing-E-Mails immer einen Abmeldelink einzufügen.
Was ist mit Cookies?
Gemäß der DSGVO sind Cookies personenbezogene Daten, wenn sie einen bestimmten Nutzer identifizieren können.
Die einzigen Cookies, die ShopFactory und Santu verwenden, sind sogenannte Session-Cookies und die Einkaufswagen-Cookies. Diese sind von der DSGVO und sogar vom so genannten Cookie-Gesetz ausgenommen.
Sofern Sie keine anderen Skripte auf Ihrer Website haben, müssen Sie Ihren EU-Kunden nicht einmal die Cookie-Warnung anzeigen (Artikel 29 Arbeitsgruppenrichtlinien).
Was ist mit Google Analytics und anderen Skripten?
Google, Facebook, Online-Chat-Programme und andere Skripte verwenden häufig Tracking-Cookies, um Ihre Besucher zu verfolgen und zu identifizieren. Nicht nur auf Ihrer Website, sondern manchmal auch über das Internet. E-Mail-Marketing-Programme fügen Tracking-Bilder zu Marketing-E-Mails hinzu.
Wir sind der Ansicht, dass die Nutzung der einfachen Website-Verfolgung über Google Analytics und ähnliche Dienste ebenfalls unter Artikel 6 (f) fallen. Das heißt, Sie brauchen keine Einwilligung, wenn Sie sie benutzen. Wir sind sogar der Meinung, dass Sie die Cookie-Warnung nicht mehr anzeigen müssen, sofern Sie ein berechtigtes Interesse geltend machen können.
Das Gleiche gilt für Social Media Cookies, die Sie verwenden, um Ihre Fähigkeit zur Vermarktung Ihrer Produkte und Dienstleistungen zu verbessern.
Wenn Sie jedoch Cookies verwenden, die personenbezogene Daten gemäß DSGVO sammeln, müssen Sie die Besucher auf Ihrer Datenschutzseite darauf hinweisen. Und Sie müssen ihnen erlauben, diese Cookies abzulehnen.
ShopFactory wurde an diese Anforderungen angepasst. Dies bedeutet, dass ShopFactory bei Bedarf automatisch eine Opt-out-Funktion zu Ihrer Datenschutzseite hinzufügt. Passen Sie einfach Ihre DSGVO-Einstellungen in ShopFactory Central / My Store an.
Wir empfehlen Ihnen außerdem, unten auf Ihrer Datenschutzseite einen Text hinzuzufügen, in dem Sie angeben, dass Sie Cookies verwenden und warum. Wir werden dann die Opt-out-Funktion am Ende der Datenschutzseite hinzufügen.
Hier ist ein mögliches Beispiel-Text :
Wir verwenden Cookies oder ähnliche Methoden auf unserer Website und in unseren E-Mails für unsere berechtigten Interessen gemäß Artikel 6 (f) des DSGVO.
Cookies ermöglichen es uns:
◦ Ihnen ein besseres Einkaufserlebnis zu ermöglichen
◦ unsere Website besser zu verwalten.
◦ unseren Online-Shop zu betreiben
◦ Social Media Funktionen anzubieten
◦ Website-Verkehr anonym zu analysieren um unser Marketing zu verbessern
◦ Reaktionen auf Marketing-E-Mails zu analysieren
Nicht alle sind mit diesem Ansatz einverstanden. Wenn Ihr Rechtsberater Ihnen also mitteilt, dass Sie Ihren Kunden die Erlaubnis zur Verwendung von Tracking-Cookies erteilen müssen, können Sie auch diese einrichten.
Das Recht, personenbezogene Daten zu vergessen und zu korrigieren
Die DSGVO gibt auch Datensubjekten mehr Rechte in Bezug auf ihre personenbezogenen Daten an die Hand. Diese können Sie bitten, ihre personenbezogenen Daten zu korrigieren, die Sie falsch gespeichert haben, und sie haben das Recht, vergessen zu werden.
ShopFactory hat jetzt eine Funktion, mit der Sie Ihre persönlichen Daten nach Bedarf in Ihren ShopFactory Cloud- oder Santu-Konten aktualisieren können.
Das Recht, vergessen zu werden bedeutet, dass ein Kunde oder eine andere Person Sie darum bitten kann, personenbezogene Daten vollständig aus Ihren Systemen zu entfernen.
Jedoch gilt dieses Recht nicht für den Fall, dass Sie Daten aus steuerlichen oder anderen regulatorischen Gründe speichern müssen. In den meisten Ländern müssen Sie Verträge sieben oder acht Jahre und manchmal sogar noch länger speichern. Während dieser Zeit gilt das Recht, zu vergessen, nicht.
Sobald die Frist abgelaufen ist, können Sie Benutzer und die von ihnen getätigten Bestellungen auswählen und sie einfach löschen.
Wir werden Ihnen auch eine Funktion zur Verfügung stellen, mit der Sie die Bestellungen aktualisieren können, indem Sie die personenbezogenen Daten entfernen, sobald die offizielle Aufbewahrungsfrist abgelaufen ist. Das wird es Ihnen ermöglichen, Aufträge für statistische Zwecke unter Einhaltung der DSGVO aufzubewahren.
Datensicherheit
Wir akzeptieren und verarbeiten personenbezogene Daten für Sie sicher und online, als Teil der Kaufabwicklung und der Auftragsverwaltung. Wir verschlüsseln diese während der Übertragung und wir verschlüsseln sie, wenn wir diese in unseren Datenbanken in Europa für Sie speichern. Dies wird als Verschlüsselung beim Transport (Data in Transit) und während der Speicherung (Data at Rest) bezeichnet.
Wir führen auch stetige Backups Ihrer Daten durch, um Verluste zu verhindern.
Wenn Sie also Ihre Bestellungen online bei uns speichern, haben Sie stets die Kontrolle in Sachen Datensicherheit.
Achten Sie nur darauf, dass Sie eine Datenverarbeitungsvereinbarung mit uns abgeschlossen haben. Ebenso wie Ihre anderen Service-Provider, wie von der DSGVO gefordert (mehr dazu weiter unten).
Seien Sie sich dessen bewusst, dass die DSGVO auch dann gilt, wenn Sie die Kontaktdaten zum Beispiel am Telefon akzeptieren und auf Papier notieren. Oder wenn Sie Direktmarketingbriefe per Post versenden. Sie müssen sicherstellen, dass dieser Teil Ihres Unternehmens ebenfalls die personenbezogenen Daten sicher schützt.
Glücklicherweise benötigen Sie keine Datenschutzfolgenabschätzung oder einen Datenschutzbeauftragten, wenn Sie ein ganz normales Online-Geschäft betreiben.
Datenbearbeitungsvereinbarung
Wenn es um die Erhebung und Verarbeitung personenbezogener Daten geht, sind Sie als Geschäftsinhaber dafür verantwortlich, was mit den Daten geschieht. Wenn Sie uns diese Arbeit überlassen, werden wir gemäß der DSGVO Ihr Datenverarbeiter.
Dies bedeutet, dass die DSGVO verlangt, dass Sie über eine Datenbearbeitungsvereinbarung mit uns verfügen, damit Sie sicher sein können, dass wir die DSGVO in Ihrem Auftrag einhalten.
Dies gilt nicht nur für uns. Es gilt für alle Dienstleistungen, die Sie zum Verarbeiten von Daten in Ihrem Auftrag nutzen. Zum Beispiel gehören dazu Ihre Zahlungsschnittstellen, Versanddienstleister und Online-Buchhaltungssysteme.
Sie können unseren Bearbeitungsvereinbarung herunterladen, indem Sie sich in Ihren ShopFactory Cloud oder Santu Account einloggen und in den Bereich 'Mein Konto' gehen. Einfach gegenzeichnen und per E-Mail an uns senden, wie im Dokument beschrieben, um den Vertrag verbindlich zu machen.
Welche Anforderungen müssen Sie außerdem erfüllen?
Nachdem Sie die Sicherheit von personenbezogenen Daten online durch den Einsatz unserer Dienste gewährleistet haben und mit den verschiedenen Verarbeitern, die Sie nutzen, Verarbeitungsvereinbarungen abschließen, sind noch ein paar Formalitäten zu erledigen.
Das liegt daran, dass die DSGVO von Ihnen als Betreiber eines Online-Shops verlangt, zu dokumentieren, welche Daten Sie erheben und was Sie damit tun.
Unten finden Sie ein einfaches Beispiel. Achten Sie nur darauf, es von Ihrem Rechtsberater absegnen zu lassen, wenn Sie es für Ihre Zwecke anpassen, da wir keine Rechtsberatung geben können.
Name des Unternehmens: Keksbäckerei GmbH,
Verantwortlicher: Egon Bäcker, Bäckerstr.. 25, Backhausen, Deutschland
Wir verarbeiten personenbezogene Daten von Website-Besuchern und Kunden auf unserer Website und in E-Mails.
Wir erfassen und verarbeiten personenbezogene Daten, um Bestellungen abzuwickeln. Zu diesen personenbezogenen Daten gehören Name, Kontaktdaten, Adressdaten und Zahlungsdetails. Wir erfassen auch Daten über Cookies und ähnliche Tracking-Technologien, um das Verhalten der Besucher auf unserer Website und in E-Mails zu überwachen, damit wir das Besuchererlebnis auf unserer Website und in E-Mails verbessern können, zum Beispiel durch entsprechende Produktempfehlungen. Wir nutzen erfasste personenbezogene Daten auch für legitime Marketingzwecke.
Wir verwenden Santu Pty Ltd als Verarbeiter, um Kundendaten in unserem Auftrag zu erheben. Wir verwenden PayPal als Bearbeiter, um Zahlungen in unserem Auftrag zu bearbeiten. Wir nutzen XY Couriers als Verarbeiter, um Produkte in unserem Auftrag versenden. Wir verwenden Google Analytics, um die Zugriffe auf unsere Website zu erfassen. Wir nutzen Monkeymail als Verarbeiter zum Senden und Verfolgen von Marketing-E-Mails.
Personenbezogene Daten werden acht (8) Jahre lang gespeichert, um den gesetzlichen Bestimmungen zu entsprechen.
Wenn wir von einer Sicherheitsverletzung Kenntnis errangen, bei der personenbezogene Daten offengelegt wurden, werden wir innerhalb von 72 Stunden mit unserer Aufsichtsbehörde Kontakt aufnehmen, konkret mit der: Name der Behörde und Kontaktdaten.
Die Personen, deren personenbezogene Daten offengelegt wurden, werden ebenfalls ohne ungebührliche Verzögerung über ihre registrierte E-Mail-Adresse in Kenntnis gesetzt.
Ihre Datenschutzrichtlinie
Stellen Sie sicher, dass Sie Ihre Datenschutzrichtlinie und Ihre Bestimmungen auf Ihrer Website aktualisieren, damit sie der DSGVO entsprechen. Erläuterungen hierzu würden jedoch den Rahmen dieses Artikels sprengen.
Sie können aber online einige gute Generatoren für DSGVO-konforme Datenschutzrichtlinien finden, wie beispielsweise https://goo.gl/piu79B.
DSGVO-Konformität mit ShopFactory 12 und ShopFactory Cloud
Wir haben viel Arbeit investiert, um Ihnen zu helfen, DSGVO-konform zu werden.
Änderungen, die es Ihnen ermöglichen, Tracking-Cookies und andere Skripte auf Ihrer Website zu verwenden, sind seit dem Gültigkeitsbeginn der DSGVO in ShopFactory enthalten. Durch die Speicherung Ihrer Bestellungen in der ShopFactory Cloud erhalten Sie Zugriff auf die DSGVO-konforme Online-Verarbeitung und eine Datenverarbeitungsvereinbarung.
Wenn Sie noch kein Upgrade auf ShopFactory 12 durchgeführt haben, empfehlen wir Ihnen, dies so schnell wie möglich zu tun. Sie können ShopFactory 12 auf demselben Computer wie frühere Versionen ausführen. Sie können Ihren bestehenden Shop importieren und damit weiterarbeiten. ShopFactory Cloud ist für das erste Jahr kostenlos enthalten, wenn Sie sich für eine jährliche Bezahlung entschieden haben.