Bereits am 25. Mai 2016 trat die DSGVO in Kraft. Anwenden müssen Mitgliedstaaten der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) jedoch erst seit dem 25. Mai 2018. Viele Verkäufer und Betreiber von Webseiten stellen sich daher die große Frage, was sie genau tun müssen, um vor den hohen Strafen der DSGVO geschützt zu sein und das Vertrauen ihrer Kunden und Nutzer nicht zu verlieren. Auch unter unseren Shopify-Kunden stellt sich inzwischen jeder die Fragen:
Was muss ich noch beachten?
Hält Shopify der DSGVO stand?
Kann ich bei Shopify bleiben oder muss ich zu einem deutschen System wechseln?
Unsere Antwort: Sie müssen nicht wechseln! Shopify stellt sich immer weiter auf die EU-Rechte ein und bietet Ihnen die Möglichkeiten, Shopify rechtssicher in der EU zu nutzen.
Lesetipp: Wie Sie Shopify in Deutschland rechtssicher nutzen.
Inhaltsverzeichnis
Sie wollen bei Cookie Consent, AGB, Impressum und Co. nicht allein gelassen werden? Als Shopify Agentur unterstützen wir Sie gern bei Ihrem Onlineshop. Kontaktieren Sie uns.
Das Ziel der Datenschutz-Grundverordnung
Ziel der DSGVO ist die Vereinheitlichung des Datenschutzrechts innerhalb der EU.
Das Datenschutzrecht soll datenschutzfreundlicher für die betroffenen Nutzer werden. Der Bürger soll seine Daten so weit wie möglich zurückerhalten. Zusammen mit deutlich höheren Bußgeldern soll so sichergestellt werden, dass sich auch Cloud-Dienste oder soziale Netzwerke etwa aus den USA an die Regeln halten müssen.
Was soll mit der neuen EU-DSGVO geschützt werden?
Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten, wie z.B.:
Name
Adresse
E-Mail-Adresse
Telefonnummer
Geburtstag
Kontodaten
Kfz-Kennzeichen
Standortdaten
IP-Adressen
Cookies
Jede Person soll die Kontrolle über ihre Daten haben und jederzeit informiert darüber sein, welche Daten sie preisgeben und wozu diese gespeichert werden.
Die Erhebung von Daten und die Datenspeicherung unter der DSGVO wird also künftig transparenter. Die EU bezieht damit nicht nur die EU-Mitgliedsstaaten ein, sondern auch Drittländer. Jedes Drittland, also jedes Land außerhalb der EU, muss sich an die Transparenz der Daten ebenso halten, wie Sie als Händler innerhalb der EU.
Lesetipp: Alle wichtigen Informationen zur Preisangabenverordnung finden Sie hier.
Aktuelle Grundsätze
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist ohne Zustimmung der betroffenen Person grundsätzlich verboten.
Diese Zustimmung bzw. Einwilligung in die Datenspeicherung kann z.B. aus folgendem entstehen:
Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
Einwilligung der betroffenen Person
Datensparsamkeit; es dürfen nur Daten erhoben werden, welche benötigt und verarbeitet werden.
Zweckbindung; Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben werden.
Datenrichtigkeit
Die neuen Grundsätze der Datenschutz-Grundverordnung
Datensicherheit - Artikel 32 DSGVO
Datensicherheit; ein dem Risiko angemessenes Schutzniveau für die Daten
Das heißt: Das Schutzniveau, das Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.
So hat ein Arzt oder Krankenhaus andere Pflichten und Rechte bezüglich des Datenschutzes als es zum Beispiel ein Webseitenbetreiber hat.
Recht auf Vergessenwerden (Recht auf Löschung) - Artikel 17 DSGVO
Personenbezogene Daten müssen gelöscht oder gesperrt werden, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.
Das Recht können die Nutzer nicht nur gegen Suchmaschinenbetreiber, wie z.B. Google, geltend machen, sondern auch gegen jede Stelle erheben, die personenbezogene Daten verarbeitet - so auch gegenüber Ihnen als Shop-Besitzer oder Webseiten-Betreiber.
Unter Anderem in folgenden Gründen sind Sie zur Löschung der Daten verpflichtet:
Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig (Art. 17 a)
Die Einwilligung der betroffenen Person wurde widerrufen (Art. 17 b, c)
Die Datenverarbeitung war/ist unrechtmäßig (Art. 17 d)
Die Datenverarbeitung war/ist unrechtmäßig (Art. 17 d)
Die Lösung ist rechtlich erforderlich
Recht auf Datenübertragbarkeit (Daten Portabilität) - Artikel 20 DSGVO
Also die Möglichkeit und das Recht, ihre Daten zu einem anderen Anbieter "mitzunehmen".
Jede Person hat das Recht, alle personenbezogenen Daten, die Sie speichern, in einem gut verarbeitbaren, gängigen Format zu erhalten.
Die Rechenschaftspflicht - Artikel 5 DSGVO
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Dieser Artikel beschreibt den Nachweis zur Einhaltung der Datenschutzprinzipien.
Personenbezogene Daten müssen
nach bestem Gewissen, nachvollziehbar und transparent verarbeitet werden
für festgelegte und eindeutige Zwecke erhoben werden
auf die für den Zweck notwendigen DAten beschränkt werden
aktuell und richtig sein. Nicht mehr aktuelle, für den Zweck unrichtige Daten müssen gelöscht werden
so gespeichert werden, dass die betroffene Person nur solange identifiziert werden kann, wie es dem Zweck dient
angemessen sicher verarbeitet werden
Einwilligungen einholen - Artikel 7 DSGVO
Sie müssen die Einwilligungen künftig streng dokumentieren. Meldet sich ein Nutzer z.B. zu Ihrem Newsletter an, müssen Sie dies nachweisen können. Hierbei wird zwischen freiwilliger und vertraglicher Einwilligung unterschieden.
So schreibt die Datenschutz-Grundverordnung zum Beispiel im Bezug auf die Einwilligung vor:
Die Einwilligung muss dokumentiert werden.
Willigt der Betroffene in mehrere Punkte ein (z.B. im Rahmen eines Vertrages), muss der Zweck deutlich und in verständlicher Sprache formuliert sein.
Die Einwilligung kann jederzeit widerrufen werden.
Auftragsdatenverarbeitung (ADV), nun "Auftragsverarbeitung"(AV) - Artikel 28 DSGVO
Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig. Doch auch der Auftragnehmer (also der Auftragsverarbeiter) ist mitverantwortlich.
Auftragsdatenverarbeiter oder Auftragsverarbeiter sind unter anderem
externes Kundencenter (z.B. Callcenter)
externer Newsletter-Anbieter
Anbieter von Cloud Computing
externes Unternehmen für Marketing
externes Rechenzentrum
externes ERP / CRM
Shop-System / Hoster (z.B. Shopify)
Soziale Netzwerke (Facebook, Instagram, usw.)
Auftragsverarbeiter müssen z.B.
ein Verzeichnis zu allen Kategorien der im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
auf Anfrage mit einer Aufsichtsbehörde zusammenarbeiten (Artikel 31)
technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1)
der Vertrag zur ADV muss nicht mehr zwingend schriftlich sondern kann auch in elektronischer Form abgeschlossen werden
Der Datenschutzbeauftragte - Artikel 37 DSGVO
Nach der neuen Datenschutz-Grundverordnung muss ein Datenschutzbeauftragter bestellt werden, wenn ein oder mehrere Gründe vorliegen. Dieser Datenschutzbeauftragte muss namentlich und mit Kontaktdaten in der Datenschutzerklärung Ihres Internetauftritts genannt werden.
Treffen diese Punkte auf Sie zu (oder aber auch nur einer davon), müssen Sie einen Datenschutzbeauftragten bestellen.
Ihr Unternehmen besteht aus mindestens 10 Mitarbeitern
Ihre Kerntätigkeit betrifft eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen"
Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 und 10 der DSGVO
Neue Datenschutz-Pflichten für Arbeitgeber
Datenverarbeitung im Beschäftigungskontext - Artikel 88 DSGVO
Auch als Arbeitgeber unterliegen Sie den neuen Pflichten laut DSGVO. Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur den Arbeitgeber selbst.
Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch Personalvermittler, Betriebsräte, Behörden, Steuerberater und viele weitere sein.
Shopify Cookie Banner & DSGVO
Spätestens seit Inkrafttreten der DSGVO sollte jeder Onlineshop über einen sogenannten Cookie Banner verfügen. Dieser informiert die Nutzer über das Erheben personenbezogener Daten, meist in Form eines Pop-Ups. Die User müssen dieser Erhebung der Daten, auch Tracking genannt, zustimmen, oder diese ablehnen können.
Mit Shopify lässt sich ein solcher Cookie Banner über Apps, wie z.B. usercentrics hinzufügen.
Lesetipp: Mehr zu rechtskonformen Shopify Cookie Bannern können Sie hier nachlesen.
Shopify Apps & EU DSGVO
Shopify-Apps können eine Vielzahl von Funktionen und Dienstleistungen für Shopify-Händler bereitstellen, jedoch ist es wichtig sicherzustellen, dass diese Apps mit den Datenschutzbestimmungen, einschließlich der Datenschutz-Grundverordnung (DSGVO), konform sind. Hier sind einige wichtige Aspekte, die Shopify-Händler in Bezug auf Apps und DSGVO beachten sollten:
Datenverarbeitungsvereinbarung (DPA): Vor der Nutzung einer App sollten Shopify Händler sicherstellen, dass der App-Anbieter eine Datenverarbeitungsvereinbarung (DPA) anbietet. Eine DPA ist erforderlich, um sicherzustellen, dass der App-Anbieter die personenbezogenen Daten der Kunden gemäß den DSGVO-Anforderungen verarbeitet.
Einwilligung und Transparenz: Apps, die personenbezogene Daten sammeln oder verarbeiten, sollten transparente Mechanismen für die Einholung der Zustimmung der Benutzer implementieren. Dafür kann und sollte zum Beispiel ein Cookie Banner genutzt werden. Shop Owner sollte sicherstellen, dass die Kunden über die Datenverarbeitung informiert werden und ihre Zustimmung aktiv und klar erteilen.
Datenschutzerklärung und App-Nutzung: In der Datenschutzerklärung des Shopify-Shops sollte deutlich darauf hingewiesen werden, welche Apps verwendet werden und wie sie mit den Daten der Kunden umgehen. Es sollte klargestellt werden, welche Daten die Apps sammeln und zu welchem Zweck.
Datensicherheit der App: Der App-Anbieter sollte angemessene Sicherheitsmaßnahmen implementieren, um sicherzustellen, dass die gesammelten Daten vor unbefugtem Zugriff und Verlust geschützt sind. Händler sollten sich vergewissern, dass die App den branchenüblichen Sicherheitsstandards entspricht.
Recht auf Löschung und Datenzugriff: Die App sollte Mechanismen bereitstellen, um den Kunden den Zugriff auf ihre persönlichen Daten zu ermöglichen und ihnen die Möglichkeit zu geben, ihre Daten zu löschen. Dies ist besonders wichtig, um den Anforderungen des Rechts auf Löschung und Zugang nachzukommen.
Regelmäßige Überprüfung von App-Berechtigungen: Shopify Händler sollten regelmäßig die Berechtigungen der installierten Apps überprüfen und sicherstellen, dass nur diejenigen Apps Zugriff auf die erforderlichen Daten haben.
Kundendatenverschlüsselung: Der App-Anbieter sollte klare Informationen darüber bereitstellen, ob und wie Kundendaten verschlüsselt werden. Dies ist wichtig, um sicherzustellen, dass die Daten während der Übertragung und Speicherung angemessen geschützt sind.
Reaktion auf Datenschutzverletzungen: Händler sollten klare Vereinbarungen mit App-Anbietern darüber treffen, wie Datenschutzverletzungen gemeldet und behandelt werden. Eine schnelle Reaktion auf Datenschutzverletzungen ist entscheidend, um den Anforderungen der DSGVO gerecht zu werden.
App-Updates und Compliance: Shopify Händler sollten sicherstellen, dass die von ihm verwendeten Apps regelmäßig aktualisiert werden, um mit den neuesten Datenschutzanforderungen und Gesetzesänderungen in Einklang zu stehen.
Fazit
Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen zukünftig präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache verfasst sein und die Rechtsgrundlage für die Datenverarbeitung benennen.
Sie benötigen Hilfe bei der Umsetzung Ihrer Datenschutz-Grundverordnung? Dann nehmen Sie jetzt unverbindlich Kontakt auf und wir unterstützen Sie mit unserem Know-How.
Häufig gestellte Fragen zur neuen EU-DSGVO
Was regelt die DSGVO?
Die Datenschutz-Grundverordnung enthält Vorschriften, die dem Schutz natürlicher Personen bei der Verarbeitung und Veröffentlichung der personenbezogenen Daten gelten.
Für wen gilt die DSGVO?
Die DSGVO hilft für alle Personen oder Organisationen, die von Kunden oder Mitarbeitern personenbezogene Daten erheben.
Wann muss ich Daten laut Datenschutz Grundverordnung löschen?
Personenbezogene Daten müssen laut Datenschutzgrundverordnung gelöscht werden, wenn die Einwilligungserklärung der betroffenen Person widerrufen oder der Zweck der Datenverarbeitung erfüllt ist.
Wie mache ich Shopify DSGVO konform?
Um Ihren Shopify-Shop DSGVO-konform zu machen, erstellen Sie eine klare Datenschutzerklärung, holen Sie die ausdrückliche Einwilligung der Kunden für die Datennutzung über einen Cookie Banner ein, und stellen Sie sicher, dass Sie eine Datenverarbeitungsvereinbarung mit Shopify abschließen, während Sie regelmäßig Ihre Datenschutzpraktiken überprüfen und aktualisieren.
Ist Shopify DSGVO konform?
Ja, Shopify ist darauf ausgerichtet, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Shopify bietet Funktionen und Tools, um Händler dabei zu unterstützen, ihre Shops DSGVO-konform zu gestalten.
Wo finde ich weitere Ressourcen zur DSGVO-Compliance auf Shopify?
Shopify bietet informative Artikel im Hilfebereich, Schulungsmaterialien und eine Community, um Händlern bei der Umsetzung der DSGVO-Richtlinien zu helfen. Besuchen Sie die offizielle Shopify-Website und den Hilfebereich für weitere Details.
Muss ich meine Apps auf DSGVO-Konformität überprüfen?
Ja, Händler sollten sicherstellen, dass die von ihnen verwendeten Apps ebenfalls DSGVO-konform sind. Überprüfen Sie die Datenschutzpraktiken der App-Anbieter und stellen Sie sicher, dass Sie eine DPA mit ihnen haben.