INFORMATIONEN

12-Schritte-Checkliste für ein rechtssicheres Online-Geschäft

Was ist der Unterschied zwischen einem Ladengeschäft und einem Internetshop? Um sicherzustellen, dass Ihr Online-Geschäft legal ist, haben wir eine Liste mit 12 Dingen zusammengestellt, die Sie tun müssen.

Viele Unternehmen und Organisationen beginnen gerade erst mit dem Online-Geschäft, indem sie einen Online-Shop einrichten. Dieser Trend wird durch die krisenbedingten Schließungen von Corona-Läden noch verstärkt. Unabhängig davon, ob dies absichtlich oder unabsichtlich geschieht, muss die Allgemeine Datenschutzverordnung befolgt werden, um personenbezogene Daten zu schützen.

Die folgenden Überlegungen sollten Sie auf dem Weg zu einem rechtssicheren Online-Shop unbedingt beachten; sie gelten auch, wenn Sie Ihren bestehenden Online-Shop im Hinblick auf den Datenschutz rechtssicher machen wollen oder wenn Sie Ihren Online-Shop auf Rechtssicherheit überprüfen wollen.

Datenschutz

Eine Datenschutzerklärung auf der Website ist erforderlich! Die Datenschutzerklärung muss die Nutzer der Website darüber informieren, welche ihrer personenbezogenen Daten erhoben und verarbeitet werden, warum sie erhoben und verarbeitet werden und wie lange sie gespeichert werden.

Dennoch gibt es immer noch Website-Betreiber, die keine Datenschutzerklärung haben oder eine unvollständige oder fehlerhafte Datenschutzerklärung haben. Das kann sich schnell summieren. Deshalb sollten Sie eine auf Ihr Unternehmen zugeschnittene Datenschutzerklärung haben.

Impressum

Ein vollständiges Impressum sowie eine Datenschutzerklärung sind erforderlich. Sie sollten kein Impressum aus einem anderen Online-Shop kopieren und einfügen, sondern ein speziell für Ihr Unternehmen erstelltes Impressum mit Hilfe des Impressum-Generators erstellen lassen.

Zu beachten ist, dass ein Impressum von jeder Unterseite aus anklickbar sein muss. Eine Kombination mit der Datenschutzerklärung ist ebenfalls unwirksam; besser ist es, auf eine klare Trennung der beiden Seiten zu setzen!

Cookie-Banner

Neben den technisch erforderlichen Cookies müssen die Nutzer nun freiwillig der Verwendung weiterer Cookies (z. B. Marketing- oder Analyse-Cookies) zustimmen. Dazu muss die Cookie-Benachrichtigung geändert werden – ein bereits gesetztes Häkchen ist nicht zulässig!

Verschlüsselte Formulare

Der Einkaufswagen verwendet ein Formular, um die Daten Ihrer Kunden zu übermitteln. Die Datenschutz-Grundverordnung gilt für dieses und andere Formulare, die auf der Website von Online-Shops verwendet werden: Bei der Übermittlung von Daten müssen mehrere Grundsätze beachtet werden:

  • Datenminimierung: Als Webmaster dürfen Sie von Ihren Website-Besuchern nur die Daten abfragen, die für die Erledigung der anstehenden Arbeit unerlässlich sind. Prüfen Sie Ihre Online-Formulare sorgfältig. Vergewissern Sie sich, dass Sie keine Daten abfragen, die Sie nicht benötigen, z. B. eine Postanschrift oder eine Telefonnummer, um sich für einen Newsletter anzumelden.
  • Integrität und Vertraulichkeit: Das Datenübertragungsverfahren muss verschlüsselt sein. Dies geschieht, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten und die Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen.
  • Sichern Sie die Website

    Wenn Sie Ihren Nutzern Formulare für die Datenübertragung zur Verfügung stellen, müssen Sie das sichere Kommunikationsprotokoll HTTPS verwenden. Gemäß der Datenschutz-Grundverordnung (DSGVO) ist die sichere, verschlüsselte Übertragung personenbezogener Daten ein technologischer Schritt, der zum Schutz dieser Daten unternommen werden muss (Art. 32 Abs. 1 lit. a DSGVO). Für die Umstellung auf HTTPS benötigen Sie entweder ein SSL-Zertifikat („Secure Sockets Layer“) oder dessen Ersatz, ein TLS-Zertifikat („Transport Layer Security“).

    Beides sind digitale Datensätze, die auf Ihrem Server installiert werden müssen. Normalerweise müssen Sie die zu sichernde Domäne ausdrücklich auswählen. Die SSL-Verschlüsselung bietet ein höheres Maß an Sicherheit als die TLS-Verschlüsselung, die die Daten nur auf dem Weg zwischen den Servern schützt, die Daten auf den Servern aber ungeschützt lässt. SSL und TLS validieren bestimmte Eigenschaften von Personen oder Dingen und gewährleisten Folgendes:

  • Asymmetrische Verschlüsselungstechnologien werden zur Authentifizierung der Kommunikationsteilnehmer eingesetzt.
  • Vertrauliche Ende-zu-Ende-Datenübertragung durch symmetrische Verschlüsselungstechnologien oder Datenverschlüsselung auf den Kanälen zwischen Servern.
  • Sicherstellung der Integrität der transportierten Daten.
  • Double Opt-in und Opt-out

    Wenn Sie Ihren Kunden eine Werbeaktion oder einen Informationsartikel anbieten, können sie sich aktiv für das Angebot registrieren. An die eingegebene E-Mail-Adresse muss dann im Rahmen des Double-Opt-In-Verfahrens ein Bestätigungslink per E-Mail versendet werden. Erst wenn der Besucher den Link durch Anklicken bestätigt, wird das Informations- oder Werbeangebot angezeigt.

    Newsletter

    Beim E-Mail-Marketing ist die doppelte Zustimmung erforderlich. E-Mail-Adressen von Verbrauchern, die sie auf andere Weise erhalten haben, z. B. bei der Kontaktaufnahme, sollten nicht für einen Newsletter verwendet werden. Dies erfordert die aktive Mitwirkung der betroffenen Personen. Außerdem benötigt jeder Newsletter ein Impressum. Es ist jedoch zulässig, dieses auf die erforderlichen Stellen zu beschränken und lediglich einen Auszug aus dem Impressum Ihres Online-Shops anzugeben.

    Aufzeichnung der Verarbeitungstätigkeiten

    Die DSGVO verlangt von Ihnen als Online-Shop-Betreiber, dass Sie alle routinemäßig anfallenden Datenverarbeitungsvorgänge in einem sogenannten „Verzeichnis der Verarbeitungstätigkeiten“ dokumentieren. Darin müssen die verantwortliche Stelle und deren Leitung (auch wenn Sie der Geschäftsführer sind), der Zweck der Datenerhebung, -nutzung und -verarbeitung, die üblichen Löschfristen sowie die Übermittlung an Drittstaaten außerhalb der EU angegeben werden.

    Technische und organisatorische Maßnahmen

    Online-Shops haben einen physischen Standort, und um die Anforderungen der DSGVO zu erfüllen, müssen Sie dort ebenso wie in Ihrem Webshop technische und organisatorische Maßnahmen ergreifen, wie z. B. Datensicherungen, angemessene Datenverschlüsselung, kontrollierter Zugang zu Datenverarbeitungssystemen oder Kontrolle über die Räumlichkeiten des physischen Standorts des Online-Shops. Auch diese müssen beachtet werden.

    Der Datenschutzbeauftragte

    Für mehr als 20 Personen, die an der Datenverarbeitung beteiligt sind, muss ein Datenschutzbeauftragter bestellt werden. Wichtig ist auch, dass dazu Freiberufler, Teilzeitbeschäftigte, Aushilfskräfte sowie Werkstudenten und Praktikanten gehören!

    Es gibt jedoch einige Ausnahmen von dieser Regel: Auch wenn Sie weniger als 20 Mitarbeiter haben, müssen Sie einen Datenschutzbeauftragten benennen, wenn Sie hochsensible Daten verarbeiten oder mit personenbezogenen Daten gewerblich oder für die Markt- und Meinungsforschung umgehen.

    Alternative Suchmaschinen und Datenschutz

    Persönliche Informationen werden häufig von Suchmaschinen gesammelt. Wenn Sie das nicht wollen, finden Sie hier einige der besten sicheren Suchmaschinenoptionen. Es gibt so etwas wie

    mehr »