Digitalization

Online-Händler haben oft noch Nachholbedarf beim Datenschutz.

Online-Shops haben Hochkonjunktur. Rund 98 Prozent aller Internetnutzer shoppen online. Auf Seiten der Händler sind es immerhin schon 70 Prozent, die ihre Waren im Netz zum Kauf anbieten. Zu diesem Ergebnis kommt die Studie „Digitaler Handel“ des Digitalverbands Bitkom. Die gute Stimmung wird von der neuen Datenschutzgrundverordnung (EU-DSGVO) getrübt, die seit Ende Mai gilt. Die neuen Anforderungen stellen die bisherige Welt der Betreiber von Online-Shops auf den Kopf und zwingen sie zum Überarbeiten ihres Onlineauftritts und ihrer Marketingaktivtäten.

Online-Marketing sowie die damit verbundenen Analyse- und Trackingaktivitäten konnten auch bisher nicht ohne datenschutzrechtliche Vorgaben umgesetzt werden. Mit der DSGVO wurden die Daumenschrauben allerdings kräftig angezogen. Das Prinzip „Verbot mit Erlaubnisvorbehalt“ – die Datenverarbeitung ist verboten, bis sie erlaubt ist – gilt nach Inkrafttreten mehr denn je. Daher gewinnt die Einwilligung der Kunden an Bedeutung, um personenbezogene Daten für Marketingzwecke zu nutzen. 

Vertrauen schaffen mit Transparenz

Mit Inkrafttreten der EU-DSGVO ist vielen Betreibern von Online-Shops erstmals bewusst geworden, wie viele personenbezogene Daten täglich verarbeitet werden. Damit geht eine große Verantwortung den Kunden gegenüber einher. Das Vertrauen des Kunden ist entscheidend für den Erfolg eines Online-Shops. Vor allem das Thema Datenschutz spielt dabei eine sehr große Rolle. „Beim Besuch eines Online-Shops werden viele personenbezogene Daten erhoben, gerade für Marketingzwecke“, erklärt Maximiliane Worch, Datenschützerin bei TÜV Hessen. Dazu gehören beispielsweise auch IP-Adressen. Aber auch bei Kontaktanfragen oder im Rahmen der Bestellung wurden häufig mehr personenbezogene Daten erhoben, als für den Prozess eigentlich benötigt werden.

Daraus ergeben sich zwei Konsequenzen. Zum einen darf die Datenerhebung nicht mehr einfach im Hintergrund passieren, da eine indirekte Einwilligung des Kunden beispielsweise durch das bloße Aufrufen der Seite nicht mehr datenschutz-konform ist. „Im Sinne der EU-DSGVO ist eine eindeutige, aktive Einwilligung vom Kunden einzuholen – beispielsweise mit dem Aktivieren einer Checkbox.“, so Worch weiter. „Die Einwilligung muss freiwillig sein und darf sich auch nur auf eine spezifische Datenverarbeitung beziehen.“ Zum anderen ist das Prinzip der Datenminimierung das Gebot der Stunde.

Gebot der Datensparsamkeit

Zwar sollten auch schon vor der EU-DSGVO Daten nicht einfach wild gesammelt werden, aber Verstöße wurden selten geahndet. Heute achten Aufsichtsbehörden stärker auf die Datensparsamkeit und prüfen, welche Daten wirklich für den Erhebungszweck erforderlich sind. Im Fall des Newsletterversands wäre nur die E-Mail-Adresse des Empfängers erforderlich –  Vor- und Nachname, Geburtsdatum oder Anschrift hingegen nicht. Will man diese Angaben auch erfassen, ist wiederrum eine ausdrückliche Einwilligung erforderlich.

Die zweckgebundene Einwilligung des Kunden sowie Datensparsamkeit sind aber nur Mosaik-Steinchen auf dem Weg zu einem DSGVO-konformen Online-Shop. Die Informationspflicht, eine ausführliche Datenschutzerklärung sowie die Rechte der Betroffenen auf Auskunft, Berichtung, Löschung, Widerruf und Datenübertragbarkeit gehören auch dazu.

Als erster Schritt sollte eine detaillierte Bestandsaufnahme gemacht werden, aus der sich dann die Folgeaktivitäten ergeben, wie Anpassungen in der Datenschutzerklärung, das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (VVTs), Auftragsverarbeitungsverträge (AVVs) etc. „Um unnötige und hohe Geldbußen zu vermeiden, sollte auf jeden Fall der Rat eines Experten eingeholt werden, wenn man sich bei der Umsetzung unsicher ist,“ bilanziert Maximiliane Worch.