E-Commerce und Datenschutz – das sind Themen, die unsere Gründerinnen gerade stark beschäftigen. Wenn auch du mit dem Gedanken spielst, ein eigenes Unternehmen zu gründen und deine Produkte oder Dienstleistungen in einem Onlineshop zu verkaufen, dann solltest du dich vorab gut informieren.
Seit Einführung der Datenschutz-Grundverordnung (DSGVO), 2018 sind die Regeln wesentlich strenger geworden. Regelmäßig kommen weitere, neue Vorgaben durch Gerichtsurteile dazu. Das verunsichert. Bei einem Vergehen drohen Bußgelder, die gerade Gründer:innen Angst machen. Doch wenn du dich gut informierst und dich von einem Rechtsanwalt gut beraten lässt, dann bist du schon mal sehr gut aufgestellt. In diesem Artikel sind die wichtigsten Informationen für dich zusammengefasst. Der Inhalt dieser Zusammenfassung stellt keine Rechtsberatung dar und kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Die wichtigsten Vorgaben im Zusammenhang mit einem Onlineshop
Bei den rechtlichen Vorgaben im E-Commerce macht es keinen Unterschied, ob es sich bei den Käufern um Kunden aus dem Bereich B2C oder B2B handelt. Für bestehende und angehende Shop-Betreiberinnen ist es wichtig, vor allem die folgenden Themenschwerpunkte im Auge zu behalten:
- Datenschutzerklärung
- Cookie-Banner
- Privacy Shield
- Kontaktformulare
- Newsletter
Datenschutzerklärung in leicht zugänglicher Form
Eine der grundlegenden Aufgaben für Shop-Betreiberinnen ist die Erstellung einer rechtlich einwandfreien Datenschutzerklärung. Diese ist nicht erst seit Einführung seit der DSGVO erforderlich, die Regeln haben sich lediglich ein wenig verschärft.
Wichtig ist, dass die Erklärung präzise und in verständlicher Sprache formuliert ist und den Besuchern der Website in leicht zugänglicher Form zur Verfügung steht. Die Angaben, die darin enthalten sein müssen, sind in Artikel 13 der DSGVO angeführt. Dazu zählen vor allem:
- Identität des Verantwortlichen
- Kontaktdaten eines Datenschutzbeauftragten (wenn vorhanden)
- Nachweis für berechtigtes Interesse an Daten
- Empfänger von personenbezogenen Daten
- Dauer der Speicherung der Daten
- Rechte der Betroffenen (Löschung, Einschränkung, Widerspruch)
- Verpflichtung zur Bereitstellung der Daten für Vertragsabschluss
Wer sich das Leben bei der Erstellung der Datenschutzerklärung ein wenig erleichtern möchte, kann dafür einen der zahlreichen Generatoren verwenden, die im Internet dafür zur Verfügung stehen. Dabei muss allerdings darauf geachtet werden, dass es sich dabei um eine aktuelle Version handelt.
Aufgrund möglicher Änderungen sollte die Datenschutzerklärung darüber hinaus in regelmäßigen Abständen aktualisiert werden.
Cookie-Banner zur Einwilligung beim User-Tracking
Manche Gründer:innen verwenden sehr viel Zeit für die schöne Gestaltung der Website, vergessen dann jedoch auf den Einbau eines Cookie-Banners. Das kann teuer werden, denn die Aufsichtsbehörden sehen seit einigen Monaten ganz genau hin, ob diese vorhanden und rechtlich einwandfrei gestaltet sind. Bei Verfehlungen drohen hohe Bußgelder.
Bei einem sogenannten Cookie handelt es sich um einen kleinen Datensatz, der auf dem Computer des Besuchers einer Website gespeichert wird.
Bei den Cookies wird rechtlich zwischen funktionalen Cookies und Werbe-Cookies unterschieden. Funktionale Cookies speichern beispielsweise Informationen wie Login-Daten oder Einstellungen und helfen so bei der userfreundlichen Gestaltung der Website. In diesem Fall ist kein Hinweis erforderlich.
Werbe-Cookies wie beispielsweise Google Analytics oder Facebook Custom Audiences werden hingegen zu Werbezwecken eingesetzt. Dafür ist immer eine Einwilligung des jeweiligen Users erforderlich.
Die Form ist grundsätzlich frei wählbar, in der Praxis hat sich allerdings der Cookie-Banner bewährt. Dieser muss den Hinweis enthalten, dass Cookies eingesetzt und für welchen Zweck sie verwendet werden. User müssen die Möglichkeit haben, sich über die Details der Cookies zu informieren und in den Einstellungen einzelne Cookies bestätigen oder ablehnen können.
Privacy Shield für Übertragung von personenbezogenen Daten an Drittländer
Beim sogenannten EU Privacy Shield handelt es sich, salopp formuliert, um ein Schutzschild für die Daten von Bürgern in Europa. Sobald diese den europäischen Raum verlassen, ist der Schutz durch die DSGVO der EU nicht mehr gewährleistet. Laut der DSGVO dürfen die Daten nur dann in ein Drittland übermittelt werden, wenn es dort auch einen angemessenen Schutz dafür gibt.
Mit den USA gab es ein entsprechendes EU-US Privacy Shield. Dieses wurde allerdings durch ein Urteil des Europäischen Gerichtshofes im Jahr 2020 gekippt. Für die Betreiberinnen von Websites wurde die Lage dadurch ein wenig undurchsichtig. Grundsätzlich besteht zwar kein Grund zur Panik, weil derzeit ein entsprechendes Nachfolgeabkommen in Planung ist.
Wer aktuell einen Cloud-Dienst oder ein Newsletter-Tool aus den USA verwendet, sollte zur Sicherheit jedoch in Erwägung ziehen, einen Anbieter zu suchen, bei dem das Problem nicht besteht.
Der Umgang mit externen Kontaktformularen
Anbieter, die frei konfigurierbare Kontaktformulare zur Verfügung stellen, sind ein Segen für viele Betreiberinnen von Onlineshops und Websites. Denn dadurch wird es den eigenen Kunden sehr einfach gemacht, mit den Betreibern in Kontakt zu treten. HTML-Kenntnisse sind dafür nicht erforderlich.
Das Problem dabei: Die Daten nehmen eine Abzweigung über den jeweiligen Anbieter. Wer solche Formulare in Verwendung hat, muss deshalb die User der Website entsprechend über die Art, den Zweck und den Umfang der Datenabfrage informieren.
In der DSGVO gibt es das Prinzip der Datenminimierung. Dieses besagt, dass immer nur jene Daten abgefragt werden dürfen, die tatsächlich für den jeweiligen Verarbeitungszweck benötigt werden. Will ein User eine telefonische Antwort auf seine schriftliche Support-Anfrage, darf also selbstverständlich seine Telefonnummer abgefragt werden. In diesem Fall auch noch den Familienstand und die Anzahl der Kinder abzufragen, wäre jedoch unzulässig.
Die rechtlichen Vorgaben bei Newslettern und E-Mail-Marketing
Gründer:innen und Unternehmerinnen ist es erlaubt, für ihr eigenes Business und die Produkte und Dienstleistungen zu werben. Eine beliebte Maßnahme für bestehende Kundinnen ist dabei ein regelmäßiger Newsletter, der über die aktuellen Angebote informiert.
Warum also nicht einfach alle Kunden, die schon einmal etwas gekauft haben, per E-Mail anschreiben? Auch diesem Vorhaben schiebt die DSGVO einen Riegel vor.
Der Versand von Newslettern ist nur nach expliziter Einwilligung eines Users gestattet. Dazu gehört die Anwendung des Double-Opt-In-Verfahrens. Das bedeutet, der künftige Abonnent muss für die Bestellung eines Newsletters durch Klick eines Aktivierungslinks in einer Bestätigungsmail noch einmal seine ausdrückliche Zustimmung erteilen.
Kaltakquise ist strengstens verboten. Diese Regelung ist unabhängig davon, ob es sich bei den Empfängern um Business- oder Privatkunden handelt. Ohne Einwilligung der jeweiligen Person darf keine werbliche E-Mail an einen Empfänger geschickt werden.
Wer für den Versand der E-Mails ein entsprechendes Tool verwenden möchte, sollte im Vorfeld überprüfen, ob dieses DSGVO-konform ist. Einer der Stolpersteine betrifft auch in diesem Fall das bereits erwähnte Privacy Shield. Denn befindet sich der Anbieter außerhalb Europas, ist die Nutzung aufgrund der aktuellen Rechtslage höchst umstritten.
Wer bisher noch kein Tool verwendet, sollte deshalb gleich einen europäischen Anbieter auswählen. Wer bereits einen Anbieter aus Drittländern in Verwendung hat, sollte zur Sicherheit ebenfalls auf einen DSGVO-konformen Anbieter umsteigen.
Fazit: Ich hoffe, dass du mit dieser Erklärung der einzelnen Begriffe und der Zusammenfassung der Informationen, du einen ersten Überblick bekommen hast und dich nun traust, das Thema Gründung eines E-Commerce Business anpackst.
