08/2019 – Fachartikel Swiss Infosec AG
Eine Einführung in die datenschutzrechtlichen Überlegungen
Betreiben eines Online-Shops: Welche datenschutzrechtlichen Vorgaben muss ich einhalten?
Wenn Sie eine Webseite betreiben, welche auch Produkte oder Dienstleistungen zum Kauf anbietet, sind nebst rechtlichen Vorgaben wie dem allgemeinen Obligationenrecht auch die Datenschutzvorschriften zu beachten. Richtet sich Ihr Webshop-Angebot auch an Personen, welche sich in der EU befinden, ist die DSGVO anwendbar.
Nachfolgend zeigen wir Ihnen auf, welche Punkte Sie besonders zu beachten haben, wenn Sie zur Umsetzung der DSGVO für Ihren Online-Shop verpflichtet sind:
Datenschutzerklärung für Betreiber von Online-Shops
Haben Sie auf Ihrer Webseite eine Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form?
Kontakt- und weitere Formulare
Wenn Sie den Kunden und Webseitenbesuchern Formulare zur Verfügung stellen, um mit Ihnen in Kontakt zu treten: Informieren Sie diese Personen vor der Benutzung dieses Formulars über Art, Umfang und Zweck der Datenabfrage sowie die Verwendung und Verarbeitung der abgefragten personenbezogenen Daten? Halten Sie das Prinzip der Datenminimierung nach Art. 5 DSGVO ein, d.h. fragen Sie nur die wirklich benötigten Personenangaben ab?
Newsletter-Versand
Wissen Sie, ob Ihr Newsletter-Prozess in Übereinstimmung mit den DSGVO-Vorschriften ist? Benutzen Sie das Double-Opt-In-Verfahren?
Analyse-Tools
Lassen Sie Webseitenbesucher statistisch durch entsprechende Tools erfassen (beispielsweise mittels Google Analytics)? Wenn ja, ist darauf zu achten, dass die jeweiligen IP-Adressen der Besucher anonymisiert werden und der Webseitenbesucher die Möglichkeit hat, der Erfassung durch das Tool zu widersprechen.
Cookie-Banner für Webshops
Verwendet Ihr Webshop Cookies? Die überwiegende Lehrmeinung geht davon aus, dass bei Verwendung von Tracking Cookies die Einwilligung der betroffenen Person nötig ist, für alle anderen Cookies das berechtigte Interesse des Webseitenbetreibers als Rechtsgrundlage genüge. Fairness gebietet es aber grundsätzlich, Besucher einer Webseite mittels Cookie-Banner darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute best practice ist. Weitere Informationen dazu finden Sie in unserem Newsletter-Beitrag 06/19 (abrufbar unter https://www.infosec.ch/blog/1050).
Nachweis per Dokumentation
Nach Art. 5 Abs. 2 DSGVO müssen Webshop-Betreiber die Einhaltung der gesetzlichen Vorschriften nachweisen können. Weiter verpflichtet die DSGVO zur Führung eines Verzeichnisses nach Art. 30 DSGVO, in welchem die Verarbeitungsvorgänge transparent nachgewiesen werden.
Verschlüsselte Datenübertragung
Erfolgt die Datenübertragung auf Ihrer Webseite per SSL-Verschlüsselung?
Schutz für Minderjährige
Nach Art. 8 DSGVO dürfen personenbezogene Daten von unter 16-Jährigen nur verarbeitet werden, wenn die explizite Einwilligung durch einen Erziehungsberechtigten vorliegt. Ist Ihr Kaufprozess des Online-Shops mittels technischen Massnahmen entsprechend ausgestaltet?
Auftragsverarbeitung
Beziehen Sie externe Dienstleister mit ein, um Ihr Angebot wirtschaftlich gestalten zu können, beispielsweise für den Newsletter-Versand oder das Besucher-Tracking? Falls ja, müssen Sie mit den Dienstleistern einen Auftragsverarbeitungsvertrag abschliessen, da diese Zugriff auf die personenbezogenen Daten erhalten.
Unser Fazit
Prüfen Sie Ihre Online-Shop-Prozesse auf die Übereinstimmung mit den datenschutzrechtlichen Vorschriften. Durch die Umstellung auf eine DSGVO-konforme Arbeitsweise erhalten Sie als Online-Shop-Betreiber die Sicherheit, dass Sie zum einen Ihren gesetzlichen Verpflichtungen nachkommen und zum anderen Ihren Online-Shop-Besuchern einen angemessenen Datenschutz einräumen.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung der Schweizer Datenschutzvorschriften und der DSGVO.