7 Schritte zum datenschutzkonformen Online-Shop

DSGVO Tipps

Jeder Online-Shop verarbeitet zwangsweise personenbezogene Daten. Schon allein die immer übermittelte IP-Adresse zählt hierzu. Bestellt ihr selbst bei einem E-Commerce Unternehmen, übermittelt ihr außerdem in der Regel sowohl Zahlungsinformationen, als auch eine Adresse, an die eure Bestellung im Anschluss versendet wird.

Als Online-Shop Betreiber:innen sollter ihr deshalb höchsten Wert darauf legen dass euer Shop und auch alle Unterseiten datenschutzkonform aufgebaut sind. Ist dies nicht der Fall, sind Abmahnungen und Rechtsstreits nur wenige Klicks entfernt.


1. Schützt erhobene Daten durch SSL-Verschlüsselung.

Mit einem gültigen SSL-Zertifikat bleiben alle Daten eurer Besucher:innen geschützt, denn schon die Sammlung der Daten gilt laut DSGVO als Verarbeitung, die nur mit entsprechendem Schutz erfolgen darf. Ein aktuelles Zertifikat ist daher für alle Webseiten Pflicht – dazu zählen natürlich auch Online-Shops. Nebenbei ist es auch für die Suchmaschinenoptimierung sinnvoll aktuelle Verschlüsselungs-Zertifikate zu nutzen. Deshalb achten wir im Rahmen unserer Angebote darauf, die Webseiten unserer Kund:innen, sofern nicht vorhanden, mit einer Verschlüsselung zu versehen.


2. Gebt Besucher:innen Entscheidungsfreiheit bei Cookies.

Auch die Einverständniserklärung zur Cookieverarbeitung muss datenschutzkonform abgebildet werden. Mittlerweile sind Websitebetreiber:innen rechtlich dazu verpflichtet Besucher:innen sowohl über die Nutzung von Cookies zu informieren als auch aktiv um die Erlaubnis zur Weiterverarbeitung zu bitten. Dazu wird in der Regel ein Cookiebanner verwendet um die User:innen beim ersten Aufrufen der Website um Zustimmung zu bitten. Über das Opt-In-Verfahren soll ausgeschlossen werden, dass Cookies von Drittanbietern gesetzt werden, mit denen der Nutzer:innen der Seite nicht einverstanden wäre. Es werden also auch nur die Daten verarbeitet, zu denen Nutzer:innen aktiv ihre Zustimmung erteilt haben. Eine intelligente Consent-Lösung wie consens verwaltet nicht nur die Einstellungen der Leser:innen und passt je nach Entscheidung die Seite entsprechend an, sondern speichert die Auswahl eurer Besucher:innen so, dass sie beim nächsten Mal nicht erneut diese Auswahl treffen müssen.


3. Bindet auch externe Inhalte datenschutzkonform ein.

Wenn ihr Videos oder ähnliche externe Inhalte von anderen Anbieter:innen in eurem Shop einbinden wollt, müsst ihr auch dort darauf achten, dass dabei dauerhaft der Datenschutz gewahrt bleibt. Mit der Nutzung von Drittanbieterservices geht ihr sehr schnell das Risiko ein, die Daten eurer Kund:innen an Server im Ausland, zum Beispiel Amerika, zu übermitteln – was dann nicht mehr der ursprünglich getroffenen Cookie-Einwilligung entspricht. Schon der Like-Button einer externen Facebook-Einbindung kann hier kritisch werden, da dieser bereits den Aufruf eurer Seite registriert und die IP-Adresse an Facebook weiterleitet, sofern ihr das nicht aktiv unterbindet. In eurer Datenschutzerklärung solltet ihr daher auf entsprechende Angebote in jedem Fall hinweisen. Idealerweise bindet ihr die Inhalte direkt so ein, dass die Daten nur übermittelt werden, wenn die Einbindungen auch aktiv genutzt werden. Sollte das in wenigen Einzelfällen nicht möglich sein, müsst ihr aktiv die Möglichkeit bieten, dieser Datenübertragung zu widersprechen.


4. Prüft eure Kontaktformulare

Wenn ihr mit den Besucher:innen eures Shops Kontakt aufnehmen wollt, ist klar, dass ihr hierfür persönliche Daten nutzen müsst. Das muss nicht zwangsweise die Lieferadresse eine:r Kund:in sein, aber allein ohne eine E-Mail-Adresse könnt ihr logischerweise keinen Newsletter verschicken. Ohne Postanschrift am Ende aber auch kein Paket. Damit die Datenerhebung datenschutzkonform geschieht, müssen alle Formulare auf ihre Eignung im Sinne der DSGVO geprüft werden. Oberstes Gebot ist die Datensparsamkeit. Müsst ihr wirklich den Geburtsnamen eurer Kund:innen kennen? In der Regel nicht. Für das Versenden eines Newsletters benötigen ihr zum Beispiel ausschließlich die Mailadresse, für eine persönliche Ansprache im Newsletter vielleicht optional noch den Vornamen zur persönlichen Ansprache. Alle Daten abseits der Mail Adresse gibt der/die Newsletter Abonennt:in euch freiwillig. Und es sollte auch ersichtlich sein, dass es freiwillig ist. Jedes Pflichtfeld in einem Kontaktformular solltet ihr begründen können. Setzt daher für jeden Zweck ein eigenes Formular auf, sodass ihr stets ausschließlich die Daten erhebt, die tatsächlich gebraucht werden.

5. Notiert alle Verwendungen personenbezogener Daten.

Neben der Optimierung eures Shops solltet auch ein Verzeichnis pflegen, welches wie oben geschrieben, Auskunft über eure Datennutzung gibt. Hier findet ihr nicht etwa konkret die Daten, die ihr erhoben habt – es handelt sich „nur“ um eine Liste aus der hervorgeht an welchen Stellen und zu welchem Zweck ihr welche Daten erhebt und wie lange ihr diese speichert. Laut DSGVO kann diese Liste von der zuständigen Aufsichtsbehörde angefordert werden. Es ist also ratsam eine solche Liste zur Hand zu haben um im Streitfall Bußgelder zu vermeiden. Intelligente Consent-Lösungen wie consens übernehmen diesen Part idealerweise für euch.


6. Nutzt datenschutzkonforme Statistik-Tools.

Statistik-Tools, wie z.B. Google Analytics, speichern die Daten der Shopbesucher:innen. Auch diesen Schritt müsst ihr in allen Tracking-Fällen datenschutzkonform gestalten, denn wie gesagt fällt schon allein die IP-Adresse bereits in den Bereich der personenbezogenen Daten. Mit Anbieter:innen wie Google muss also, wie mit jedem anderen Drittanbietertool, im Vorhinein eine Vereinbarung zur Datenverarbeitung getroffen werden. Damit sind dann auch internationale Unternehmen an europäische und deutsche Datenschutzregelungen gebunden. Natürlich können die Auswertungen der Statistiken eurer Seite auch ohne Drittanbieter erfolgen. Mit dem passenden Plugin kann ein Online-Shop so getrackt werden, dass alle Daten auf dem eigenen Server bleiben und somit DSGVO-konform verwendet werden.

7. Bei Zweifeln: Fragt eure:n Datenschutzbeauftragte:n.

Je nachdem, wie groß euer Unternehmen ist, werdet ihr entweder eine:n externe:n oder sogar eine:n interne:n Datenschutzbeauftragte:n zur Verfügung haben. Diese Person ist speziell dazu ausgebildet neben dem analogen Schutz der durch euch erhobenen Daten (Archivierungszeiten etc.) auch euren digitalen Datenschutz im Blick zu behalten. Solltet ihr auch nur den geringsten Zweifel an eurer Datenschutzkonformität haben, räumt ein Gespräch mit der Fachperson die Unsicherheit aus dem Weg und ist in der Regel auch weniger kostspielig als eine potentielle Abmahnung.

Checkliste zum Download? Kein Problem!

Lade dir hier die Checkliste herunter, um auch deinen Shop auf Dsgvokonformität zu überprüfen.

Element zum Download gegen Mail Adresse:

Checkliste zum Datenschutz

Bitte melde dich zum Download an:

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

E-Commerce wird barrierefrei
Barrierefreiheit in E-Commerce-Plattformen umsetzen – eine Anleitung
Die Umsetzung der Barrierefreiheit in E-Commerce-Plattformen ist nicht nur eine gesetzliche Anforderung, sondern auch ein entscheidender Schritt, um die Nutzererfahrung eures Online-Shops zu verbessern und eine breitere Zielgruppe zu erreichen. Ab dem 28. Juni 2025 wird das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft treten, das Online-Händler:innen dazu verpflichtet, ihre Plattformen für alle […]
weiterlesen
Shopware 6 Release News September 2024
Shopware 6 Release News – Updates im September 2024
Im September 2024 hat Shopware eine neue Version von Shopware 6 veröffentlicht, die sowohl für Shop-Betreiber als auch Entwickler spannende neue Features und Optimierungen bereithält. Die neuen Funktionen zielen darauf ab, die Benutzerfreundlichkeit zu verbessern, die Performance zu steigern und die digitale Barrierefreiheit weiter voranzutreiben. Im Fokus dieses Updates stehen […]
weiterlesen