Shopware Shop DSGVO konform gestalten - Alles auf einen Blick

Doch was ist die DSGVO und wen betrifft sie?

Die DSGVO ist die Datenschutzgrundverordnung, welche am 25.05.2018 in Kraft tritt. Sie betrifft alle Unternehmen in der EU, die personenbezogene Daten verarbeiten.

Hauptziel der DSGVO ist es, natürliche Personen (o. a. Privatpersonen) und ihre Daten zu schützen. Aber auch die Harmonisierung des europäischen Datenschutzes und der rasanten technischen Entwicklung unseres digitalen Alltags gerecht zu werden.

Kurz gesagt: Die alte Datenschutzgrundverordnung aus den 90ern entsprach schlichtweg nicht mehr der heutigen Zeit und musste dringend erneuert werden!

Man möchte die Menschen schützen, denn heute, in Zeiten in denen wir in kompletter Transparenz leben, gibt es nichts wertvolleres mehr als die eigenen Daten.

Und was sind personenbezogene Daten?

Eine gute Frage, die schnell beantwortet ist: Personenbezogene Daten sind Einzelangaben über persönliche und/oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.

Ja, ein Satz wie er im Lexikon stehen könnte ;-)

Zum einfacheren Verständnis ein paar Beispiele für personenbezogene Daten:

• Name,
  
• Alter,
  
• Familienstand,
  
• Geburtsdatum,
  
• Anschrift oder die
  
• Telefonnummer.
  

Aber auch Daten wie die

• E-Mail-Adresse,
  
• Konto- und Kreditkartendaten,
  
• Personalausweis- und Sozialversicherungsnummer oder
  
• Zeugnisse
  

zählen darunter.

Es versteht sich in diesem Sinne von selbst, dass auch Kunden- und Personaldaten somit auch in diese Kategorie fallen.

Privatpersonen, dessen personenbezogene Daten verarbeitet werden, nennt man hier meist Betroffene. Wieso? Na, sie betrifft ja die Datenverarbeitung hier ;-)

Was für Rechte haben Betroffene der DSGVO?

Betroffene bekommen mit der neuen DSGVO, die am 25.05.2018 in Kraft tritt, mehr Rechte und werden damit in ihrer Position gestärkt. Doch was für Rechte hat man als Privatperson? Folgende Punkte sind hier nicht nur für die eigenen Kunden oder Angestellten interessant, sondern auch für einen selbst. Hier eine Auflistung, der Rechte der Betroffenen der DSGVO:

• Recht auf Auskunft,
  
• Recht auf Datenübertragbarkeit,
  
• Recht auf Löschung (vergessen werden),
  
• Recht auf Widerspruch.
  

Eine Einwilligung des Betroffenen ist immer einzuholen

Bevor man personenbezogene Daten einer natürlichen Person verarbeitet, muss man eine Einwilligung einholen. Dies kann via Single-Opt-In- oder Double-Opt-In-Verfahren erfolgen.

Wichtig ist, dass Du daran denkst, dass Du immer vorab eine Einwilligung bei der betroffenen Person einzuholen hast und ausdrücklich darauf hinweist, dass Du personenbezogene Daten dieser Person verarbeitest.

Erst wenn der Betroffene seine Zustimmung gibt, darfst Du seine Daten verarbeiten (lassen).

Bitte beachte auch hier das Simplizitätsgebot.

Was das schon wieder ist? Nun, die Einwilligung und die Informationen zum Widerruf müssen in einem leicht zugänglichen Text verständlich formuliert sein - Du musst nachweisen können, dass Du den Betroffenen informiert hast.

Beispiel Newsletter, der Betroffene müsste eigentlich sagen:

“Ja, ich möchte den Newsletter haben. Und ja, ich finde es super, wenn der Webseitenbetreiber im Hintergrund auswertet, was ich mache, was ich anklicke, was ich lese und darauf die Werbung für mich individualisiert und so ein Nutzerprofil über mich erstellt :-) “

Klar, das kann abschreckend wirken und so eine Einwilligungserklärung kann auch sehr lang sein. Die ideale Lösung hier ist z. B. eine Kurzeinwilligung via Single-Opt-In- oder Double-Opt-In-Verfahren, in der der Betroffene sagt: “Ja, ich möchte personenbezogene Werbung.”

Wenn man das Ganze dann noch mit einem Link ausstattet, der zu dem Teil der Datenschutzerklärung führt, in der die Einwilligungserklärung enthalten ist, ist man schon guter Dinge. Denn dort kann der Betroffene dann im einzelnen selbst nachlesen, wie das Ganze funktioniert und in was er genau eingewilligt hat.

Die Grundsätze der Verarbeitung personenbezogener Daten

Sofern personenbezogene Daten verarbeitet werden, hat das Unternehmen die Rechtsgrundsätze (§5 DSGVO) der DSGVO einzuhalten.

Diese sind wie folgt:

• Rechtmäßigkeit der Datenverarbeitung
  
• Transparentes Verarbeiten der Daten
  
• Zweckmäßigkeit der Datenverarbeitung
  
• Berücksichtigung der Datenminimierung bei Datenerhebung
  
• Erhebung der richtigen Daten
  
• Berücksichtigung der Speicherbegrenzung
  
• Einhalten der Integrität und Vertraulichkeit der Datenverarbeitung
  

Okay, was heißt das jetzt genau?

Rechtmäßigkeit der Datenverarbeitung - Gemäß Recht und Gesetz müssen die Daten ordnungsgemäß verarbeitet werden.

Transparentes Verarbeiten der Daten - Der Betroffene muss nachvollziehen können, inwiefern und warum seine Daten verarbeitet werden.

Zweckmäßigkeit der Datenverarbeitung - Du musst darlegen können, zu welchem Zweck Du die Daten verarbeitest. Der Zweck muss stets festgelegt, eindeutig und legitim sein.

Berücksichtigung der Datenminimierung bei Datenerhebung - Es dürfen nur die nötigsten Daten erhoben werden, die tatsächlich gebraucht werden. Z. B. ist es nicht notwendig den Geburtsort bei einer Online-Bestellung abzufragen.

Erhebung der richtigen Daten - Man muss nachweisen können, dass man auch die korrekten Daten des Betroffenen verarbeitet.

Berücksichtigung der Speicherbegrenzung - Personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie auch braucht.

Einhalten der Integrität und Vertraulichkeit der Datenverarbeitung - Es spricht für sich, dass man die Sicherheit der Daten gewährleistet und die Schweigepflicht darüber einhält - hier wäre auch ein Schweigepflichterklärung in Erwägung zu ziehen.

Die Erweiterungen der Informationspflichten der DSGVO

Wenn Du Daten von einer natürlichen Person erhebst, musst dieser Person auch folgende Dinge umgehend bei der Datenerhebung mitteilen:

• Welche Daten erhoben werden,
  
• Name und Kontaktdaten der verantwortlichen Person,
  
• Kontaktdaten des Datenschutzbeauftragten,
  
• der Zweck und die Rechtsgrundlage für die Verarbeitung und
  
• die berechtigten Interessen, die mit der Datenverarbeitung verfolgt werden.
  

Was erwartet mich für eine Strafe bei einem Verstoß?

Bei Nichtbeachten und einen damit einhergehenden Verstoß gegen die DSGVO, ist lt. § 83 DSGVO eine Geldbuße zu entrichten.

Diese kann bis zu 20 Mio. Euro bzw. 4 % des gesamten, weltweit erzielten Jahresumsatz liegen.

Was muss ich bei einem Verstoß tun?

Die Datenpanne (= Verletzung der DSGVO) ist unverzüglich oder spätestens 72 Stunden nach Bekanntwerden dieser der zuständigen Aufsichtsbehörde mitzuteilen (eine Übersicht der Aufsichtsbehörden in Deutschland findest du HIER).

Die Meldung, auch Reaktionsplan genannt, der Datenpanne muss folgende Punkte enthalten:

• Die Art der Datenschutzverletzung,
  
• den Namen und die Kontaktdaten des Datenschutzbeauftragten,
  
• die Beschreibung der mutmaßlichen Folgen und
  
• die Beschreibung der geplanten Maßnahmen zur Behebung.
  

Wenn die Datenpanne ein hohes Risiko für den Betroffenen darstellt, ist dieser ebenfalls darüber zu informieren. Ein Beispiel für eine Datenpanne ist ein Datendiebstahl, bei dem jemand durch Hacking in eine gesicherte Umgebung eindringt und Daten von natürlichen Personen stiehlt.

Hat die Datenschutzfolgenabschätzung was damit zu tun?

Nein. Die Datenschutzfolgenabschätzung lt. § 35 DSGVO (= Data Protection Impact Assesment) muss vorab gemacht werden, wenn ein hohes Risiko für die Daten einer natürlichen Person besteht.

Fallgruppen lt. DSGVO, bei denen eine Folgenabschätzung gemacht werden muss, sind zum Beispiel:

• Beim Profiling (= Erstellung, Aktualisierung und Verwendung von Profilen durch Sammlung von Daten, sowie deren anschließende Analyse und Auswertung),
  
• der Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten),
  
• Einsatz neuer Technologien,
  
• oder bei umfangreicher öffentlicher Videoüberwachung.
  

DSGVO - Gibt es ein “muss”?

Ja! Bitte sei Dir bewusst, dass die DSGVO jeden betrifft und die Aufsichtsbehörde jederzeit prüfen kann und darf, ob Du datenschutzkonform handelst oder eben nicht. Abgesehen davon, dass das Gesetz geachtet und gewahrt werden muss, gibt es ein paar Dinge, die du erstellen und anlegen solltest:

Verzeichnis aller Verarbeitungstätigkeiten

Das Verzeichnis aller Verarbeitungstätigkeiten ist in §30 DSGVO beschrieben und eine Pflicht für jedes Unternehmen der EU.

Und was ist das? Naja, wie der Name schon sagt: Es handelt sich hier um ein Verzeichnis, in dem alle Verarbeitungstätigkeiten von personenbezogenen Daten erfasst und beschrieben sind.

Was muss rein?

• Der Name und die Kontaktdaten der verantwortlichen Person,
  
• der Zweck der Datenverarbeitung,
  
• eine Kategoriebeschreibung zur betroffenen Person und den personenbezogenen Daten,
  
• die Kategorien der Empfänger, die die personenbezogenen Daten zur Verarbeitung erhalten haben,
  
• die vorgesehenen Fristen für die Löschung der unterschiedlichen Datenkategorien (i. d. R. 3 Jahre) und
  
• die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
  

Hast Du erstmal dieses Verzeichnis, hast Du auch schon ein mal die halbe Miete.

Achtung - Kleinunternehmen sind von dieser Regelung nicht befreit! Egal ob Klein-, mittelständisch oder Großunternehmen: Jeder muss so ein Verzeichnis führen!

Muss ich einen Datenschutzbeauftragten ernennen?

Es kommt drauf an - Ein Datenschutzbeauftragter muss laut DSGVO dann benannt werden, wenn mindestens 10 Mitarbeiter des Unternehmens täglich personenbezogene Daten verarbeiten.

Liegt man darunter, ist man bis zu dem Zeitpunkt nicht verpflichtet bis man die Grenze der 10 Mitarbeiter erreicht.

Welche Aufgaben hat ein Datenschutzbeauftragter?

• Die Unterrichtung und Beratung des Unternehmens in Datenschutzfragen,
  
• die Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften und
  
• die Schulung und Zusammenarbeit mit Behörden.
  

Aufgrund dieser Verantwortung sollte er absolute weisungsfreiheit genießen und ist selbstverständlich zur absoluten Geheimhaltung verpflichtet.

Wenn man an dem Punkt angekommen ist, wo man sich überlegen muss, ob man einen Datenschutzbeauftragten benennen muss oder nicht, sollte man im selben Zuge auch jemanden bestimmen, der in Alltagsangelegenheiten Fragen beantworten kann.

So ist der Datenschutzbeauftragte entlastet und es gibt immer jemanden, der alltägliche Anliegen zum Thema Datenschutz klären kann.

Was brauche ich noch? Den Vertrag zur Auftragsverarbeitung!

Was ist das denn jetzt? Kein Problem, ich erklär’s Dir kurz: Eine Auftragsverarbeitung ist eine Verarbeitung von Daten im Auftrag für einen anderen. Der Vertrag zur Auftragsverarbeitung erlaubt es Deinem Dienstleister als Dritter, personenbezogene Daten zu verarbeiten, die er im Rahmen eurer Zusammenarbeit erhält.

Datenverarbeitungsprozesse in diesem Sinne sind zum Beispiel:

• Die Nutzung externer Serverkapazitäten,
  
• die Nutzung externer Callcenter,
  
• die Entsorgung von Datenträgern oder Akten oder
  
• die Nutzung von Google Analytics.
  

Wichtig hier und nicht zu vergessen ist, dass...

• … der Auftraggeber für die Datenverstöße des Auftragnehmers haftet,
  
• … der Auftraggeber weist und kontrolliert die externe Datenverarbeitung,
  
• … der Auftraggeber ist verpflichtet, Sicherheitsvorfälle zu dokumentieren,
  
• … der Abschluss eines Auftragsverarbeitungsvertrags ist notwendig!
  

Andersherum gefragt: Wann brauche ich den Vertrag zur Auftragsverarbeitung nicht?

Antwort: Er ist immer da überflüssig, wo der, der die Daten bekommt, selbstständig entscheidet, was er mit den Daten macht.

Was ist, wenn ich einen Newsletter verschicke?

Wenn Du einen Newsletter verschickst, muss der Betroffene vorab dazu eindeutig einwilligen (siehe “Eine Einwilligung des Betroffenen ist immer einzuholen”).

Du brauchst ein Opt-In des Betroffenen, welches über das Double-Opt-In-Verfahren einzuholen ist.

Es gibt auch Fälle, in denen Du auch ohne Einwilligung einen Newsletter verschicken darfst. Diese sind zum Beispiel, wenn...

• … Du ein berechtigtes Interesse als Webseitenbetreiber daran hast oder
  
• … es keine überwiegenden Schutzinteressen des Kunden gibt, die dagegen sprechen.
  

Die Ideallösung ist, wenn Du Dir einfach immer eine Einwilligung bzgl. personenbezogener Werbung (Newsletter) einholst, denn so vermeidest Du jegliche Diskussionen mit dem Betroffenen und stehst auf der sicheren Seite.

Auch Cookies müssen laut Datenschutz beachtet werden

Ja, das stimmt. Auf Cookies muss hingewiesen werden - Entweder per Banner oder Einwilligung.

Und das nicht erst laut DSGVO, sondern schon laut unserem heutigen Datenschutzrecht!

Du musst zumindest darauf hinweisen, dass Cookies verwendet werden und dem Benutzer die Möglichkeit geben “Ja” oder “Nein” dazu zu sagen und auf einen Opt-Out-Link zu klicken.

Aber das gilt nur für Cookies, die technisch nicht erforderlich sind. Das sind zum Beispiel:

• Cookies, die das Benutzerverfahren nachhalten,
  
• Cookies, die den Warenkorb nach schließen und öffnen der Webseite wieder anzeigt,
  
• Cookies, die direkt den Login vornehmen, wenn man die Website schon einmal besucht hat.
  

Und wie löst man das Ganze nun? Platziere einen Banner auf Deiner Webseite mit dem Hinweis: “Achtung, wir nutzen hier laut Datenschutzerklärung Cookies!” Der Benutzer muss dann die Möglichkeit haben dieses Fenster mit “OK” wegzuklicken.

In der Datenschutzerklärung, die auf der Webseite hinterlegt sein sollte, kann er dann nachlesen, wie er die Cookies dann wieder entfernen kann.

Laut derzeitigen Datenschutzrecht reichen Banner und Opt-Out derzeit aus.

DSGVO - Was muss ich denn jetzt machen?

Alles schön und gut, aber was muss jetzt getan werden!? Keine Panik, ich zeige Dir 5 Schritte, die Du gehen musst, damit Du datenschutzkonform in die neue Gesetzgebung steigen kannst:

1. Verschaff Dir einen Überblick über alle aktuellen Verfahren innerhalb Deines Unternehmens, bei denen personenbezogene Daten verarbeitet werden.
   
2. Leg ein Verzeichnis von über Verarbeitungstätigkeiten an, denn dieses darf jederzeit von der Datenschutzbehörde angefordert und untersucht werden.
   
3. Pass Deine Datenschutz- und Einwilligungserklärung an! Beachte hierbei auch die Rechte der Betroffenen. Trusted Shops bietet Dir hier z. B. Hilfe an.
   
4. Erstelle einen Reaktionsplan im Falle einer Datenpanne.
   
5. Prüfe und erneuere alle bestehenden Verträge zur Auftragsverarbeitung mit Dienstleistern, wie z. B. Web-Hostern oder Anbietern von Tracking-Tools.
   

DSGVO-Fahrplan

1. Sensibilisierung und interne Datenschutzorganisation
   
2. Datenschutzbeauftragten bestimmen
   
3. Dateninventur durchführen und Verarbeitungsverzeichnis erstellen
   
4. Mit neuen Auskunfts- und Betroffenenrechten vertraut machen
   
5. Verträge zur Auftragsverarbeitung anpassen
   
6. Zustimmungen und Einwilligungen überprüfen
   
7. Shopware Shop bzw. Webseite Datenschutz-konform gestalten
   
8. Newsletter-Versand anpassen
   
9. Neue Datenschutzerklärung organisieren
   
10. Rechtliche Entwicklung beobachten
    

Mit diesem Fahrplan kann so gut wie nichts schief gehen. Bei Fragen kann man sich auch jederzeit an Experten wenden, die einem gern mit Rat und Tat zur Seite stehen. Diese sind zum Beispiel Trusted Shops oder der Händlerbund.

Weitere Links

• Shopware Bestellung manuell anlegen
• Shopware Debug Plugin
• Shopware Inhaltstypen
• Shopware SEO Follow Links
• Shopware URL ändern
• Shopware Update