Datenschutz-Grundverordnung DSVGO: Handlungsempfehlungen für Schweizer Onlineshop-Betreiber
Sicher haben Sie in den letzten Tagen und Wochen die Medienberichterstattung zum Thema DSGVO mitbekommen. Nachfolgend finden Sie einige Informationen dazu, und falls Sie nicht den ganzen Text lesen möchten weiter unten unter "Zusammenfassung" eine Kurzversion inklusive Handlungsempfehlung.
Das Ziel der neue Datenschutz-Grundverordnung ist es Unternehmen zu verpflichten persönliche Daten bestmöglich zu schützen sowie transparent zu informieren, wie diese Daten genutzt werden. In Anbetracht der immer besser werdenden technischen Möglichkeiten sowie einigen Datenmissbrauchsskandalen sicher eine sinnvolle Sache.
Nachfolgend meine Interpretation sowie einige Handlungsempfehlungen. Wichtig ist es mir hier explizit zu erwähnen dass ich natürlich kein Fachmann im rechtlichen Bereich bin und dies nur meine Interpretationen und Empfehlungen als Laie sind. Somit kann ich rechtlich natürlich auch gar nichts garantieren und empfehle im Zweifelsfall einen Experten beizuziehen.
Die DSGVO gilt grundsätzlich für alle Unternehmen die Daten von EU-Bürgern verarbeiten. Insofern können natürlich auch Schweizer Unternehmen davon betroffen sein. Unabhängig vom Standort einer Unternehmung stellt sich aber auch die Frage wie stark die Behörden allfällige Verstösse gegen die DSVGO ahnden werden. Viele Experten denken dass hier ein gesunder Menschenverstand angewendet wird, und bei kleineren und mittleren Unternehmungen keine Buchstabengetreue Umsetzung verlangt wird, sofern eine gute Absicht und Bemühung erkenntlich ist und nicht grobfahrlässig oder sogar missbräuchlich gehandelt wurde. Meiner Meinung nach ist daher aktuell keine Panik angebracht, da sich erst in nächster Zeit zeigen wird welche Auswirkungen die DSGVO tatsächlich auf die Unternehmen hat. Dazu kommt natürlich auch noch die Spezialsituation der Schweiz als Nicht-EU-Mitglied. Es stellt sich die Frage ob bei geringfügigen Verstössen gegen die DSGVO über die EU-Grenzen hinaus eine Sanktionierung möglich ist.
Auch wenn Ihr Unternehmen daher vielleicht nicht direkt betroffen ist lohnt es sich die allgemeine Situation bezüglich Datenschutz einmal kritisch zu analysieren. Nicht zuletzt weil davon ausgegangen wird dass auch in der Schweiz in nächster Zeit ein ähnliches Gesetzt geschaffen wird.
Daher nachfolgend meine Einschätzung zu den wichtigsten Punkten der DSGVO, inklusive Handlungsempfehlung. Diese Informationen habe ich durch Recherche zusammengetragen und habe dabei vor allem darauf geachtet wie andere Schweizer Onlineshops die DSGVO handhaben. Denn auch hier ist es nicht verkehrt sich an der Konkurrenz zu orienteren, da sicher gerade grössere Onlineshops viel Geld in entsprechende Abklärungen investiert haben.
Datenschutzbestimmungen
Zusätzlich zu den AGB sollte spätestens jetzt auf Ihrer Webseite auch eine Datenschutzerklärung aufgeschaltet werden. In der Datenschutzerklärung erklären Sie Besuchern Ihrer Webseite wie Sie deren Daten zu schützen versuchen und was mit den erhobenen Daten passiert.
Die Datenschutzerklärung sollte auf jeder Unterseite verlinkt sein und wird daher am besten direkt im Footer platziert. Ausserdem sollte die Datenschutzerklärung analog zu den AGB auch vor dem Kauf vom Kunden akzeptiert werden müssen. So können Sie sicher sein dass Sie bei jeder Bestellung die explizite Einwilligung des Kunden erhalten, dessen Daten weiter zu verarbeiten.
Ich persönlich gehe nicht davon aus, dass eine zweite Checkbox zusätzlich zu den AGB die Kunden vom Kauf abhalten wird. Bei vielen Shops, gerade im deutschsprachigen Raum ist dies heute schon Standard und die Kunden sind sich gewöhnt, den Datenschutzbestimmungen zustimmen zu müssen. Zumal die Datenschutzbestimmungen ja im Sinne des Kunden sind und er ein Interesse daran hat dass seine Daten möglichst gut geschützt werden.
Angehängt finden eine allgemeine Vorlage für die Datenschutzbestimmungen welche ich basierend auf meiner eigenen Recherche sowie Analyse anderer Onlineshops zusammengestellt habe. Hier noch mal der explizite Hinweis dass ich für eine rechtliche Durchsetzbarkeit sowie Gültigkeit dieser Vorlage nicht garantieren kann. Im Zweifelsfall sollte ein diplomierter Experte dazugezogen werden.
"Cookie-Hinweis"
Bereits seit längerem in einigen EU-Mitgliedstaaten Pflicht ist der Hinweis auf einer Webseite wenn diese so genannte "Cookies" im Browser des Besuchers platziert. Cookies sind kleine Textbausteine die bei jedem nachfolgenden Seitenaufruf an die Webseite übermittelt werden. Sie dienen primär dazu den Besucher über mehrere Seitenaufrufe hinweg zu identifizieren. Gerade bei Onlineshops sind sie daher von eklatanter Wichtigkeit, da ohne Cookies keine eindeutige Zuordnung und somit auch kein Einkauf möglich ist, der sich ja immer über mehrere Seitenaufrufe hinwegzieht.
Diese normalen Cookies sind eigentlich unbedenklich, problematisch wird es erst bei so genannten Third Party Cookies. Bindet eine Webseite ein Skript einer externen Webseite ein, so kann diese externe Webseite das Surfverhalten des Besuchers über mehrere Seiten hinweg nachverfolgen. Bestes Beispiel dafür sind die Facebook-Plugins, die es Facebook dank Einbindung in diversen anderen Webseiten erlauben genaue Profile eines Webnutzers zu erstellen, auch wenn dieser ausserhalb von Facebook.com unterwegs ist.
Dieser "Cookie Hinweis" welcher beim erstmaligen Aufrufen einer Webseite erscheint soll die Nutzer nun über solche Cookies informieren. Eigentlich eine gute Sache, in der Praxis ist es jedoch so dass fast alle Webseiten diese Cookies nutzen, und der Besucher dies daher wohl oder übel akzeptieren muss. Was genau ein solcher Hinweis beim erstmaligen Öffnen einer Webseite in Anbetracht dessen genau bringen soll, ist mir nicht klar.
Entsprechend wird dieser Hinweis zumindest in der Schweiz auch von fast keiner der untersuchen Webseiten und Onlineshops eingesetzt. Meine Empfehlung hier würde daher lauten mit einem solchen Hinweis mal noch zu warten. Sollte sich wider Erwarten abzeichnen dass dieser wirklich zum Standard wird kann der Hinweis immer noch platziert werden.
Newsletter-Versand
Der letzte und wahrscheinlich wichtigste Punkte der hier erwähnt wird ist der Newsletter-Versand.
Gemäss einiger Experten ist bei einer genauen Auslegung der DSGVO ein Newsletter-Versand faktisch nicht mehr möglich. Da ein Newsletter jedoch bei vielen Shops ein wichtiger Umsatzgenerator ist sollte hier ein gesunder Mittelweg gewählt werden.
Wichtig ist vor allem dass der Betreiber eines Newsletters jederzeit nachweisen kann dass er nicht "missbräuchlich" an die Daten der Empfänger gekommen ist. Aus diesem Grund lohnt es sich bei neuen Abonnenten eine explizite Zustimmung zum Empfang des Newsletters einzuholen. Diese Zustimmung sollte auch dokumentiert und somit später nachweisbar sein.
Technisch gibt es dafür ein so genanntes "Double Opt In". Nach der Anmeldung zum Newsletter erhält der Empfänger direkt eine Email in welcher er gebeten wird die Anmeldung zu bestätigen. Dies geschieht anhand von einem Link in der Email, welcher bei einem Aufruf die Einwilligung des Empfängers abspeichert. Dieser Double Opt In kann bei vielen Newslettertools wie z.B. Mailchimp standardmässig aktiviert werden.
Mir ist bewusst dass es viele Seitenbetreiber gibt die vor dem Hinzufügen eines Empfängers zu einer Emailliste keine explizite Einwilligung eingeholt haben. Ich erhalte teilweise auch Newsletter von Unternehmen mit denen ich zwar schon per Email Kontakt hatte, mich aber nie explizit für einen Newsletter angemeldet habe. Gemäss strenger Auslegung des DSVGO wäre das nicht mehr erlaubt. Auch hier jedoch der Hinweis auf den gesunden Menschenverstand: Sofern der Newsletter klar den Haupttätigkeitsbereich der Unternehmung abdeckt und die Daten nicht an Dritte weitergegeben werden halte ich dies auch weiterhin für unproblematisch, auch wenn ich diese unaufgeforderten Newsletter persönlich für etwas nervig halte. Wichtig ist hier vor allem auch dass der Kunde jederzeit die Möglichkeit hat sich vom Newsletter abzumelden. Hätte er sich in der Vergangenheit nämlich zu sehr am Newsletter gestört, hätte er sich davon wohl auch abgemeldet (siehe dazu auch: https://www.newsletter2go.de/blog/re-opt-in-newsletter-einwilligung/ und https://www.baumer.ch/fr/magazin/artikel/die-neue-eu-datenschutzgrundverordnung-und-e-mail-marketing/).
Noch ein Hinweis zu einer persönlichen Beobachtung: In den letzten Tagen habe ich viele Emails erhalten von Unternehmen für deren Newsletter ich mich einmal angemeldet habe, oder sonst wie auf der Empfängerliste gelandet bin. Diese Unternehmen wollen nun explizit die Einwilligung für den Newsletterversand einholen und fordern in diesen Emails dazu auf, sich erneut für den Newsletter anzumelden. Dies halte ich persönlich für nicht notwendig bzw. evtl. sogar für kontraproduktiv: Mit einem solchen Email gestehen die Unternehmen meiner Meinung nach ein dass sie nicht bereits eine explizite Erlaubnis für den Emailversand haben, den ansonsten müssten sie diese ja nun nicht mehr einholen. Insofern wären die Unternehmen gemäss strenger Auslegung der DSGVO gar nicht berechtig, diese Emails zu versenden, da ja wie erklärt keine Berechtigung zum Versand vorliegt (siehe dazu auch: https://www.theguardian.com/technology/2018/may/21/gdpr-emails-mostly-unnecessary-and-in-some-cases-illegal-say-experts). Daher würde ich davon abraten.
Zusammenfassung
Nachfolgend meine Empfehlungen zur DSGVO noch kurz zusammengefasst:
- Datenschutzbestimmungen unbedingt im Footer verlinken und bei Bestellungsabsendung als Pflichtfeld zu akzeptieren
- "Cookie-Hinweis" nicht nötig
- Newsletter-Anmeldungen ab sofort am besten nur noch per Double Opt In, bestehende Anmeldungen können weiter genutzt werden
Und noch ein allgemeiner Hinweis: Diese Erklärungen betreffen nur Daten die in Zusammenhang mit einem Onlineshop erhoben werden. Wenn Sie zusätzlich zum Onlineshop auch noch andere persönliche Daten Ihrer Kunden verarbeiten müsste natürlich auch dort geprüft werden ob diese Verarbeitung den gängigen Datenschutzbestimmungen entspricht, vor allem wenn Sie auch Daten von EU-Bürgern verarbeiten.