Eine DSGVO-Checkliste für kleinere Online-Shops
Das bayerische Landesamt für Datenschutzaufsicht hat die wichtigsten Datenschutzaufgaben für kleine Onlinehändler in einer Checkliste zusammengestellt. Sie hat den Titel „Praxis-Check für Soloselbstständige und Kleinstunternehmen aus dem Bereich Handel“ und steht als PDF-Datei kostenlos zum Download bereit.
Die Checkliste geht von einem typischen kleineren Online-Shop ohne juristische Risikotechnologie wie KI-generierten Interessentenprofilen aus. Sie wendet sich an Unternehmen mit maximal neun Mitarbeitenden.
Die Anregung dazu kam aus der Praxis: Das Papier geht offenbar auf die Initiative einer in der Münchner IHK aktiven Onlineshop-Betreiberin zurück. Es verspricht eine praxisnahe Orientierung. Trotzdem benötigt die Thematik etwas Zeit, das Dokument hat immerhin 13 Seiten. Es gibt einiges zu beachten, damit der Online-Shop und die eigenen Abläufe DSGVO-konform sind.
Einige der Punkte in der Checkliste betreffen formelle Auflagen aus der Datenschutz-Grundverordnung (DSGVO). Dazu gehören …
ein Verzeichnis der Verarbeitungstätigkeiten: Jeder Vorgang, der mit personenbezogenen Daten zu tun hat, muss dokumentiert werden. Neben dem Zweck der jeweiligen Speicherung oder Datenverarbeitung sind auch Angaben zur Personengruppe, der Dauer der Speicherung, der geplanten Löschung und der verwendeten Technologie erforderlich. Die Checkliste liefert dazu auch ein Beispielverzeichnis (Anhang A).
eine Angabe der Rechtsgrundlage zu jeder Verarbeitung personenbezogener Daten: Oft ist dafür die ausdrückliche Einwilligung der Betroffenen erforderlich. Das kann zum Beispiel durch ein Einverständnis-Häkchen geschehen. Auch ein Vertrag oder eine gesetzliche Vorschrift zur Speicherung können die Speicherung und Verarbeitung rechtfertigen. Nur in eng begrenzten Fällen liefert die „Wahrung der berechtigten Interessen“ eine Rechtsgrundlage – ein Datenschutz-Freischein sind sie nicht.
eine Datenschutz-Folgenabschätzung und ein Datenschutzbeauftragter: Beides ist in erster Linie für größere Unternehmen relevant und für kleinere Online-Händler in der Regel nicht erforderlich. Ausnahmen gelten, wenn besonders brisante Daten anfallen wie zur Gesundheit und zum Sexualverhalten oder wenn die Daten zur Marktforschung bestimmt sind.
Meldung von Datenschutzverletzungen: Sicherheitsvorfälle wie Cyberangriffe oder technische Probleme, bei denen personenbezogene Daten in die Hände Unbefugter gelangt sein können, müssen den Aufsichtsbehörden mitgeteilt werden. Dazu haben die Landesdatenschutzbeauftragten der Bundesländer eigene Online-Formulare eingerichtet.
Die Checkliste macht auf besondere Rechtsansprüche aufmerksam, die Kundinnen und Kunden in Bezug auf ihre personenbezogenen Daten haben.
Recht auf Information: Wenn personenbezogene Daten erfasst werden, müssen die Betroffenen darüber informiert werden. Das gilt zum Beispiel für die beim Bestellprozess oder beim Abonnement eines Kundennewsletters erforderlichen Angaben. Das gilt zusätzlich zum Einholen der möglicherweise nötigen Einwilligung (siehe oben).
Recht auf Auskunft, Berichtigung und Löschung: Wer Daten von Kunden oder Interessenten speichert, muss ihnen auf Anfrage hin mitteilen, um welche Informationen es geht. Außerdem können Betroffene verlangen, dass fehlerhafte Informationen korrigiert und ihre Daten auf Wunsch gelöscht werden. Solche Forderungen müssen auch kleine Online-Shops und Einzelselbstständige umsetzen. Dazu sollten entsprechende Kontaktmöglichkeiten vorhanden sein. Weiteren Maßnahmen wie gesonderte Anfragefunktionen oder Löschroutinen müssen kleinere Händler in aller Regel nicht vorhalten.
Keine Werbung ohne korrekte Einwilligung: Das erfordert zum Beispiel bei E-Mail-Werbung ein Verfahren mit Double-Opt-In. Der Abonnement-Wunsch muss von neuen Abonnenten ausdrücklich bestätigt werden. Anschließend muss jederzeit die Möglichkeit geboten werden, der weiteren Zusendungen zu widersprechen oder den Newsletter abzubestellen. Die Widerspruchsmöglichkeit ist bei gedruckter Werbung per Post ebenfalls erforderlich.
Videoüberwachung von stationären Ladenflächen setzt eine Abwägung der Diebstahlrisiken gegenüber den Datenschutzrechten Betroffener voraus. Das gilt auch für die Frage, welche Bereiche gefilmt und wie lange die Aufnahmen gespeichert werden. Außerdem muss auf die Videoüberwachung hingewiesen werden. Das Aufnehmen von Beschäftigten ist besonders heikel. Neben der Checkliste liefert unser Blogbeitrag „Videoüberwachung von Verkaufs- und Unternehmensräumen“ weitere Informationen.
Das Hosting des Online-Shops oder der Website sollte in der EU oder einem EWR-Staat erfolgen. Das Gleiche gilt für E-Mail-/Newsletter-Dienstleister. Erforderlich ist eine Auftragsverarbeitungsvereinbarung mit dem Anbieter. Der Hoster sollte ein technisch und organisatorisch adäquates Datenschutzniveau gewährleisten und entsprechende TOM („technische und organisatorische Maßnahmen“) vertraglich zusichern.
Nutzer-Tracking und Cookies auf der Website sind nur zulässig, wenn die Besucher darauf hingewiesen werden beziehungsweise einwilligen. Das betrifft auch Tracking durch Drittanbieter wie Werbenetzwerke oder durch Social-Media-Buttons. Die Checkliste nennt Einzelheiten zu den Anforderungen an Cookie-Banner und Datenschutzerklärungen.
Die Nutzung von Cloud-Diensten erfordert ebenfalls einen Auftragsverarbeitungsvertrag und vertraglich vereinbarte TOM. Wenn die Daten in die USA übermittelt werden, muss der Anbieter unter die Vereinbarung zum „Data Privacy Framework“ fallen. Die Checkliste spricht in diesem Zusammenhang von „Office-Produkten aus der Cloud“ und meint damit wohl Microsoft 365. Sicherer sind Shop-Anbieter, wenn der Cloud-Anbieter von vornherein zusichern kann, dass die Daten nur in der EU gespeichert werden und nicht in die USA abfließen.
Wenn Messenger- bzw. Chat-Dienste zur Kommunikation mit Kunden und Geschäftspartnern eingesetzt werden, muss sichergestellt sein, dass diese die Kontaktdaten DSGVO-konform behandeln und nicht beispielsweise die gesamte Kontaktliste im Smartphone auslesen. Problematisch ist in dieser Hinsicht beispielsweise WhatsApp, auch wenn die Checkliste das Meta-Unternehmen nicht explizit nennt. Eine weitere Anforderung ist die Ende-zu-Ende-Verschlüsselung.
KI-Nutzung ist ebenfalls mit rechtlichen Pflichten verbunden. Generell gehört dazu eine KI-Schulungspflicht und bald eine Hinweispflicht auf KI-generierte Inhalte. Sobald die KI im Zusammenhang mit personenbezogenen Daten genutzt wird, geht es auch um die DSGVO. Das gilt auch zum Beispiel dann, wenn ein Mitarbeiter die Antwort auf eine Beschwerde mit einer KI-App verfasst und dabei Angaben zur betreffenden Person eingibt. Schon die Nutzung der Prompts für das weitere Training der KI wäre eine unzulässige Datenverarbeitung.
Weiterführende Informationen zu Rechts- und Businessthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv: