DSGVO & WooCommerce – Was muss ich als Onlineshop Betreiber bei der Datenschutzgrundverordnung beachten?

Zunächst vorweg – du bist in jedem Fall von den Änderungen betroffen, welche die DSGVO mit sich bringt, wenn du einen Onlineshop betreibst, Besucher zu dir über ein Formular Kontakt aufnehmen können oder du einen Newsletter versendest. Auch das Einbinden von Affiliate Links oder anklickbaren Social Media Plugins und viele andere Themen erfordert, dass du dich mit den Themen DSGVO beschäftigst. Ich habe einige grundlegende Informationen für dich gesammelt.

Die Informationen in diesem Beitrag habe ich mit größter Sorgfalt recherchiert. Ich übernehme dennoch keine Haftung für Richtigkeit, Vollständigkeit und Aktualität der Informationen. Diese sind allgemeiner Art und stellen keine Rechtsberatung dar.

Die aktualisierte DSGVO (vollständig: EU Datenschutz Grundsatzverordnung, auf englisch GDPR = General Data Protection Regulation) trat am 25. Mai 2018 in Kraft. Sie hat zum Zweck, die Daten von Kunden und Nutzern von Webseiten und Diensten noch besser zu schützen, als es in Deutschland ohnehin schon der Fall war. Sie gilt in ganz Europa und auch für Unternehmen außerhalb der EU, die sich mit ihren Angeboten an europäische Bürger wenden.

Kurz: Wann immer du Kenntnis von persönlichen Daten der Besucher deiner Seite erhältst, diese speicherst oder über deine Seite Daten an andere weitergeleitet werden, musst du diese Daten in besonderem Maße schützen.

All die neuen Vorgaben und Regelungen können leicht überfordern und vielleicht weißt du nicht, womit du überhaupt anfangen sollst. Ich persönlich würde mit den Punkten beginnen, die öffentlich einsehbar sind, z.B. mit der Datenschutzerklärung, dem Cookie Hinweis usw. – und mich von da aus hin zu Punkten wie dem Verzeichnis von Verarbeitungstätigkeiten vorarbeiten, da du dieses nur auf Anfrage durch die Datenschutzbehörde vorlegen musst und nicht öffentlich und für alle einsehbar ist.

Aktualisiere rechtzeitig deine Datenschutzerklärung und dein Impressum. Diese sollten z.B. im Header und/oder Footer verlinkt, definitiv aber von jeder Unterseite deiner Webseite aus direkt ohne Suche auffindbar sein. Dazu kann man das Plugin „EU Cookie Law“ benutzen.

Für die Erstellung einer Datenschutzerklärung kannst du spezielle Datenschutzgeneratoren wie den von Rechtsanwalt Christian Solmecke nutzen. Trotzdem bist du selber dazu verpflichtet, sicherzustellen, dass auch wirklich alles notwendige (z.B. externe Services wie Google Analytics oder Plugins die extern Daten wie IP Adressen der User speichern) in der Datenschutzerklärung enthalten ist. Lasse im Zweifelsfall ggf. alles durch deinen Anwalt prüfen oder ziehe in Betracht, die Texte direkt und auf deine Webseite zugeschnitten von einem Rechtsanwalt erstellen zu lassen. Die IT-Recht-Kanzlei bietet entsprechende Pakete an. Bei e-Recht24 findest du ebenfalls entsprechende Angebote.

Wann immer in deiner Datenschutzerklärung ein Bezug auf spezifische Artikel oder Absätze in der DSGVO genommen wird, würde ich empfehlen, auf diese hinzuweisen. Beispiel: „zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO“

Bezüglich deiner Datenschutzerklärung musst du auch alle von dir verwendeten Plugins und Erweiterungen untersuchen. Viele Erweiterungen wie WooCommerce, MailPoet und GravityForms speichern automatisch Kundendaten. Du musst sie also zu deiner Datenschutzerklärung hinzufügen. Das gilt ebenso für Social Media Buttons, die Newslettermaske und natürlich Cookies. Falls du nicht sicher bist, ob bestimmte Plugins o.ä. überhaupt mit der DSGVO zusammenpassen, lasse dies im Zweifelsfall besser durch einen Anwalt prüfen oder verwende ein anderes Plugin bei dem du sicher bist.

Firmen außerhalb der EU müssten die DSGVO auch komplett einhalten, wenn sie sich mit ihrem Angebot an Kunden innerhalb der EU richten. Welche dieser Firmen hat sich dazu verpflichtet? Das kannst du mit diesem Privacy Shield Verzeichnis überprüfen. Hier sind Firmen wie Google und co. aufgelistet, die sich dazu verpflichtet haben, die DSGVO in Europa komplett einzuhalten.

Überprüfe auch die von dir angebotenen Zahlungsmethoden (wie z.B. PayPal, Sofortüberweisung etc.) welche Kundendaten diese Unternehmen ggf. speichern. Darauf solltest du dann ebenfalls in der Datenschutzerklärung hinweisen. Gleiches gilt für Versanddienstleister (wie z.B. DHL) an die du ggf. Kundendaten übermittelst.

Halte dein WordPress und WooCommerce immer aktuell und verwende sehr sichere Passwörter, damit Hacker möglichst keine Chance haben, Daten zu stehlen – das gilt übrigens nicht erst seit der DSGVO. Genauso wichtig ist es, dass deine Kunden beim Erstellen ihrer Accounts sichere Passwörter verwenden. Dafür kannst du Vorgaben festlegen, aus welchen Zeichen ein Passwort bestehen muss, um eine Mindestsicherheit zu gewährleisten. Du solltest nicht darauf vertrauen, dass deine Kunden dies von sich aus berücksichtigen.

Es gibt externe Dienste, die die Speicherung von Kreditkartendaten übernehmen. Überlege, ob das für dich sinnvoll sein könnte. So musst du die Sicherheit dieser Daten nicht selbst umsetzen – aber auch hier ist natürlich wieder ein entsprechender Hinweis in der Datenschutzerklärung fällig.

Nutzt du Formulare, z.B. für Newsletter zu denen sich Besucher deiner Webseite anmelden können, solltest du das Double-Opt-in Verfahren nutzen. Es ist wichtig, sicherzustellen, dass die Art und Weise, wie du dir von deinen zukünftigen Newsletterabonnenten die nötige Einwilligung holst, mit den Richtlinien der DSGVO übereinstimmt. Nachdem der User seine E-Mail Adresse im Newsletterformular eingetragen hat, erhält er beim Double-Opt-in eine erste E-Mail an die angegebene Adresse, in der sich ein Link befindet, den er anklicken muss, wenn er sich wirklich für den Newsletter anmelden will. Erst danach wird die Anmeldung zum Newsletter offiziell. So kann verhindert werden, dass Personen gegen ihren Willen durch Dritte zu Newslettern o.ä. angemeldet werden. Auch muss ein Widerruf der Zustimmung jederzeit möglich sein und entsprechende Hinweise müssen vorhanden sein.

Unterschiedliche Infos finden sich zu dem Thema, ob das Formular zur Newsletteranmeldung um ein Häkchen ergänzt werden muss, welches angeklickt werden muss und mit einer Beschreibung wie „Ich stimme hiermit der Verarbeitung meiner Daten zu…“ beschriftet werden sollte. Manche Anwälte empfehlen dies, andere halten es nicht für unbedingt notwendig, bitte informiere dich hier weitergehend und treffe die Entscheidung für oder gegen so einen Haken ggf. nach Absprache mit deinem Anwalt. Das gleiche gilt für die Kopplung des Newsletterabonnements an ein „Goodie“ wie z.B. ein kostenloses E-Book, ein Gewinnspiel oder einen Rabattgutschein. Auch hierzu gibt es unterschiedliche Interpretationen des Gesetzes durch verschiedene Anwälte.

Schon vor der Anmeldung zum Newsletter solltest du dem User Informationen darüber geben, welche Inhalte im Newsletter behandelt werden, wie häufig etwa ein Newsletter erscheint, welches Newsletterprogramm du verwendest usw.

Detailliertere Infos zu diesem Thema findest du zum Beispiel auf der Webseite der Rechtsanwaltskanzlei Dr. Schwenke.

Sorge bei all deinen Hinweisen bezüglich Datenschutz dafür, in einer klaren, einfach verständlichen Sprache zu schreiben.

Verwendest du Google Analytics, solltest du berücksichtigen, dass seit dem Inkrafttreten der DSGVO darauf geachtet werden muss, dass die IP-Adresse deiner Besucher jetzt nur noch gekürzt und anonymisiert verarbeitet werden darf. Gleichzeitig muss dem Besucher eine Opt-Out Funktion angeboten werden, mit welcher dieser mit einer Browser Erweiterung die Erfassung seiner Besucherdaten komplett untersagen kann.

Dieses Snippet kannst du bei Bedarf kopieren und in deine Webseite einfügen. Wenn du ein modernes Theme hast, musst du den Code nicht mal in den Quelltext des Headers einfügen sondern kannst ihn ganz bequem im dafür vorgesehenen Feld in den Theme Einstellungen einfügen. Du musst dann noch deine persönliche ID von Google Analytics in das Snippet einfügen (dort, wo jetzt ‚UA-123456-1‘ steht).

<"dieser text muss vor dem einfügen inklusive "" entfernt werden"script>

var gaProperty = ‚UA-123456-1‘;

var disableStr = ‚ga-disable-‚ + gaProperty;

if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {

window[disableStr] = true;

}

function gaOptout() {

document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;

window[disableStr] = true;

alert(‚Das Tracking ist jetzt deaktiviert‘);

}

(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){

(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),

m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)

})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);

ga(‚create‘, ‚UA-123456-1‘, ‚auto‘);

ga(’set‘, ‚anonymizeIp‘, true);

ga(’send‘, ‚pageview‘);

<"dieser text muss vor dem einfügen inklusive "" entfernt werden"/script>

Damit du den zuständigen Behörden (die mit empfindlichen Bußgeldern drohen) den korrekten Umgang mit den Daten deiner Besucher und Kunden jederzeit nachweisen kannst, musst du genau dokumentieren, wie du Daten sammelst, verwendest und schützt. Dafür musst du ein Verzeichnis von Verarbeitungstätigkeiten anlegen, welches du auf Wunsch jederzeit vorlegen können musst. Es muss nicht öffentlich und ohne Anfrage einsehbar sein, aber auf Anfrage. Ein kostenloses Muster und mehr Informationen findest du auf der Seite von active.mind. Wichtig ist auch, dass du in deiner öffentlich einsehbaren Datenschutzerklärung darauf hinweist, welche Daten (z.B. IP-Adressen) durch einen Besuch auf deiner Webseite erfasst und wie sie gespeichert und verarbeitet werden und innerhalb welcher Frist sie wieder gelöscht werden.

Prüfe, ob du ADV-Verträge abschließen musst. Diese Verträge werden zwischen dir, als Webseitenbetreiber und solchen Unternehmen geschlossen, die in deinem Auftrag Daten verarbeiten. Dazu gehören z.B. Webhoster, Angebote von Google wie Analytics oder Newsletter-Dienstleister. Weitere Informationen zum Thema ADV findest du bei BlogMojo oder auf Datenschutzbeauftragter-Info.

Ein für Onlineshops wichtiges Thema, da hier sehr häufig personenbezogene Daten, wie z.B. Adressen, Bankverbindungen etc. gespeichert werden. Onlineshops sind, wie jede Webseite, Risiken wie einem Angriff durch Hacker ausgesetzt. Passiert dies, könnte es vorkommen, dass personenbezogene Daten der Kunden gestohlen und eventuell missbraucht werden.

Die DSFA soll u.a. prüfen, welche Risiken bestehen und welche Folgen daraus resultieren könnten. Pauschal lässt sich nicht beurteilen, welche Webseitenbetreiber eine DSFA brauchen und welche nicht. Dabei kommt es u.a. auf Art und Menge der verarbeiteten Daten an und darauf, welche Risiken konkret bestehen. Weitere Informationen zu diesem Thema findest du z.B. hier. Es könnte außerdem empfehlenswert sein, dieses Thema im Zweifelsfall mit deinem Anwalt zu besprechen.

Wenn du einen größeren Onlineshop betreibst und dein Unternehmen aus 10 oder mehr Mitarbeitern besteht, musst du einen Datenschutzbeauftragten benennen und auf deiner Webseite dessen E-Mail Adresse als Kontaktmöglichkeit angeben. Das gleiche gilt, wenn du besonders sensible Daten erfasst, die z.B. auf sexuelle Orientierung, ethnische Herkunft oder politische Meinungen schließen lassen und die Verarbeitung dieser Daten zu den Kerntätigkeiten deines Unternehmens gehören. Dies ist z.B. teilweise bei Arztpraxen der Fall. Es gibt diesbezüglich noch weitere Regelungen, die wir hier nicht im Detail aufführen können. Weitere Informationen dazu findest du z.B. in dieser Broschüre (aktueller Preis 5,50 € am 29.5.2018).

• Falls du überprüfen willst, ob und welche externen Inhalte deine Webseite im Browser lädt, kannst du z.B. über Google Chrome mit einem Rechtsklick auf Untersuchen klicken, dadurch öffnet sich die sogenannte Entwicklerleiste. Mit einem Klick auf „Sources“ werden externe Inhalte, die bei beim Besucher deiner Webseite aufgerufen werden, angezeigt. Diese Ansicht ist allerdings nur ein erster Hinweis auf die externe Speicherung von Daten und daher nicht ausreichend. Auch für Benutzer unsichtbar (im Backend) können Daten erfasst werden. Einen sehr hilfreichen Check zu WordPress Plugins im Bezug auf ihre DSGVO Kompatibilität findest du hier.

• Manche Plugins leiten die Daten von Kunden an Server außerhalb der EU weiter – diese solltest du zur Sicherheit eher nicht mehr verwenden, weil nicht sichergestellt werden kann, dass diese Anbieter die DSGVO umsetzen. Dazu zählen etwa JetPack, MailChimp, Akismet und iThemes Security.
• Richte spätestens jetzt eine SSL Verschlüsselung ein, sonst ist die Übertragung von personenbezogenen Daten der User/Kunden an deine Webseite nicht gesichert.
• Stellst du deinen Onlineshop deinen Kunden in verschiedenen Sprachversionen zur Verfügung, muss auch für jede dieser Versionen eine vollständige und korrekt übersetzte Datenschutzerklärung vorliegen. Ich persönlich würde mich dafür nicht auf automatische Übersetzungen wie Google Translate verlassen.
• Zum Thema Facebook Like Button und DSGVO habe ich hier weitere Infos zusammengetragen.

• Im Moment ist es umstritten, ob es mit der DSGVO vereinbar ist, eine Map von Google (z.B. als Routenbeschreibung) auf der eigenen Webseite einzubinden. Google arbeitet momentan wohl an einer DSGVO-konformen Umsetzung von Maps, bisher wurden durch solche Maps jedoch Cookies auf den Rechnern der Webseitenbesucher gespeichert. Diese Cookies haben danach auch die Werbeanzeigen, die der User bei einer Google Suche zu Gesicht bekam, beeinflusst. Bis die Lage hier eindeutig geklärt ist, solltest du genau prüfen, ob du weiterhin eine Map auf deiner Webseite einbinden oder so lange lieber darauf verzichten willst. Gleiches gilt für Google Fonts (Schriftarten).

• Möchtest du Youtube Videos auf deiner Webseite einbinden, gibt es dafür seit dem Inkrafttreten der DSGVO eine neue Regelung. Bisher wurden Youtube Videos oft so eingebunden, dass Youtube bzw. Google dadurch Cookies im Browser der Webseitenbesucher gespeichert haben. Dies ist aus datenschutzrechtlicher Sicht schwierig. Achte darauf, ab sofort beim Einbetten von Youtube Videos den „Erweiterten Datenschutzmodus“ zu aktivieren. Siehe Screenshot:

Die DSGVO ist ein komplexes Thema, welches viele Anwälte beschäftigt und einiges an Fachwissen erfordert. Aus diesem Grund ist es unter Umständen sinnvoll, das Thema DSGVO auf deiner Webseite von einem Fachanwalt umsetzen zu lassen.

Gerne bin ich dir bei der technischen Umsetzung der notwendigen Anpassungen behilflich. Ich versuche deine Fragen rund um das Thema technische Umsetzung der DSGVO für Webseitenbetreiber beantworten. Ich helfe Dir bei der Anpassung von Deiner Webseite.  

Meine Informationen zum Thema DSGVO ist allgemeiner bzw. technischer Art und stellen keine Rechtsberatung dar und erheben auch keinerlei Anspruch auf Vollständigkeit!

Setze dich in diesem Fall einfach über das Kontaktformular oder auch via Email und Telefon mit mir in Verbindung. Darüber hinaus bin ich dir auch gerne bei der Installation von WordPress oder beim Umzug deiner Webseite behilflich. Ich würde mich freuen, von dir zu hören. Gemeinsam schauen wir, dass die DSGVO Verordnungen, welche für deine Webseite relevant sind, technisch umgesetzt werden. Selbstverständlich ist es derzeit für alle Webseitenbetreiber ein wichtiges Anliegen, auf der sicheren Seite zu sein und Probleme wie teure Abmahnungen oder Beschwerden von Kunden zu vermeiden. Wir haben uns dafür umfangreich mit der Datenschutzgrundverordnung für Webseitenbetreiber auseinandergesetzt und bieten unseren Kunden die technische Umsetzung der gegebenen Vorschriften der DSGVO für eine WordPress Webseite an.

Solltest du andere Fragen rund um das Thema WordPress haben, dann findest Du auf meiner Webseite darüber hinaus ein umfangreiches Angebot an Video Tutorials zu allen wichtigen Themen. Auch hier lohnt es sich auf jeden Fall, einmal einen Blick hereinzuwerfen.