Mandanteninformation für Shopbetreiber zu datenschutzrechtlichen Aspekten beim Betrieb von Internetshops nach Datenschutzgrundverordnung

Auf dieser Seite erhalten Mandanten, die von uns eine Shopberatung erhalten haben, aktuelle Informationen zur rechtlichen wie auch tatsächlichen Datenschutzaspekten aufgrund der Datenschutzgrundverordnung.
Diese Seite wird regelmäßig aktualisiert.

Allgemeine wichtige Hinweise zum Datenschutzrecht für Shopbetreiber

Aufgrund der Änderungen bei den datenschutzrechtlichen Vorgaben müssen Sie detailliert über die Verarbeitung personenbezogener Daten informieren. Dies gilt insbesondere, wenn Sie mit anderen Unternehmen zusammenarbeiten oder wenn Sie die Services anderer Unternehmen nutzen und hierbei eine Verarbeitung personenbezogener Daten auch durch die anderen Unternehmen erfolgt. Wir hatten Ihnen daher eine Überprüfung empfohlen, mit welchen Unternehmen Sie zusammenarbeiten bzw. welche Services anderer Unternehmen Sie nutzen und inwieweit in diesem Zusammenhang eine Verarbeitung personenbezogener Daten auch durch die anderen Unternehmen erfolgt. Wir erläutern an dieser Stelle  beispielhaft, in welchen Fällen aus diesem Grund Ergänzungen in der Datenschutzerklärung erforderlich sind:

– Nutzung von Webanalyse-/Webtracking-Tools (z. B. Matomo)
– Nutzung von Onlinemarketing-Tools (z. B. Werbeanzeigen und Remarketing-Tools)
– Nutzung von Services anderer Unternehmen (z. B. Google Maps)
– Nutzung der Plugins sozialer Netzwerke
– Nutzung der Services anderer Unternehmen für Bewertungen (Bewertungstools), den Versand von Newslettern, zum Erkennen von Bots (ReCaptcha), für die Darstellung von Schriften (Google-Fonts (beachten Sie zum Thema Google Fonts bitte unsere wichtigen Hinweise weiter unten)),
– Zusammenarbeit mit Zahlungsdienstleistern, die über reine Überweisungstätigkeiten hinausgeht (Finanzierungs-Dienstleistungen oder Factoring-Dienstleistungen, bei denen Bonitätsauskünfte eingeholt werden)
Wir möchte ausdrücklich darauf hinweisen, dass die vorgenannte Aufzählung lediglich beispielhaften Charakter hat. Wir empfehlen Ihnen auch an dieser Stelle nochmals dringend, dass Sie eine umfassende Überprüfung vornehmen, mit welchen Unternehmen Sie zusammenarbeiten bzw. welche Services von anderen Unternehmen Sie in Anspruch nehmen und inwieweit hierbei eine Verarbeitung personenbezogener Daten erfolgt. Sofern hierbei eine Verarbeitung personenbezogener Daten erfolgt, sind in der Datenschutzerklärung Ergänzungen erforderlich. Die erforderlichen Ergänzungen in der Datenschutzerklärung hängen hierbei davon ab, inwieweit im Rahmen der einzelnen Zusammenarbeit bzw. inwieweit im Rahmen der Inanspruchnahme eines einzelnen Services personenbezogene Daten verarbeitet werden.

Aus den Mitteilungen verschiedener Mandanten ist uns bekannt, dass viele Unternehmen zumindest in der Vergangenheit keine ausreichenden Informationen darüber zur Verfügung gestellt haben, inwieweit Sie personenbezogene Daten verarbeiten. Dies gilt insbesondere für die Services von Google und die Betreiber sozialer Netzwerke. Wie wir ebenfalls aus den Rückäußerungen verschiedener Mandanten wissen, stellen viele Unternehmen noch immer keine ausreichenden Informationen zur Verarbeitung personenbezogener Daten zur Verfügung. Dies hat zur Folge, dass über die Verarbeitung personenbezogener Daten durch diese Unternehmen (selbst bei einer rechtmäßigen Verarbeitung der Daten) nicht ordnungsgemäß über die Verarbeitung der Daten informiert werden kann. Zahlungsdienstleister beziehen sich zum Teil (mit fragwürdigen Argumenten) auf den Standpunkt zurück, dass im Rahmen der Zusammenarbeit mit Online-Händlern im Verhältnis zu den Kunden eine eigene und selbstständige Verarbeitung der personenbezogenen Daten der betroffenen Personen (Kunden der Online-Händler) erfolge, weshalb die Online-Händler in ihren Datenschutzerklärungen hierüber gar nicht informieren müssen. Zum Teil erfolgt selbst bei vergleichbaren Leistungen durch verschiedene Anbieter eine unterschiedliche Verarbeitung der personenbezogenen Daten der betroffenen Personen. Vor diesem Hintergrund können Sie zutreffende und vollständige Informationen zur Verarbeitung personenbezogener Daten nur von den Unternehmen erhalten, mit denen Sie zusammenarbeiten bzw. deren Services Sie in Anspruch nehmen.

Aufgrund der Vielzahl von Unternehmen, mit denen Sie zusammenarbeiten bzw. der Vielzahl von Services, die Sie in Anspruch nehmen können, müssen Sie die erforderlichen Informationen bei den Unternehmen erfragen, mit denen Sie zusammenarbeiten bzw. deren Services Sie in Anspruch nehmen. Wie wir aus den Rückäußerungen vieler Mandanten wissen, haben die Unternehmen jedoch sehr unterschiedlich auf entsprechende Anfragen reagiert. Während einige Unternehmen entsprechende Informationen und sogar Formulierungsvorschläge für die Datenschutzerklärung zur Verfügung gestellt haben, haben andere Unternehmen nur unzureichende Informationen zur Verfügung gestellt oder gar nicht reagiert.

Das größte datenschutzrechtliche Praxisproblem für Shopbetreiber

Nach unserer Einschätzung ist das größte Praxisproblem im Datenschutzrecht für Shopbetreiber der Versand von Newslettern bzw. E-Mail-Werbung ohne Einverständnis des Empfängers. Dies ist nicht nur ein Wettbewerbsverstoß, sondern auch ein Verstoß gegen Datenschutzvorschriften. Dies war bereits vor Inkrafttreten der Datenschutzgrundverordnung der Fall, durch die DSGVO verschärft sich das Problem jedoch. Insbesondere, da Kunden beim Thema Datenschutz aktuell sehr sensibilisiert sind, warten hier zukünftig größere Probleme.

Sie sollten daher auf jeden Fall darauf achten, nur Kunden Newsletterwerbung zu übersenden, bei denen in der Vergangenheit ein einwandfreies Double-Opt-In gewährleistet ist.

Übermittlung von Emailadressen an Logistikdienstleister

Für die Übermittlung einer E-Mail-Adresse oder einer Telefonnummer an ein Logistik- oder Speditionsunternehmen wird, nach Auffassung der Datenschutzaufsichtsbehörden, eine entsprechende Einwilligung vorausgesetzt.

Diese Fälle sind bspw. dann gegeben, wenn eine Spedition eine Telefonnummer benötigt, um einen Liefertermin abzusprechen, wie aber auch wenn das Logistikunternehmen selbst Trackinginformationen an den Kunden versendet.

Hinsichtlich Trackinginformationen ist es für Sie der rechtssicherste Weg, wenn Sie und nicht das Logistikunternehmenden Kunden im Rahmen der Vertragsabwicklung per Mail nach dem Versand der Ware konkrete Trackinginformationen, wie bspw. einen Link zukommen lassen.

Custom Audiences bei Facebook ist grundsätzlich datenschutzrechtlich unzulässig

Bei einer Custom Audiences kann ein Unternehmer aus einer Kundenliste heraus Werbeanzeigen an eine Zielgruppe, die auf Facebook, Instagram und im Audiences Network erstellt wurde.
Nach einer Entscheidung des Verwaltungsgereichtes Bayreuth vom 08.05.2018 ist der Einsatz von Facebook Custom Audiences grundsätzlich datenschutzwidrig. Diese Einschätzung hat nichts mit der Datenschutzgrundverordnung zu tun. Vielmehr erfolge das Urteil auf Grundlage des Bundesdatenschutzgesetzes. Nach unserem Eindruck lässt sich die Rechtswidrigkeit auch nicht durch eine entsprechende Datenschutzerklärung auffangen.
Wir raten daher von dem Einsatz dieser Werbemethode ab.

Datenschutzrechtliche Aspekte bei der Nutzung von Google Fonts

Google stellt attraktive Schriftarten bereit, die auf Internetseiten genutzt werden können. Nach unserem Eindruck nutzen in erster Linie Blogs diese Schriften. Eine Nutzung ist jedoch natürlich auch bei Internetshops nicht ausgeschlossen.
Bei der üblichen Nutzung von Google Fonts bezieht nach unserem Eindruck die Internetseite die Fonts direkt von den Servern von Google. Ggf. werden dort personenbezogene Daten übertragen. Dies rechtskonform in der Datenschutzerklärung darzustellen ist problematisch, da vollkommen unklar ist, welche Daten zu welchem Zweck an Google übertragen werden, wenn ein Seitennutzer eine Seite aufruft, in der Google Fonts genutzt werden.

Um entsprechende datenschutzrechtliche Probleme zu vermeiden, empfehlen wir, Google Fonts lokal auf dem Server einzubinden. Vereinfacht gesagt laden Sie die entsprechenden von Ihnen genutzten Google Fonts auf Ihren Server herunter, passen das CSS Ihrer Webseite an und trennen diesbezüglich die Verbindung zum Google Server.In diesem Fall müssen Sie die Nutzung von Google Fonts nicht in Ihrer Datenschutzerklärung erwähnen.
Konkrete Informationen zu technischen Aspekten finden Sie in der Suchmaschine Google bei Eingabe von
“Google Fonts datenschutzkonform einbinden“

Stand: 05.06.2018

https://ssl-vg03.met.vgwort.de/na/29919fa5f4c440b8a281531faa6be527