Demoshops

7. Datenschutz und Datensicherheit

Verfasst von

Bernd Schmitt

in

Datenschutz und Datensicherheit im E-Commerce. Was Onlinehändler beachten müssen.

Vorhängeschloss mit Aufdruck "WordPress"

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich der rechtliche Rahmen für den Umgang mit personenbezogenen Daten grundlegend verändert – das gilt besonders für den E-Commerce.

E-Commerce-Unternehmen verarbeiten täglich große Mengen von Kundendaten, zum Beispiel:

  • Namen und Adressen – nötig, um die Bestellung abzuwickeln.
  • E-Mail-Adressen – nötig, um die Bestellung abzuwickeln.
  • Zahlungsinformationen – nötig, um die Bestellung abzuwickeln.
  • Informationen zum Surfverhalten nicht nötig, um die Bestellung abzuwickeln

Ein verantwortungsvoller und mit der DSGVO gemäßer Umgang mit personenbezogenen Daten vermeidet Abmahnungen und sichert das Kundenvertrauen.

Was ist die DSGVO?

Die DSGVO ist eine EU-Verordnung, die europaweit einheitliche Datenschutzstandards schafft. Sie gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Standort des Unternehmens.

Was sind personenbezogene Daten?

Personenbezogene Daten sind zum Beispiel:

  • Name
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Geburtsdatum
  • Geburtsjahr
  • Religionszugehörigkeit
  • Nationalität
  • IP-Adresse und Standortdaten
  • Kundennummern
  • Zahlungsinformationen (z. B. PayPal-Account oder Kreditkartendaten)

Pflichten für Onlinehändler

Websitebetreiber und besonders Onlinehändler unterliegen einer Reihe konkreter Pflichten:

Informationspflicht (Art. 13 DSGVO)

Kunden müssen klar und verständlich informiert werden über:

  • Wer ihre Daten verarbeitet
  • Welche Daten erhoben werden
  • Zu welchem Zweck und auf welcher Rechtsgrundlage
  • Wie lange die Daten gespeichert werden
  • Welche Rechte ihnen zustehen
  • An wen sie sich bei Fragen wenden können

Diese Informationen müssen in einer Datenschutzerklärung auf der Website veröffentlicht werden – leicht zugänglich und aktuell.

Einwilligung einholen

Für viele Formen der Datenverarbeitung ist eine aktive Einwilligung des Nutzers erforderlich – z. B. bei:

  • Verwendung nicht technisch notwendiger Cookies
  • Newsletter-Anmeldung
  • Nutzung von Tracking-Tools wie Google Analytics oder Facebook Pixel

Wichtig: Die Einwilligung muss vom Website-Besucher aktiv erfolgen – z. B. per Checkbox oder Button im Cookie-Banner.

Verarbeitungen dokumentieren

Unternehmen müssen dokumentieren, welche personenbezogenen Daten sie verarbeiten, wie und warum – in einem internen Verzeichnis, das auf Anfrage der Aufsichtsbehörden vorgelegt werden muss.

Auftragsverarbeitung

Wenn Dritte (z. B. Hostinganbieter, Google Analytics, Newsletter-Dienstleister, Zahlungsanbieter) mit personenbezogenen Daten in Berührung kommen, müssen Websitebetreiber einen Vertrag zur Auftragsverarbeitung (AV) mit diesen Anbietern abschließen.

Pflichtangaben des Kunden beim Anlegen eines Kundenkontos

  • Es dürfen nur Daten erhoben werden, die für den Kaufvorgang relevant sind: Name, Lieferadresse, Rechnungsadresse, Email-Adresse.
  • Das Geburtsjahr darf keine Pflichtangabe sein, auch nicht beim Kauf von Produkten, die eine Altersverifikation erfordern (Alkohol, Tabak, …). Hierfür kann eine Postidentverfahren eingesetzt werden.

Rechte der Betroffenen

Die DSGVO stärkt die Rechte von Kunden („Betroffene“) erheblich. Händler müssen sicherstellen, dass diese Rechte auch tatsächlich umgesetzt werden können:

  • Auskunftsrecht: Welche Daten werden gespeichert?
  • Berichtigungsrecht: Falsche Daten müssen korrigiert werden.
  • Löschrecht („Recht auf Vergessenwerden“): Auf Wunsch müssen Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
  • Recht auf Datenübertragbarkeit, sofern dies technisch möglich ist: Weitere Informationen.
  • Widerspruchsrecht gegen bestimmte Verarbeitungen (z. B. Direktwerbung)

Datenschutzverstöße und Bußgelder

Bei Verstößen gegen die DSGVO drohen empfindliche Strafen: Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, was höher ist. Auch Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen sind möglich.

Typische Risiken im E-Commerce:

  • Fehlende oder fehlerhafte Datenschutzerklärung
  • Unerlaubte Cookie-Nutzung ohne Einwilligung
  • Unverschlüsselte Datenübertragung (Website ohne SSL)
  • Versand von Newslettern ohne Double-Opt-In

Best Practices für datenschutzkonforme Websites

  • Vollständige Datenschutzerklärung: Je nach Funktionen (zum Beispiel Kommentarfunktion) eingesetzten Tools (zum Beispiel Google Analytics) und Plugins (zum Beispiel für die Integration von Instagram-Feeds auf der Website) sind eigene Abschnitte in der Datenschutzerklärung notwendig.
  • Cookie-Consent-Banner einsetzen: WordPress-Plugins wie Cookie Cracker (kostenpflichtig) oder Complianz (kostenlos) ermöglichen DSGVO-konforme Einwilligungen.
  • Nur erforderliche Daten erheben: Datensparsamkeit ist ein zentrales Prinzip der DSGVO.
  • Transparente Kommunikation: Informiere Kunden verständlich und frühzeitig über alle relevanten Datenverarbeitungen.
  • Interne Prozesse prüfen: Schulungen, Dokumentationen und klare Zuständigkeiten helfen bei der Umsetzung der DSGVO.

Schutz vor Phishing

Unseriöse Mail
Achtung: Diese gut nachgemachte Mitteilung kommt nicht von WordPress. Es handelt sich um einen Phising-Versuch.

Tipp: Mails auf Spam testen: https://www.mail-tester.com/

Schutz vor Kommentar-Spam

Spam leeren

Anti-Spam-Plugins verschieben Spam-Kommentare in den Spamordner. Aus dem Spamordner müssen Sie manuell gelöscht werden. Tipp: Den Spam-Ordner vor dem Backup leeren!

Schutz vor Social Engineering

Ein Video zum Thema Social Engineering

Datensicherheit: Schutz vor Datenverlust

Gesichertes WordPress
Die Website demoshops.de wird regelmäßig auf einem externen Laufwerk gesichert.
Im Notfall kann sie wiederhergestellt werden.

Geeignete technische und organisatorische Maßnahmen, mit denen sich Unternehmen vor Datenverlust schützen:

  • Ein Sicherungsintervall für alle Daten (Dateien und Datenbanken) festlegen.
    Beispiel: Täglich zwischen 03:00 und 03:15 werden alle Dateien und Datenbanken gesichert und auf einem externen Datenträger gespeichert.
  • Automatisierung der Sicherung über Datensicherungs-Software.
    Beispiel für WooCommerce-Shops: Das Backup-Plugin Backup Migration einsetzen.
  • Lagerung der gesicherten Daten an einem externen, sicheren Ort.
    Beispiel: Externes Laufwerk, Cloud oder ein USB-Stick, der in einem feuerfesten Schutzschrank aufbewahrt wird.
  • Regelmäßiges Testen, ob die komplette Wiederherstellung gesicherter Daten funktioniert.
  • SSL-Verschlüsselung der Website.
  • Zugriffsschutz durch die Nutzung eines Rollensystems mit abgestuften Benutzerrechten..
  • Regelmäßige Updates des Betriebssystems.
  • Regelmäßige Updates von Shopsoftware, Shop-Themes, Plugins und Add-ons.

Schutz durch Knowhow

Knowhow für WordPress und WooCommerce bieten folgende Websites:

Das neue WooCommerce Starter Theme!

Demoshops.de – Neueste Beiträge