Datenschutz und Datensicherheit im E-Commerce
Rechtssicherheit schaffen und Datenlecks verhindern
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich der rechtliche Rahmen für den Umgang mit personenbezogenen Daten grundlegend verändert – insbesondere im Onlinehandel. E-Commerce-Unternehmen verarbeiten täglich große Mengen sensibler Kundendaten: von Namen und Adressen über Zahlungsinformationen bis hin zu Surfverhalten. Ein verantwortungsvoller, gesetzeskonformer Umgang mit diesen Daten ist daher unerlässlich – nicht nur zur Vermeidung von Bußgeldern, sondern auch zur Wahrung des Kundenvertrauens.
Datenschutz: Was ist die DSGVO?
Die DSGVO ist eine EU-Verordnung, die europaweit einheitliche Datenschutzstandards schafft. Ziel ist es, die Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten zu stärken. Sie gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Standort des Unternehmens.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehören u. a.:
- Name, Adresse, Telefonnummer, E-Mail-Adresse
- IP-Adresse, Standortdaten
- Kundennummern, Bestellhistorie
- Zahlungsinformationen (z. B. Kreditkartendaten)
- Cookies und Tracking-Informationen (sofern rückführbar)
Pflichten für Onlinehändler
Onlinehändler gelten im Sinne der DSGVO als „Verantwortliche“ und unterliegen einer Reihe konkreter Pflichten:
Informationspflicht (Art. 13 DSGVO)
Kunden müssen klar und verständlich informiert werden über:
- Wer ihre Daten verarbeitet
- Welche Daten erhoben werden
- Zu welchem Zweck und auf welcher Rechtsgrundlage
- Wie lange die Daten gespeichert werden
- Welche Rechte ihnen zustehen
- An wen sie sich bei Fragen wenden können
Diese Informationen müssen in einer Datenschutzerklärung auf der Website veröffentlicht werden – leicht zugänglich und aktuell.
Einwilligung einholen
Für viele Formen der Datenverarbeitung ist eine aktive Einwilligung des Nutzers erforderlich – z. B. bei:
- Verwendung nicht technisch notwendiger Cookies
- Newsletter-Anmeldung
- Nutzung von Tracking-Tools wie Google Analytics oder Facebook Pixel
Wichtig: Die Einwilligung muss vom Website-Besucher aktiv erfolgen – z. B. per Checkbox oder Button im Cookie-Banner.
Verarbeitungen dokumentieren
Unternehmen müssen dokumentieren, welche personenbezogenen Daten sie verarbeiten, wie und warum – in einem internen Verzeichnis, das auf Anfrage der Aufsichtsbehörden vorgelegt werden muss.
Auftragsverarbeitung
Wenn Dritte (z. B. Hostinganbieter, Google Analytics, Newsletter-Dienstleister, Zahlungsanbieter) mit personenbezogenen Daten in Berührung kommen, müssen Websitebetreiber einen Vertrag zur Auftragsverarbeitung (AV) mit diesen Anbietern abschließen.
Pflichtangaben des Kunden beim Anlegen eines Kundenkontos
- Es dürfen nur Daten erhoben werden, die für den Kaufvorgang relevant sind: Name, Lieferadresse, Rechnungsadresse, Email-Adresse.
- Das Geburtsjahr darf keine Pflichangabe sein, auch nicht beim Kauf von Produkten, die eine Altersverifikation erfordern (Alkohol, Tabak, …). Hierfür kann eine Postidentverfahren eingesetzt werden.
Rechte der Betroffenen
Die DSGVO stärkt die Rechte von Kunden („Betroffene“) erheblich. Händler müssen sicherstellen, dass diese Rechte auch tatsächlich umgesetzt werden können:
- Auskunftsrecht: Welche Daten werden gespeichert?
- Berichtigungsrecht: Falsche Daten müssen korrigiert werden.
- Löschrecht („Recht auf Vergessenwerden“): Auf Wunsch müssen Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht gegen bestimmte Verarbeitungen (z. B. Direktwerbung)
Datenschutzverstöße und Bußgelder
Bei Verstößen gegen die DSGVO drohen empfindliche Strafen: Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, was höher ist. Auch Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen sind möglich.
Typische Risiken im E-Commerce:
- Fehlende oder fehlerhafte Datenschutzerklärung
- Unerlaubte Cookie-Nutzung ohne Einwilligung
- Unverschlüsselte Datenübertragung
- Versand von Newslettern ohne Double-Opt-In
Best Practices für datenschutzkonformen Onlinehandel
- Aktuelle Datenschutzerklärung: Nutze geprüfte Muster oder Generatoren – idealerweise in juristischer Begleitung.
- Cookie-Consent-Tool einsetzen: Tools wie Borlabs Cookie, Usercentrics oder Cookiebot ermöglichen DSGVO-konforme Einwilligungen.
- Nur erforderliche Daten erheben: Datensparsamkeit ist ein zentrales Prinzip der DSGVO.
- Transparente Kommunikation: Informiere Kunden verständlich und frühzeitig über alle relevanten Datenverarbeitungen.
- Interne Prozesse prüfen: Schulungen, Dokumentationen und klare Zuständigkeiten helfen bei der Umsetzung der DSGVO.
Schutz vor Phishing
Schutz vor Social Engineering
Datensicherheit (Schutz vor Datenverlust)
Geeignete technische und organisatorische Maßnahmen, mitv denen sich Unternehmen vor Datenverlust schützen:
- Ein Sicherungsintervall für alle Daten (Dateien und Datenbanken) festlegen.
Beispiel: Täglich zwischen 03:00 und 03:15 werden alle Daten gesichert. - Automatisierung der Sicherung über Datensicherungs-Software.
Beispiel für WooCommerce-Shops: Das Backup-Plugin Backup Migration einsetzen. - Lagerung der gesicherten Daten an einem externen, sicheren Ort. Beispiel: Externes Laufwerk, Cloud oder USB-Stick, der in einem feuerfesten Schutzschrank aufbewahrt wird.
- Regelmäßiges Testen, ob die komplette Wiederherstellung gesicherter Daten funktioniert.
- SSL-Verschlüsselung der Website
- Zugriffsschutz durch die Nutzung eines Rollensystems mit abgestuften Benutzerrechten.
- Einsatz von Firewalls.
- Regelmäßige Updates des Betriebssystems.
- Regelmäßige Updates von Shopsoftware, Shop-Themes, Plugins und Add-ons.
Fazit
Datenschutz und Datensicherheit sind ein wichtiger Bestandteil des E-Commerce. Wer transparent und verantwortungsvoll mit den Daten seiner Kunden umgeht, schafft Vertrauen und senkt das rechtliche Risiko.