E-Commerce und DSGVO: Pflichten, Sanktionen und Compliance im Onlineshop
Wenn Sie einen Onlineshop betreiben oder im Internet verkaufen, verpflichtet Sie die Datenschutz-Grundverordnung (DSGVO) dazu, personenbezogene Daten Ihrer Kunden transparent, mit Rechtsgrundlage und sicher zu verarbeiten. Verstöße können zu hohen Bußgeldern der spanischen Aufsichtsbehörde (AEPD) und anderer europäischer Behörden führen. In diesem Artikel gehen wir auf die wichtigsten DSGVO-Pflichten im E-Commerce ein: Rechtsgrundlagen und Einwilligung, Datenschutzerklärung, Cookies und Verzeichnis der Verarbeitungstätigkeiten sowie Risiken und typische Fehler, die zu Bußgeldern führen.
Kurz zusammengefasst
- Sie müssen Nutzer klar informieren (Datenschutzerklärung) und für jede Verarbeitung eine Rechtsgrundlage haben (Vertrag, Einwilligung, berechtigtes Interesse).
- Die Einwilligung muss frei, spezifisch, informiert und eindeutig sein; vorangekreuzte Kästchen sind ungültig.
- Nicht unbedingt erforderliche Cookies erfordern vorherige Einwilligung; das Banner muss Ablehnung oder Zustimmung nach Kategorien ermöglichen.
- Bußgelder können bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes betragen.
- Sie müssen ein Verzeichnis der Verarbeitungstätigkeiten führen und geeignete technische und organisatorische Maßnahmen umsetzen.
Rechtsgrundlagen und Einwilligung im E-Commerce
In einem Onlineshop verarbeiten Sie personenbezogene Daten für Bestellungen, Versand, Rechnungen, Kundenservice und oft Marketing (Newsletter, Remarketing). Jede Verarbeitung braucht eine Rechtsgrundlage nach der DSGVO: Vertragserfüllung (Bestellung, Lieferung), gesetzliche Verpflichtung (Buchführung, Aufbewahrung) oder Einwilligung (Newsletter, nicht erforderliche Cookies, Profiling). Die Einwilligung muss frei, spezifisch, informiert und eindeutig sein. Vorangekreuzte Kästchen, unleserlicher Text oder pauschale Einwilligung ohne Trennung der Zwecke sind ungültig und können geahndet werden.
Gute Praxis: Trennen Sie die Einwilligung für den Kauf (für den Vertrag nötig) von der für Werbung. Verwenden Sie standardmäßig nicht angekreuzte Kästchen und klare Links zur Datenschutzerklärung vor der Einwilligung.
Information der Nutzer: Datenschutzerklärung (Art. 13 und 14 DSGVO)
Sie müssen Betroffene klar und zugänglich informieren über: Verantwortlichen, verarbeitete Daten, Zwecke, Rechtsgrundlage, Speicherdauer, Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, keine ausschließlich automatisierte Entscheidung), internationale Übermittlungen und Beschwerderecht. Dies steht in der Datenschutzerklärung, die vor der Dateneingabe verfügbar sein muss. Eine DSGVO-Beratung hilft bei der Texterstellung und bei Verzeichnis und Prozessen.
Sanktionen: Was passiert bei Verstößen
Wichtig: Verstöße gegen die DSGVO können mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorherigen Geschäftsjahrs (der höhere Betrag) geahndet werden. AEPD und andere Behörden verhängen Bußgelder u. a. bei: unklaren Informationen, ungültiger Einwilligung (vorangekreuzte Kästchen, pauschale Einwilligung), Cookies ohne vorherige Einwilligung, fehlendem oder lückenhaftem Verzeichnis, Sicherheitsverletzungen oder verspäteter Bearbeitung von Betroffenenrechten. Eine DSGVO-orientierte Überprüfung Ihres Shops reduziert das Risiko von Verfahren und Bußgeldern.
Cookies und Tracking im Onlineshop
Analyse-, Präferenz- oder Werbe-Cookies (und ähnliche Technologien) sind Verarbeitungen personenbezogener Daten. Nicht strikt erforderliche Cookies benötigen vorherige Einwilligung vor dem Setzen. Sie müssen in einer Cookie-Richtlinie angeben, welche Cookies Sie nutzen, zu welchem Zweck und wie lange, und ein Banner anbieten, das Ablehnung oder Zustimmung nach Kategorien erlaubt (nicht nur „Alle akzeptieren“). Ein Banner ohne Ablehnungsoption oder ohne Link zu einer klaren Cookie-Richtlinie ist einer der häufigsten Gründe für Beschwerden und Bußgelder. Siehe auch unseren Artikel zu rechtlichen Web-Texten und Cookies.
Verzeichnis der Verarbeitungstätigkeiten und Sicherheitsmaßnahmen
Die DSGVO verlangt ein Verzeichnis der Verarbeitungstätigkeiten (mit Ausnahmen für Unternehmen unter 250 Mitarbeitern in bestimmten Fällen) mit u. a. Zwecken, Datenkategorien und Betroffenen, Empfängern, Speicherfristen und Sicherheitsmaßnahmen. Zudem müssen Sie angemessene technische und organisatorische Maßnahmen umsetzen (Pseudonymisierung, Verschlüsselung, Zugriffskontrolle, Schulung). Bei Zahlungen werden Kartendaten oft vom Zahlungsanbieter verarbeitet; Sie bleiben für die von Ihnen direkt verarbeiteten Daten (Kunden, Bestellungen, E-Mails) verantwortlich und müssen Auftragsverarbeitungsverträge mit Anbietern abschließen, die personenbezogene Daten verarbeiten.
Checkliste: E-Commerce und DSGVO
- Aktuelle, klare Datenschutzerklärung vor Datenerhebung zugänglich.
- Rechtsgrundlage für jede Verarbeitung festgelegt (Vertrag, Einwilligung, berechtigtes Interesse).
- Freie und eindeutige Einwilligung; Kästchen standardmäßig deaktiviert für Marketing und nicht erforderliche Cookies.
- Cookie-Richtlinie und Banner mit Ablehnungs- bzw. Zustimmungsoption nach Kategorien.
- Verfahren zur Bearbeitung von Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch (Fristen und Kontakt).
- Verzeichnis der Verarbeitungstätigkeiten aktuell halten.
- Benennung eines Datenschutzbeauftragten (DSB), falls erforderlich (Großverarbeitung, sensible Daten usw.).
Verwandte Dienstleistungen
Soll Ihr E-Commerce DSGVO-konform werden?
Bei Satya Legal unterstützen wir Sie bei Datenschutzerklärung, Verzeichnis, Einwilligung und Cookies, damit Ihr Onlineshop die DSGVO einhält und das Sanktionsrisiko sinkt.
Satya Legal kontaktieren
