DSGVO Leitfaden

Datenschutz-Grundverordnung
Unser 10 Punkte-Plan
(nicht nur) für Shop 10 Nutzer

Am 25.05.2018 tritt die Datenschutz-Grundverordnung in Kraft, die für Shop-Betreiber einige Neuerungen mit sich bringt. Mit unserem 10-Punkte-Plan können Sie selbst prüfen, ob Ihr Shop betroffen ist, und was Sie tun müssen, um die Daten Ihrer Nutzer zu schützen. Eines vorweg: Dieser Plan kann eine fundierte juristische Beratung nicht ersetzen! Jedes Web-Projekt ist anders und kann eigene, spezielle Fragestellungen aufwerfen. Auch kann die DSGVO Websites ohne Einkaufsmöglichkeit ebenso betreffen. An dieser Stelle geht es aber nur um Shops. Sollten Sie unsicher sein, fragen Sie bitte in jedem Fall einen Fachanwalt.

1. Atmen Sie durch!

Rund um das Inkrafttreten der DSGVO werden Sie vermutlich von allen Seiten mit Unmengen mehr oder weniger gut gemeinter Tipps bombardiert, was man sofort tun müsse oder nach dem 25.05. auf gar keinen Fall mehr machen dürfe. Das Ganze wird dann gerne noch mit dem wenig erfreulichen Ausblick auf millionenschwere Maximalstrafen garniert. Hier können wir Ihnen nur raten, einen kühlen Kopf zu bewahren! Wie jedes neue Gesetz gibt die DSGVO zunächst einmal einen Rahmen vor, der im Laufe der Monate durch die Rechtsprechung mehr und mehr „mit Fleisch gefüllt“ wird. Sie sollten sich also nicht verrückt machen lassen, aber auf jeden Fall auch nach dem 25.05. am Ball bleiben. Wir tun das übrigens auch und versorgen Sie auch nach dem 25.05. mit Programm-Updates, damit Sie auf der sicheren Seite sind. Und dort bleiben.

Und es gibt noch einen weiteren Grund, weshalb Sie sich entspannen können: der Schutz personenbezogener Daten liegt SIQUANDO immer schon am Herzen und zieht sich wie ein roter Faden durch all unsere Produkte. Deswegen können Sie auch 100% sicher sein, dass keines unserer Programme irgendwelche personenbezogenen Daten Ihrer Kunden an SIQUANDO überträgt. Warum wir das versprechen können? Weil unsere Produkte auf Ihren Computern und Servern laufen und überhaupt keine Daten an uns übertragen!

2. Verstehen Sie, was „personenbezogene Daten“ sind!

„Ein Blick ins Gesetz erleichtert die Rechtsfindung“ ist ein geflügeltes Wort unter Juristen. In der Tat ist der erste Schritt, zu verstehen, um was es bei der DSGVO überhaupt geht. Und das sind „personenbezogene Daten“. Was aber sind personenbezogene Daten? Nun, im Grunde alles, was Sie speichern und was sich einer konkreten Person zuordnen lässt. Dabei sind manche Daten leicht als personenbezogen zu erkennen, wie zum Beispiel die Postadresse von Monika Mustermann. Da die Adresse ein personenbezogenes Datum ist, ist eine Rechnung an Monika Mustermann auch ein solches. Gleiches gilt für die Telefonnummer und die E-Mail-Adresse. Haben Sie ein Kontaktformular auf Ihrer Website? Fragen Sie dort nach der E-Mail-Adresse? Dann werden dort personenbezogene Daten erzeugt! Selbst in einem Log gespeicherte IP-Adressen können personenbezogene Daten sein, denn die IP-Adresse 123.123.123.123 hat zu einem bestimmten Zeitpunkt einer bestimmten Person „gehört“.

All diese Daten haben eines gemeinsam: Jahrelang haben zahlreiche Unternehmen, vorwiegend große, teilweise aber auch kleinere, die Daten munter gesammelt, gespeichert, verbunden und ausgewertet, im Glauben „die Daten gehören ja uns!“. Mit diesem Gebaren ist ab dem 25.05.2018 endgültig Schluss, denn der Gesetzgeber hat ganz unmissverständlich klar gestellt: Personenbezogene Daten gehören erst einmal der Person, auf die sie sich beziehen. Und diese hat bezüglich ihrer Daten umfangreiche Rechte.

Wenn Sie verstanden haben, was personenbezogene Daten sind, und warum diese geschützt werden müssen, haben Sie den Kern der DSGVO verstanden. Bravo.

3. Prüfen Sie, ob Sie mehr speichern, als Sie brauchen!

Personenbezogene Daten sind schützenswert, manchmal kommt man aber nicht umher, sie zu erfassen. So müssen Sie die Adresse Ihrer Kunden speichern, wenn Sie einen Shop betreiben, denn sonst können Sie ihnen die Ware nicht zusenden. Aber die Telefonnummer? Brauchen Sie die wirklich? Rufen Sie Ihre Kunden tatsächlich an? Lautet die Antwort nein, dürfen Sie in Zukunft die Telefonnummer möglicherweise nicht mehr speichern und sollten die Abfrage in SIQUANDO Shop 10 deaktivieren.

Elemente im Kundendaten-Formular

Die DSGVO nennt das „Datensparsamkeit“. Und definiert eine einfache Regel: Wenn Sie etwas speichern, müssen Sie dafür einen konkreten, guten Grund haben. Zeit also für Ihren persönlichen „Hand-aufs-Herz-Moment“: brauchen Sie eine bestimmte Angabe tatsächlich, oder hätten Sie sie nur gerne?

4. Prüfen Sie, ob Sie länger speichern, als Sie müssen!

Sie speichern also nur noch das, was Sie wirklich speichern müssen. Prima! Aber wie lange speichern Sie es? Die DSGVO verlangt nämlich, dass Sie personenbezogene Daten nur so lange speichern dürfen, wie Sie sie benötigen.

Die Frage, wie lange man Daten benötigt, ist für Shop-Betreiber vergleichsweise leicht zu beantworten, denn aufgrund anderer gesetzlicher Bestimmungen muss dieser „Unterlagen zu Geschäftsvorfällen“ über mehrere Jahre aufbewahren, so dass sich alleine dadurch schon recht lange Aufbewahrungsfristen ergeben.

Wenn Sie aber bei Ihrem Provider ein Zugriffs-Log führen, um Angriffe auf Ihre Infrastruktur oder Zahlungsbetrug verfolgen zu können, dürfen Sie dieses nicht bis zum Sankt-Nimmerleinstag aufbewahren, sondern müssen es möglicherweise regelmäßig und zeitnah löschen.

5. Prüfen Sie, ob Sie Daten weiter geben!

Wie schon erwähnt, geben SIQUANDO Produkte keinerlei Daten an uns weiter und kommen auch sonst überwiegend ohne die Nutzung externer Dienstleister klar, an die potenziell personenbezogene Daten übertragen werden könnten. Manchmal geht es wohlgleich nicht ohne, zum Beispiel, wenn Sie Kreditkarten oder andere Zahlungsmittel über einen Dienstleister abrechnen.

Aber auch an anderer Stelle kann es zur Übertragung personenbezogener Daten kommen. Lassen Sie Zugriffe auf Ihre Seite von Google Analytics zählen? Binden Sie YouTube-Videos ein? Verwenden Sie reCaptcha zum Schutz vor Spam? Dann sollten Sie mit dem Anbieter dieser Dienste klären, ob personenbezogene Daten übertragen werden, wie diese verarbeitet werden und wie lange sie gespeichert werden. Und ob dies ggf. auf Servern geschieht, die sich außerhalb des Geltungsbereichs der DSGVO befinden.

Oder Sie erwägen, das Problem an der Wurzel zu packen und die Videos auf Ihrem eigene Server zu hosten (zum Beispiel mit dem HTML5-Video Modul von SIQUANDO Shop 10) und Zugriffsanalysen mit einem System durchzuführen, das Sie auf Ihrem eigenen Server betreiben und datenschutzkonform einstellen können (zum Beispiel mit Matomo).

Verwenden Sie ein Design eines Drittanbieters, das Webfonts oder JavaScript-Frameworks wie Bootstrap von einem CDN-Server nachlädt? Auch das kann problematisch sein, denn auch hier können personenbezogene Daten (wie die IP-Adresse) übertragen werden. Wenn Sie ausschließlich Original-Designs von SIQUANDO verwenden, haben Sie das Problem nicht, denn diese tun dies generell nicht!

6. Verraten Sie Ihren Kunden, was Sie speichern!

Wenn Sie hier angekommen sind, dann haben Sie schon eine Menge für den Datenschutz Ihrer Besucher erreicht. Sie wissen, was personenbezogene Daten sind, verstehen, dass diese schützenswert sind, speichern nur, was Sie müssen, so lange Sie es müssen und wissen, wo Sie etwas weitergeben. Sie haben also schon jede Menge Gutes getan. Reden Sie darüber! Schreiben Sie Ihren Kunden eine Datenschutzerklärung. Dort erläutern Sie, (1) was Sie (2) warum, (3) wie lange speichern. SIQUANDO Shop 10 enthält eine Muster-Vorlage für eine solche Erklärung, die Sie einfach einfügen und Ihren Bedürfnissen anpassen können.

Seite Datenschutz

Sie sehen: eine Datenschutzerklärung ist eine echt feine Sache. Darum ist Sie auch gesetzlich vorgeschrieben.

Damit Sie genau wissen, was Sie alles speichern, hat das SIQUANDO Produkt-Team unsere aktuellen Programme SIQUANDO Web 10, SIQUANDO Shop 10 und SIQUANDO Pro Web 2 von Kopf bis Fuß durchleuchtet und eine umfassende Checkliste erstellt, welche persönlichen Daten erfasst und welche Cookies von den zahlreichen enthaltenen Funktionsmodulen gesetzt werden. Sie finden die „Checkliste Datenschutz“ in Ihrem Kundenkonto zum Download.

7. Bitten Sie Ihre Kunden um ihr Einverständnis!

Wie bereits festgestellt, haben Sie gute Gründe, um im Rahmen eines Kaufs bestimmte personenbezogene Daten Ihrer Kunden zu speichern, teilweise auch über einen langen Zeitraum. Bevor Sie dies aber tun, müssen Sie Ihre Kunden Kunden in den meisten Fällen um ihr Einverständnis bitten. In SIQUANDO Shop 10 haben wir Funktionen integriert, mit denen Sie nicht nur auf die gespeicherten Daten hinweisen (über einen Link auf Ihre Datenschutzerklärung), sondern auch das Einverständnis Ihrer Kunden einholen.

Hinweis auf Datenschutz

In Kontakt-Formularen, die personenbezogenen Daten, wie den Namen oder die E-Mail-Adresse erfragen, empfiehlt es sich, eine Checkbox einzubauen, mit der der Nutzer zustimmt, dass diese Daten gespeichert und/oder verarbeitet werden.

8. Sorgen Sie dafür, dass die Daten Ihrer Kunden sicher sind!

Am Ende aller Mühen befinden Sie sich jetzt in Ihren Händen: die personenbezogenen Daten Ihrer Kunden. Nun obliegt es Ihnen, technische Maßnahmen zu ergreifen, diese vor Missbrauch und Diebstahl zu schützen. Das beginnt schon damit, dass Sie Ihre Website auf SSL umstellen sollten – dazu müssen Sie mit Ihrem Provider sprechen, denn Sie benötigen ein so genanntes Zertifikat. SIQUANDO Shop 10 selbst ist auf SSL bestens vorbereitet. Aber auch auf Ihrem Server sollten die Daten nicht ungeschützt „herumliegen“, fragen Sie am besten bei Ihrem Provider nach, ob die Datenbank dort verschlüsselt wird (oder in einem verschlüsselten Dateisystem liegt). Aber auch auf Ihrer Seite ist Verschlüsselung wichtig, so sollten Ihre Projekte auf einem verschlüsselten Dateisystem liegen (Windows bietet hier zum Beispiel die Funktion „Bitlocker“ an), insbesondere, wenn Sie mit einem Notebook arbeiten. Und auch die Verbindung zu Ihrem Server muss abgesichert werden, SIQUANDO Shop 10 bietet hier SFTP als sichere Alternative zum unverschlüsselten FTP an.

SFTP Uploader

9. Stehen Sie Rede und Antwort!

Wenn Ihre Datenschutz-Erklärung steht, dürften bei Ihren Kunden nur noch wenig Fragen offen sein, was den Schutz ihrer persönlichen Daten angeht, denn mit ihr zeigen Sie klar Flagge, dass Sie das Thema ernst nehmen. Dennoch haben alle Personen, deren Daten Sie gespeichert haben, das Recht, nachzufragen, was konkret über sie gespeichert wurde. In SIQUANDO Shop 10 gibt es dazu eine Funktion zum Export der Kunden- und Bestelldaten im universellen XML-Format.

Export

Ihre Kunden haben auch grundsätzlich einen Anspruch auf Löschung. Auch dafür gibt es Funktionen in SIQUANDO Shop 10. Achten Sie aber darauf, dass Sie nichts löschen dürfen, was Sie aufgrund gesetzlicher Bestimmungen noch aufbewahren müssen (Sie erinnern sich: zum Beispiel Unterlagen zu Geschäftsvorfällen).

10. Im Zweifel: lassen Sie sich helfen!

Das war ein erster grober Überblick über die Bedeutung der DSGVO für Nutzer von SIQUANDO Shop 10. Natürlich gilt die DSGVO nicht nur für Shop Betreiber und natürlich ist jedes Web-Angebot anders. Auch werden an die Datenschutz-Erklärung einige formale Ansprüche gestellt. Und auch bei Ihrer Organisation gilt es einige Dinge zu beachten, eventuell gilt es zum Beispiel einen Datenschutzbeauftragten zu bestellen, auf jeden Fall sind aber persönliche Daten vor den Blicken unbefugter zu schützen. Deswegen können wir nur dringend den Rat aussprechen: lassen Sie sich im Zweifelsfall helfen. Ein guter Fachanwalt kann Ihr konkretes Projekt prüfen und Ihnen punktgenaue Empfehlungen geben.