Facts für Ihren Schweizer Onlineshop
Das neue europäische Datenschutzgesetz, kurz DSGVO, soll den grenzüberschreitenden Handel vereinfachen, in dem es in allen Mitgliedstaaten der EU ein einheitliches Recht für den Datenschutz schafft. Das DSGVO bildet hier die Mindestanforderungen an die jeweilige länderspezifische Ausgestaltung der Gesetze. Es tritt am 28. Mai 2018 in Kraft.
Mittels einer kurzen Google-Suche findet man haufenweise Informationen und Handlungsempfehlungen. Wir möchten Ihnen kurz und bündig aufzeigen, was für Sie und Ihren Schweizer Online-Shop wichtig ist und wo Sie von der DSGVO betroffen sind.
Wann tritt die neue europäische Verordnung für den Datenschutz in Kraft?
Am 25. Mai 2018 müssen die betroffenen Unternehmen ihre Prozesse und Systeme angepasst haben.
Gilt die DSGVO auch für Schweizer Onlineshops?
Ja, wenn Sie Waren und Dienstleistungen in einen EU-Mitgliedstaat verkaufen oder kostenlos anbieten und zu diesem Zweck personenbezogene Daten erheben.
Der Hersteller von Magento, die Magento Inc. sagt dazu, dass aufgrund der modernen Architektur der E-Commerce- Lösung keine grösseren Anpassungen notwendig sind. Damit Magento der DSGVO entspricht, werden also keine grösseren Anpassungen erwartet. Zumindest nicht seitens der Architektur und Datenverwaltung von Magento.
Die Magento Inc. führt zudem aktuell eine Kartierung der Daten durch. Anhand der Ergebnisse dieser Daten-Kartierung wird es möglich sein, eventuelle Schwachstellen in Bezug zur DSGVO zu identifizieren. Selbstverständlich informieren wir unsere Kundinnen und Kunden, sobald diesbezüglich eine Aktion erforderlich wird.
Im folgenden Abschnitt finden Sie in Form einer Checkliste die Dinge, welche Sie sicher beachten müssen, um auch nach dem 25. Mai 2018 unbesorgt Handel mit den in der EU ansässigen Kundinnen und Kunden zu betreiben.
Cookies in Ihrem Onlineshop
Ja, dürfen Sie. Für moderne E-Commerce-Lösungen wie Magento sind Cookies für ein maximales Benutzererlebnis ohnehin unerlässlich. Beim Setzen eines Cookies muss eine Interessenabwägung gemacht werden:
Unserer Interpretation zufolge muss die Einverständniserklärung des Benutzers darum insbesondere dann abgeholt werden, wenn nebst für den Shop-Betrieb notwendigen Cookies auch beispielsweise Google Analytics eingesetzt wird.
Analyse mit Google Analytics
Sie dürfen Google Analytics weiterhin einsetzen, jedoch nur mit entsprechender Einverständniserklärung der Benutzerin.
Einverständniserklärung, respektive Einwilligung des Nutzers
Wenn Sie die Einwilligung einholen müssen, dann ist ein Overlay auf Ihrer Website die einfachste Methode dafür. Auf diesem Overlay am unteren oder oberen Rand der Website muss der Zweck der Datenspeicherung beschrieben sein. Ebenfalls müssen die Besucherinnen und Besucher die Möglichkeit haben, ihr Einverständnis eindeutig zu geben. Bereits im Voraus angekreuzte Checkboxen (der User vollzieht das Opt-Out) genügen nicht.
Ausreichende Information
Als Shop-Betreiberin sollten Sie an geeigneter Stelle ausführlich über die Datenverarbeitung berichten und darlegen, welche Daten Sie zu welchem Zweck speichern, verarbeiten und an Dritte weitergegeben. Dies lässt sich am einfachsten mittels einer dedizierten CMS-Seite erreichen, auf die via der Einverständniserklärung vewiesen wird.
Bonitäts-Checks
Bonitätsprüfungen sind dann, wenn diese in Zusammenhang mit einer Bestellung vorgenommen werden, weiterhin erlaubt. Es ist aber jedoch zu prüfen, ob der jeweilige Dienstleister seine eigene Datenverarbeitung im Einklang mit der DSGVO durchführt. Kontaktieren Sie dazu Ihren Dienstleister und sprechen Sie ihn darauf an.
Social-Media-Plugins
Die DSGVO setzt die bereits erwähnte Einverständniserklärung des Users voraus, sobald seine Daten verarbeitet werden. Da der Shop-Betreiber jedoch keine Kontrolle mehr über die Benutzerdaten bei Facebook, Instagram, etc. hat und auch nicht weiss, welche Daten genau vom Benutzer abgefragt werden, wird es nahezu unmöglich, den genauen Verwendungszweck im Sinne der DSGVO zu deklarieren.
Auch sogenannte 2-Klick-Lösungen sind ungenügend, da der Benutzer nicht in ausreichender Form über den Verarbeitungszweck seiner Daten informiert werden kann.
Unsere Empfehlung ist daher, auf solche Plugins zu verzichten oder diese bei bestehenden Lösungen zu entfernen.
DSGVO und Newsletter
Newsletter und deren Anmeldung sind immer noch erlaubt. Nach wir vor müssen Sie Ihren Kundinnen und Kunden das Double-Opt-In anbieten. Damit ist sichergestellt, dass Ihre Benutzerinnen zuerst ein E-Mail mit einem Aktivierungs-Link erhalten. Neu darf nur noch die E-Mail-Adresse als Pflichtfeld abgefragt werden. Vor- und/oder Nachname sowie weitere personenbezogene Daten können zwar freiwillig erfragt werden, die Benutzerin darf jedoch nicht dazu gezwungen werden.
Wichtig anzumerken ist, dass Kunden nicht mit Rabatten oder Gutscheinen zum Double-Opt-In ermuntert oder gar gezwungen werden dürfen, da der Kunde zu diesem Zeitpunkt noch nicht dem Erhalt von Werbung zugestimmt hat. Auch darf die Newsletter-Anmeldung nicht zu einem zwingenden Kriterium für den Vertragsabschluss gemacht werden. In der Double-Opt-In-E-Mail darf darum maximal das Shop-Logo, der übliche Text und das Call-To-Action-Element für die Newsletter-Anmeldung enthalten sein.
Es sind wenige Shop-Anpassungen, die uns der Schutz unserer aller Daten wert sein sollte.
Aus Shop-Betreiber-Sicht sind ein paar Dinge etwas mühsam, doch dient das Ganze schlussendlich dem Schutz der Daten von uns allen und dafür sollten uns allen diese kleinen Anpassungen nicht zu viel sein. Die Schweizer Datenschutzgesetze regeln bereits sehr vieles und geben einen sehr guten Rahmen dessen vor, was erlaubt ist und was nicht. Vieles müssen Sie an Ihrem Onlineshop nicht ändern, um gesetzestreu in die EU-Länder liefern zu können. Shop-Betreiberinnen sollten aber dennoch die folgenden Punkte prüfen:
Perfekt, dafür sind wir ja da.
Wir freuen uns und beantworten alle sehr gerne.