Blog

30. April 2018

Kostenloser EU-DSGVO Leitfaden & Interview mit E-Commerce Agentur Webcellent

EU-DSGVO Leitfaden und Interview mit Webcellent

Interview mit Geschäftsführer Dominik Bödger von Webcellent zur EU-DSGVO. Brennende DSGVO-Fragen für Shopbetreiber finden Antworten und als Highlight: ein kostenloser 22-seitiger Leitfaden zur DSGVO mit vielen validen Infos.

Stichtag 25. Mai 2018: Der Termin, an dem die EU-DSGVO in Kraft tritt, ist lange bekannt. Trotzdem stecken einige Unternehmen noch in voller Vorbereitung. Die Verunsicherung ist groß, es gibt viele Meinungen und unterschiedliche Leitfäden. Wir haben die Internetagentur Webcellent für Marketing und E-Commerce aus dem ostwestfälischen Paderborn gefragt, wie Agenturen eigentlich die Betreiber von Onlineshops zur EU-DSGVO beraten. Um in den letzten Wochen vor dem Stichtag Klarheit und valide Informationen zu bekommen, stellt Webcellent einen kostenlosen Leitfaden zur Verfügung.

Über den Interviewpartner Dominik Bödger und Webcellent

Dominik Bödger von Webcellent im maxcluster Interview

Dominik Bödger, Geschäftsführer Webcellent GmbH

Dominik Bödger ist gemeinsam mit Dennis Löwen Geschäftsführer der Webcellent GmbH. Als staatlich geprüfter Fachinformatiker startete er 2007 im Bereich Affiliate Marketing & Suchmaschinenoptimierung. 2009 wurde er erstmals auch für Kunden als Online Marketing Berater tätig. Seit 2010 hält er durchgehend den Titel zertifizierter Google Partner inne und hat bisher große Performance Marketing Budgets für Werbekunden im E-Commerce Umfeld gemanaged. Darüber hinaus hat er einige kostenlose Online Marketing Tools entwickelt, die seither von über 250.000 Nutzern, bestehend aus IT- & Marketingverantwortlichen von Unternehmen, Agenturen und Freelancern, eingesetzt wurden. 2017 hat er gemeinsam mit einigen Kollegen der Webcellent E-Commerce Unit alle Developer, Designer & Partner Zertifizierungen von Shopware absolviert.

Webcellent ist eine Full-Service Internetagentur mit einem sehr zahlengetriebenen Beratungsansatz. Das Team besteht aus erfahrenen E-Commerce Consultants, Online Marketers, Webdesignern und Softwareentwicklern, die häufig mit 10 bis 15 Jahren Berufserfahrung aufwarten können. Von der E-Commerce Strategie, Umsetzung und Wartung von Onlineshops auf Basis von Shopware und Magento bis hin zur anschließenden Online-Vermarktung, z.B. über die Suchmaschinenoptimierung (SEO), Google AdWords und Social Media wird Webcellent für seine E-Commerce Kunden ganzheitlich tätig. Im Online Marketing hat Webcellent als zertifizierter Google Partner für E-Commerce Kunden bereits mehrere Millionen Euro Online Marketing Budget effektiv und skalierbar gesteuert.

Welche Probleme erlebt ihr bei Shopbetreibern, die sich EU-DSGVO-konform aufstellen wollen?

Bei Onlineshops kommen häufig verschiedenste Plugins (Zahlungsanbieter, Kundenbewertungen, Bonitätsprüfung) und Online Marketing Tools (Newsletter, Trackings/Pixel, CRO/UX-Tools) zum Einsatz, welche häufig auch persönliche Daten nach Art. 4 Abs. 1 EU-DSGVO verarbeiten. Zu diesen Datenverarbeitungsvorgängen müssen nach Art. 13 & 14 DSGVO umfassende Angaben gemacht werden. Etwa zum Zweck der Verarbeitung, Rechtsgrundlage, Aufbewahrungszeiträume und vieles mehr.

Diese Herausforderung ist eigentlich nur zu meistern, wenn technisch Verantwortliche und Datenschutzbeauftragte bzw. Juristen im intensiven Austausch untereinanderstehen. Aber wir haben auch die Erfahrung gemacht, dass selbst einige größere Zahlungsanbieter sich selbst kurz vor Inkrafttreten der EU-DSGVO noch schwer damit getan haben, die erforderlichen Auskünfte zu ihren Datenverarbeitungsvorgängen für die gebündelte Informationsauskunft am zentralen Ort der Datenschutzbestimmungen final offen zu legen. Teilweise wurde beschwichtigend angekündigt, dass Zahlungsplugins Aktualisierungen erhalten sollen, die dann die rechtlichen Informationen an den entsprechenden Stellen ausgeben.

Für Shopbetreiber, die ernsthaft darum bemüht sind, sich für die EU-DSGVO rechtskonform aufzustellen und dies sogar vielleicht unlängst abgeschlossen haben wollten, war es bis hierher also sicherlich ein Hürdenlauf.

Gibt es hinsichtlich der Datenschutz-Anforderungen Unterschiede zwischen kleineren und größeren Onlineshops?

Zunächst einmal gibt die EU-DSGVO höchst selten Abstufungen für kleinere Unternehmen her und wenn dann gelten Sie leider oft nicht für E-Commerce Geschäftsmodelle. Wenn es also einen wirklich ernst zu nehmenden Kritikpunkt gibt, dann sicherlich den, dass die Dokumentationspflichten für kleinere Unternehmen hätten milder (realistischer in der Praxis umsetzbar) ausgelegt werden können. Beispielsweise gibt es beim vorzuhaltenden Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 5 DSGVO eine Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern. Shopbetreiber dürfen sich hierauf jedoch nicht berufen, denn diese Ausnahmeregelung wird um den Faktor eingeschränkt, dass nur gelegentlich personenbezogene Daten verarbeitet werden, was in der Praxis selten zutreffen dürfte. Aber auch bei der Konzeptionierung von z.B. den Vorgaben für das Recht auf Vergessenwerden (Art. 17 DSGVO) oder auch das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) dürfte man eher nur Konzerne mit Ihren Ressourcen im Blick gehabt haben.

Ansonsten sollte jeder Shopbetreiber einmal prüfen, ob er nicht unlängst in der Pflicht steht, einen Datenschutzbeauftragten (DSB) zu bestellen. In Zukunft muss dieser durch die erweiterten Informationspflichten nach Art. 13 & 14 DSGVO dann auch in den Datenschutzbestimmungen des Shops veröffentlicht werden. Die Prüfung der Einhaltung dieser DSB-Bestellung durch Aufsichtsbehörden, Wettbewerber und andere Akteure ist damit also erheblich erleichtert worden.

Für sich genommen werden vermutlich auch in Zukunft, wie unsere Erfahrung bisher zeigte, eher die größeren Marken und Shops durch die Aufsichtsbehörden intensiver geprüft werden. Dennoch kann der erweiterte Bußgeldrahmen sehr schmerzhaft sein – zu locker sollte man es daher auch als Betreiber eines kleineren Onlineshops nicht sehen und sich, wenn noch nicht bisher, spätestens nun einmal intensiver mit dem Thema Datenschutz beschäftigen.

Gerade die Übermittlung von personenbezogenen Daten ist sehr kritisch. Muss der gesamte Shop auf HTTPS umgestellt werden?

Rein rechtlich ist HTTPS bei der Übermittlung persönlicher Informationen, wie z.B. bei Kontaktformularen, Bestellprozess, usw., schon vor der EU-DSGVO verpflichtend gewesen und leitet sich aus § 13 Abs. 7 TMG (Telemediengesetz) ab, welcher mit dem IT-Sicherheitsgesetz im Sommer 2015 eingeführt wurde. Aber auch aus der EU-DSGVO Art. 5 Abs. 1 lit. f zum Grundsatz der Integrität und Vertraulichkeit ergibt sich künftig die Anforderung Webseiten zu verschlüsseln. Es gab in der Vergangenheit hierzu auch schon Abmahnungen und Urteile gegen Shopbetreiber.

Als Tipp: Über „Let’s Encrypt“ können kostenlose SSL-Zertifikate bezogen werden.

Was müssen Shopbetreiber berücksichtigen, wenn sie Google Analytics verwenden?

Es muss darauf geachtet werden, dass nach den Google Analytics Terms of Service Abs. 7 keine persönlichen Daten übermittelt werden. Dies gilt insbesondere für das Event-, Trichter-, Ziel-, E-Commerce & Kampagnen Tracking, ggf. auch die im Einsatz befindliche überspielte User-ID. Darüber hinaus muss in Deutschland die IP-Anonymisierung eingesetzt werden. Wir haben hierzu ein kostenloses Prüftool für Google Analytics entwickelt mit dem die eigene Webseite diesbezüglich überprüft werden kann.

Musste der Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG noch schriftlich geschlossen werden, ist dies ab dem 25. Mai 2018 nach Art. 28 Abs. 9 DSGVO nunmehr auch elektronisch möglich – also endlich auch eine zeitgemäße Erleichterung im Prozess neuer Accounts durch die Verordnung. In Google Analytics ist dies auch bereits möglich und von Google integriert. Erforderlich ist die Auftragsdatenverarbeitung, da technisch bedingt die Übertragung der IP, welche zu den persönlichen Daten gehören, sich gar nicht verhindern lässt. Durch die Auftragsdatenverarbeitung bekommt der Shopbetreiber in der Kurzfassung von Google die Garantie, dass die IP auch wirklich anonymisiert um das letzte Oktett gespeichert wird.

Natürlich gelten darüber hinaus die Erfordernisse, den neuen Informationspflichten nachzukommen. Google hat seinerseits im Sinne der EU-DSGVO für Analytics bereits neue Funktionen bereitgestellt, um die Aufbewahrungsdauer von Daten zu steuern oder etwaige Datensätze gezielt zu löschen.

Viele Shopbetreiber tun sich schwer mit der Formulierung der Datenschutzerklärung. Wer kann sie hierbei unterstützen?

Es ist in jedem Fall auch ratsam, dass vorab die technischen Implementierungen in Einklang mit der EU-DSGVO überprüft und angepasst werden, damit die Datenschutzerklärungen in ihrer rechtlich erforderlichen Fassung auch die technische Implementierung in der Realität widerspiegeln. Ein erster guter Weg wäre also sicherlich zunächst den technisch Verantwortlichen, z.B. die betreuende E-Commerce oder Online Marketing Agentur, mit ins Boot zu nehmen – soweit diese nicht bereits proaktiv auf den Shopbetreiber zukam. Vielleicht ist hierüber bereits alles abbildbar oder es ergeben sich offene Rechtsfragen, die sich im weiteren Verlauf durch Einbeziehung von Juristen für den Einzelfall abstimmen lassen.

Wir haben die erforderlichen technischen Prüfungen, Anpassungen und den Aufbau von aktualisierten, rechtlich geprüften Datenschutzbestimmungen, in Zusammenarbeit mit Juristen, für unsere bestehenden E-Commerce Kunden als Zusatzservice ohne Mehrkosten zur Vorbereitung auf den Stichtag übernommen. Ich kann mir vorstellen, dass dies bei anderen Agenturen ähnlich geschieht oder man entsprechende Angebote unterbreiten kann und dies damit die vermutlich komfortabelste Variante für den Shopbetreiber wäre. Soweit vorhanden wäre es naheliegend in diesem gesamten Prozess natürlich auch den internen oder externen Datenschutzbeauftragten einzubeziehen.

Darüber hinaus gibt es sicherlich auch über die Kanzlei des Vertrauens bzw. den Datenschutzbeauftragten die Möglichkeit entsprechende Erklärungen aufsetzen zu lassen. Es gibt auch erste kostenlose Onlinetools, welche EU-DSGVO konforme Datenschutzbestimmungen, zumindest für einen Teil der gängigen Datenverarbeitungen, erstellen können. Zumeist ist damit eine Backlink-Pflicht verbunden. Ob diese generierten Vorlagen den neuen EU-DSGVO Anforderungen wirklich genügen, hinreichend individualisiert und vollständig sind oder die passenden Unterscheidungen treffen, je nachdem wie z.B. die Google Analytics Implementierung konkret aussieht, sollte dann sicherlich zumindest einmal hinterfragt und nicht pauschal übernommen werden. Wenn man sich ausreichend mit der Thematik auskennt und sich mit den Vorlagen eine Grundlage schaffen möchte, kann dies jedoch sicherlich ein ebenso praktischer Ansatz sein. Hierbei muss beachtet werden, inwieweit die Nutzung und Bearbeitung durch den Rechteinhaber legitimiert ist.

Webcellent bietet einen kostenlosen EU-DSGVO Leitfaden an

Unseren 22-seitigen kompakten Leitfaden zur EU-DSGVO mit vielen weiteren Infos und praktischen Beispielen im Bereich Trackings, Analytics, Social Media, Umgang mit Cookies sowie den rechtlichen Interpretationen, was für die Einhaltung der EU-DSGVO zu tun ist, kann man sich ab heute kostenlos zuschicken lassen! Die E-Mail-Adressen werden nicht für Werbezwecke genutzt.

Button zum Download