Die EU-Datenschutzgrundverordnung (EU-DSGVO) tritt am 25 Mai 2018 in Kraft. Doch was bedeutet das für Ecommerce Unternehmen, insbesondere für diejenigen, die sich auf Softwarelösungen wie Shopify verlassen? Dieser Frage gehen wir im folgenden Artikel auf den Grund.

Was ist die Datenschutzgrundverordnung?

Die Datenschutzgrundverordnung verpflichtet jedes Unternehmen in der Europäischen Union und jene, die innerhalb der EU Geschäfte betreiben, strenge Regeln in Bezug auf die Nutzung, Erhebung und Speicherung der Kundendaten, einzuhalten.

Die DSGVO misst jeder Form von Kundendaten die gleiche Bedeutung zu. Als Kundendaten werden demnach Fotos, Posts in sozialen Medien, IP Adressen, Cookie IDs, Bankverbindungen und sonstige Identifikationsnummern angesehen. Alle Kundendaten, unabhängig ihrer Herkunft, unterliegen einer expliziten Bestätigung seitens der Nutzer. Die Daten müssen sicher gespeichert und nur mit einer eingehenden Erlaubnis der Kunden weiterverwendet werden.

Allerdings sind die DSGVO-Richtlinien nicht in Stein gemeißelt. Sie verlangen einen vernünftigen Grad an Sicherheit, die gewährleistet werden muss. Sie lassen jedoch auch Grauzonen zu. So zum Beispiel die Frage über die Wertigkeit der Daten aus sozialen Medien. Brauchen sie wirklich die gleiche Behandlung wie Bankdaten?!

Eines ist klar: Nutzer müssen eindeutige Opt-in Bestätigungen abgeben, damit ihre Daten gespeichert und auf irgendeine Weise weiterverwendet werden dürfen. Das bedeutet, dass vorausgefüllte Bestätigungsfelder und versteckte Einwilligungen in überlangen AGBs, der Vergangenheit angehören werden.

Wer ist von der DSGVO betroffen?

Die DSGVO unterscheidet drei Akteure beim Umgang mit Daten:

1. Datensubjekt: Das ist der Kunde, der Nutzer oder der Mitarbeiter - praktisch jede/r, die/der personenbezogene Daten zur Identifizierung preisgibt. 
2. Datenverantwortliche/r: Das ist das Unternehmen, das Dienstleistungen oder Produkte anbietet und erläutern muss, wie und warum die personenbezogenen Daten genutzt werden. Der Datenverantwortliche ist für die sichere Speicherung und Verwendung der Daten verantwortlich. 
3. Datenverarbeiter: Zu dieser Kategorie zählen alle Drittanbieter, so zum Beispiel Shopify, ERP Systeme, MailChimp, DHL und alle internen Teams mit ähnlichen Aufgaben, die in Kontakt mit Kundendaten stehen, beispielsweise die interne Buchhaltung.

Wie werden Ecommerce Unternehmen beeinflusst?

Die DSGVO gilt für alle Datenbanken, Marketing-, Vertrieb- und Personalabteilungen sowie Buchhaltungen. Jegliche Formen der Datenspeicherung oder -verarbeitung fallen unter die neuen Richtlinien. Im folgenden sind einige zentrale Ergebnisse aus der DSGVO-Erklärung dargelegt, die für Onlinehändler relevant sind:

Eindeutige Zustimmung für Marketingaktivitäten

Wie oben aufgeführt, müssen Datensubjekte wie Kunden, Arbeitnehmer und Online (Window-) Shopper aktiv Marketingaktivitäten zustimmen. Das bedeutet, vorausgefüllte Felder oder Bestätigungen zwischen den Zeilen werden nicht mehr akzeptiert.

Da diese Vorgehensweise für die meisten Marketer bereits zur gewohnten Prozedur gehört, ist mit dieser Richtlinie keine besondere Umstellung verlangt. Was allerdings Bewegung in die Prozesse mancher Unternehmen bringen wird, ist die Regelung für die “Nutzung der Daten für Drittanbieter”. Hier müssen die Drittanbieter, die die Daten verwenden könnten, explizit aufgelistet sein. Da lohnt es sich auf die Datenschutzbestimmungen eurer Drittanbieter zu schauen, um sicherzugehen, dass sie verantwortungsbewusst mit den Daten eurer Kunden umgehen.

Auch für Nutzer unter 16 Jahren muss, laut DSGVO, ein gesondertes Formular zur Einwilligung der Eltern bereitstehen, um die Daten der Minderjährigen bearbeiten zu können.

Alle oben genannten Punkte werden Einfluss auf die Marketing-Industrie haben, besonders hinsichtlich der Personalisierung, Profilerstellung und jeglicher Marketingaktivitäten, die die Verarbeitung von großen Datenbanken erfordern.

Vergiss mein doch!

Kunden muss es nicht nur leicht gemacht werden, ihre Daten zu bearbeiten und die Zustimmung für Marketingaktivitäten zu löschen, sondern sie müssen in der Lage sein, ihr Konto und Informationen von einem System komplett zu entfernen. 

Während viele Unternehmen die Option der Löschung des Kundenkontos bereits anbieten, kann es dennoch teilweise ein langwieriger Prozess sein, der unnötig erschwert wird. So besteht Amazon beispielsweise darauf, vor Löschung eines Kontos, mit einem Amazon Mitarbeiter telefonischen Kontakt aufnehmen zu müssen, statt eine Onlineoption anzubieten. Dieser Prozess muss demnächst leicht zu bedienen sein, gut dokumentiert und ausgeschrieben für diejenigen, die die Löschung ihres Kontos wünschen.

Sofortige Missbrauchsmeldung

Ab Mai 2018 unterliegen sowohl die Datenverantwortlichen als auch die Datenverarbeiter der DSGVO. Große Unternehmen müssen zudem einen Datenschutzbeauftragten ernennen, dessen primäre Aufgabe darin besteht, Datenmissbrauch und Fehlverhalten zu überwachen und mit der Aufsichtsbehörde zu kooperieren.

Onlineunternehmen müssen im Falle von Datenmissbrauch einem stringenten Prozess folgen und den Vorfall sowohl der Aufsichtsbehörde melden als auch die betroffenen Datensubjekte innerhalb von 72 Stunden informieren.

Erhöhte Geldbußen bei Nichteinhaltung, Missbrauch und Fehlanwendung

Mit Geldbußen von bis zu 20 Mio. € oder von bis zu 4% des jährlichen Umsatzes können es kleine und mittelständische Unternehmen (KMUs) nicht riskieren, grobe Fehler zu begehen. Daher ist der verantwortungsbewusste Umgang mit Kundendaten wichtiger denn je. Unternehmen, die sich auf Softwarelösungen von Drittanbietern verlassen, müssen sichergehen, dass eine korrekte Handhabung mit ihren Kundendaten vonstatten geht. Datenverschlüsselung ist ein Muss und Datenzugänge müssen strikten Regeln unterliegen.

Obwohl nur noch einige Monate bis zum Inkrafttreten der DSGVO, herrschte bis kürzlich besorgniserregendes Schweigen über die weitreichenden Maßnahmen und die offiziellen Verpflichtung zu den Regulierungen. So hat Facebook erst am 29.01.2018 Stellungnahme zum Inkrafttreten der DSGVO bezogen. Doch die brennende Frage, wie in Zukunft mit dem Facebook-Pixel umgegangen wird, wurde mit dem veröffentlichten Statement noch nicht beantwortet. Etwas Zeit bleibt ja noch.

Cloud Lösungen im Vorteil

Für Ecommerce Unternehmen, die in einer Cloud arbeiten, ist die Umstellung zur Konformität der DSGVO wesentlich einfacher. Sie haben größtenteils die nötigen Ressourcen, die Kriterien der Verordnung vollständig zu erfüllen.

So zum Beispiel Unternehmen wie Shopify, die seit Bekanntmachung der neuen Verordnung vor einem Jahr an einer Lösung arbeiten. Hier könnt ihr nachlesen welche Vorbereitungen Shopify bereits getroffen hat und wie die zukünftige Vorgehensweise der Shopify Händler aussehen wird.

Für Shopify Plus Nutzer liegt bereits ein Template zum Abkommen der Datenverarbeitung vor (kontaktiert bitte eure Merchant Success Manager für nähere Informationen dazu), alle anderen müssen sich noch etwas gedulden.

Unternehmen, die sich auf hausinterne Server und kundenspezifische Softwares verlassen, sehen sich vor die Aufgabe gestellt, ein Team für die Durchführung von Sicherheitsprüfungen zusammenstellen zu müssen. Dieses Team muss mögliche Schwachstellen in den Systemen testen und auch entsprechende sicherheitstechnische Maßnahmen für die Gewährleistung des nötigen Datenschutzes treffen.

Fazit

In einigen Monaten ist es soweit und die EU-Datenschutzverordnung tritt in Kraft. Hinter den Kulissen vieler Unternehmen brodelt es nur so mit vorbereitenden Maßnahmen, sodass der gewöhnliche Geschäftsfluss “as usual” bestehen bleiben kann. Triff auch du die nötigen Maßnahmen für einen sicheren Umgang mit Kundendaten. Deine Kunden werden es dir danken.

Auch dieser Artikel zeigt, konkrete Handlungsempfehlungen sind noch rar. Das liegt vor allem daran, dass sich die verantwortlichen Arbeitsgruppen der Industrie und des Gesetzgebers noch nicht auf konkrete Auslegungen geeinigt haben. Wir empfehlen im Zweifel die Rücksprache mit Rechtsanbietern wie Protected Shops, dem Händlerbund, IT-Rechtskanzlei, etc.