Dirora
Zurück zum Blog
Guides

DSGVO für kleine Onlineshops: Die Version in Klartext

Dirora Team3. Juli 20268 min read

Wenn Sie in Großbritannien einen kleinen Onlineshop betreiben, sind Sie mit ziemlicher Sicherheit ein Verantwortlicher im Sinne der UK-DSGVO, und die praktische Aufgabe ist einfacher, als sie klingt: Wissen Sie, welche personenbezogenen Daten Sie verarbeiten, haben Sie einen rechtmäßigen Grund, sie zu speichern, sagen Sie Ihren Kunden, was Sie damit tun, halten Sie sie sicher und respektieren Sie ihre Rechte, wenn sie danach fragen. Das ist das Ganze in einem Satz. Der Rest dieses Leitfadens erklärt jeden Teil in Klartext und verwendet die Begriffe, die GOV.UK und das Information Commissioner's Office (ICO) tatsächlich nutzen, damit Sie compliant werden, ohne sich durch Gesetzestexte zu wühlen.

Ein kurzer, wichtiger Hinweis vorweg: Dies ist eine allgemeine Information, keine Rechtsberatung. Der Datenschutz ist reguliert, und die Einzelheiten Ihrer Pflichten hängen von Ihrem konkreten Geschäft ab. Wenn Sie Gewissheit brauchen, prüfen Sie die Leitlinien der ICO unter ico.org.uk oder sprechen Sie mit einer Fachperson. Damit gesagt, lassen Sie uns das entmystifizieren.

Was „DSGVO“ in Großbritannien heute tatsächlich bedeutet

Seit dem Brexit gilt in Großbritannien eine eigene Fassung namens UK-DSGVO, die neben dem Data Protection Act 2018 steht. Für einen kleinen Shop sind die praktischen Regeln weitgehend dieselben wie beim EU-Regime, von dem Sie vielleicht gehört haben. Zwei Rollen sind entscheidend:

  • Verantwortlicher — Sie entscheiden, warum und wie personenbezogene Daten verwendet werden. Wenn Sie den Shop betreiben, sind das Sie. Sie tragen die rechtliche Verantwortung.

  • Auftragsverarbeiter — ein Unternehmen, das Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet, etwa Ihr Zahlungsanbieter, Ihr E-Mail-Tool oder Ihre Shop-Plattform. Sie haben eigene Pflichten, nehmen Ihnen Ihre aber nicht ab.

Diese Unterscheidung ist wichtig dafür, wie Sie über Ihre Tools sprechen. Ihre E-Commerce-Plattform, Ihr Stripe-Konto, Ihr Newsletter-Dienst — sie sind Auftragsverarbeiter, die für Sie tätig sind. Sie stellen sichere Infrastruktur bereit, aber Sie bleiben der Verantwortliche, der eine Datenschutzerklärung haben, Kundenanfragen beantworten und die Ermessensentscheidungen treffen muss. Keine Plattform „erledigt die DSGVO für Sie“ von Anfang bis Ende, und Sie sollten skeptisch gegenüber jeder sein, die das behauptet.

Schritt eins: Wissen, welche personenbezogenen Daten Sie verarbeiten

Personenbezogene Daten sind alle Informationen, die eine lebende Person identifizieren. In einem typischen Onlineshop ist das mehr, als Sie denken würden:

  • Namen, Liefer- und Rechnungsadressen, E-Mail-Adressen und Telefonnummern

  • Bestellhistorie und was jemand gekauft hat

  • Konto-Passwörter (hoffentlich gehasht) und Anmeldeprotokolle

  • IP-Adressen, Cookie-IDs und Analysedaten

  • Kundenservice-E-Mails und alle Notizen, die Sie über Personen führen

  • Newsletter-Abonnenten und Marketing-Präferenzen

Kartennummern sind ein Sonderfall: Wenn Sie Zahlungen über Stripe oder PayPal annehmen, werden die sensiblen Kartendaten von diesen verarbeitet und nicht in Ihrem Shop gespeichert, was Sie vollständig aus dem riskantesten Teil der Zahlungsdaten heraushält. Das ist ein echter Vorteil, einen etablierten Auftragsverarbeiter zu nutzen, statt einen eigenen Checkout zu bauen.

Die praktische Übung besteht darin, zwanzig Minuten damit zu verbringen, jeden Ort aufzuschreiben, an dem Kundendaten liegen: Ihre Shop-Datenbank, Ihr E-Mail-Postfach, Ihr Marketing-Tool, Ihre Tabelle mit Großhandelskontakten. Sie können keine Daten schützen oder verwalten, deren Existenz Sie vergessen haben.

Schritt zwei: Eine Rechtsgrundlage für ihre Verwendung haben

Die UK-DSGVO besagt, dass Sie für jede Verwendung personenbezogener Daten einen gültigen Grund — eine „Rechtsgrundlage“ — brauchen. Es gibt sechs, doch kleine Shops stützen sich meist auf drei:

  • Vertrag — Sie benötigen Namen und Adresse einer Person, um die aufgegebene Bestellung zu erfüllen. Keine gesonderte Einwilligung erforderlich; Sie können kein Paket ins Nichts schicken.

  • Rechtliche Verpflichtung — Sie müssen bestimmte Transaktionsunterlagen für die Steuerbehörde HMRC und Steuerzwecke aufbewahren, sodass Sie Bestelldaten so lange speichern dürfen, wie das Gesetz es verlangt.

  • Einwilligung — für Dinge, um die der Kunde nicht gebeten hat, hauptsächlich Marketing-E-Mails. Die Einwilligung muss eine klare Opt-in-Handlung sein (ein vorangekreuztes Kästchen zählt nicht) und muss ebenso leicht widerrufbar sein, wie sie erteilt wurde.

Der Fehler, den Sie vermeiden sollten, ist es, alles unter „Einwilligung“ zu bündeln. Sie brauchen keine Einwilligung, um eine Bestellbestätigung zu versenden — das ist Teil des Vertrags. Sie brauchen sie aber in den meisten Fällen, um einen Käufer zu Ihrem Newsletter hinzuzufügen. Diese Dinge getrennt zu halten, ist sowohl konformer als auch ehrlicher.

Schritt drei: Eine Datenschutzerklärung schreiben, die tatsächlich lesbar ist

Jeder Shop braucht eine Datenschutzerklärung, und sie sollte einfach genug sein, dass ein Kunde sie verstehen könnte. Sie erläutert mindestens:

  • Wer Sie sind und wie man Sie kontaktiert

  • Welche personenbezogenen Daten Sie erheben und warum

  • Ihre Rechtsgrundlage für jede Verwendung

  • Mit wem Sie sie teilen (Zahlungsanbieter, Zusteller, E-Mail-Tool)

  • Wie lange Sie sie aufbewahren

  • Die Rechte des Kunden und wie er sie ausübt

  • Dass er sich bei der ICO beschweren kann

Die ICO veröffentlicht eine kostenlose Vorlage und eine Checkliste für kleine Unternehmen, die die meisten Shops an einem Nachmittag anpassen können. Verlinken Sie die Erklärung in Ihrer Fußzeile und im Checkout. Der Datenschutz wohnt Tür an Tür mit der allgemeinen Verbrauchertransparenz — derselbe Instinkt, der Sie bei Rücksendungen und Lieferung nach dem britischen Verbraucherschutzrecht und den Fernabsatzvorschriften klar macht, ist genau der Instinkt, den Sie auch hier brauchen.

Schritt vier: Die Cookie-Einwilligung richtig machen

Cookies unterliegen PECR (den Privacy and Electronic Communications Regulations), das neben der UK-DSGVO gilt, und sie bringen viele Shops zu Fall. Als Faustregel:

  • Unbedingt erforderliche Cookies — Warenkorb, Login, Sicherheit — dürfen ohne Einwilligung laufen, weil die Website ohne sie schlicht nicht funktioniert.

  • Alles andere — Analyse, Werbe-Pixel, Marketing-Tracker — braucht die Einwilligung des Besuchers, bevor es ausgelöst wird. Das bedeutet ein Banner, das es Menschen erlaubt, nicht wesentliche Cookies anzunehmen oder abzulehnen, wobei das Ablehnen ebenso einfach ist wie das Annehmen.

Wenn Sie ein Facebook-Pixel und Google Analytics in Ihren Shop eingebaut haben, benötigen diese eine Einwilligung. Ein Banner, das nur sagt „durch die Nutzung dieser Website akzeptieren Sie Cookies“, ist nach den aktuellen ICO-Leitlinien keine gültige Einwilligung. Verwenden Sie ein ordentliches Einwilligungs-Tool, das nicht wesentliche Skripte blockiert, bis der Besucher zustimmt.

Schritt fünf: Nur aufbewahren, was Sie brauchen

Zwei Grundsätze leisten viel: Datenminimierung (nur erheben, was Sie wirklich brauchen) und Speicherbegrenzung (nicht ewig aufbewahren). Sie brauchen das Geburtsdatum eines Kunden nicht, um ihm eine Kerze zu verkaufen. Sie müssen die Daten eines ruhenden Kontos nicht ein Jahrzehnt lang aufbewahren. Setzen Sie vernünftige Aufbewahrungsfristen — bewahren Sie etwa Bestellunterlagen so lange auf, wie das Steuerrecht es verlangt, und löschen oder anonymisieren Sie dann den Rest. Weniger gespeicherte Daten bedeuten weniger zu sichernde Daten, weniger, die durchsickern können, und weniger, die herauszugeben sind, wenn jemand eine Kopie verlangt.

Schritt sechs: Kundenrechte respektieren

Kunden haben Rechte an ihren Daten, und kleine Shops müssen reagieren, in der Regel innerhalb eines Monats und meist kostenlos. Die, die Ihnen tatsächlich begegnen werden:

  • Auskunftsrecht — jemand kann eine Kopie der Daten verlangen, die Sie über ihn führen (ein „Auskunftsersuchen“).

  • Recht auf Löschung — das „Recht auf Vergessenwerden“. Sie müssen die Daten löschen, es sei denn, Sie haben einen rechtlichen Grund, sie zu behalten, etwa Steuerunterlagen, die an eine echte Bestellung gebunden sind.

  • Recht auf Berichtigung — Korrektur ungenauer Angaben.

  • Widerspruchsrecht — hauptsächlich das Abbestellen von Marketing, das Sie sofort respektieren müssen.

Sie brauchen dafür kein ausgefeiltes System. Sie müssen wissen, wo die Daten liegen (siehe Schritt eins), damit Sie sie, wenn eine Anfrage eintrifft, ohne zweiwöchige Panik finden, exportieren oder löschen können.

Schritt sieben: Die Daten sicher aufbewahren

Die UK-DSGVO verlangt „angemessene“ Sicherheit, skaliert auf Ihre Größe und Ihr Risiko. Für einen kleinen Shop bedeutet das die vernünftigen Grundlagen: HTTPS auf der gesamten Website, starke, einzigartige Passwörter und Zwei-Faktor-Authentifizierung für Ihre Admin-Konten, die Begrenzung, wer in Ihrem Team Kundendaten sehen darf, und die Nutzung seriöser Auftragsverarbeiter statt fragwürdiger Plugins. Hier hilft Ihre Plattformwahl wirklich. Ein gehosteter Shop gibt Ihnen SSL, verwaltetes Hosting und einen Zahlungsablauf, bei dem Kartendaten niemals Ihre Server berühren — Infrastruktur, die Sie sonst selbst aufbauen und pflegen müssten. Das verringert Ihre Angriffsfläche, ersetzt aber nicht Ihre eigenen guten Gewohnheiten, etwa keine Tabellen mit Kundendaten per E-Mail herumzuschicken.

Datenschutzverletzungen: Was zu tun ist, wenn etwas schiefgeht

Eine Verletzung des Schutzes personenbezogener Daten ist jeder Sicherheitsvorfall, der personenbezogene Daten offenlegt — ein gehacktes Konto, ein fehlgeleiteter Export, ein verlorener Laptop. Wenn eine Verletzung wahrscheinlich die Rechte und Freiheiten von Personen gefährdet, müssen Sie sie der ICO innerhalb von 72 Stunden melden, nachdem Sie davon Kenntnis erlangt haben, und betroffene Kunden benachrichtigen, wenn das Risiko hoch ist. Nicht jeder kleine Fehltritt muss gemeldet werden, aber Sie müssen jede Verletzung dennoch intern dokumentieren. Die praktische Vorbereitung ist einfach: Wissen Sie, wer entscheidet, wissen Sie, dass die 72-Stunden-Uhr existiert, und behalten Sie die Meldeseite der ICO als Lesezeichen.

Die ICO-Registrierung und -Gebühr

Die meisten Unternehmen, die personenbezogene Daten verarbeiten, müssen sich bei der ICO registrieren und die jährliche Datenschutzgebühr zahlen. Für die überwiegende Mehrheit kleiner Shops liegt diese in der niedrigsten Stufe — ein bescheidener Jahresbetrag statt eines beängstigenden —, und ihre Zahlung ist eine rechtliche Pflicht, kein optionales Extra. Prüfen Sie die aktuelle Gebühr und Ihre Stufe direkt auf der ICO-Website, da die Beträge von der ICO festgelegt werden und sich ändern können. Die Registrierung signalisiert Kunden zudem, dass Sie ihre Daten ernst nehmen.

Wo Ihre Plattform passt (und wo nicht)

Hier die ehrliche Grenze. Eine moderne Plattform wie Dirora gibt Ihnen die Werkzeuge, um einen Shop verantwortungsvoll zu betreiben: sichere Zahlungen über Stripe und PayPal, sodass Kartendaten beim Auftragsverarbeiter bleiben, SSL und eigene Domains von Haus aus sowie Ihre eigenen Kundendaten unter Ihrer Kontrolle, statt über aufgesetzte Apps verstreut. Was sie nicht tut, ist die rechtlichen Ermessensentscheidungen für Sie zu treffen — Sie sind der Verantwortliche, Sie entscheiden über Ihre Rechtsgrundlagen, Sie schreiben die Datenschutzerklärung, Sie beantworten Auskunftsersuchen, und Sie registrieren sich bei der ICO. Jedes Tool ist immer nur ein Auftragsverarbeiter, der Ihnen hilft, Pflichten zu erfüllen, die bei Ihnen bleiben.

Gute Datenpraxis ist auch gutes Geschäft. Das Vertrauen, das Sie durch den sorgfältigen Umgang mit Daten aufbauen, ist dasselbe Vertrauen, das aus Erstkäufern Stammkunden macht — was genau das Thema unseres Leitfadens zu Strategien zur Kundenbindung ist. Compliance und Loyalität ziehen in dieselbe Richtung: Behandeln Sie die Informationen von Menschen mit Respekt, und sie kommen wieder.

Häufig gestellte Fragen

Gilt die DSGVO für einen winzigen Ein-Personen-Onlineshop?

Ja. Die UK-DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von der Größe. Es gibt keine Ausnahme dafür, klein oder neu zu sein. Für einen kleinen Shop ist Compliance meist eher eine Handvoll vernünftiger Gewohnheiten als ein riesiges Projekt.

Muss ich mich bei der ICO registrieren und eine Gebühr zahlen?

Die meisten Onlineshops, die Kundendaten verarbeiten, müssen sich bei der ICO registrieren und die jährliche Datenschutzgebühr zahlen, die für kleine Unternehmen in der niedrigsten Stufe liegt. Prüfen Sie Ihre genaue Stufe und den aktuellen Betrag auf der ICO-Website, da die Gebühren von der ICO festgelegt werden.

Brauche ich eine Cookie-Einwilligung, wenn ich nur Google Analytics nutze?

Ja. Analyse-Cookies sind nicht wesentlich, daher benötigen sie eine Einwilligung, bevor sie laufen. Sie brauchen ein Cookie-Banner, das Besucher nicht wesentliche Cookies ebenso leicht ablehnen wie annehmen lässt, und es sollte diese Skripte blockieren, bis der Besucher zustimmt.

Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter?

Sie, der Shop-Inhaber, sind der Verantwortliche — Sie entscheiden, warum und wie Kundendaten verwendet werden, und tragen die rechtliche Verantwortung. Ihre Tools, etwa Ihr Zahlungsanbieter und Ihre Shop-Plattform, sind Auftragsverarbeiter, die nach Ihren Weisungen handeln. Ihre Nutzung nimmt Ihnen Ihre Pflichten nicht ab.

Was soll ich bei einer Datenschutzverletzung tun?

Dokumentieren Sie sie intern, und wenn sie wahrscheinlich die Rechte von Personen gefährdet, melden Sie sie der ICO innerhalb von 72 Stunden nach Kenntnisnahme. Benachrichtigen Sie betroffene Kunden, wenn das Risiko für sie hoch ist. Nicht jeder kleine Vorfall muss gemeldet werden, aber Sie müssen jede Verletzung in jedem Fall dokumentieren.


Sind Sie bereit, Ihren Shop einzurichten?

Kostenlos loslegen – keine Kreditkarte erforderlich.

Los geht’s