So habe ich meine Shopify Online-Shops auf die DSGVO vorbereitet – Schritt für Schritt:

1. Recherche und Einarbeiten in das Thema:

2. Überarbeiten der Datenschutzrichtlinie & weiteren Gesetzestexte im Shop:

3. Hinzufügen von Textabschnitten zusätzlicher Apps und weiterer Anbieter in die Datenschutzbestimmungen:

4. Datenschutzvereinbarungen mit Drittanbietern unterzeichnen:

5. Ausmisten aller nicht wirklich 100% benötigter Shopify Apps:

6. Änderung der Einstellung & Löschung von Altdaten von Google Analytics, Youtube-Video-Einbettung & Co:

7. Einstellen der Möglichkeit für Webseiten-Besucher des Opt-Outs von Cookies für Google Analytics & Facebook Retargeting:

10. Säubern der E-Mail Automatisierungs-Sequenzen

11. Verweis auf die Datenschutzerklärung an allen relevanten Stellen

12. Anpassungen im Shop

13. Muss ich eine*n Datenschutzbeauftragte*n stellen?

14. Datenschutzrichtlinien bzgl. Aller Mitarbeiter

15. Dokumentieren und Nachkommen der Nachweispflicht

RELEVANTE LINKS ZUM BLOG POST:

DSGVO für SHopify Shops

»Man kann aber sowieso, wenn man eine Webseite fährt, bisher keine 100 Prozent DSGVO-Konformität erreichen« – wurde ein Anwalt der Kanzlei Siebert Goldberg LLP in der Zeit-Ausgabe aus dem Jahr 2018 (DIE ZEIT, Ausgabe 21-2018, 17.05.2018, S.22) zitiert. Und diese sind auf die DSGVO spezialisiert. In dem Artikel hieß es weiter: „Da fehlten Detailvorschriften und Grundsatzurteile. Die größten Lücken, die offensten Einfallstore für Abmahner aber könne man jetzt schon schließen.“

Und das hatte ich damals über Wochen und Monate versucht zu tun. Für unsere drei eigenen Online-Shops hatte ich verschiedenste Vorträge zum Thema DSGVO gelesen, an Webinaren von Anwaltskanzleien teilgenommen, viele Artikel zu dem Thema gelesen und mich viel mit anderen Shopify-Händler*innen in Berlin ausgetauscht. Sogar meinen Bruder, der einen juristischen Hintergrund hat, hatte ich zur Seite gezogen. Und: Persönliche Gespräche auf der Shopify Unite Anfang Mai 2018 in Toronto mit Shopify’s CEO Tobias Lütke sowie Shopify’s Legal Advisor und Hauptverantwortlichem in Bezug auf die DSGVO / GDPR Anpassungen geführt. Auch direkt mit Personen vom Händlerbund hatte ich mich beraten lassen. Man hätte meinen können, ich wäre bestens vorbereitet gewesen. So 100% richtig vorbereitet fühlte ich mich damals jedoch immer noch nicht.

Und in Gesprächen mit anderen Shopify-Händler*innen und basierend auf den Kommentaren in der Facebook-Gruppe „Shopify Deutschland, Österreich und Schweiz“, schien es mir, als wäre ich mit dieser Auffassung nicht allein gewesen. Aus diesem Grund beschloss ich, hier nun festzuhalten, was ich an Vorbereitungen für unsere Shopify Online-Shops unternommen hatte.

Hinweis: Dies ist keineswegs als Rechtsberatung zu verstehen! Ich habe selbst keinen juristischen Hintergrund und kann daher keine Empfehlungen aussprechen und erst recht nicht die Richtigkeit bzw. Vollständigkeit meiner Angaben gewährleisten. Es ist viel mehr als eine Art Erfahrungsbericht zu sehen :)

So habe ich meine Shopify Online-Shops auf die DSGVO vorbereitet – Schritt für Schritt:

1. Recherche und Einarbeiten in das Thema:

Wie bereits in der Einleitung erwähnt: Ich hatte mich sehr stark mit dem Thema auseinandergesetzt und versucht viele verschiedene Quellen heranzuziehen. Welche Texte und Quellen ich besonders hilfreich fand, findest Du hier.

2. Überarbeiten der Datenschutzrichtlinie & weiteren Gesetzestexte im Shop:

Mit den neuen DSGVO Richtlinien gehen nicht nur spezielle neue Regeln einher, sondern vor allem auch die Aufklärungspflicht als Händler*in, warum man bestimmte personenbezogene Daten verarbeitet, und Verweise auf die jeweiligen Passagen in der Rechtsprechung. Ich kenne Shopify-Händler*innen, die in intensiver Detailarbeit ihre bisherigen Rechtstexte im Shop in Eigenregie angepasst haben. Für diesen Lösungsansatz fehlten mir jedoch die Ressourcen sowie das Vertrauen in meine juristischen Kompetenzen.

Auch vom individuellen Erstellen mithilfe einer Rechtskanzlei nahm ich schnell Abstand, da dies sehr schnell sehr teuer würde und es sich bei unseren Shopify Shops um sehr normale Baukastenähnliche E-Commerce Shops handelt.

Wir hatten uns daher für die Alternative einer IT-Rechtsberatung entschlossen, konkret für den Händlerbund (es gibt aber auch andere Unternehmen, die einen vergleichbaren Service anbieten, z.B. IT-Rechtskanzlei oder Janolaw). Hier kann man mithilfe eines einfachen Fragenkatalogs sehr schnell die passenden Datenschutzrichtlinien und weiteren Gesetzestexte für die eigenen Shops erstellen. Der Händlerbund ist zudem auf das Shopify System ausgelegt. Innerhalb von 10 Minuten erhält man so seine individuellen gesetzeskonformen Rechtstexte. Auch die nötigen Hinweise auf die entsprechenden Gesetzesabschnitte, wie es in der DSGVO gefordert wird, sind hierbei enthalten. Zudem wird einem individuelle E-Mail Rechts- bzw. (bei einem teureren Paket) Telefonberatung angeboten. Auch ein Abmahnschutz ist hier inklusive (der sich jedoch lediglich auf das Abmahnen der Rechtstexte und nicht des Shops als Ganzes bezieht).

3. Hinzufügen von Textabschnitten zusätzlicher Apps und weiterer Anbieter in die Datenschutzbestimmungen:

Jedoch waren die für uns erstellten Datenschutzbestimmungen nur ausgelegt auf die generell meist verbreitetsten Tools. Nicht ideal für uns als Shopify-Händler, da alle von uns benutzten Shopify-Apps somit nicht beinhaltet wurden und auch speziellere Tracking-Tools wie Hotjar nicht in den Datenschutzbestimmungen aufgelistet wurden. Hier mussten wir individuell für jedes bisher nicht aufgelistete Tool sowie die Shopify-Apps, die ebenfalls personenbezogene Daten verarbeiten, zusätzlich Passagen ergänzen. Positiv: Der Händlerbund hat uns hierzu offiziell das Okay gegeben, der Abmahnschutz bleibt trotz der Anpassungen weiterhin bestehen.

4. Datenschutzvereinbarungen mit Drittanbietern unterzeichnen:

Grundsätzlich muss die DSGVO von allen Unternehmen, die personenbezogene Daten von EU-Einwohner*innen verarbeiten, eingehalten werden; unabhängig davon, wo sie ihren Sitz haben und wo die Datenverarbeitung stattfindet, ob in der EU oder außerhalb. So weit die Theorie.

Die DSGVO sieht vor, dass man mit sämtlichen Partnern und Anbietern, die Zugriff auf persönliche Daten haben bzw. diese verarbeiten, eine Datenschutzvereinbarung trifft. Große Unternehmen sind hierauf bereits vorbereitet und bieten standardisierte und schnelle Lösungen an. Für Shopify findet man diese Vereinbarung hier. Auch Google Analytics, Facebook, Hotjar, Klaviyo, Zendesk und Co bieten diese Vereinbarungen zum schnellen Ausfüllen bzw. Download digital an. Hier hilft ein schneller Blick bei Google oder beim Anbieter selbst.

Bei kleineren Anbietern (z.B. unserem Fulfillment Dienstleister) oder auch einigen Shopify-Apps wird dies schon herausfordernder. Hier muss man teilweise individuell die Anbieter anschreiben und diese Bitten, eine solche Vereinbarung zu unterzeichnen (ein Prozess, der sich teilweise bei uns sehr in die Länge gezogen hat). Entgegen unserer Hoffnung bietet der Händlerbund hier keine Unterstützung für ein Musterschreiben an. Zur Orientierung hat uns jedoch das Muster des bayerischen Landesamtes für Datenschutzaufsicht geholfen, auf das auch verschiedene Quellen verweisen. Dieses findest Du hier.

Falls ein Drittanbieter nicht DSGVO-konform ist oder trotz Verpflichtung nicht gewillt ist, sie einzuhalten, wäre eine Alternative zu jenem Anbieter sinnvoller. Denn wenn man mit Drittanbietern arbeitet, die nicht DSGVO-konform sind, ist man es selbst automatisch auch nicht mehr.

Des Weiteren ist es wichtig, dass die Personen, deren Daten Drittanbietern zur Verfügung gestellt werden, Kenntnis davon haben, welchen Drittanbietern konkret ihre Daten zur Verfügung gestellt werden und dieser Weitergabe auch zustimmen.

5. Ausmisten aller nicht wirklich 100% benötigter Shopify Apps:

Das bringt uns schon direkt zum nächsten Punkt. Um den Aufwand so gering wie möglich zu halten und am Ende auch mit allen App-Anbietern eine gültige Vereinbarung vorliegen zu haben, sind wir unsere gesamte Liste an App-Anbietern durchgegangen und haben konsequent alle deinstalliert, die wir nicht unbedingt benötigen. Apps wie FOMO, bei denen wir ohnehin nicht sicher waren, wie sie mit der europäischen Rechtsprechung im Einklang standen, haben wir gelöscht, um die Liste an Anbietern, die Zugriff auf personenbezogene Daten haben, so klein wie möglich zu halten.

6. Änderung der Einstellung & Löschung von Altdaten von Google Analytics, Youtube-Video-Einbettung & Co:

Damit sichergestellt ist, dass die personenbezogenen Daten der Besucher*innen auf der Webseite anonym verarbeitet werden, mussten bisherige Einstellungen bei verschiedenen Tools angepasst werden. Die Einstellungen bei Google Analytics müssen angepasst werden, gleiches gilt für Videos von Youtube, die im Shop eingebettet wurden. Näheres hierzu findest Du in einer kostenlosen Erklärung (auch für Nichtmitglieder) vom Händlerbund hier sowie eine Schritt-für-Schritt Anleitung unter diesem Link.

7. Einstellen der Möglichkeit für Webseiten-Besucher des Opt-Outs von Cookies für Google Analytics & Facebook Retargeting:

Während man 2018 noch den Datenschutzerklärungstext via Code hinterlegen musste, damit die Opt-Outs für Google Analytics und Facebook auch funktionieren, so ist dies nun nicht mehr notwendig. Shopify hat hier nachgezogen und du kannst nun den Text einfach in das normale Textfeld im Texteditor hinterlegen.

8. Cookie-Banner-Pflicht

Lange Zeit war nicht eindeutig geklärt, ob Cookie-Banner Pflicht sind. Mit den Urteilen des Europäischen Gerichtshofes im Herbst 2019 (hier die Pressemitteilung des EuGH) und schließlich des BGH im Mai 2020 hat sich dies nun geändert: Besucher*innen einer Website müssen der Verwendung von nicht essenziellen Cookies ausdrücklich und aktiv zustimmen (Opt-in). Voreingestellte Zustimmung beispielsweise in Form eines bereits gesetzten Häkchens, das von Besucher*innen entfernt werden muss, wenn sie die Zustimmung verweigern wollen, sind nicht erlaubt (Opt-out). Der bis dato allgemein übliche Hinweis "Wir verwenden Cookies, mit der Nutzung der Website erklären Sie sich damit einverstanden" ist somit nicht mehr rechtskonform. Mehr über Cookie-Banner und wie Du sie rechtskonform für Deinen Onlineshop erstellen kannst, erfährst Du in unserem Beitrag.

Eine Lösung für Cookie-Banner bietet beispielsweise die App GDPR Legal Cookie von Beeclever. Und als Reaktion auf die Beschlüsse des EuGH und des BGH hat nun auch Shopify eine eigene App entwickelt, um Cookie Banner zu erstellen, die den rechtlichen Anforderungen der EU entsprechen: Customer Privacy Banner. Allerdings hat die App auch einige Haken; ausführliche Informationen zu den Funktionalitäten und den Vor- und Nachteilen findest Du in unserem Blog-Beitrag

Welche Lösungen es sonst gibt und wie viel sie kosten, findest Du in diesem Artikel.

9. Säubern der E-Mail Listen

Da man (wie auch schon zuvor) lediglich E-Mail Adressen nutzen und speichern darf von Leuten, die diesem zugestimmt bzw. eingewilligt haben, hatten wir noch einmal sichergestellt, dass wir nur E-Mails via dem Double-Opt-In eingesammelt haben. Zwar ist ein Double-Opt-In nicht explizit rechtlich vorgeschrieben, aber man muss im Zweifel nachweisen können, dass der/die Besucher*in der Newsletter E-Mail zugestimmt hat (daher hat sich das Double-Opt-In als beste Lösung und Best-Practice hierfür durchgesetzt). Wir waren unsere E-Mail Listen durchgegangen und hatten sichergestellt, dass sämtliche E-Mails solch eine Bestätigung via Double-Opt-In haben. Zudem waren wir unseren Shop durchgegangen und hatten sichergestellt, dass auch die E-Mail Newsletter Fenster in unserem Shop die Bestätigungsemail des Double-Opt-In auch korrekt heraussenden (Themes mit integriertem Newsletter Signup-Kasten machen dies z.B. nicht).

Klaviyo und Mailchimp empfehlen das Versenden einer Kampagne, in der Personen noch einmal dazu aufgefordert werden den Newsletter zu bestätigen. Diejenigen, die dies nicht tun, empfehlen sie die E-Mails dann endgültig zu löschen. Ich selbst hatte damals einige solcher E-Mails von Unternehmen erhalten.

Wenn du deinen Shop nach 2018 gestartet hast, so musst du lediglich beachten, dass du das Double-Opt-In aktivierst. Heisst: Der/die Leser*in der E-Mail muss zunächst noch einmal bestätigen, dass sie/er zum Newsletter hinzugefügt werden möchte.

10. Säubern der E-Mail Automatisierungs-Sequenzen

Wir sind große Fans von E-Mail Automatisierungen, da sie sehr effektiv und zeitsparend für uns als Händler sein können. Jedoch mussten wir hier auch noch einmal durch unsere Sequenzen gehen und sicherstellen, dass z.B. Abandonned Checkout E-Mails auch wirklich nur an diejenigen rausgeschickt werden, die entweder dem Newsletter zuvor zugestimmt haben oder sich außerhalb der EU befinden. Sicher ist sicher.

11. Verweis auf die Datenschutzerklärung an allen relevanten Stellen

An allen relevanten Stellen hatten wir sichergestellt, dass wir auf die Datenschutzerklärung verweisen. Dies gilt z.B. bei der Bestätigung der Newsletteranmeldung. Hier reicht jedoch nach Empfehlung vom Händlerbund ein Hinweis aus, ein extra Haken ist nicht von Nöten (kann sogar ganz im Gegenteil für Probleme sorgen). Beim Kontaktformular gilt Ähnliches. In Bezug zu Produktbewertungen hatten wir uns ebenfalls vom Händlerbund beraten lassen: Hier muss man nicht noch einmal explizit auf die Datenschutzbestimmungen hinweisen.

12. Anpassungen im Shop

Zudem waren wir noch einmal durch unsere Shops gegangen und hatten es auf alle wesentlichen Richtlinien geprüft (die ohnehin schon zuvor verpflichtend waren): Ist der Hinweis „Inkl. MwSt.“ beim Preis genannt, wird auf die Lieferzeit korrekt hingewiesen mit entsprechende Kosten, wird Kund*innen eine Bestellübersicht vor Kaufabschluss gezeigt und wird der/die Kund*in im Laufe des Bestellprozesses aktiv aufgefordert der AGB und Datenschutzerklärung zuzustimmen? Das sind einige der Punkte, die wir einer Prüfung unterzogen hatten (denn diese Punkte waren auch schon vor der DSGVO verpflichtend).

13. Muss ich eine*n Datenschutzbeauftragte*n stellen?

Einher mit den Neuerungen der DSGVO geht die Pflicht, eine*n Datenschutzbeauftragte*n zu stellen. Hier bestehen aber Ausnahmen, nicht jeder Online-Shop muss eine*n Datenschutzbeauftragte*n stellen, wenn man dem Händlerbund und anderen Quellen vertrauen kann. Als Faustregel müssen erst Unternehmen, die mehr als 10 Mitarbeiter*innen beschäftigen oder sensible Daten (wie z.B. Gesundheitsdaten oder auch im Erotik-Artikel Bereich) verarbeiten, eine*n Datenschutzbeauftragte*n stellen. Näheres hierzu findest Du hier. Der Händlerbund oder auch ePrivacy bieten Hilfestellung beim Bereitstellen eines/einer ausgebildeten Datenschutzbeauftragten (selbstverständlich nicht kostenfrei).

14. Datenschutzrichtlinien bzgl. Aller Mitarbeiter

Die DSGVO gilt nicht nur in Hinblick auf Besucher*innen oder Drittanbietern, sondern auch für die eigenen Mitarbeiter*innen. Hier muss ebenfalls sichergestellt werden, dass alle wesentlichen Dinge geregelt und festgehalten werden. Ein Prozess, der nicht zu unterschätzen ist.

15. Dokumentieren und Nachkommen der Nachweispflicht

Dies ist ebenfalls einer der Punkte, wo man eine Vielzahl an Meinungen zur Ausführung und Interpretation hört. Neu an der DSGVO ist, basierend auf Vorträgen, die ich gehört hatte, dass Unternehmen nun aktiv den Behörden nachweisen müssen, dass sie die personenbezogenen Daten verarbeiten.

Daraus resultiert eine Dokumentations- und Nachweispflicht für die Händler*innen. Wie weit diese geht und wie stark diese ausgelegt werden sollte, darüber hatte ich bereits viel gehört. Während ePrivacy einen darauf schließen lässt, dass diese Dokumentation in die hunderte (Seitenzahlen) geht, empfiehlt der Händlerbund zumindest Listen anzulegen, die klar aufzeigen, wer Zugang zu den Daten hat und wie diese verarbeitet werden. Dies gilt zum einen für Drittanbieter, aber auch intern für Mitarbeiter*innen. Wie solch eine Liste aussehen sollte, findest du hier.

16. Was Shopify bezüglich DSGVO getan hat

Die Datenschutzregelungen von Shopify wurden der DSGVO entsprechend angepasst, sodass klar geregelt ist, wie die Daten von Shopify-Händler*innen sowie die Deiner Kund*innen in der EU seitens Shopify verarbeitet werden.

So enthält jedes Kundenprofil auch eine Löschfunktion, sodass Du die Profile bzw. Daten jener Kund*innen, die von ihrem Recht auf Löschung ihrer gesamten Daten Gebrauch machen wollen, im Shopify-Adminbereich löschen kannst. Deine genutzten Apps mit Zugriff auf die entsprechenden Kundendaten werden von Shopify aufgefordert, die Daten der jeweiligen Kund*innen ebenfalls zu löschen. So musst Du dies nicht für jede App und bei jeder/jedem Kund*in tun.

Da Händler*innen ihren Kund*innen gegenüber auskunftspflichtig sind, haben Händler*innen darüber hinaus die Möglichkeit, die auf den Shopify-Servern gespeicherten Informationen der Kund*innen anzufordern, um sie ihnen auf Wunsch zur Verfügung stellen zu können.

Bevor Du eine App im Shopify-App-Store installierst, wird außerdem angezeigt, auf welche Daten die App zugreift.

Dies ist die Übersicht, über das, was wir gemacht haben, um unsere Shops auf den Stichtag 25. Mai 2018 vorzubereiten. 100% sicher fühlen wir uns noch nicht und sind gespannt auf Deine Kommentare und Input dazu, was Ihr gemacht habt!

Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung für Informationen, die spezifisch für Ihr Land und Ihre Umstände sind. Der Autor noch die Seitenbetreiber von Tante-E haften in keiner Weise für Deine Verwendung oder Dein Vertrauen in diese Informationen.

RELEVANTE LINKS ZUM BLOG POST:

Falls Ihr noch mehr zu dem Thema erfahren möchtet, empfehle ich Dir folgende Quellen.

Falls Du überlegst eine Mitgliedschaft beim Händlerbund anzufangen, kannst Du mit dem folgenden Gutscheincode 3 Monate von Deinem Jahresbeitrag sparen. Einfach den Gutscheincode eingeben: P2010#2018

Wir arbeiten bereits mit vielen der führenden Shopify Shops zusammen, lass uns auch dich unterstützen