Wie ich unsere Shopify Shops auf DSGVO vorbereitet habe - Schritt für Schritt

DSGVO für SHopify Shops

»Man kann aber sowieso, wenn man eine Webseite fährt, bisher keine 100 Prozent DSGVO-Konformität erreichen« – wird ein Anwalt der Kanzlei Siebert Goldberg LLP in der aktuellen Zeit-Ausgabe (DIE ZEIT, Ausgabe 21-2018, 17.05.2018, S.22) zitiert. Und diese sind auf die DSGVO spezialisiert. In dem Artikel heisst es weiter: „Da fehlten Detailvorschriften und Grundsatzurteile. Die größten Lücken, die offensten Einfallstore für Abmahner aber könne man jetzt schon schließen.“

Und das habe ich über die letzten Wochen und Monate versucht zu tun. Für unsere drei eigenen Online-Shops habe ich verschiedenste Vorträge zum Thema DSGVO gelesen, an Webinaren von Anwaltskanzleien teilgenommen, viele Artikel zu dem Thema gelesen und mich viel mit anderen Shopify Händlern hier in Berlin ausgetauscht. Sogar meinen Bruder, der einen juristischen Hintergrund hat, habe ich zur Seite gezogen. Und: Persönliche Gespräche auf der Shopify Unite Anfang Mai in Toronto mit Shopify’s CEO Tobias Lütke sowie Shopify’s Legal Advisor und Hauptverantwortlichem in Bezug auf die DSGVO / GDPR Anpassungen geführt. Auch direkt mit Personen vom Händlerbund habe ich mich beraten lassen. Man könnte meinen ich wäre bestens vorbereitet. So 100% richtig vorbereitet fühle ich mich jedoch immer noch nicht.

Und in Gesprächen mit anderen Shopify Händlern und basierend auf den Kommentaren in der Facebook Gruppe „Shopify Deutschland, Österreich und Schweiz“, scheint es mir, als wäre ich mit dieser Auffassung nicht allein. Aus diesem Grund habe ich mich dazu entschlossen hier nun festzuhalten, was ich bisher an Vorbereitungen für unsere Shopify Online-Shops unternommen habe.

Hinweis: Dies ist keineswegs als Rechtsberatung zu verstehen! Ich habe selbst keinen juristischen Hintergrund und kann daher keine Empfehlungen aussprechen und erst recht nicht die Richtigkeit bzw. Vollständigkeit meiner Angaben gewährleisten. Es ist viel mehr als eine Art Erfahrungsbericht zu sehen :)

So habe ich meine Shopify Online-Shops auf die DSGVO vorbereitet – Schritt für Schritt:

1. Recherche und Einarbeiten in das Thema:

Wie bereits in der Einleitung erwähnt: Ich habe mich sehr stark mit dem Thema auseinandergesetzt und versucht viele verschiedene Quellen heranzuziehen. Welche Texte und Quellen ich besonders hilfreich fand, findet Ihr hier.

2. Überarbeiten der Datenschutzrichtlinie & weiteren Gesetzestexte im Shop:

Einher mit den neuen DSGVO Richtlinien, gehen nicht nur spezielle neue Regeln, sondern vor allem auch die Aufklärungspflicht als Händler, warum man bestimmte personenbezogene Daten verarbeitet, und Verweise auf die jeweiligen Passagen in der Rechtsprechung. Ich kenne Shopify Händler, die in intensiver Detailarbeit ihre bisherigen Rechtstexte im Shop in Eigenregie angepasst haben. Für diesen Lösungsansatz fehlten mir jedoch die Ressourcen sowie das Vertrauen in meine juristischen Kompetenzen.

Auch vom individuellen Erstellen mithilfe einer Rechtskanzlei nahm ich schnell Abstand, da dies sehr schnell sehr teuer würde und es sich bei unseren Shopify Shops um sehr normale Baukastenähnliche E-Commerce Shops handelt.

Wir haben uns daher für die Alternative einer IT-Rechtsberatung entschlossen, konkret für den Händlerbund (es gibt aber auch andere Unternehmen, die einen vergleichbaren Service anbieten, z.B. IT-Rechtskanzlei oder Janolaw). Hier kann man mithilfe eines einfachen Fragenkatalogs sehr schnell die passenden Datenschutzrichtlinien und weiteren Gesetzestexte für die eigenen Shops erstellen. Der Händlerbund ist zudem auf das Shopify System ausgelegt. Innerhalb von 10 Minuten erhält man so seine individuellen gesetzeskonformen Rechtstexte. Auch die nötigen Hinweise auf die entsprechenden Gesetzesabschnitte, wie es in der DSGVO gefordert wird, sind hierbei enthalten. Zudem wird einem indiv. E-Mail Rechtsberatung bzw. (bei einem teureren Paket) Telefonberatung angeboten. Auch ein Abmahnschutz ist hier inklusive (der sich jedoch lediglich auf das Abmahnen der Rechtstexte, nicht des Shops als Ganzes, bezieht).

3. Hinzufügen von Textabschnitten zusätzlicher Apps und weiterer Anbieter in die Datenschutzbestimmungen:

Jedoch waren die für uns erstellten Datenschutzbestimmungen nur ausgelegt auf die generell meist verbreitetsten Tools. Nicht ideal für uns als Shopify-Händler, da alle von uns benutzten Shopify-Apps somit nicht beinhaltet wurden und auch speziellere Tracking Tools wie Hotjar nicht in den Datenschutzbestimmungen aufgelistet wurden. Hier mussten wir individuell für jedes bisher nicht aufgelistete Tool sowie die Shopify-Apps, die ebenfalls personenbezogene Daten verarbeiten, zusätzlich Passagen ergänzen. Positiv: Der Händlerbund hat uns hierzu offiziell das Okay gegeben, der Abmahnschutz bleibt trotz der Anpassungen weiterhin bestehen.

4. Datenschutzvereinbarungen mit Drittanbietern unterzeichnen:

Die DSGVO sieht vor, dass man mit sämtlichen Partnern und Anbietern, die Zugriff auf persönliche Daten haben bzw. diese verarbeiten, eine Datenschutzvereinbarung trifft. Große Unternehmen sind hierauf bereits vorbereitet und bieten standardisierte und schnelle Lösungen an. Für Shopify findet man diese Vereinbarung hier. Auch Google Analytics, Facebook, Hotjar, Klaviyo, Zendesk und Co bieten diese Vereinbarungen zum schnellen Ausfüllen bzw. Download digital an. Hier hilft ein schneller Blick bei Google oder beim Anbieter selbst.

Bei kleineren Anbietern (z.B. unserem Fulfillment Dienstleister) oder auch Shopify-Apps wird dies schon herausfordernder. Hier muss man teilweise individuell die Anbieter anschreiben und diese Bitten eine solche Vereinbarung zu unterzeichnen (ein Prozess, der sich teilweise bei uns sehr in die Länge gezogen hat). Entgegen unserer Hoffnung bietet der Händlerbund hier keine Unterstützung für ein Musterschreiben an. Zur Orientierung hat uns jedoch das Muster von des bayrischen Landesamtes für Datenschutzaufsicht geholfen, auf das auch verschiedene Quellen verweisen. Dieses findest Du hier.

5. Ausmisten aller nicht wirklich 100% benötigter Shopify Apps:

Das bringt uns schon direkt zum nächsten Punkt. Um den Aufwand so gering wie möglich zu halten und am Ende auch mit allen App-Anbietern eine gültige Vereinbarung vorliegen zu haben, sind wir unsere gesamte Liste an App-Anbietern durchgegangen und haben konsequent alle deinstalliert, die wir nicht unbedingt benötigen. Apps wie FOMO, bei denen wir ohnehin nicht sicher waren, wie sie mit der europäischen Rechtsprechung im Einklang standen haben wir gelöscht, um die Liste an Anbietern, die Zugriff auf personenbezogene Daten haben, so klein wie möglich zu halten.

6. Änderung der Einstellung & Löschung von Altdaten von Google Analytics, Youtube-Video-Einbettung & Co:

Damit sichergestellt ist, dass die personenbezogenen Daten der Besucher auf der Webseite anonym verarbeitet werden, müssen bisherige Einstellung bei verschiedenen Tools angepasst werden. Die Einstellungen bei Google Analytics müssen angepasst werden, gleiches gilt für Videos von Youtube, die im Shop eingebettet wurden. Näheres hierzu findest Du in einer kostenlosen Erklärung (auch für Nichtmitglieder) vom Händlerbund hier sowie eine Schritt-für-Schritt Anleitung unter diesem Link.

7. Einstellen der Möglichkeit für Webseiten-Besucher des Opt-Outs von Cookies für Google Analytics & Facebook Retargeting:

Man muss den Besuchern die Möglichkeit auf ein Opt-Out für Cookies zu geben. In unserem Falle in den Datenschutzbestimmungen. Dieses korrekt zu implementieren ist auf Shopify zunächst ein wenig schwieriger. In der Facebook Gruppe „Shopify Deutschland, Österreich und Schweiz“, wurde dies intensiver diskutiert und zeigt Möglichkeiten zur korrekten Umsetzung. Den Post dazu findest Du in der Facebook Gruppe am 17.05.2018.

Hier eine Kurzanleitung: Aus unerklärlichen Gründen wird das Opt-Out Html von der Datenschutzerklärung nicht in dem normalen Page-Editor bei Shopify übernommen. Aber dies kann man umgehen. Online Store à Edit code à add a new template à create a new template for „page“ called „Datenschutz“ à an die Stelle von „{{ page.content }}“ die Datenschutzerklärung als HTML Code einfügen

Erklärung zur Implementierung der Datenschutzerklärung in Shopify

Nun muss nur noch sichergestellt sein, dass der neue Google Analytics Code ebenfalls im Shop hinterlegt ist. Dafür: Unter Online Store à Preferences à Google Analytics à Additional Google Analytics JacaScript à hier den Code, der von Google Analytics gestellt wird einfügen.

Der Code für den Facebook Retargeting Opt-Out muss ebenfalls noch im Shop hinterlegt werden. Hierfür hat der Händlerbund speziell ein Tool gebaut, das einem den individuellen Code generiert, den man im theme.liquid des Shops hinterlegen kann. Violà!

8. Cookie Banner – ja oder nein?

Zum Cookie Banner spalten sich die Meinungen. Je nachdem welchen Quellen man vertrauen darf, wird es entweder vehement empfohlen und an anderer Stelle vehement davon abgeraten. Irritierend kommt hinzu, dass viele Online-Shops ein Banner benutzen, manche jedoch nicht. Glaubt man den App-Entwicklern des DSGVO Cookie Banners, cookiebot.com, ist das Einfügen solch eines Banners unabdingbar. Die Juristen des Händlerbunds dagegen widersprechen dem: "Ein Cookie-Banner (etwa über ein Popup) war bislang

und wird auch künftig nicht notwendig sein." Und "Weder für die Verwendung von Cookies noch von Tracking- und Analyse-Tools ist zukünftig eine ausdrückliche explizite Einwilligung (z. B. über ein Pop-up, eine Checkbox, einen Banner) erforderlich. Die DSGVO lässt als Einwilligung des Betroffenen ausdrücklich "die Auswahl von Browser-Einstellungen" genügen. Bisher geht man (bis auf eine Ausnahme) davon aus, dass Cookie-Banner auf Webseiten daher keine Pflicht und damit nicht zwingend erforderlich sind."

Ändern könnte sich dies wohl mit den neuen Richtlinien, die im kommenden Jahr bevorstehen. Doch zunächst halten wir uns an die Empfehlung des Händlerbunds und verzichten auf ein separates Cookie-Banner.

9. Säubern der E-Mail Listen

Da man (wie auch schon zuvor) lediglich E-Mail Adressen nutzen und speichern darf von Leuten, die diesem zugestimmt bzw. eingewilligt haben, haben wir noch einmal sichergestellt, dass wir nur E-Mails via dem Double-Opt-In eingesammelt haben. Zwar ist ein Double-Opt-In nicht per se vorgeschrieben, aber man muss im Zweifel nachweisen können, dass der Besucher der Newsletter E-Mail zugestimmt hat (daher hat sich das Double-Opt-In als beste Lösung und Best-Practice hierfür durchgesetzt). Wir sind unsere E-Mail Listen durchgegangen und haben sichergestellt, dass sämtliche E-Mails solch eine Bestätigung via Double-Opt-In haben. Zudem sind wir unseren Shop durchgegangen und haben sichergestellt, dass auch die E-Mail Newsletter Fenster in unserem Shop die Bestätigungsemail des Double-Opt-In auch korrekt heraussenden (Themes mit integriertem Newsletter Signup-Kasten machen dies z.B. nicht).

Klaviyo und Mailchimp empfehlen das Versenden einer Kampagne, in der Personen noch einmal dazu aufgefordert werden den Newsletter zu bestätigen. Diejenigen, die dies nicht tun empfehlen sie die E-Mails dann endgültig zu löschen. Ich selbst habe in den letzten Tagen einige solcher E-Mails von Unternehmen erhalten.

10. Säubern der E-Mail Automatisierungs-Sequenzen

Wir sind große Fans von E-Mail Automatisierungen, da sie sehr effektiv und zeitsparend für uns als Händler sein können. Jedoch mussten wir hier auch noch einmal durch unsere Sequenzen gehen und sicherstellen, dass z.B. Abandonned Checkout E-Mails auch wirklich nur an diejenigen rausgeschickt werden, die entweder dem Newsletter zuvor zugestimmt haben oder sich außerhalb der EU befinden. Sicher ist sicher.

11. Verweis auf die Datenschutzerklärung an allen relevanten Stellen

An allen relevanten Stellen haben wir sichergestellt, dass wir auf die Datenschutzerklärung verweisen. Dies gilt z.B. bei der Bestätigung der Newsletteranmeldung. Hier reicht jedoch nach Empfehlung vom Händlerbund ein Hinweis aus, ein extra Haken ist nicht von Nöten (kann sogar ganz im Gegenteil für Probleme sorgen). Beim Kontaktformular gilt Ähnliches. In Bezug zu Produktbewertungen haben wir uns ebenfalls vom Händlerbund beraten lassen: Hier muss man nicht noch einmal explizit auf die Datenschutzbestimmungen hinweisen.

12. Anpassungen im Shop

Zudem sind wir noch einmal durch unsere Shops gegangen und haben es auf alle wesentlichen Richtlinien geprüft (die ohnehin schon zuvor verpflichtend waren): Ist der Hinweis „Inkl. MwSt.“ beim Preis genannt, wird auf die Lieferzeit korrekt hingewiesen mit entsprechende Kosten, wird dem Kunden eine Bestellübersicht vor Kaufabschluss gezeigt und wird der Kunde im Laufe des Bestellprozesses aktiv aufgefordert der AGB und Datenschutzerklärung zuzustimmen? Das sind einige der Punkte, die wir unternommen haben nochmals zu prüfen (denn diese Punkte waren auch schon vor der DSGVO verpflichtend).

13. Muss ich einen Datenschutzbeauftragten stellen?

Einher mit den Neuerungen der DSGVO geht die Pflicht einen Datenschutzbeauftragten zu stellen. Hier bestehen aber Ausnahmen, es muss nicht jeder Online-Shop einen Datenschutzbeauftragten stellen, wenn man dem Händlerbund und anderen Quellen vertrauen kann. Als Faustregel müssen erst Unternehmen, die mehr als 10 Mitarbeiter haben oder sensible Daten (wie z.B. Gesundheitsdaten oder auch im Erotik-Artikel Bereich) verarbeiten, einen Datenschutzbeauftragten stellen. Näheres hierzu findest Du hier. Der Händlerbund oder auch ePrivacy bieten Hilfestellung beim Bereitstellen eines ausgebildeten Datenschutzbeaufrtragten (selbstverständlich nicht kostenfrei).

14. Datenschutzrichtlinien bzgl. Aller Mitarbeiter

Die DSGVO gilt nicht nur in Hinblick auf Besucher oder Drittanbietern, sondern auch für die eigenen Mitarbeiter. Hier muss ebenfalls sichergestellt werden, dass alle wesentlichen Dinge geregelt und festgehalten werden. Ein Prozess, der nicht zu unterschätzen ist.

15. Dokumentieren und Nachkommen der Nachweispflicht

Dies ist ebenfalls einer der Punkte, wo man eine Vielzahl an Meinungen zur Ausführung und Interpretation hört. Neu an der DSGVO ist, basierend auf Vorträgen, die ich gehört habe, dass Unternehmen nun aktiv den Behörden nachweisen müssen, dass sie die personenbezogenen Daten verarbeiten.

Daraus resultiert eine Dokumenation- und Nachweispflicht für die Händler. Wie weit diese geht und wie stark diese ausgelegt werden sollte, darüber habe ich bereits viel gehört. Während ePrivacy einen darauf schließen lässt, dass diese Dokumentation in die hunderte (Seitenzahlen) geht, empfiehlt der Händlerbund zumindest Listen anzulegen, die klar aufzeigen wer Zugang zu den Daten hat und wie diese verarbeitet werden. Dies gilt zum einen für Drittanbieter, aber auch intern für Mitarbeiter. Wie solch eine Liste aussehen sollte, findest du hier.

16. Vertrauen darauf, dass Shopify bis zum 25. Mai DSGVO-konform wird

Die DSGVO sieht Neuerungen vor: So ist man dem Kunden auskunftspflichtig darüber, welche Daten vom Kunden gespeichert werden. Zudem hat er ein Recht darauf, dass seine Daten gelöscht werden (wobei es auch hier juristische Feinheiten zu beachten gibt). Derzeit ist dies bei Shopify noch nicht möglich. Während Blog Post darauf verweisen, dass Shopify bis zum 25. Mai DSGVO-konform sein wird, kann die generelle Kommunikation von Shopify’s Seite aus als stark mangelhaft bezeichnet werden. Jedoch haben mir Shopify’s Legal Advisor, Shopify CEO Tobias Lütke als auch der deutsche Partnerschaftsbeauftragte versichert, dass alle relevanten Funktionen für Shopify Händler bis zum 25. Mai 2018 freigeschaltet werden. Die Neuerungen wurden bereits auf der Shopify Unite Anfang Mai vorgestellt.

Diese Gespräche und die Ankündigungen auf der Shopify Unite bestärken mein Vertrauen in Shopify – auch wenn es natürlich sehr fragwürdig ist warum diese Neuerungen erst so spät herausgebracht werden und die Kommunikation von Seiten Shopify alles andere als Vorteilhaft ist. In Bezug auf die App-Entwickler und dessen Konformität mit der DSGVO arbeitet Shopify ebenfalls, jedoch ist hier abzusehen, dass dies nicht bis zum 25. Mai für alle Apps abschließend durchgeführt worden sein wird.

Nähere Infos dazu, was Shopify derzeit macht, um DSGVO-konform zu sein, findet ihr hier

Dies ist die Übersicht, über das, was wir gemacht haben, um unsere Shops auf den Stichtag 25. Mai 2018 vorzubereiten. 100% sicher fühlen wir uns noch nicht und sind gespannt auf Deine Kommentare und Input dazu, was Ihr gemacht habt!

Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung für Informationen, die spezifisch für Ihr Land und Ihre Umstände sind. Der Autor noch die Seitenbetreiber von Tante-E haften in keiner Weise für Deine Verwendung oder Dein Vertrauen in diese Informationen.

RELEVANTE LINKS ZUM BLOG POST:

Falls Ihr noch mehr zu dem Thema erfahren möchtet, empfehle ich Dir folgende Quellen.

Falls Du überlegst eine Mitgliedschaft beim Händlerbund anzufangen, kannst Du mit dem folgenden Gutscheincode 3 Monate von Deinem Jahresbeitrag sparen. Einfach den Gutscheincode eingeben: P2010#2018

Falls Du spezielle Fragen an einen Juristen und DSGVO-Experten hast, empfehle ich Dir zudem beim Shopify Meetup Berlin, am 12. Juni vorbeizuschauen. Dort wird ein Experte vom Händlerbund vertreten sein und einen Vortrag zur DSGVO halten. Hier geht es zur kostenlosen Anmeldung

Erhalte Tipps & Tricks direkt in Deine Inbox

ZUM AUTOR:

Adrian Piegsa - Shopify Expert
Adrian Piegsa ist deutscher Shopify Experte bei Tante-E.com und hilft Shop-Betreibern den Umsatz ihres Shopify Shops zu steigern. Neben der Beratung von Shopify Shops in Deutschland rund um das Thema Performance Optimierung, betreibt er und sein Team selbst derzeit drei Online-Shops, selbstverständlich auf Basis von Shopify. Zudem ist er Organisator der Berliner Shopify Meetups und teilt neuerdings sein Wissen in Blog Posts sowie in seinen Video Podcasts.

Erhalte Tipps & Tricks zu Shopify direkt in Deine Inbox