Checkliste DSGVO: Was Sie als Onlineshop-Betreiber beachten sollten

• Verfügen die Formulare in Ihrem Onlineshop über eine Verschlüsselung mittels Transport Layer Security (TLS)? Sie erkennen die Verschlüsselung am grünen Schloss in der Browserleiste und dem Präfix „https://“ vor der URL. Das Präfix „http://“ lässt dagegen auf eine fehlende Verschlüsselung schließen.
• Ist die Datenschutzerklärung leicht verständlich, aktuell, vollständig und richtig eingebunden? Klären Sie über die Verarbeitung von Kundendaten auf und nennen Sie die eingesetzten Cookies? Auf der sicheren Seite sind Sie, wenn Sie die Datenschutzerklärung für Ihren Onlineshop von einem Fachanwalt prüfen lassen.
• Nutzen Sie eine rechtskonforme Cookie-Einwilligung? Cookies, die technisch nicht notwendig sind, dürfen Sie nur dann einsetzen, wenn der Nutzer aktiv zugestimmt hat.
• Häufig verstößt die Nutzung von Social Media Plug-ins gegen die DSGVO. Stellen Sie sicher, dass Sie die Plug-ins rechtskonform nutzen und fragen Sie im Zweifel einen Experten.
• Falls Sie Google Webfonts in Ihrem Webshop verwenden, sollten diese Schriften auf Ihrem Server gespeichert sein. Anderenfalls können Sie nicht kontrollieren, welche Daten Google hierüber abgreift.
• Haben Sie Auftragsdatenverarbeitungsverträge (ADV-Verträge) abgeschlossen? Dies ist unter anderem bei Ihrem Hostingprovider, bei der Nutzung von Analysetools wie Google Analytics, bei Tools für den Newsletter-Versand oder bei dem Anbieter des Plug-ins für den Bankabgleich dringend zu empfehlen.
• Hat Ihr Anbieter für den Newsletter-Versand seinen Sitz in der EU? Anderenfalls kann es sein, dass die Nutzung nicht mit der DSGVO vereinbar ist. Prüfen Sie, ob das Anmeldeformular für den Newsletter rechtssicher ist. Machen Sie hier nur die E-Mail-Adresse zum Pflichtfeld. Nutzen Sie für die Anmeldung das Double-Opt-In-Verfahren und stellen Sie sicher, dass Sie Einwilligungen in den Newsletter-Empfang nachweisen können. Ein Versand ohne explizite Einwilligung des Empfängers ist lediglich unter bestimmten Voraussetzungen und nur an Bestandskunden erlaubt. Informieren Sie den Empfänger bei jedem Versand über sein Widerrufsrecht und gestalten Sie die Abmeldung unkompliziert.
  
  
  
• Stellen Sie sicher, dass Ihr Provider die IP-Adressen der Nutzer nicht speichert, wenn diese einen Kommentar in Ihrem Onlineshop hinterlassen, eine Bestellung ausführen oder ein Kontaktformular ausfüllen.
• Haben Sie die Gravatar-Funktion in WordPress abgeschaltet? Wenn Ihre Kunden auf Ihrer WordPress-Seite unter Angabe ihrer E-Mail-Adresse einen Kommentar hinterlassen, erscheint neben dem Kommentarfeld ihr Avatar beziehungsweise ein Platzhalterbild. Gemäß der DSGVO ist dies nicht zulässig, da hierbei die IP-Adresse an einen Server in den USA übermittelt wird. Alternativ zur Abschaltung der Funktion ist es auch möglich, Gravatare mit einem Plug-in auf dem eigenen Server abzulegen.
• Erfüllt Ihr Shopsystem die Anforderungen an den Datenschutz? Informieren Sie den alle Webshop-Besucher und Kunden über die Nutzung seiner ihrer Daten – überall dort, wo Daten erhoben werden – und geben Sie ihm ihnen die Möglichkeit zum Widerruf seiner ihrer Einwilligung und zum Löschen seiner ihrer Daten. Ausnahme: Bei Bestandskunden ist eine Löschung aller Daten nicht möglich, solange Sie vorgeschriebene Aufbewahrungsfristen einhalten müssen oder die Speicherung der Daten aus anderen Gründen erforderlich ist..
  
  
  
• Nutzen Sie eine DSGVO-konforme Tracking-Lösung? Google Analytics speichert die IP-Adressen der Nutzer und leitet diese in die USA weiter. Es ist nicht abschließend geklärt, ob ein Hinweis in der Datenschutzerklärung ausreichend ist. Wenn Sie Ihren Traffic rechtssicher messen wollen, empfiehlt sich die Wahl alternativer Anbieter wie Matomo. Achtung: Hier sind Sie selbst für die Sicherheit der Nutzerdaten verantwortlich, da Sie der Host sind.
• Führen Sie als Unternehmensleitung ein Verzeichnis aller Verarbeitungstätigkeiten? Bei einer Überprüfung durch die Datenschutzbehörden müssen Sie ein solches Verzeichnis nach Artikel 30 DSGVO vorweisen können.