DSGVO: Neue Fragen und Antworten für ePages-Händler

Die Datenschutz-Grundverordnung (DSGVO) sorgte in den letzten Monaten für Diskussionsstoff und wird auch in Zukunft Thema sein. Nachdem wir in unserem ersten Blogartikel zur DSGVO grundlegende Informationen zur neuen Verordnung gegeben haben, gehen wir nun auf speziellere Fragen ein.

Ein Kunde verlangt vom Shopbetreiber, dass alle von ihm gespeicherten Daten gelöscht werden sollen. Der Händler benötigt jedoch manche davon weiterhin, zum Beispiel für die Steuerabrechnung oder aus Gründen der Gewährleistung. Muss er die Daten trotzdem löschen?

In diesem Punkt gibt es mit der DSGVO keine Änderungen. Solange Sie als Händler gesetzlich zur Aufbewahrung verpflichtet sind, müssen diese Daten auch nicht gelöscht werden.

Wann benötigt man als Shopbetreiber einen eigenen Datenschutzbeauftragten?

Ob ein Händler einen Datenschutzbeauftragten stellen muss, hängt von mehreren Faktoren ab. Unternehmen mit 10 oder mehr Mitarbeitern sind in jedem Fall gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Auch ein Unternehmen mit weniger als 10 Mitarbeitern muss einen Datenschutzbeauftragten benennen, sofern in dem Unternehmen sensible personenbezogene Daten verarbeitet werden. Dies können beispielsweise Gehaltsabrechnungen von Mitarbeitern sein. Wer seinen Onlineshop also nicht als Einzelunternehmer betreibt, sollte sich näher mit diesem Thema auseinandersetzen. Bitte beachten Sie, dass der Datenschutzbeauftragte bei der lokal ansässigen Aufsichtsbehörde gemeldet werden muss.

Müssen Kunden nach einer bestimmten Zeit automatisch aus dem Shopsystem gelöscht werden?

Hierzu gibt es keine genauen Vorgaben. Trusted Shops empfiehlt, generell alle nicht benötigten Daten nach einer gewissen Zeit zu löschen. Als Richtwert werden 3 Jahre angegeben.

Benötige ich einen Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag) mit ePages?

Ob Sie einen ADV-Vertrag mit ePages abschließen müssen, hängt davon ab, ob Sie Ihren Shop direkt bei uns gebucht haben oder bei einem unserer Provider. In letzterem Fall machen Sie Ihren ADV-Vertrag immer direkt mit dem Provider, weil dieser Ihr Vertragspartner ist. Der Provider wiederum hat einen ADV-Vertrag mit ePages, weil wir in seinem Auftrag arbeiten.

Wenn Sie Ihren Shop bei uns gebucht haben, können Sie sich zur Ausfertigung des Vertrags mit unserem Datenschutzbeauftragten unter datenschutz@epages.com in Verbindung setzen.

Wie ist bei ePages das automatische Löschen von Kunden-, Benutzer und Bestelldaten gelöst?

Ein automatisches Löschen von Daten ist in der Regel nicht vorgesehen, weil wir nicht automatisiert entscheiden können, welche Kundendaten wann gelöscht werden müssen. Eine Ausnahme sind Daten zu nicht vollendeten Bestellungen, bei denen zum Beispiel ein Kunde im Bestellprozess bereits seine Adressdaten eingegeben hat, aber dann die Bestellung nicht abgeschickt hat. Diese Daten werden nach 30 Tagen automatisch gelöscht.

Was ist zur Weitergabe der Kundendaten an Versanddienstleister zu beachten?

ePages bietet Versandmethoden an, welche Daten an Versanddienstleister (zum Beispiel DHL) übertragen. Neben der postalischen Adresse übermittelt der Shop in manchen Fällen auch die E-Mail-Adresse des Kunden, sodass dieser vom Dienstleister per Mail über den Status der Lieferung informiert werden kann. Als Händler sollten Sie in der Datenschutzerklärung darüber informieren, zu welchem Zweck die Daten weitergeben werden.

Eine Checkbox, mit der der Kunde im Bestellprozess der Weitergabe der Daten zustimmen muss, ist nicht erforderlich. Die aktuelle Umsetzung in der ePages-Software ist also rechtssicher.

Wenn Sie mit einem Anbieter wie SendCloud zusammenarbeiten, können Sie festlegen, dass die E-Mail-Adresse des Kunden wenn gewünscht nicht an den Logistikdienstleister, der den Versand ausführt, weitergegeben wird.

Als Händler kann man in seinem Shop einen Hinweis zur Verwendung von Cookies anzeigen lassen. Ist es ausreichend, dass der Hinweis über ein einfaches „X“ geschlossen werden kann, oder muss es einen Button mit einer Beschriftung wie „Ok“ oder „Verstanden“ geben?

Auf welche Weise der Hinweis geschlossen wird, ist unerheblich. Die Lösung mit dem „X“ ist also rechtskonform. Wichtig ist jedoch, dass in der Datenschutzerklärung auf die Cookie-Nutzung hingewiesen wird und dass das berechtigte Interesse an der Verwendung der Cookies durch den Händler transparent gemacht wird.

Was muss ich zur Verwendung von reCaptchas wissen?

In Shops der Version ePages Base werden mitunter sogenannte reCaptchas eingesetzt. Mit dieser Technologie von Google wird bei Formularen im Web verhindert, dass diese von Spamrobotern genutzt werden. Trusted Shops sieht in der Nutzung von reCaptchas kein Problem. ePages-Base-Händler sollten jedoch in ihrer Datenschutzerklärung darauf hinweisen, dass sie reCaptchas nutzen. Auch hier können Sie ein berechtigtes Interesse für die reCaptcha-Nutzung darlegen, denn es geht um die Sicherheit der Website und das Verhindern von Manipulationen durch automatisierte Eingaben.

Um sich Ihre Version anzeigen zu lassen, wählen Sie im Administrationsbereich Ihres Shops im Hauptmenü Hilfe. Unten auf der Seite wird Ihnen die Version angezeigt (ePages Base oder ePages Now).

Dieser Artikel enthält erste rechtliche Hinweise, erhebt aber keinen Anspruch auf Vollständigkeit und Richtigkeit. Er kann keinesfalls eine rechtliche Beratung im Einzelfall ersetzen.