Datenschutzerklärung für Onlineshop – Worüber muss informiert werden?
Eine Datenschutzerklärung für einen Webshop ist essenziell, um sicherzustellen, dass der Betreiber die datenschutzrechtlichen Anforderungen einhält, insbesondere gemäß der Datenschutz-Grundverordnung (vor allem Art. 13 DSGVO) in der EU. Sie dient dazu, den Kunden transparent darüber zu informieren, wie ihre Daten erhoben, verarbeitet und gespeichert werden. Als Rechtsanwälte für Datenschutz, unterstützen wir Sie gerne bei der Erstellung einer individuellen Datenschutzerklärung. Hier sind die wesentlichen Bestandteile einer solchen Datenschutzerklärung:
Verantwortlicher für die Datenverarbeitung
Name und Kontaktdaten des Verantwortlichen: Der Name des Unternehmens oder der Person, die den Webshop betreibt, und deren Kontaktdaten (inklusive E-Mail-Adresse, Telefonnummer und ggf. Postanschrift) müssen angegeben werden.
Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden): Falls ein Datenschutzbeauftragter ernannt wurde, sind dessen Kontaktdaten ebenfalls zu nennen.
Erhobene Daten
Personenbezogene Daten: Es muss klar aufgelistet werden, welche personenbezogenen Daten erhoben werden. Typische Beispiele sind:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Zahlungsinformationen (z.B. Kreditkartendaten)
- Bestellinformationen
Automatisch erhobene Daten: Informationen, die durch den Besuch der Website automatisch gesammelt werden, z.B. IP-Adresse, Browsertyp, Zugriffszeiten, Cookies und ähnliche Technologien.
Zweck der Datenverarbeitung
Es muss transparent dargelegt werden, zu welchem Zweck die Daten verarbeitet werden. Typische Zwecke sind:
- Abwicklung von Bestellungen
- Bearbeitung von Anfragen
- Versand von Newslettern (sofern der Kunde zugestimmt hat)
- Verbesserung der Website und des Kundenerlebnisses
- Betrugsprävention und rechtliche Verpflichtungen
Rechtsgrundlagen der Datenverarbeitung
Die rechtlichen Grundlagen der Verarbeitung nach Art. 6 DSGVO müssen erläutert werden. Mögliche Rechtsgrundlagen sind:
- Vertragserfüllung: Notwendig für die Erfüllung eines Kaufvertrages.
- Einwilligung: Beispielsweise für den Versand von Newslettern oder die Nutzung bestimmter Cookies.
- Rechtliche Verpflichtung: Speicherung von Daten zur Erfüllung gesetzlicher Aufbewahrungspflichten.
- Berechtigtes Interesse: Wenn die Datenverarbeitung im Interesse des Betreibers erfolgt, z.B. zur Verbesserung der Website.
Datenweitergabe an Dritte
Es muss klar sein, ob und an wen Daten weitergegeben werden. Beispiele sind:
- Zahlungsdienstleister (z.B. PayPal, Stripe)
- Versandunternehmen (z.B. DHL)
- Dienstleister für den Betrieb der Website (z.B. Hosting-Anbieter)
Es ist wichtig, zu erwähnen, dass diese Dritten ebenfalls an die datenschutzrechtlichen Vorgaben gebunden sind.
Datenübertragung in Drittländer
Wenn personenbezogene Daten in Länder außerhalb der EU oder des EWR (Drittländer) übertragen werden, muss darüber informiert werden, und es müssen die Maßnahmen erklärt werden, die den Datenschutz dort sicherstellen (z.B. Standardvertragsklauseln oder Angemessenheitsbeschluss der EU-Kommission).
Speicherdauer
Es muss angegeben werden, wie lange die Daten gespeichert werden bzw. wann sie gelöscht werden. Dies kann abhängig vom Zweck der Verarbeitung variieren (z.B. Speicherung von Rechnungen aufgrund gesetzlicher Aufbewahrungspflichten für 10 Jahre).
Rechte der betroffenen Personen
Die Datenschutzerklärung muss die Kunden über ihre Rechte informieren, darunter:
- Auskunftsrecht: Recht, zu erfahren, welche Daten gespeichert werden.
- Recht auf Berichtigung: Falsche Daten berichtigen lassen.
- Recht auf Löschung: Das Recht, die Löschung personenbezogener Daten zu verlangen („Recht auf Vergessenwerden“).
- Recht auf Einschränkung der Verarbeitung: Verlangt, dass Daten nur noch eingeschränkt verarbeitet werden.
- Recht auf Datenübertragbarkeit: Möglichkeit, die eigenen Daten in einem maschinenlesbaren Format zu erhalten.
- Widerspruchsrecht: Gegen bestimmte Verarbeitungen (z.B. Direktwerbung) kann widersprochen werden.
Widerrufsrecht und Beschwerden
Der Nutzer muss darüber informiert werden, dass er jederzeit eine Einwilligung widerrufen kann (sofern die Verarbeitung auf Einwilligung beruht).
Informationen darüber, dass die betroffene Person eine Beschwerde bei der zuständigen Datenschutzbehörde einreichen kann, falls sie der Ansicht ist, dass ihre Daten nicht datenschutzkonform verarbeitet wurden.
Hinweise zu einzelnen Verarbeitungen
Die oben dargestellten Informationen müssen für jede einzelne Verarbeitung individuell angegeben werden.
Über die Rechte der betroffenen Person und den Verantwortlichen kann vorab allgemein informiert werden.
Sollten Sie Fragen zur Erstellung einer Datenschutzerklärung haben oder eine individuelle Datenschutzerklärung erstellen lassen wollen, kontaktieren Sie uns gerne. Als Rechtsanwälte für Datenschutz und E-Commerce können wir Ihr Projekt auch langfristig begleiten und die Rechtstexte stets auf dem neuesten Stand halten.