Kundendatenschutz im E-Commerce: DSGVO-Konformität

Einleitung

Der Schutz von Kundendaten ist eine strategische Schlüsselaufgabe für jeden E-Commerce-Akteur. Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 müssen Online-Shops, mobile Verkaufsanwendungen und Marktplätze einen strikten Rechtsrahmen einhalten, andernfalls drohen Sanktionen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Über die regulatorische Anforderung hinaus stellt die DSGVO-Konformität einen echten Vertrauenshebel dar: 87% der europäischen Verbraucher geben an, nicht auf einer Website zu kaufen, wenn sie an der Datensicherheit zweifeln. Dieser Leitartikel erläutert die konkreten Pflichten von E-Commerce-Unternehmen bezüglich Einwilligung, Cookies, Newsletter und Sicherung von Zahlungsdaten.

Die Einwilligung: Eckpfeiler der DSGVO-Konformität

Die Einwilligung ist eine der sechs in Artikel 6 der DSGVO vorgesehenen Rechtsgrundlagen für die Verarbeitung. Um gültig zu sein, muss sie vier kumulativ erfüllte Kriterien gemäß Artikel 7 erfüllen: Sie muss freiwillig, spezifisch, informiert und unmissverständlich sein. Im E-Commerce-Kontext bedeutet dies, dass die Einwilligung eines Internetnutzers nicht an den Kauf eines Produkts gekoppelt werden kann (Freiheitsprinzip), und dass die Person für jede Zweckbestimmung separat einwilligen kann (Marketing-Profiling, Weitergabe an Partner, Newsletter usw.).

Die CNIL hat ihre Anforderungen seit 2020 durch ihre Richtlinien zu Cookies und Trackern erheblich verschärft. Die Schaltfläche „Alle akzeptieren" muss jetzt von einer Schaltfläche „Alle ablehnen" mit gleichwertiger Zugänglichkeit und Sichtbarkeit begleitet sein. Vorausgefüllte Kontrollkästchen sind streng verboten (EuGH-Urteil Planet49, 1. Oktober 2019). E-Commerce-Unternehmen müssen auch einen zeitgestempelten Nachweis der Einwilligung für die gesamte Dauer der Verarbeitung aufbewahren und den Widerruf genauso einfach ermöglichen wie die ursprüngliche Erteilung.

Verwaltung von Cookies und Trackern auf Handelswebsites

E-Commerce-Websites verwenden im Durchschnitt 40 bis 60 Cookies von Drittanbietern: Analytics, Werbe-Retargeting, soziale Netzwerke, Chatbots, A/B-Tests. Artikel 82 des geänderten Informatik- und Freiheitsgesetzes setzt eine vorherige Einwilligung für alle Tracker voraus, die nicht streng notwendig für die Funktionsfähigkeit des Dienstes sind. Nur Warenkörb-Cookies, Authentifizierungs-Session-Cookies und Load-Balancing-Cookies sind davon ausgenommen.

Die Implementierung einer konformen Consent Management Platform (CMP) ist unverzichtbar geworden. Sie muss dem Besucher Granularität in seinen Wahlmöglichkeiten ermöglichen: Akzeptanz nach Zweck (Zielgruppenmessung, Personalisierung, gezielt ausgerichtete Werbung) und nach Empfänger. Die Sanktionen häufen sich: Google (150M€), Amazon (35M€), Facebook (60M€) im Jahr 2022 wegen fehlender Ablehnungsschaltfläche mit gleichwertiger Zugänglichkeit wie die Akzeptanzschaltfläche.

Newsletter und Geschäftsprospektierung: strikte Opt-in-Anforderung

Der Versand von Newslettern und Werbe-E-Mails unterliegt Artikel L.34-5 des Postgesetzbuchs und der Elektronischen Kommunikation, das die ePrivacy-Richtlinie umsetzt. Das Prinzip ist die vorherige explizite Opt-in für private Interessenten (B2C). Es gibt eine wichtige Ausnahme für Kunden, die bereits einen Kauf getätigt haben: die Prospektierung ist für ähnliche Produkte oder Dienstleistungen zulässig, sofern sie bei der Datenerfassung informiert wurden und sich bei jedem Versand widersprechen können.

In der Praxis muss das Kontrollkästchen „Ich möchte die kommerziellen Angebote von [Marke] erhalten" standardmäßig deaktiviert und von der Akzeptanz der AGB unterschiedlich sein. Jede E-Mail muss einen funktionalen Abmeldelink in einer Aktion, die Identität des Absenders und eine gültige Kontaktadresse enthalten.

Sicherung von Zahlungsdaten

Die Verarbeitung von Bankdaten unterliegt sowohl der DSGVO (Artikel 32 zur Sicherheit) als auch dem Standard PCI-DSS (Payment Card Industry Data Security Standard). E-Commerce-Unternehmen sollten die Tokenisierung über einen PCI-DSS Level 1 zertifizierten Zahlungsdienstleister (PSP) bevorzugen und so die direkte Speicherung von Kartennummern vermeiden. Die starke Authentifizierung (3D Secure v2) ist seit dem 15. Mai 2021 im Rahmen der DSP2-Richtlinie obligatorisch.

Die Speicherung der visuellen Sicherheitsnummer (CVV) ist nach der Transaktion ausdrücklich verboten. Kartennummern dürfen nur mit ausdrücklicher Genehmigung gespeichert werden, um nachfolgende Käufe zu erleichtern (CNIL-Entscheidung Nr. 2018-303).

Fazit

Die DSGVO-Konformität im E-Commerce lässt sich nicht auf eine Rechts-Checkliste reduzieren: Sie strukturiert die gesamte digitale Kundenbeziehung. Zwischen granularer Einwilligung, Cookie-Verwaltung, Strenge bei der Prospektierung und Zahlungssicherung müssen E-Commerce-Unternehmen einen „Privacy by Design"-Ansatz von Anfang an verfolgen. Dieser Ansatz ist weit entfernt davon, ein kommerzielles Hindernis zu sein, sondern wird zu einem Differenzierungsmerkmal auf einem Markt, auf dem digitales Vertrauen die Konversionsrate und die Kundentreue bestimmt.