Schutz von E-Commerce-Kundendaten: DSGVO-Konformität

Einleitung

Der Schutz von Kundendaten ist für jeden E-Commerce-Akteur ein wichtiges strategisches Thema. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 müssen Händlerseiten, mobile Verkaufsanwendungen und Marktplätze einen strengen rechtlichen Rahmen einhalten und drohen Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Über die gesetzlichen Beschränkungen hinaus stellt die Einhaltung der DSGVO einen echten Hebel für das Kundenvertrauen dar: 87 % der europäischen Verbraucher geben an, dass sie nicht auf einer Website kaufen würden, bei der sie Zweifel an der Datensicherheit haben. In diesem Säulenartikel werden die konkreten Pflichten von E-Händlern in Bezug auf Einwilligung, Cookies, Newsletter und Sicherheit der Zahlungsdaten detailliert beschrieben.

Einwilligung: Eckpfeiler der DSGVO-Konformität

Einwilligung stellt eine der sechs Rechtsgrundlagen für die Verarbeitung gemäß Artikel 6 der DSGVO dar. Um gültig zu sein, muss es vier in Artikel 7 definierte kumulative Kriterien erfüllen: frei, spezifisch, informiert und eindeutig sein. Im E-Commerce-Kontext bedeutet dies, dass ein Internetnutzer seine Einwilligung nicht an den Kauf eines Produkts knüpfen kann (Grundsatz der Freiheit) und dass er für jeden Zweck (Marketing-Profiling, Teilen mit Partnern, Newsletter usw.) separat einwilligen muss.

Die CNIL hat ihre Anforderungen seit 2020 mit ihren Richtlinien zu Cookies und Trackern erheblich verschärft. Die Schaltfläche „Alle akzeptieren“ muss nun von einer Schaltfläche „Alle ablehnen“ mit gleichwertiger Zugänglichkeit und Sichtbarkeit begleitet sein. Vorab angekreuzte Kästchen sind strengstens untersagt (Urteil des EuGH Planet49, 1. Oktober 2019). E-Händler müssen außerdem den mit einem Zeitstempel versehenen Nachweis der Einwilligung für die Dauer der Verarbeitung aufbewahren und einen Widerruf so einfach wie die ursprüngliche Erteilung ermöglichen.

Verwaltung von Cookies und Trackern auf Händlerseiten

E-Commerce-Seiten verwenden durchschnittlich 40 bis 60 Cookies von Drittanbietern: Analysen, Werbe-Retargeting, soziale Netzwerke, Chatbots, A/B-Tests. Artikel 82 des geänderten Datenschutzgesetzes erfordert die vorherige Zustimmung für alle Tracker, die für den Betrieb des Dienstes nicht unbedingt erforderlich sind. Ausgenommen sind nur Warenkorb-, Authentifizierungssitzungs- und Lastausgleichs-Cookies.

Die Einrichtung einer konformen Consent Management Platform (CMP) ist unerlässlich geworden. Es muss dem Besucher eine detaillierte Auswahl ermöglichen: Akzeptanz nach Zweck (Zielgruppenmessung, Personalisierung, gezielte Werbung) und nach Empfänger. Die Sanktionen prasseln auf Google (150 Mio. Euro), Amazon (35 Mio. Euro), Facebook (60 Mio. Euro) im Jahr 2022 wegen des Fehlens eines ebenso zugänglichen Ablehnungsbuttons wie des Akzeptieren-Buttons.

Newsletter und kommerzielle Prospektion: striktes Opt-in

Der Versand von Newslettern und Werbe-E-Mails fällt unter Artikel L.34-5 des Gesetzbuchs für Postwesen und elektronische Kommunikation, mit dem die Datenschutzrichtlinie für elektronische Kommunikation umgesetzt wird. Das Prinzip ist das explizite vorherige Opt-in für einzelne Interessenten (B2C). Eine bemerkenswerte Ausnahme besteht für Kunden, die bereits einen Kauf getätigt haben: Die Akquise ähnlicher Produkte oder Dienstleistungen ist zulässig, sofern sie bei der Abholung darüber informiert wurden und gegen jede Lieferung Widerspruch einlegen können.

Konkret muss das Kästchen „Ich möchte kommerzielle Angebote von [Marke] erhalten“ standardmäßig deaktiviert sein und unterscheidet sich von der Annahme der AGB. Jede E-Mail muss einen funktionierenden One-Click-Abmeldelink, die Identität des Absenders und eine gültige Kontaktadresse enthalten.

Sicherung von Zahlungsdaten

Die Verarbeitung von Bankdaten unterliegt sowohl der DSGVO (Artikel 32 zur Sicherheit) als auch dem PCI-DSS-Standard (Payment Card Industry Data Security Standard). E-Händler sollten die Tokenisierung über einen PCI-DSS Level 1 zertifizierten Zahlungsdienstleister (PSP) bevorzugen und so die direkte Speicherung von Kartennummern vermeiden. Eine starke Authentifizierung (3D Secure v2) ist seit dem 15. Mai 2021 in Anwendung der DSP2-Richtlinie verpflichtend.

Das Aufbewahren des visuellen Kryptogramms (CVV) nach der Transaktion ist strengstens untersagt. Kartennummern können nur mit ausdrücklicher Zustimmung aufbewahrt werden, um spätere Einkäufe zu erleichtern (CNIL-Beschluss Nr. 2018-303).

Fazit

DSGVO-Compliance im E-Commerce ist nicht nur eine rechtliche Checkliste, sondern strukturiert die gesamte digitale Kundenbeziehung. Zwischen granularer Einwilligung, Cookie-Verwaltung, strenger Akquise und sicheren Zahlungen müssen E-Händler bei der Gestaltung ihrer Customer Journeys einen „Privacy by Design“-Ansatz verfolgen. Dieser Ansatz stellt kein kommerzielles Hindernis dar, sondern wird zu einem Differenzierungsargument in einem Markt, in dem digitales Vertrauen die Konversionsrate und Loyalität bestimmt.