E-Commerce-Sites und Datenschutz

Die Bearbeitung der von einer E-Commerce-Site gesammelten Kundendaten muss transparent und sicher sein.

Um das Vertrauen der Kunden zu gewinnen und die gesetzlichen Vorgaben zu erfüllen, muss ein Unternehmen, das einen Webshop betreibt, eine strenge Politik zum Schutz der Privatsphäre betreiben.

Bundesgesetz über den Datenschutz

Alle Schweizer Unternehmen, die Daten von natürlichen Personen verarbeiten, unterliegen dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft treten wird.

Im Hinblick darauf müssen die KMU prüfen, ob die Datenschutzerklärungen auf ihrer E-Commerce-Site den neuen gesetzlichen Anforderungen entsprechen. Sie müssen eine Reihe neuer Vorschriften berücksichtigen, beispielsweise die Pflicht, über das Erfassen sämtlicher personenbezogener Daten (und nicht mehr nur von sogenannten sensiblen Daten) schon im Voraus zu informieren, oder die Grundsätze "Privacy by Design" und "Privacy by Default".

Wie der Name bereits andeutet, bedeutet "Privacy by Design" (Datenschutz durch Technikgestaltung) für die Entwickler, den Schutz und das Einhalten der Privatsphäre der Nutzerinnen und Nutzer in die Struktur der E-Commerce-Site einzubauen, welche personenbezogene Daten sammeln wird. Der Grundsatz "Privacy by Default" (Datenschutz durch Voreinstellung) stellt sicher, dass schon bei der Aufschaltung der Website die höchste Sicherheitsstufe vorhanden ist, indem standardmässig, also ohne Eingreifen der Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Anders gesagt, müssen sämtliche Software, Hardware sowie die Dienstleistungen des Webshops so konfiguriert sein, dass die Daten geschützt sind und die Privatsphäre der Nutzer gewahrt wird.

Eine Checkliste steht auf dem KMU-Portal zur Verfügung, ausserdem gibt es weitere Informationen auf der Seite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Empfehlungen für den Datenschutz

Hinsichtlich des Datenschutzes wird dringend empfohlen, sich an folgende Vorgehensweisen zu halten:

Veröffentlichung einer Datenschutzerklärung auf der E-Commerce-Site (s. u.).
Einsatz von Techniken zur Nutzer-Authentifizierung (z. B. SuisseID) und zur Verschlüsselung der Daten (sichere https-Verbindung).
Beschränkung der Datensammlung auf die notwendigen Informationen. Fragen, die in diesem Zusammenhang nicht relevant sind, erzeugen Misstrauen.
Klare Angaben darüber, welche Personendaten zu welchem Zweck verwendet werden.
Berechtigung des Nutzers, die Verwendung und Weitergabe seiner Daten einzuschränken (Verbraucherprofil, Werbung).

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die Aufgabe, das Datenschutzgesetz zu erläutern und auf diesem Gebiet Empfehlungen zu erlassen.

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter: Beratung für E-Commerce-Anbieter

Datenschutzerklärung auf einer E-Commerce-Site

Auf einer E-Commerce-Site dient eine Datenschutzerklärung dazu, über die Methoden zu informieren, mit denen die Privatsphäre der Nutzer geschützt wird. Um das Vertrauen der Kunden zu gewinnen, ist es ratsam, ein solches Dokument zu erstellen und es an einer gut sichtbaren Stelle auf der Website zu veröffentlichen.

Die Datenschutzerklärung muss mindestens folgende Punkte enthalten:

Welchen gesetzlichen Bestimmungen unterliegt das Vorgehen des Anbieters im Bereich des Datenschutzes?
Welche Personendaten werden erhoben und zu welchem Zweck?
Welche Personendaten werden an Dritte weitergeleitet und zu welchem Zweck?
Welche Entscheidungen kann der Nutzer bezüglich der Bearbeitung seiner Daten treffen?
Über welche Rechte (insbesondere Auskunftsrecht und Widerspruchsrecht) verfügen die Nutzer?
Wer ist für die Beantwortung von Fragen zur Bearbeitung der Personendaten zuständig?
Welche Sicherheitsmassnahmen werden ergriffen, um die Personendaten zu schützen?