Background SVG
Host-On Blog
Die neusten Nachrichten, Ankündigungen und Tipps zu all unseren Servern, Diensten und Angeboten.
photo
05.12.2022

E-Commerce kann extrem profitabel sein, manche Experten schätzen dass der Wert der weltweiten digitalen Wirtschaft im Jahr 2025 auf über 23 Trillionen US$ steigen wird. Also jede Menge Gelegenheiten für all, die ihren Lebensunterhalt in diesem Feld verdienen.

Jedoch gibt es auch eine steigende Menge an Gesetzen und potentiellen rechtlichen Problemen die Du berücksichtigen musst – denn dort können Fehler schnell sehr teuer und sehr schmerzhaft sein.

Der erste Schritt um Gesetzesverstöße (und Strafen) zu vermeiden ist, die Gesetze zu kennen. Dazu dient dieser Artikel: um dir einen guten Überblick über die drei größten rechtlichen Minenfelder zu verschaffen, samt Tipps wie Du dort heil durchkommst.

Dieser Post ist allerdings weder erschöpfend, noch ersetzt er eine Rechtsberatung. Wenn Du deinen Shop rechtlich gut absichern möchtest, dann lies die Gesetztexte selbst und halte nötigenfalls Rücksprache mit deinem Anwalt. Wenn dir ein Anwalt zu teuer ist, ist eine Mitgliedschaft beim Händlerbund schonmal sehr hilfreich. Die ist kostenpflichtig, gibt dir aber Zugang zu einer Reihe von hilfreichen Dienstleistungen, zum Beispiel einem Generator für belastbare Rechtstexte oder der Möglichkeit, dir Fragen von einem Fachanwalt beantworten zu lassen.

Fallstrick #1: Datenschutz

Am 25. Mai 2018 trat in der EU die GDPR (General Data Protection Regulation) in Kraft, die heftige Strafen für alle vorsieht, die die Daten europäischer User nicht wie vorgeschrieben schützen. Diese Strafen bedrohen nicht nur Unternehmen innerhalb der EU, sondern auch ausländische Unternehmen die mit den Daten dieser umgehen.

Andere Länder und teils auch sub-nationale Entitäten (z.B. Kalifornien) haben ihre eigenen Vorschriften, und auch die können über Ländergrenzen hinweg durchgesetzt werden. Wenn Du einen Online-Shop hast der internationale Kundschaft bedient, ist es wichtig, dass dein Shop auch mit all diesen Regelungen konform geht.

Lösung: Verstehe was diese Privatsphäre-Gesetze bewirken wollen

Es gibt kleinere und größere Schritte die dazugehören, und Du solltest dich definitiv in die entsprechenden Gesetze einlesen. Aber wenn Du diese grundlegenden Intentionen und Prinzipien verstehst und befolgst, ist schonmal ein guter Teil der Arbeit getan:

  • Transparenz: User sollten einfach erkennen können, welche Daten Du sammelst und speichert, wie Du sie nutzt und an wen Du welche davon zu welchen Zwecken weitergibst. Das geht am besten über benutzerfreundliche Datenschutzrichtlinien die auf deiner Webseite einzusehen sind. Klingt selbstverständlich, aber selbst größere Unternehmen scheitern daran regelmäßig.
  • Zustimmung: Der Nutzer soll voll informiert sein und deine Richtlinien und Bedingungen zugestimmt haben, bevor Du irgendwelche Daten von ihm sammelst.
  • Data Mapping: Verstehe welche Daten Du sammelst, warum Du sie sammelst. Lasse deine User der Verwendung der Daten zustimmen, und protokolliere diese Zustimmung.
  • Datenschutz: Fordere vom Nutzer so wenig Daten wie möglich. Wenn Du Daten an Dritte weitergibst (z.B. Analyse-Firmen), dann stelle sicher, dass sie vertrauenswürdig sind.
  • Nutzerrechte: Deine Nutzer haben das Recht die von ihnen erhobenen Daten einzusehen, ggf. zu ändern und deren Löschung zu fordern.

Denk auch daran, dass je mehr Daten Du von deinen Usern sammelst, desto größer dein Risiko, besonders im Fall eines Datenlecks.

Fallstrick #2: Missbrauch von Nutzerdaten und Datenpannen

Wenn Du ein Online-Geschäft betreibst, ist es fast unmöglich zu vermeiden, auf irgendeine Art mit Nutzerdaten umzugehen. Ob Du jetzt Emailadressen für deinen wöchentlichen Newsletter sammelst oder ein Thrid-Party Tool wie Google Analytics nutzt, Du brauchst die Daten die dir die Nutzer geben.

Diese Art von Daten sind wertvoll, nicht nur für dich sondern auch für Hacker und andere Cyberkriminelle. Manchmal gelingt es ihnen, an deine Daten heranzukommen. Das nennt man dann ein Datenleck – und es passiert weit öfter als es sollte.

Datenpannen betreffen jährlich Millionen von Menschen. Bisher waren die Strafen dafür allerdings recht überschaubar. Equifax zum Beispiel wurden 2017 in einem Datenleck die persönlichen Daten von 145 Millionen Amerikanern gestohlen (also fast die Hälfte der Bevölkerung), und es hat nicht einen Cent Strafe gezahlt.

Das heißt aber nicht, dass Du Datensicherheit auf die leichte Schulter nehmen solltest. Erstens ist die EU da nicht so konzernfreundlich wie die amerikanischen Gerichte, und zweitens erhöht das steigende Bewusstsein für solche Problem die Chance, dass noch härtere Gesetze folgen.

Was allerdings noch wichtiger ist: Datenpannen zerstören den Ruf des Unternehmens und das Vertrauen darin. Wenn die Leute merken, dass dir die Sicherheit ihrer Daten keinen großen Aufwand wert ist, dann werden sie dir ihre Daten ganz einfach nicht mehr zur Verfügung stellen – und wenn Du Nutzerdaten erheben musst um mit Jemandem Geschäfte zu machen... rechne es dir aus.

Lösung: Privacy by Design

Privacy by Design (PbD) klingt wie ein fragwürdiges Buzzword, ist aber ein solides Konzept. Die Idee dahinter ist, dass Du Privatsphäre und Datenschutz in jeden Teil deiner Webseite und deiner Produkte integrierst, statt sie nachträglich draufzupappen. PbD zu verstehen und zu implementieren hilft sehr dabei, das Risiko eines Datenlecks zu reduzieren.

Um das nochmal zu betonen: Privacy by Design muss ein proaktiver und keine reaktiver Prozess sein. Heißt: Du agierst jetzt und nicht erst wenn etwas passiert ist. Du baust Schutzmaßnahmen in jede Stufe des Prozesses ein, führst Cybersicherheits-Risikoeinschätzungen deiner Third-Party Dienstleister durch und hältst deine Software und Sicherheit jederzeit auf dem neuesten Stand. 

Vor allem aber musst Du dein Personal schulen. Teure Firewalls, regelmäßige Sicherheits-Updates und Verschlüsselung sind gut, aber gut 2/3 aller Datenpannen sind auf Mitarbeiterfehler zurückzuführen. Das ist als ob man sich eine topmoderne Alarmanlage anschafft, und dann die Hintertür offen stehen lässt. Nur wenn alle Teile des Systems funktionieren, ist echte Sicherheit möglich.

Fallstrick #3: Unklare rechtliche Informationen

Je nach Rechtsraum in dem Du arbeitest, musst Du diverse Daten und Informationen auf deiner Webseite zur Verfügung stellen, in der EU zum Beispiel deine Allgemeinen Geschäftsbedingungen und Datenschutzerklärung. Wahrscheinlich hat dein Shop – egal in welchem Rechtsraum Du arbeitest – auch soetwas. Aber hast Du es auch mal gelesen? Gründlich gelesen? Verstehst Du wirklich, was das alles bedeutet und worauf es verweist? Verstehst Du das Fachjargon?

Benutzer haben schon Klagen angestrengt – und gewonnen – wegen unklarer und verwirrender Rechtstexte. Egal was bei dir rechtlich vorgeschrieben ist, wenn es vor Gericht gehen sollte, dann sind klare, leicht zu verstehende Rechtstexte ein Bonus, dann sie zeigen, dass Du möchtest, dass der Kunde dich versteht. Undurchsichtige Texte dagegen erwecken den Eindruck, dass Du etwas zu verstecken hast.

Aber wie kannst Du sichergehen, dass deine Kunden deine Rechtstexte auch verstehen?

Lösung: Vereinfache deine Rechtstexte und nutze ein Clickthrough Agreement

Wenn Du nicht verstehst was eine Rechtstexte sagen, dann tun die Kunden es auch nicht – und wenn sie sie nicht verstehen, können sie ihnen nicht zustimmen. Juristische Laien glauben gerne mal, dass Undurchsichtigkeit und Ambiguität in den Rechtstexten sie schützen würden, aber tatsächlich ist genau das Gegenteil der Fall: sie schwächen ihre Möglichkeiten, sich rechtlich zu schützen.

Um sicherzustellen, dass deine Rechtstexte verständlich und rechtsgültig sind, gehe gemeinsam mit einem Anwalt drüber. Natürlich kostet das, aber langfristig spart es dir Geld. Viele Klagen basieren auf unklarer, missverständlicher Wortwahl, daher solltest Du diese auf deiner Webseite minimieren.

Der nächste Schritt ist ein Clickthrough Agreement (auch bekannt als Clickwrap Agreement oder Clickwrap License). Das sind diese kleinen Kästchen auf dem Anmeldeformular mit der Beschriftung „Ich habe die AGB gelesen und verstanden, und stimme ihnen zu“. Wer sie nicht abhakt, kann sich auch nicht anmelden. Damit kannst Du sicherstellen, dass der User auch voll zustimmt.

Wichtig ist, dass der Besucher auch aktiv zustimmt. Das Feld darf nicht schon im Vorfeld abgehakt sein, und deine Rechtstexte einfach zu zeigen reicht auch nicht. Der Nutzer muss die Möglichkeit haben sie zu lesen und dann eine aktive Handlung vornehmen um seiner Zustimmung auszudrücken. Ohne diese sichere Zustimmung darf es nicht weitergehen.

Um dich voll abzusichern, solltest Du dich auch mit den geltenden Gesetzen vertraut machen. In der EU heißt das, dass Du die GDPR verstehen musst.

Indem Du deine Rechtstexte gut verständlich machst und dir klare Zustimmung dazu geben lässt, räumst Du eine Menge zukünftiger rechtlicher Probleme jetzt schon aus dem Weg.

Fazit

Die rechtlichen Fallstricke im Online-Geschäft haben in den letzten Jahren in Tiefe und Anzahl zugenommen. Datenschutz wird immer wichtiger, und immer mehr Rechtssysteme beginnen dem Rechnung zu tragen, und selbst da wo der Gesetzgeber noch nachhängt, bist Du trotzdem besser beraten, den Datenschutz deiner Kunden ernstzunehmen. Neben rechtlichen Konsequenzen hast Du auch immer noch einen Ruf zu verlieren.

Aber wenn Du den Punkten in diesem Artikel folgst, bist Du schonmal ganz gut aufgestellt. Setze sie um, speziell der Part mit dem „Gesetzestexte auch lesen“, und im Zweifelsfall wende dich an einen Anwalt. Es gibt viele Bereiche in denen Du Kosten und Mühe sparen kannst, aber Rechtssicherheit gehört nicht dazu.