DSGVO-Checkliste für E-Commerce: 12 Punkte, die jeder Onlineshop bestehen sollte
Eine kurze, pointierte Checkliste für E-Commerce-Betreiber in der EU. Jeder Punkt verweist auf einen konkreten DSGVO-Artikel oder die ePrivacy-Richtlinie, und jeder ist etwas, das eine Aufsichtsbehörde heute auf Ihrer Live-Seite prüfen könnte.
Lukas Kontur · · 2 Min. Lesezeit
Dies ist eine Checkliste für E-Commerce-Betreiber in der Europäischen Union. Sie ersetzt weder eine Datenschutz-Folgenabschätzung noch die Beratung durch einen deutschen Datenschutzbeauftragter oder einen französischen Délégué à la Protection des Données. Sie ist die kurze Liste der Punkte, die nach unserer Erfahrung beim Scannen des europäischen Webs gut genug dokumentiert sind, dass ein Betreiber die Fragen einer Aufsichtsbehörde dazu beantworten kann, wie das System eine konkrete Anfrage behandelt hat — mit Zeitstempeln.
Die Punkte stehen im Frontmatter und werden durch das Template der Checklisten-Seite gerendert. Jeder Punkt ist eine diskrete, prüfbare Aussage und jeder verweist entweder auf GDPR oder auf die ePrivacy Directive. Wo der rechtliche Rahmen differenzierter ist — beispielsweise bei Übermittlungsmechanismen nach Inkrafttreten des EU-US Data Privacy Framework — haben wir das im Detailtext vermerkt.
Die beiden Punkte, die mit Abstand am häufigsten scheitern, sind:
- Punkt 2: Tracking vor Einwilligung. Das ist derselbe Befund, den unser Scanner als pre_consent_tracking bezeichnet. Siehe den Knowledge-Artikel zum Tracking vor Einwilligung für die technischen Details.
- Punkt 3: Ablehnen lehnt nicht ab. Unsere Untersuchung ergab, dass 80 % der Ablehnen-Schaltflächen auf 28.891 untersuchten Seiten das Tracking nicht tatsächlich gestoppt haben. Die Korpuszahl ist die Schlagzeile; sektorenspezifisches Verhalten auf E-Commerce-Seiten werden wir gesondert messen, da sich die Einwilligungsdynamik auf Transaktionsseiten von der auf Nachrichten- oder Inhaltsseiten unterscheidet.
Für eine Live-Demonstration, wie ein nicht regelkonformer Scan aussieht:
Ein mittlerer Risiko-Score auf dieser Skala bedeutet typischerweise, dass das Banner vorhanden ist und die Ablehnen-Schaltfläche funktioniert, aber mindestens ein Tracker vor Einwilligung feuert. Bestätigen Sie, dass keine nicht-essenziellen Tracker vor der Einwilligungsentscheidung feuern.
Empfohlene Kadenz: diese Checkliste quartalsweise durchgehen, die Ergebnisse als Nachweis der Rechenschaftspflicht nach GDPR Art. 5(2) aufbewahren und jeden Punkt, der zweimal in Folge gescheitert ist, als P1-Issue behandeln. Die meisten Betreiber werden kein Vollzugsereignis erleben. Diejenigen, die es tun, werden froh sein, die Aufzeichnungen geführt zu haben.
Zuletzt aktualisiert: