Zurück zum Blog

Datenschutz-Compliance im E-Commerce: Ein umfassender Guide

Datenschutz Sicherheit

Geschrieben von ,

Veröffentlicht September 5, 2023 Aktualisiert Mai 14, 2024

Datenschutz-Compliance im E-Commerce: Ein umfassender Guide

Durch das rasante Fortkommen des elektronischen Handels ist die Datenschutz-Compliance (Einhaltung datenschutzrechtlicher Vorschriften) für viele Online-Unternehmen ein brennendes Thema.

Angesichts der zunehmenden Anzahl von Datenschutzverletzungen, immer bewussteren Verbraucher und hohen Geldstrafen für Verstöße, ist die Datenschutz-Compliance zu einem neuen Standard evolviert. 

Der Schutz der Kundendaten und -privatsphäre gewinnt ständig an Bedeutung. Im Jahr 2024 werden personenbezogene Daten von 75 % der globalen Verbraucher durch Datenschutzgesetze geschütztberichtet Gartner. Verglichen mit 2020 bedeutet dies einen Anstieg von 10 %.

Was ist Datenschutz-Compliance?

Datenschutz-Compliance bezeichnet die Einhaltung gesetzlicher Vorgaben zum Schutz der personenbezogenen Daten durch Unternehmen und Organisationen, die mit diesen Daten umgehen.

Hierbei geht es hauptsächlich darum, die personenbezogenen Daten gemäß den Datenschutzvorschriften zu sammeln, zu verarbeiten und zu schützen.

Dies bezieht sich sowohl auf die Europäische Datenschutz-Grundverordnung (DSGVO), als auch andere lokale oder internationale Datenschutzgesetze.

Warum ist Datenschutz-Compliance wichtig?

Datenschutz-Compliance zielt darauf ab, die Sicherheit der personenbezogenen Daten zu gewährleisten sowie das Vertrauensverhältnis zwischen Kunden, Geschäftspartnern und Mitarbeitern zu stärken.

Für Unternehmen, die in die Compliance investieren, wartet ein unschätzbarer Gewinn. Laut einer Studie von Cisco aus dem Jahr 2021 betrachten 79 % der Verbraucher die Compliance mit Datenschutzvorschriften als Kaufkriterium. Die Investition ist daher Ihre Mühe wert.

Die Datenschutz-Compliance ist also notwendig, um Ihr Online-Geschäft wachsen zu lassen und Vertrauen bei Ihren Kunden aufzubauen.

In diesem Artikel führen wir Sie durch die relevanten Gesetze und gesetzlichen Anforderungen zur Datenschutz-Compliance im E-Commerce. Außerdem zeigen wir Ihnen deren Dos and Don’ts und bringen Sie in die datenschutzorientierte Analytics ein.

Hinweis: Dieser Blogbeitrag stellt keine Rechtsberatung dar. Piwik PRO liefert datenschutzfreundliche Analytics-Software, aber keine Rechtsberatung.

Inhaltsverzeichnis

  1. Was ist Datenschutz-Compliance?
    1. Warum ist Datenschutz-Compliance wichtig?
  2. E-Commerce-Vorschriften
    1. Digital Services Act
  3. Datenschutzvorschriften
    1. ePrivacy-Richtlinie
    2. Datenschutz-Grundverordnung (DSGVO)
    3. Telekommunikation-Telemedien-Datenschutz-Gesetz
    4. CNIL-Leitlinien
      1. CNIL-Leitlinien für Cookie-Consent
    5. CCPA & CPRA
    6. PIPEDA & CPPA
      1. Personal Information Protection and Electronic Documents Act (PIPEDA)
      2. Consumer Privacy Protection Act (CPPA)
  4. Datenschutzgesetze rund um die Welt
  5. Dark Patterns bringen nichts ein
  6. Weitere Schritte zur Datenschutz-Compliance im E-Commerce
  7. Machen Sie Ihre E-Commerce-Analytics datenschutzkonform

E-Commerce-Vorschriften

In diesem Kapitel erfahren Sie mehr über die Vorschriften und Normen, die für Ihr Online-Business auf verschiedenen Märkten gelten.

Die Vorschriften betreffen immer eine bestimmte Region (wie die EU) oder ein bestimmtes Land. Am Anfang jedes Abschnitts haben wir angegeben, um welchen Bereich es sich handelt.

Digital Services Act

Geltungsbereich: EU

Am 15. Dezember 2020 führte die Europäische Kommission den Digital Services Act (DSA) ein, der am 16. November 2022 in Kraft trat. Der Rechtsakt ersetzt und verbessert die e-Commerce Directive – eine Richtlinie, die im Jahr 2000 den grundlegenden Rechtsrahmen für Online-Dienste in der EU geschaffen hat.

Ziel des DSA ist es, einen sichereren digitalen Raum zu schaffen, der die Rechte der Nutzer schützt. Er gilt für alle digitalen Dienste, die Verbraucher mit Waren, Dienste oder Inhalten verbinden. Dazu gehören auch Online-Marktplätze.

Der DSA soll die Moderation von Inhalten in sozialen Medien verbessern und die Nutzer vor illegalen Inhalten, Waren und Diensten schützen. Dank des Gesetzes werden die Bürger besser kontrollieren, wie Online-Plattformen und Big-Tech-Unternehmen ihre Daten nutzen.

Außerdem erhält die Europäische Kommission das Recht, Zugang zu den Algorithmen der Plattformen zu verlangen, um Transparenz darüber zu gewährleisten, wie sie ihren Nutzern Inhalte empfehlen. Sie verpflichtet die Plattformen, alle Anzeigen zu kennzeichnen und die Nutzer über die Unternehmen zu informieren, die diese bewerben

Schließlich verpflichten die neuen Vorschriften die Plattformen, eine leicht verständliche Kurzversion ihrer Geschäftsbedingungen bereitzustellen.

Schritte zu einem DSA-konformen E-Commerce:

  1. Geben Sie den Nutzern klare Informationen darüber, warum ihnen bestimmte Informationen empfohlen werden.  
  2. Ermöglichen Sie es den Nutzern, sich von Empfehlungssystemen abzumelden, die auf Profiling basieren
  3. Räumen Sie den Nutzern das Recht ein, sich bei der Plattform zu beschweren, eine außergerichtliche Einigung anzustreben, sich bei ihrer nationalen Behörde in ihrer Sprache zu beschweren oder eine Entschädigung für Verstöße gegen die Vorschriften zu fordern
  4. Zeigen Sie keine Werbung an, die auf sensiblen Nutzerdaten wie ethnischer Herkunft, politischer Ansicht oder sexueller Orientierung basiert. 
  5. Verwenden Sie kein Profiling für Kinder und zeigen Sie keine Werbung auf dieser Grundlage an. 
  6. Verwenden Sie keine Dark Patterns in der Benutzeroberfläche von Online-Plattformen. Dies bezieht sich auf Designelemente, die Nutzer zu Beschlüssen verleiten, die sie nicht treffen wollen.

Der DSA wird am 17. Februar 2024 vollständig in Kraft treten. Kleine und Mikrounternehmen werden jedoch von einigen Vorschriften ausgenommen, die für sie belastend sein könnten.

Ferner hat die Europäische Kommission beschlossen, dass die bedeutenderen Spieler, die mehr als 45 Millionen aktive Nutzer pro Monat haben, ab dem 25. August 2023 unter den DSA fallen

Diese Spieler werden als Very Large Online Platforms (VLOP) und Very Large Online Search Engines (VLOSE) bezeichnet und umfassen unter anderem Amazon, Apple, Facebook, Instagram, Google und Bing. Sie fallen aufgrund ihres erheblichen gesellschaftlichen und wirtschaftlichen Einflusses unter die strengsten Regeln des DSA.

Mehr darüber erfahren Sie in der FAQ zum Digital Services Act an.

Die EU erklärt, dass der DSA kleinen und mittleren Unternehmen sowie Start-ups helfen wird, über ihren Heimatmarkt hinaus zu expandieren. Das liegt daran, dass es die Kosten für die Compliance mit 27 verschiedenen Gesetzen in ganz Europa reduziert.

Bislang haben die Mitgliedstaaten diese Dienste unterschiedlich geregelt. Dies schuf Hürden für kleinere Unternehmen, die EU-weit expandieren und sich vergrößern wollten, und führte zu einem unterschiedlichen Schutzniveau für die Europäer.

Lesen Sie mehr über das DSA-Paket in unserem Artikel DMA und DSA: Einfluss auf das Online-Geschäft.

Datenschutzvorschriften

Der Schwerpunkt dieser Vorschriften liegt auf der Verarbeitung personenbezogener Daten und dem Schutz der Privatsphäre der Verbraucher im Internet. Und da Ihr E-Commerce täglich mit persönlichen oder sogar sensiblen Daten zu tun hat, ist das Verständnis und die Einhaltung dieser Vorschriften ein Muss. 

Dieses Kapitel führt Sie durch die wichtigsten Datenschutzvorschriften weltweit.

ePrivacy-Richtlinie

Geltungsbereich: Europäischer Wirtschaftsraum (EWR)

Die Datenschutzrichtlinie für elektronische Kommunikation, auch bekannt als „Cookie-Gesetz“, wurde von der Europäischen Union im Jahr 2002 verabschiedet und 2009 geändert. Sie regelt die Verwendung von Cookies und die Verarbeitung von personenbezogenen Daten auf Websites.

Seit ihrem Vollzug müssen Websites eine ausdrückliche Einwilligung der EU-Besucher einholen, bevor sie Cookies oder Tracker aktivieren, die nicht unbedingt für das Funktionieren der Website und der Dienste erforderlich sind. 

Aber das ist nicht alles. Ihre Website muss auch:

  • Auf benutzerfreundliche Weise um das Cookie-Consent bitten.
  • Die Nutzer in verständlicher, einfacher Sprache über alle Cookies und Tracker informieren, die Ihre Website verwendet.
  • Die Nutzer über die Zwecke der Datenverarbeitung informieren, sowie über die Speicherung, Aufbewahrung und den Zugriff auf Daten.
  • Den Widerruf des Cookie-Consents so einfach wie seiner Erteilung machen.

Aufgrund der ePrivacy-Richtlinie muss Ihre Website in der EU ein Cookie-Banner anzeigen, damit die europäischen Besucher mehr Kontrolle über ihre persönlichen Daten haben.

Mehr über das Cookie-Consent erfahren Sie aus unserem Artikel Cookie Consent in der EU – alles, was Sie wissen sollten.

Trotz des Spitznamens „Cookie-Gesetz“ ist die ePrivacy-Richtlinie kein echtes Gesetz. Sie ist ein Rechtsakt und gibt ein Ziel vor, das alle EU-Länder erreichen und lokal umsetzen müssen. Es ist jedoch Sache der EU-Länder, wie sie es verwirklichen. Daher sollten Sie sich über die lokale Umsetzung der Richtlinie in den Ländern informieren, in denen Sie Ihr Geschäft betreiben.

Die ePrivacy-Verordnung ist ein von der Europäischen Kommission vorgeschlagener Verordnungsentwurf, der die ePrivacy-Richtlinie in Zukunft ersetzen wird. Sie wird die derzeitigen Regeln für die Nutzung moderner Technologien aktualisieren und an die Datenschutz-Grundverordnung anpassen.

Die neue Verordnung wird strengere Regeln für die elektronische Kommunikation aufstellen und Dienste wie Skype, WhatsApp, Facebook Messenger, Gmail, iMessage oder Viber abdecken. Sie wird verhindern, dass Kommunikations-Apps und Internetdienste die Nachrichten der Nutzer abfangen, aufzeichnen oder abhören.

Weitere wichtige Bestimmungen der vorgeschlagenen ePrivacy-Verordnung sind:

  • Gleiches Schutzniveau für die elektronische Kommunikation für alle Menschen und Unternehmen und einheitliche Vorschriften für Unternehmen in der gesamten EU.
  • Schutz der Metadaten – die Informationen, die andere Daten beschreiben, wie Autor, Datum, Ort usw. Metadaten sollten anonymisiert oder gelöscht werden, wenn die Besucher ihre Verwendung nicht zulassen. Eine Ausnahme bilden Daten, die für die Rechnungsstellung erforderlich sind.
  • Einfachere Regeln für Cookies. Die Einführung benutzerfreundlicher Browsereinstellungen bietet eine einfache Option, Tracking-Cookies und andere Identifikatoren zu akzeptieren oder abzulehnen. Für Cookies, die das Internet-Erlebnis verbessern, wie die Speicherung des Warenkorbverlaufs oder die Zählung der Website-Besucher, ist keine Einwilligung erforderlich.
  • Schutz vor Spam. Die Verordnung verbietet unerwünschte elektronische Nachrichten per E-Mail, SMS und automatische Anrufmaschinen. 
  • Wirksamerer Vollzug. Wie bei der DSGVO werden die Datenschutzbehörden für den Vollzug der neuen Verordnung zuständig sein.

Die ePrivacy-Verordnung befindet sich noch im Gesetzgebungsverfahren, und das Datum ihres Inkrafttretens ist noch unbekannt. Aber eins ist sicher: Cookies und Einwilligung bleiben mit uns.

Im November 2023 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien formuliert, die den neuen technischen Anwendungsbereich von Art. 5 (3) der ePrivacy-Richtlinie umreißen.

Diesem Artikel zufolge sind Unternehmen verpflichtet, eine vorherige Einwilligung einzuholen, bevor sie Informationen auf dem elektronischen Gerät eines Nutzers speichern oder darauf zugreifen. Die einzige Ausnahme besteht, wenn dies erforderlich ist, um die angeforderte Dienstleistung zu erbringen. Bislang galt dieser Grundsatz hauptsächlich für Internet-Cookies. 

In den jüngsten Leitlinien wird die Liste der unter Art. 5 (3) fallenden Technologien erheblich erweitert. Sie umfasst nun auch neue Tracking-Methoden und technische Verfahren. 

Der EDSA konzentriert sich auf fünf kritische Elemente der Cookie-Regel und interpretiert sie alle umfassend:

  • Informationen beinhalten sowohl nicht-personenbezogene als auch personenbezogene Daten, unabhängig davon, wie und von wem sie gespeichert werden.
  • Endgeräte sind Geräte, die an das öffentliche Telekommunikationsnetz angeschlossen sind, z. B. Smartphones, Laptops, vernetzte Autos, vernetzte Fernsehgeräte oder intelligente Brillen.
  • Ein elektronisches Kommunikationsnetz ist ein System, das die Übertragung von elektronischen Signalen ermöglicht. Die Leitlinie betrifft öffentliche Kommunikationsdienste, die über solche Netze erbracht werden. Die Kommunikation über ein Netz, das einer begrenzten Anzahl von Personen (z. B. Abonnenten) zur Verfügung steht, gilt jedoch auch als öffentlich.
  • Zugriff – der EDSA wendet eine sehr weit gefasste Abgrenzung des Zugriffs an. Ein Zugriff vorliegt, wenn eine Stelle aktiv Schritte unternimmt, um Zugang zu den auf einem Endgerät gespeicherten Informationen zu erhalten.
  • Die Speicherung bezieht sich auf Informationen jeglicher Art, in jeglicher Menge und über einen beliebigen Zeitraum (auch so kurz wie die Speicherung im RAM oder CPU-Cache).

Vor diesem Hintergrund würde der Art. 5 (3) der ePrivacy-Richtlinie auch für folgende Technologien gelten: 

  • URL- und Pixel-Tracking (einschließlich „Identifikatoren“)
  • Lokale Verarbeitung
  • Tracking nur anhand der IP-Adresse
  • JavaScript-Code
  • Internet of Things (IoT)-Reporting
  • andere Geräte-Fingerprinting-Techniken

Die Vorschläge des EDSA sind umstritten, da sie sich negativ auf den Markt auswirken könnten. Dies spiegelte sich auch in den Stellungnahmen der Branchenverbände zu den neuen Leitlinien im Rahmen der öffentlichen Konsultation wider. 

Um die Federation of European Data and Marketing zu zitieren: 
Die weite Auslegung des Begriffs „Zugriff erhalten“ durch den EDSA würde (…) bedeuten, dass jede Kommunikation über das Internet in einer Weise einen „Zugriff“ auf Informationen im Sinne von Art. 5(3) der ePrivacy-Richtlinie darstellt (…). Dabei erfasst die Auslegung des Richtlinienentwurfs auch Technologien und grundlegende technische Vorgänge, die nicht unbedingt mit Marketing- oder Werbezwecken verbunden sind (…). Es ist daher unklar, wie eine Einwilligungspflicht für nicht-invasive technische Vorgänge, die nicht unbedingt die Verarbeitung personenbezogener Daten beinhalten, dem Nutzer einen besseren Schutz der Privatsphäre bringen soll. Dies scheint sich auch nachteilig auf das Online-Erlebnis des Nutzers auszuwirken, da er aufgefordert wird, sich mit zusätzlichen Einwilligungsanfragen zu befassen, was wahrscheinlich die sogenannte „Einwilligungsmüdigkeit“ verschärft.

Der Zentralverband der deutschen Werbewirtschaft ZAW e.V. wies auf die Notwendigkeit eines risikobasierten Ansatzes in den neuen Leitlinien hin. Das IAB sprach unter anderem die Vernachlässigung der technischen Aspekte an. 

Dennoch ist zu bedenken, dass die Leitlinien die Rechtsauffassung der EU-Datenschutzbehörden widerspiegeln. Sie sind nicht unmittelbar verbindlich. Ob es der EDSA gelingen wird, die neuen Leitlinien erfolgreich und vollständig durchzusetzen, ist bisher nicht sicher.

Datenschutz-Grundverordnung (DSGVO)

Geltungsbereich: Europäischer Wirtschaftsraum (EWR)

Im Mai 2018 ersetzte die DSGVO die europäische Datenschutzrichtlinie von 1995 (95/46/EG). Die DSGVO gibt Einzelpersonen die vollständige Kontrolle über ihre personenbezogenen Daten. Sie stärkt und vereinheitlicht die Regeln für die Erhebung von Daten der Einzelpersonen innerhalb der Europäischen Union.

Die Verordnung legt Verfahren für den Umgang mit Daten, die Transparenz, die Dokumentation und die Einwilligung der Nutzer fest. Daneben zwingt sie Organisationen dazu, alle Aktivitäten rund um die Verarbeitung personenbezogener Daten zu dokumentieren und zu überwachen. 

Der Begriff der personenbezogenen Daten ist in der DSGVO umfassend. Er betrifft alle Informationen, die sich auf eine natürliche Person beziehen und deren Identifizierung ermöglichen. Dazu gehören nicht nur der Name, Vorname und Wohnort einer Person, sondern auch Online-Kennungen wie IP-Adressen und Cookies. Außerdem umfasst er Faktoren, die sich auf die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität einer Person beziehen.

Bei Nichteinhaltung der Vorschriften drohen Ihrem Unternehmen Geldbußen von bis zu 4 % seines Jahresumsatzes. In einigen Fällen können sich diese auf Millionen von Euro belaufen.

Schritte zu einem DSGVO-konformen E-Commerce:

  1. Mappen Sie alle Arten von personenbezogenen Daten, die Sie erheben – einschließlich Cookies und eindeutiger Identifikatoren, die Ihre Datenplattformen wie Analytics, CRM usw. verwenden.
  2. Beschränken Sie Ihre Datenerhebung auf das Minimum an Daten. Sammeln Sie nur Daten, die erforderlich sind, um ein bestimmtes Ziel zu erreichen.
  3. Führen Sie ein Verfahren ein, um die spezifischen, informierten, frei erteilten und eindeutigen Einwilligungen der Besucher zur Erhebung personenbezogener Daten einzuholen. Erwägen Sie hierfür den Einsatz eines speziellen Consent Managers. Holen Sie für jede Art der Datenverarbeitung eine separate Einwilligung ein – eine für A/B-Tests, eine für die Optimierung der User-Experience usw.
  4. Beachten Sie, dass für einige Arten von Cookies keine Einwilligung erforderlich ist. Dazu gehören etwa Cookies, die für das richtige Funktionieren einer Website erforderlich sind, wie solche, die zum Speichern von Artikeln im Warenkorb verwendet werden.
  5. Ermöglichen Sie es den Besuchern, ihre Rechte auszuüben, einschließlich des Rechts auf Zugang, Berichtigung, Übertragung, Löschung oder Einschränkung der Verarbeitung ihrer Daten. Sie können einen Consent Manager verwenden, der Sie bei der Verwaltung der Datenanfragen der Nutzer unterstützt.
  6. Schreiben Sie Ihre Datenschutzerklärung. Teilen Sie den Nutzern darin mit:
    • Wer ihre personenbezogenen Daten verarbeitet 
    • Auf welcher Rechtsgrundlage Sie die Daten verarbeiten
    • Zu welchen Zwecken Sie die Daten erheben
    • Welche Arten personenbezogener Daten Sie sammeln
    • Wie lange Sie sie speichern 
    • Wohin Sie sie übermitteln
    • Mit welchen Dritten Sie sie teilen
  7. Unterzeichnen Sie einen Data Processing Agreement mit Plattformen und Produkten, die personenbezogene Daten in Ihrem Auftrag verarbeiten. Dazu gehören Ihre Analytics-Software, CRM, E-Mail-Marketing-Anbieter usw. Stellen Sie sicher, dass diese Plattformen bewährte Verfahren zur DSGVO-Compliance befolgen und vorzugsweise keine Nutzerdaten in Länder außerhalb der EU senden. Die Urteile verschiedener EU-Datenschutzbehörden gegen Facebook und Google Analytics deuten darauf hin, dass es am besten ist, diese Art von Daten innerhalb des EWR zu verarbeiten.
  8. Ernennen Sie einen Datenschutzbeauftragten, der in Ihrem Unternehmen für die DSGVO-Compliance verantwortlich ist. Dies gilt für Fälle, die der Artikel 37 der Datenschutz-Grundverordnung beschreibt.
  9. Übertragen Sie keine personenbezogenen Daten in Länder mit geringeren Datenschutzstandards, wie in die USA. Dies schließt den Einsatz von Google Analytics aus, da Google Informationen über EU-Bürger auf US-Cloud-Server überträgt und sie dort speichert. Dadurch werden die Daten für US-Überwachungsgesetze und US-Geheimdienste verfügbar.

DSGVO, Einwilligung und Cookie-Walls

Seit dem Vollzug der DSGVO haben viele Website-Betreiber auf sogenannte Cookie-Walls zurückgegriffen. Diese Pop-up-Banner blockieren den gesamten Inhalt der Website, es sei denn, der Besucher stimmt dem Einsatz aller angeforderten Cookies und Identifikatoren zu.

Die Umsetzung der Cookie-Einwilligung ist in den einzelnen Mitgliedstaaten unterschiedlich, aber nach den Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 gilt diese Praxis nicht als gültige Einwilligung im Sinne der DSGVO. Der Zugang zu einer Website kann nicht von der Einwilligung des Nutzers abhängig gemacht werden.

Möchten Sie mehr über die DSGVO erfahren? Wir haben die häufig gestellten Fragen in einer Reihe von Artikeln behandelt:

Warum ist die DSGVO-Compliance ein Vorteil für Ihr Unternehmen? Lesen Sie unser Interview mit Lisette Meij: Datenschutz-Compliance ist ein Wettbewerbsvorteil [ENG].

Telekommunikation-Telemedien-Datenschutz-Gesetz

Geltungsbereich: Deutschland

Wenn Sie ein E-Commerce-Geschäft in Deutschland betreiben und dort Daten verarbeiten, fällt Ihr Unternehmen unter das TTDSG. Dieses Gesetz gilt seit Dezember 2021 und fasst die in verschiedenen deutschen Gesetzen verstreuten Datenschutzvorschriften zusammen. Es ist auch eine lokale Umsetzung der ePrivacy-Richtlinie und eine Ergänzung der DSGVO.

Das TTDSG schreibt vor, dass jede Website, die Cookies verwendet, ihre Besucher um eine ausdrückliche und informierte Einwilligung zu deren Sammlung bitten muss. Dies gilt für jede Technologie, die Nutzerinformationen sammelt, wie Ihre Analytics-Plattform.

Kurz gesagt: Um das TTDSG einzuhalten, holen Sie die Einwilligung der Besucher ein, bevor Sie mit der Speicherung von Cookies beginnen oder sogar auf technische Informationen auf deren Gerät zugreifen. Das TTDSG verlangt nämlich, dass Sie die Einwilligung zuerst erhalten, bevor Sie auf Informationen auf dem Gerät eines Endnutzers zugreifen.

Die einzigen Ausnahmen von dieser allgemeinen Pflicht sind Cookies, die „unbedingt erforderlich“ sind, um den vom Nutzer ausdrücklich angeforderten Dienst zu erbringen.

Das bedeutet, dass Sie als E-Commerce-Unternehmen keine Einwilligung des Nutzers für Cookies benötigen, die zur Speicherung von Artikeln in einem Warenkorb verwendet werden. Sie sind nämlich notwendig, um die Transaktion abzuschließen, die der Nutzer ausdrücklich angefordert hat.

Schritte zu einem TTDSG-konformen E-Commerce:

  1. Entwerfen Sie ein benutzerfreundliches Cookie-Banner in deutscher Sprache, das es den Besuchern ermöglicht, Cookies einfach abzulehnen, zu akzeptieren oder das Banner zu ignorieren, um Cookie-Walls ganz zu vermeiden. 
  2. Bieten Sie den Besuchern in dem Banner Zugang zu Ihrer Datenschutzerklärung, in der Sie Ihre Cookie-Richtlinie erläutern. 
  3. Informieren Sie den Nutzer darüber, welche Art von Daten Sie sammeln (personenbezogene oder nicht personenbezogene), wie Sie sie verwenden und für wie lange. Machen Sie deutlich, ob es Drittparteien gibt, die Zugang zu den Informationen der Nutzer erhalten. 
  4. Zeigen Sie keine automatisch angekreuzten Einwilligungen für bestimmte Cookies an. Wenn die Nutzer zustimmen wollen, müssen sie dies selbst tun, indem sie diese anklicken. 
  5. Erlauben Sie den Nutzern, nur bestimmten Cookie-Kategorien zuzustimmen und andere abzulehnen. 
  6. Vermeiden Sie Dark Patterns. Bestrafen Sie Ihre Nutzer nicht dafür, dass sie Cookies nicht akzeptieren wollen. Setzen Sie sie nicht unter Druck, es zu tun. 
  7. Sammeln Sie Daten erst dann, wenn der Nutzer seine Einwilligung erteilt hat.
  8. Setzen Sie einen Consent Manager ein, der es den Nutzern ermöglicht, ihre Einwilligung zu kontrollieren und jederzeit zu überprüfen.

Lesen Sie mehr über TTDSG-konforme Cookie-Banner und Analytics in unserem Artikel TTDSG: Piwik PRO reagiert kunden- und datenorientiert.

CNIL-Leitlinien

Geltungsbereich: Frankreich

Commission Nationale de l’informatique et des Libertés (CNIL) ist eine autonome Datenschutzbehörde in Frankreich. Ihre Aufgabe ist es, die Privatsphäre der Verbraucher bei der Erhebung, Speicherung und Nutzung ihrer personenbezogenen Daten zu schützen. Die Behörde setzt Datenschutzgesetze wie das französische Datenschutzgesetz, die DSGVO und die ePrivacy-Richtlinie durch.

Die am 1. Oktober 2020 veröffentlichten Leitlinien der CNIL haben den französischen E-Commerce-Sektor stark beeinflusst und die Datenschutzstandards erheblich verschärft. Außerdem haben sie die französischen Verbraucher über ihre Rechte aufgeklärt.

Das heißt, wenn Ihr E-Commerce-Unternehmen in Frankreich oder den französischen Überseegebieten ansässig ist oder personenbezogene Daten der französischen Bürger sammelt und verarbeitet, müssen Sie die CNIL-Leitlinien einhalten.

Schritte zu einem CNIL-konformen E-Commerce:

  1. Mappen Sie alle personenbezogenen Daten, die Sie sammeln, verarbeiten und speichern.
  2. Bestimmen Sie die Rechtsgrundlage für die Verarbeitung von Verbraucherdaten. Sie müssen für jede Art von verarbeiteten Daten eine Rechtsgrundlage haben, wie  Einwilligung, gesetzliche Pflicht, vertragliche Notwendigkeit, wesentliches und berechtigtes Interesse.
  3. Erstellen Sie eine umfassende und transparente Datenschutzerklärung, in der Sie beschreiben, wie Sie Daten erheben, verwenden, speichern und schützen. 
  4. Schaffen Sie wirksame und robuste Sicherheitsmaßnahmen, um personenbezogene Daten vor Verstößen, Verlust oder unbefugtem Zugriff zu schützen. 
  5. Ermöglichen Sie es den Verbrauchern, ihre Rechte auszuüben: auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung und Übertragung von Daten. 
  6. Stellen Sie sicher, dass Ihre Auftragnehmer, die mit personenbezogenen Daten umgehen, die CNIL-Leitlinien einhalten, indem Sie mit ihnen entsprechende Verträge abschließen.
  7. Schulen Sie Ihr Personal, um das Bewusstsein für die Leitlinien zu schärfen. 
  8. Erstellen Sie einen Reaktionsplan für Datenschutzverstöße, der die Maßnahmen und Schritte im Falle eines Sicherheitsvorfalls beschreibt. 
  9. Führen Sie regelmäßig Audits und Bewertungen durch, um die bestehenden Datenschutzpraktiken zu bewerten. 
  10. Sammeln und verwalten Sie gültige Einwilligungen der Verbraucher zur Datenerhebung und -verarbeitung. 
  11. Bewerten Sie die Folgen der Datenverarbeitung und setzen Sie die erforderlichen Maßnahmen zur Risikominderung.

Neben den allgemeinen Datenschutzvorschriften legt die CNIL auch die Regeln fest, wie Sie auf eine konforme Weise Cookie-Consent erheben:

  1. Holen Sie eine ausdrückliche Einwilligung des Nutzers ein. Dabei muss es sich um eine eindeutige, bestätigende Erklärung des Nutzers handeln, z. B. durch Anklicken der Schaltfläche „Akzeptieren“. Wenn jemand das Banner ignoriert und auf der Website weitersurft, gilt dies nicht als Einwilligung. Vorher angekreuzte Cookies-Optionen sind nicht erlaubt.
  2. Bieten Sie die Option, Cookies einfach abzulehnen. Dies sollte so einfach sein wie das Akzeptieren von Cookies. 
  3. Bieten Sie die Option, Cookies einfach zurückzuziehen. Der Nutzer sollte jederzeit die Möglichkeit haben, dies zu tun. 
  4. Informieren Sie die Nutzer über den Zweck der Cookie-Sammlung.  
  5. Haben Sie einen Nachweis der Einwilligung, den Sie jederzeit vorlegen können. Er sollte bestätigen, dass die Einwilligung freiwillig, in Kenntnis der Sachlage, spezifisch und unmissverständlich erteilt wurde.

Einige Cookies sind jedoch auch ohne Einwilligung des Nutzers zulässig. Dazu gehören Cookies, die genutzt werden, um:

  • Dienste zu authentifizieren
  • An die Artikel im Warenkorb zu erinnern
  • Verkehrsstatistiken zu erstellen (einige)
  • Die Einwilligungen der Nutzer zu verwalten
  • Die Benutzeroberfläche zu optimieren
  • Sprachpräferenzen zu bestimmen

Ferner hat die CNIL auch Cookie-Walls verboten. Dies bedeutet, dass Sie den Zugang zu Ihrem E-Commerce-Shop nicht von der Einwilligung eines Nutzers abhängig machen dürfen.

CNIL regelt auch die Compliance von Analytics-Plattformen. Sie listet Analytics-Anbieter auf, die CNIL-konforme Einstellungen anbieten. Darunter ist auch Piwik PRO Analytics Suite. Erfahren Sie mehr über die CNIL-Ausnahme für Piwik PRO in unserem Artikel CNIL Ausnahmegenehmigung für Piwik PRO – Was das nun für Ihre Analytics-Daten bedeutet.

CCPA & CPRA

Geltungsbereich: Kalifornien, Vereinigte Staaten

Der California Consumer Privacy Act (CCPA) ist das ursprüngliche kalifornische Datenschutzgesetz, das den Ansatz zum Datenschutz in den USA revolutioniert hat. Dieses Gesetz wurde mit dem Vollzug des California Privacy Rights Act (CPRA), der am 1. Januar 2023 in Kraft getreten ist, geändert und erweitert.

Da das CPRA seinen Vorgänger ersetzt hat, konzentrieren wir uns in diesem Kapitel auf die CPRA-Compliance. Wenn Sie jedoch mehr über das CCPA und dessen Weiterentwicklung durch das CPRA erfahren möchten, empfehlen wir Ihnen unseren Artikel CCPA & CPRA: So halten Sie als Marketer die kalifornischen Gesetze ein.

Ihr E-Commerce-Geschäft fällt unter die CPRA-Vorschriften, wenn es:

  • Einen jährlichen Bruttoumsatz von mindestens 25 Millionen Dollar erzielt
  • Jährlich Informationen von 100.000 oder mehr kalifornischen Einwohnern/Haushalten oder Geräten erhält
  • Mindestens 50 % des Jahreseinkommens aus der Weitergabe oder dem Verkauf von Daten kalifornischer Einwohner erwirtschaftet

Die Art der von Ihnen verarbeiteten Daten spielt ebenso eine wichtige Rolle. Fallen die Daten unter die Kategorien personenbezogener Daten oder sensibler personenbezogener Daten, wie sie im CPRA definiert sind, sind Sie an das Gesetz gebunden. Wenn Sie mehr über diese Arten von Daten erfahren möchten, lesen Sie die folgenden Kapitel unseres Artikels über CCPA und CPRA:

Wenn Ihr E-Commerce-Unternehmen in Kalifornien tätig ist und die oben genannten Kriterien erfüllt, sollten Sie Maßnahmen zur CPRA-Compliance ergreifen.

Schritte zu einem CPRA-konformen E-Commerce:

  1. Mappen Sie Ihre Daten und deren Quellen. Dies bezieht sich auf alle Informationen über Ihre Kunden, die Ihre Marketing- und Vertriebstools erfassen.  
  2. Stellen Sie sicher, dass die Daten Ihrer Kunden gut vorbereitet sind: für Zugriff-, Löschung- und Transfer-Anfragen. Wenn Ihr Marketingsoftware-Anbieter diese Anforderungen nicht erfüllen kann, sollten Sie einen Wechsel zu einem Anbieter überlegen, der den Datenschutz stärker berücksichtigt. 
  3. Überprüfen Sie Ihre Quellen von Third-Party-Daten. Wenn Ihr Unternehmen Daten kauft, stellen Sie sicher, dass diese aus legitimen, legalen Quellen stammen. Die Non-Compliance mit den Vorschriften kann zu hohen Geldstrafen führen. 
  4. Erstellen Sie ein Verfahren für die Bearbeitung von Kundenanfragen. Bieten Sie den Verbrauchern mindestens zwei Optionen, ihre Anfragen zu stellen: eine gebührenfreie Nummer und ein Online-Formular. 
  5. Stellen Sie ein klares und verständliches Opt-out-Formular bereit. Platzieren Sie es auf Ihrer Homepage mit dem Text „Do Not Sell or Share My Personal Information“. 
  6. Geben Sie den Verbrauchern die Option, Anträge zu stellen, um: ihre personenbezogenen Daten zu löschen, Bescheid zu wissen, wie sie erfasst wurden, sie an eine andere Organisation zu übertragen oder ihre Verwendung und Offenlegung einzuschränken. 
  7. Aktualisieren Sie Ihre Datenschutzerklärung. Sie sollte die Rechte der Einwohner Kaliforniens beschreiben. Befolgen Sie diese Richtlinien, um Ihre CCPA-Datenschutzrichtlinie mit dem CPRA in Einklang zu bringen
  8. Achten Sie auf Novellen des Gesetzes. Genau wie der CCPA kann auch das CPRA nach einiger Zeit aktualisiert werden. Es gibt bereits einen Gesetzentwurf – American Data Privacy and Protection Act (ADPPA) – der künftig für alle Unternehmen gelten wird, die in den USA tätig sind.

Weitere Datenschutzvorschriften, die potenziell für Ihr E-Commerce-Geschäft in den USA gelten, finden Sie in unserem Artikel über Datenschutzgesetze in den Vereinigten Staaten [ENG].

PIPEDA & CPPA

Geltungsbereich: Kanada

Der Datenschutz in Kanada wird von zwei wichtigsten Rechtsakten geprägt: dem Personal Information Protection and Electronic Documents Act (PIPEDA) und dem Consumer Privacy Protection Act (CPPA).

Der Erste trat im Jahr 2000 in Kraft und wurde seither mehrfach geändert. Die wichtigsten Novellen brachte 2015 der Digital Privacy Act mit. 2022 führte der Bill C-27 den CPPA ein, um die veralteten Teile des PIPEDA zu aktualisieren.

Personal Information Protection and Electronic Documents Act (PIPEDA)

PIPEDA ist ein kanadisches Bundesgesetz, das die Privatsphäre der Nutzer schützt und die Art und Weise regelt, wie Unternehmen mit personenbezogenen Daten umgehen. Es gilt für private Organisationen, die Dienste oder Produkte für kanadische Staatsbürger anbieten und dabei personenbezogene Daten sammeln, verwenden oder weitergeben.

Eine Ausnahme gilt, wenn Ihr E-Commerce-Unternehmen ausschließlich in den Provinzen Albert, British Columbia oder Quebec tätig ist. Dort sind Sie an die lokalen Datenschutzgesetze gebunden. PIPEDA gilt für alle anderen Fälle.

Schritte zu einem PIPEDA-konformen E-Commerce:

  1. Ernennen Sie einen Chief Privacy Officer (CPO), der für die Compliance mit den Vorschriften in Ihrem Unternehmen verantwortlich ist. 
  2. Beschränken Sie die Erhebung personenbezogener Daten nur auf die Zwecke, die Ihr Unternehmen benötigt. 
  3. Stellen Sie sicher, dass die persönlichen Daten Ihrer Besucher fehlerfrei, vollständig und aktuell sind. 
  4. Stellen Sie sicher, dass Sie keine personenbezogenen Daten ohne vorherige Einwilligung einholen, verwenden und weitergeben
  5. Kommunizieren Sie klar und deutlich den Zweck der Datenerhebung und die Art der Datenverarbeitung. 
  6. Bewahren Sie personenbezogene Daten nur so lange auf, wie es für Ihre Zwecke erforderlich ist. 
  7. Informieren Sie die Besucher über die Art der von Ihnen gesammelten Daten, die Dritten, mit denen Sie diese teilen, und die möglichen Risiken für die betroffenen Personen. Tun Sie dies in Ihrer Datenschutzerklärung oder während Sie die Einwilligung der Nutzer einholen. 
  8. Gestalten Sie transparente Richtlinien und Praktiken für den Umgang mit personenbezogenen Daten und machen Sie diese öffentlich zugänglich. 
  9. Ermöglichen Sie den Nutzern, auf ihre personenbezogenen Daten, die Sie verarbeiten, zuzugreifen und sie zu überprüfen.  
  10. Erlauben Sie den Nutzern, die Einhaltung des PIPEDA anzufechten und sich diesbezüglich an Ihren CPO zu wenden. 
  11. Führen Sie Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ein, die deren Sensibilität entsprechen.

Beachten Sie, dass PIPEDA zwei Arten der Einwilligung zulässt:

  • Ausdrückliche Einwilligung – wird durch ausdrückliche Handlung erteilt, z. B. durch das Anklicken der Schaltfläche „I agree“.
  • Stillschweigende Einwilligung – erfolgt durch die Handlung oder Untätigkeit der Nutzer, z. B. durch das Ignorieren der Opt-out-Option auf dem Consent-Banner.

Die erste Option wird jedoch empfohlen, wenn Sie die Gültigkeit der Einwilligung nachweisen müssen, falls ein Nutzer eine Beschwerde über Ihre PIPEDA-Compliance einreicht.

Consumer Privacy Protection Act (CPPA)

Der CPPA ist Kanadas Versuch, die Datenschutzgesetze des Landes an die heutigen Standards anzupassen. Er zielt darauf ab, die Bedürfnisse der Kanadier zu erfüllen, die auf digitale Technologien angewiesen sind. Dabei reagiert er auf das Feedback zu den bestehenden Rechtsvorschriften. 

Das Gesetz befindet sich derzeit im Entwurfsstadium und wird in Zukunft das PIPEDA ergänzen. Es wird für alle Unternehmen gelten, die personenbezogene Daten der Kanadier zu kommerziellen Zwecken weitergeben oder solche Daten bei der Bewerbung weitergeben. Die zweite Situation kann sich auf Ihr E-Commerce-Unternehmen auswirken, wenn Sie einen kanadischen Mitarbeiter einstellen.

Schritte zu einem CPPA-konformen E-Commerce:

  1. Ergreifen Sie Sicherheitsmaßnahmen, um die personenbezogenen Daten zu schützen, die Ihr Unternehmen (oder jemand anderes in Ihrem Namen) erhebt, verwendet oder weitergibt.
  2. Ernennen Sie eine Person, die für die CPPA-Compliance Ihres Unternehmens verantwortlich ist. Geben Sie die Kontaktdaten dieser Person bekannt, z. B. in Ihrer Datenschutzerklärung oder auf Anfrage eines Nutzers.
  3. Stellen Sie sicher, dass Sie einen vernünftigen Zweck für die Erhebung, Verwendung oder Weitergabe personenbezogener Daten haben. Fragen Sie Folgendes:
    • Sind die Informationen sensibel?
    • Stellt die Datenerhebung einen tatsächlichen Geschäftsbedarf Ihres Unternehmens dar?
    • Können Sie denselben Zweck auch durch die Erhebung von weniger Daten erreichen?
    • Ist der potenzielle Verlust der Privatsphäre einer Person proportional zum Nutzen?
  4. Holen Sie eine aussagekräftige Einwilligung zur Erhebung, Verarbeitung und Weitergabe personenbezogener Daten ein – ausdrücklich oder stillschweigend. Mehr dazu im Kapitel über die Einwilligung in unserem Artikel.
  5. Ermöglichen Sie es den Nutzern, ihre personenbezogenen Daten an eine andere Organisation wie eine Bank oder Versicherung zu übertragen.
  6. Erlauben Sie den Nutzern, die Löschung aller ihrer Daten zu verlangen.
  7. Führen Sie transparente Verfahren für den Umgang mit personenbezogenen Daten ein. Beschreiben Sie gründlich:
    • Wie Sie persönliche Informationen schützen
    • Wie Sie mit Informationsanfragen und Beschwerden umgehen
    • Wie Sie die Richtlinien und Verfahren Ihrer Organisation erklären
    • Wie Sie Ihre Mitarbeiter bezüglich Compliance schulen.
  8. Schreiben Sie Ihre Datenschutzerklärung in einfacher Sprache.
  9. Informieren Sie Ihre Nutzer über automatisierte Entscheidungssysteme, die Sie für Vorhersagen, Empfehlungen und Entscheidungen über eine Person verwenden.
  10. Zeichnen Sie die Einwilligungen der Nutzer in leicht zugänglicher Form auf.
  11. Verarbeiten Sie personenbezogene Daten von Minderjährigen auf die gleiche Weise, wie Sie mit sensiblen Informationen umgehen.

Das Datum des endgültigen Vollzugs des CPPA ist noch unbekannt, ebenso wie seine Endform. Wenn Sie Ihr Unternehmen in Kanada betreiben, sollten Sie daher alle Novellen verfolgen und sich im Voraus an die vorgeschlagenen Änderungen anpassen.

Datenschutzgesetze rund um die Welt

Wie wir zu Beginn des Artikels erwähnt haben, verbreiten sich die Datenschutzgesetze schnell über den ganzen Globus. Neben den Ländern, die wir in diesem Leitfaden behandeln, sind auch viele andere dabei, ihre Gesetzgebung an die sich entwickelnden Datenschutzstandards anzupassen. 

Dazu gehören unter anderem Neuseeland, Brasilien und die Schweiz. Wenn Sie Ihr E-Commerce-Geschäft in anderen als den hier beschriebenen Ländern betreiben, sehen Sie sich unseren Artikel über neue Datenschutzgesetze weltweit an.

Dark Patterns bringen nichts ein

Auf den ersten Blick hängen Dark Patterns nicht direkt mit dem Datenschutz zusammen. Sie sind aber ein weiterer wichtiger Schritt auf dem Weg zu einem konformen und nutzerfreundlichen E-Commerce. 

Kurz gesagt handelt es sich dabei um Designelemente, die die Nutzer absichtlich zu Aktionen verleiten, die sie nicht vorhaben. Sie dienen nämlich allein dem Zweck des Unternehmens. Daher sind sie in E-Commerce-Shops weit verbreitet, die mit allen Mitteln ihren Umsatz maximieren wollen.

Wir sprechen von Dark Patterns unter anderem, wenn:

  • Nutzer unter Zwang sind, auf die Schaltflächen „Akzeptieren“ und „Einverstanden“ zu klicken, um lästige Werbebanner zu vermeiden.
  • Nutzer unter Zwang sind, sich für den Newsletter anzumelden, um weiter auf der Website surfen zu können.
  • Websites verwirrende Ausdrucksweise wie doppelte Verneinungen verwenden.
  • Websites den Gesamtpreis eines Produkts oder eines Dienstes bis zum letzten Schritt des Check-outs verstecken.
  • Websites wichtige Informationen auslassen oder untertreiben.

Hinsichtlich des Datenschutzes verwenden Websites oft Dark Patterns, wenn sie die Einwilligungen der Nutzer einholen. Deshalb befassen sich Datenschutzvorschriften wie CCPA, CNIL und DSGVO mit Consent-Bannern. Ein Beispiel für solche Praxis ist, wenn eine Webseite keine Wahloption im Consent-Banner gibt oder ihre Nutzer über die Datenerfassung nur informiert.

Eine ausführliche Liste mit Dark Patterns, die Sie im E-Commerce vermeiden sollten, finden Sie in unserem Glossar. Wir haben auch deren Konflikt mit Datenschutzvorschriften in einem Artikel behandelt: Wenn Design fehlschlägt – Wie Dark Patterns mit Datenschutzgesetzen in Konflikt stehen.

Weitere Schritte zur Datenschutz-Compliance im E-Commerce

Die weltweite Datenschutzlage wirkt sich stark darauf aus, wie Sie Ihr Business betreiben und Ihre Marketingstrategie gestalten. Mit der wachsenden Zahl von Vorschriften, die neue Regeln für den Umgang mit Nutzerdaten einführen, wird sich dieser Trend in den nächsten Jahren fortsetzen. Unternehmen, die einen datenschutzfreundlichen Ansatz verfolgen, werden einen deutlichen Vorsprung vor ihren Mitbewerbern haben, da das Bewusstsein der Internetnutzer für den Datenschutz gleichzeitig wächst.

Aber dieser Wandel betrifft nicht nur den rechtlichen Aspekt. Der Kampf geht auch auf technischem Grund weiter. Ein Beispiel dafür ist das Ende von Retargeting-Werbekampagnen. Dies ist auf die Abschaffung der Third-Party-Cookies zurückzuführen. Sie ermöglichen Anbietern, Besucher über Websites hinweg zu verfolgen und ihren Browserverlauf an andere Unternehmen weiterzugeben – meist zu Werbezwecken. Browser wie Safari und Firefox haben deren Einsatz blockiert und eingeschränkt. Googles Chrome wird dies 2025 tun.

Aus diesem Grund müssen E-Commerce-Unternehmen ihre Strategie überdenken und sich an die neuen rechtlichen und technischen Datenschutzstandards anpassen. Auf diese Weise schaffen Sie Vertrauen bei Ihren Kunden und können Ihre Marketing- und Analytics-Aktivitäten weiterhin effektiv gestalten.

Auch wenn dies entmutigend erscheinen kann, werden Sie mit kleinen Schritten in die richtige Richtung gehen. Um es zu erleichtern, haben wir eine kurze Liste von Aktionen zusammengestellt. Sie hilft Ihnen dabei, Ihren aktuellen technischen Stack zu bewerten und sicherzustellen, dass er Ihnen ermöglicht, konform und effektiv zu bleiben:

  1. Wählen Sie datenschutzorientierte Technologieanbieter und nicht solche, die weniger Datenschutzstandards erfüllen. Datenschutzorientierte Anbieter entwickeln ihre Tools nach den „Privacy by Design“- und „Privacy by Default“-Prinzipien. Mit diesem Ansatz können sie sich leichter an die Datenschutzvorschriften anpassen. 
  2. Verwenden Sie Tools, die es Ihnen ermöglichen, Präferenzen Ihrer Besucher zu respektieren. Solche Tools stellen Optionen zum Opt-in, Opt-out, Zugriff auf Daten oder zur Ausübung der Nutzerrechte bereit. Alternativ können Sie die Daten vollständig anonymisieren und Nutzerinformationen sammeln, ohne die Einwilligung der Besucher einzuholen oder deren Rechte zu verletzen. Mehr über dieses Konzept erfahren Sie in unserem Artikel Tracking ohne Einwilligung: Analytics ohne personenbezogene Daten
  3. Wenn Sie in der EU geschäftlich agieren, entscheiden Sie sich für die in der EU ansässigen Technologieanbieter. Vermeiden Sie dabei solche Plattformen, die Nutzerdaten in die USA übermitteln. Wenn Sie also Webanalyse durchführen, ist Google Analytics möglicherweise nicht die beste Wahl für Sie. Mehr erfahren Sie in unserem Artikel Privacy Shield 2.0: Wie wirkt sich der neue Datenschutzrahmen auf Ihr Unternehmen aus.
  4. Priorisieren Sie Datenquellen von Erstanbietern gegenüber denen von Drittanbietern. Da das Third-Party-Tracking Datenschutzbedenken aufwirft und aufgrund der neuen Browsereinstellungen und zahlreichen Werbeblockern immer schwieriger wird, sind eigene Quellen die zuverlässigste Wahl, um wertvolle Nutzerdaten zu sammeln. Customer Data Platforms (CDP) ermöglichen es Ihnen, Daten aus CRM, Analytics, Offline-Aufzeichnungen usw. zu integrieren. Diese können Sie dann nutzen, um Single Customer Views zu erstellen und Ihre Zielgruppen in Werbenetzwerken, A/B-Tools und anderen Tools Ihres Stacks zu aktivieren. Eine CDP gibt Ihnen die volle Kontrolle über diese Daten. Mehr darüber, wie Sie eine CDP effektiv nutzen, erfahren Sie aus unserem Artikel Effektives Zielgruppen-Targeting: Wie Sie mit einer CDP Kunden besser erreichen.

Machen Sie Ihre E-Commerce-Analytics datenschutzkonform

Wenn Sie Ihre Analytics datenschutzkonform gestalten und dabei wichtige E-Commerce-Funktionen beibehalten möchten, erreichen Sie dies mit der Piwik PRO Analytics Suite. Die Plattform bietet einen integrierten Consent Manager, zahlreiche Methoden zur Datenanonymisierung und leicht konfigurierbare Datenschutzeinstellungen. Außerdem wurde Piwik PRO von CNIL als datenschutzkonforme Plattform gelistet. Organisationen wie die Europäische Kommission, Crédit Agricole, die niederländische Regierung und DKMS haben sich bereits auf die Piwik PRO Analytics Suite verlassen.

Autor

Paweł Socha

Senior Content Marketer

Copy- und UX-Writer mit einem fundierten Hintergrund in Linguistik und Fachübersetzungen. Durch seine umfassende Erfahrung in zahlreichen Branchen (SaaS, Fintech, E-Commerce) hat er ein tiefes Verständnis dafür entwickelt, wie man komplexe Sachverhalte in einfache, verständliche Worte fasst. Sein Ziel ist es, Inhalte zu schaffen, die nicht nur informativ und leicht zugänglich sind, sondern auch den Leser fesseln und zum Handeln anregen. Paweł arbeitet unermüdlich daran, die Nutzererfahrung durch klar vermittelte Botschaften zu verbessern, die in einem intuitiven Content-Design verpackt sind. >LinkedIn-Profil<

Mehr von diesem Autor lesen

Autor

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie bringt viel Erfahrung als Copywriter mit sich und versteht es dem Leser komplexe Themen des Datenschutzes & der DSGVO verständlich näherzubringen.

Mehr von diesem Autor lesen

Core – der kostenlose Piwik PRO Plan

Leistungsstarke Analytics, integrierter Consent Manager und Hosting in Deutschland.

Anmelden