Ja. Ein Online-Shop hat gegenüber einer einfachen Informationswebsite deutlich erweiterte Datenschutzanforderungen, da umfangreichere personenbezogene Daten verarbeitet werden.
Vertragsabwicklung: Die Verarbeitung von Name, Adresse, E-Mail, Zahlungsdaten und Bestellhistorie ist für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Die Datenschutzerklärung muss diese Zwecke detailliert benennen.
Zahlungsdienstleister: Werden externe Zahlungsdienste (PayPal, Klarna, Stripe) eingebunden, erfolgt eine Datenübermittlung an Dritte. Dies muss in der Datenschutzerklärung angegeben werden (Art. 13 Abs. 1 lit. e DSGVO). Je nach Ausgestaltung liegt eine Auftragsverarbeitung (Art. 28 DSGVO) oder eine eigenständige Verarbeitung vor; im letzteren Fall ist eine eigene Rechtsgrundlage erforderlich.
Bonitätsprüfung: Eine SCHUFA-Abfrage oder ein Scoring ist nur unter den strengen Voraußetzungen des Paragraph 31 BDSG zuläßig: wissenschaftlich anerkanntes Verfahren, keine außchließliche Nutzung von Anschriftendaten, nachweisbare Erheblichkeit der Daten. Über die Abfrage muss vorab informiert werden.
Tracking und Analyse: Für Tracking-Cookies (Retargeting, Conversion-Tracking, Affiliate-Marketing) gelten die Anforderungen des Paragraph 25 TDDDG - vorherige Einwilligung ist erforderlich.
Drittlandstransfer: Werden Dienste eingesetzt, die Daten in Drittländer übermitteln (z.B. US-Zahlungsdienstleister, Cloud-Hosting), müßen die Anforderungen der Art. 44 ff. DSGVO erfüllt werden.
Aufbewahrungsfristen: Rechnungsdaten unterliegen handels- und steuerrechtlichen Aufbewahrungspflichten (6 bzw. 10 Jahre). Dies ist eine Ausnahme vom Löschungsrecht nach Art. 17 Abs. 3 lit. b DSGVO.