DSGVO: Was Online-Händler wissen müssen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

DSGVO: Was Online-Händler wissen müssen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Auch Online-Händler müssen ihren Shop DSGVO-fest machen. Welche Änderungen notwendig sind und was beispielsweise in der Datenschutzerklärung angegeben werden muss, erläutert ein Datenschutzexperte.

dsgvo_stanislauv_shutterstock_1078791611

Auch Online-Händler müssen ihren Shop DSGVO-fest machen. Welche Änderungen notwendig sind und was beispielsweise in der Datenschutzerklärung angegeben werden muss, erläutert ein Datenschutzexperte.

Die neue Datenschutzgrundverordnung wird zum 25.Mai 2018 wirksam und hat das Ziel, künftig einen besseren Datenschutz zu gewährleisten. Auch Onlineshop-Betreiber sind verpflichtet, die DSGVO umzusetzen. Das erfordert viel Aufwand. Trusted Shops hat im November 2017 bereits eine Umfrage unter Händlern veröffentlicht. Danach wussten gerade einmal 64 Prozent überhaupt von der neuen Verordnung. Dabei drohen bei Verstoß empfindliche Geldstrafen. Alles Wissenswerte rund um die DSGVO erklärt Trusted Shops-Datenschutzexperte Rafael Gomez-Lus im folgenden Interview.

Wann genau tritt die DSGVO in Kraft?

Rafael Gomez-Lus: „Die DSGVO ist seit dem 25. Mai 2016 in Kraft. Wirksam wird sie ab dem 25. Mai 2018.“

Gibt es eine Übergangsfrist?

Rafael Gomez-Lus: „Nein, es gibt keine Übergangsfrist. Deshalb sollten sich Online-Händler schon heute mit den notwendigen Maßnahmen zur Einhaltung der DSGVO befassen, um gut vorbereitet zu sein, wenn sie am 25. Mai wirksam wird.“

Was ändert sich für mich konkret?

Rafael Gomez-Lus: „Eine grundlegende Änderung ist die Einführung der Rechenschaftspflicht: Danach sind Unternehmen dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Daraus ergeben sich verstärkte Dokumentations- und Nachweispflichten: Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen sowie die Dokumentation von Datenschutzvorfällen. Zudem ist das Risiko bei der Nichteinhaltung der datenschutzrechtlichen Vorschriften deutlich gestiegen: Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes geahndet werden.“

Die Informationspflichten gegenüber Betroffenen (etwa die Datenschutzerklärung) sind umfangreicher, die Nutzung von Cookies & Werbetools kann in der Regel künftig über eine Interessensabwägung gerechtfertigt werden; Verträge mit Dienstleistern zur Auftragsverarbeitung müssen strengere Anforderungen erfüllen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten.“

Steigt das Abmahnrisiko? Droht eine neue Abmahnwelle?

Rafael Gomez-Lus: „Datenschutzverstöße können bereits seit 24. Februar 2016 nach § 2 Abs. 2 Nr. 11 des Unterlassungsklagengesetzes (UKlaG) abgemahnt werden. Es ist schwer vorher zu sagen, ob nach Wirksamwerden der DSGVO eine Abmahnwelle entstehen wird. Es ist aber zu erwarten, dass Verbände Datenschutzerklärungen unter die Lupe nehmen werden.“

Welche Änderungen muss ich wo vornehmen?

Rafael Gomez-Lus: „Folgende Änderungen sind vorzunehmen:

  • Die Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren
  • Die Datenschutzerklärung ist zu aktualisieren
  • Die bislang nach deutschem Recht zulässigen Einwilligungserklärungen sind weiterhin wirksam, sofern sie die strengeren Anforderungen an die Freiwilligkeit erfüllen. Andernfalls müssen sie überarbeitet werden.
  • Verträge zur Auftragsverarbeitung sind zu prüfen
  • Datenschutz-Folgenabschätzungen sind durchzuführen, wenn der Verantwortliche Datenverarbeitungen vornimmt, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringen
  • Interne Prozesse müssen angepasst werden, um die Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch sowie das neue Recht auf Datenportabilität zu gewährleisten. Hierbei müssen Anträge der Betroffenen in der Regel innerhalb eines Monats bearbeitet werden
  • Einführung eines Reaktionsplans für Datenpannen, um der Aufsichtsbehörde die Panne innerhalb 72 Stunden nach Kenntnisnahme zu melden.“

Wie prüfe ich, ob meine Datenschutzerklärung ausreicht?

Rafael Gomez-Lus: „Zu allererst benötigen Sie eine Bestandsaufnahme der aktuell vorgenommenen Datenverarbeitungen in Ihrem Online-Shop (Tracking Tools, Newsletter, Bonitätsprüfung, Datenübermittlungen an Dritte). Die Datenschutzerklärung muss über diese Datenverarbeitungen informieren. Dabei müssen folgende Pflichtangaben über die Verarbeitungen angegeben werden:

  • Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten
  • Beabsichtigte Rechtsgrundlage
  • Berechtigtes Interesse des Verantwortlichen
  • Datenempfänger oder Kategorien von Datenempfängern
  • Angaben zur Übermittlung in Drittländer
  • Löschfristen oder die Kriterien für deren Festlegung
  • Information über die Rechte auf Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit
  • Beschwerderecht bei Aufsichtsbehörden
  • Hinweis auf das jederzeitige Widerrufsrecht erteilter Einwilligungen
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Bei automatisierten Entscheidungsfindungen einschließlich Profiling die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung
  • Wenn Daten nicht beim Betroffenen erhoben werden (etwa aus einer öffentlichen Quelle), die Datenquelle woher sie stammen.“

Brauche ich jetzt einen Datenschutzbeauftragten?

Rafael Gomez-Lus: „Online-Händler müssen nach Art. 37 Abs. 1 lit c DSGVO einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Außerdem ist nach § 38 Abs. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes (DSAnPUG-EU) ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder wenn er Datenverarbeitungen vornimmt, die eine Datenschutz-Folgenabschätzung erfordern.“

Auf was muss ich bei meinen Dienstleistern (Newsletter-Versandtool, Shopsoftware, Paymentanbieter, Trackingtools usw.) achten?

Rafael Gomez-Lus: „Dienstleister müssen hinreichende Garantien dafür bieten, dass die Einhaltung der Anforderungen der DSGVO durch geeignete technische und organisatorische Maßnahmen gewährleistet ist.
Wenn Sie einen geeigneten Dienstleister finden, müssen Sie mit ihm einen Vertrag zur Auftragsverarbeitung schließen, der die inhaltlichen Anforderungen von Art. 28 Abs.3 DSGVO erfüllen muss.“

Welche Fragen muss ich meinem Dienstleister stellen?

Rafael Gomez-Lus: „Sie müssen herausfinden, ob der Dienstleister hinreichende Garantien für die Einhaltung der Anforderungen der DSGVO bietet. Die Auszeichnung durch eine Datenschutzzertifizierung ist ein wichtiger Indikator dafür, dass der Anbieter die Anforderungen der DSGVO erfüllt.

Zudem müssen Sie sicherstellen, dass Sie mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung schließen, der die nach Art. 28 Abs. 3 DSGVO erforderlichen Pflichtinformationen enthält. Zum Beispiel muss im Vertrag zur Auftragsdatenverarbeitung festgehalten sein, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter des Dienstleisters zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Ein weiterer Punkt ist die Übermittlung der Daten in Staaten außerhalb der EU: Bleiben die Daten in der EU oder werden sie in einen oder mehrere Drittstaaten übermittelt? Bei internationalen Datenübermittlungen müssen Sie überprüfen, ob Garantien vorliegen, um ein angemessenes Datenschutzniveau zu gewährleisten.“

Ist Scoring noch zulässig?

Rafael Gomez-Lus: „Scoring ist weiterhin unter bestimmten Voraussetzungen zulässig. Die für Online-Händler relevanten Erlaubnistatbestände bleiben dieselben: Scoring darf mit ausdrücklicher Einwilligung des Betroffenen stattfinden oder wenn das Scoring für den Abschluss oder die Erfüllung des Vertrags erforderlich ist. Letzteres ist der Fall, wenn der Kunde die Zahlungsmethode „Kauf auf Rechnung“ oder „Ratenzahlung“ auswählt. Als Neuerung muss der Betroffene über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung informiert werden.“

Wie sieht die Bußgeldpraxis künftig genau aus?

Rafael Gomez-Lus: „Art. 83 DSGVO sieht wesentliche höhere Bußgelder als das BDSG vor. So sind bei bestimmten Rechtsverstößen Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes eines Unternehmens vorgesehen. Inwiefern die Aufsichtsbehörden in der Praxis von diesen Befugnissen Gebrauch machen werden, ist schwer vorauszusehen. Eine deutliche Steigerung der Bußgelder bei Datenschutzverstößen steht aber zu erwarten.“

Gelten für Kinder besondere Datenschutzrechte?

Rafael Gomez-Lus: „Kinder sind besonders schutzwürdig, daher gibt es besondere Regelungen in der DSGVO für Kinder. Demnach ist die Verarbeitung personenbezogener Daten von Kinder unter 16 Jahren nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Die Drogeriemarktkette dm hat jetzt angekündigt, die von der Bundesregierung verlängerte Mehrwertsteuersenkung ab dem 1. Juli 2020 vollständig an die Verbraucher weiterzugeben.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Fashion commerce

Wann jetzt handeln gefragt ist

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.