Als Rechtsexpertin bei der Protected Shops GmbH berät Volljuristin Bernadette Mohme über die rechtlichen Entwicklungen in allen für den E-Commerce relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung im Webshop. Protected Shop ist Partner von PrestaShop und stellt ein eigenes Modul für sichere Rechtstexte zur Verfügung.
Neue Datenschutz-Grundverordnung - Was ändert sich?
Am 25.Mai 2018, also in etwas mehr als in einem halben Jahr, tritt die neue Datenschutzgrundverordnung (DS-GVO) in Kraft. Onlinehändler sollten sich bereits jetzt über die Änderungen die bei ihren Datenverarbeitungsprozessen auf sie zu kommen, informieren und rechtzeitig mit der Umsetzung der Regelungen in ihrem Shop beginnen, denn bei Verstößen gegen die DS-GVO drohen empfindliche Geldbußen, die bis zu vier Prozent des Jahresumsatzes eines Unternehmens betragen können. Auch Abmahnungen durch Verbände sind möglich.
In diesem Beitrag sind die wesentlichen Änderungen, die mit der DS-GVO eingeführt werden zusammengefasst.
Datenerfassung
Von großer Bedeutung ist die Pflicht zur Führung eines sog. Verarbeitungsverzeichnisses, in dem die internen Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen. Damit soll die Transparenz von Datenverarbeitungsprozessen gesichert werden. Das Verarbeitungsverzeichnis muss bis 25.05.2018 erstellt sein und ist auf Anfrage den Datenschutzbehörden vorzulegen, sonst drohen saftige Bußgelder. Die Pflicht besteht für jedes Unternehmen und trifft laut DS-GVO den „Verantwortlichen“, d.h. das Unternehmen selbst. Formal ist der Geschäftsführer für das ordnungsgemäße Führen des Verarbeitungsverzeichnisses verantwortlich. Die Pflicht kann aber im Normalfall auch auf den betrieblichen Datenschutzbeauftragten übertragen werden.
Meldepflicht bei Datenpannen
Online-Händler müssen künftig Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden.
Datenschutzerklärung
Neu geregelt in der DS-GVO sind die Anforderungen an die Datenschutzerklärung. Die DS-GVO setzt voraus, dass ein Unternehmen seine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten darlegt. Diese muss in der Datenschutzerklärung vermerkt sein. Die Datenschutzerklärung muss den Namen und die Kontaktdaten (Anschrift und E-Mail-Adresse) des Onlineshop-Betreibers enthalten. Sofern Sie über einen betrieblichen Datenschutzbeauftragten verfügen, müssen dessen Kontaktdaten (Anschrift und/oder E-Mail-Adresse) aufgeführt werden. Der Name des Datenschutzbeauftragten muss aber nicht genannt werden. Diese Informationen bauen Sie am besten am Anfang oder am Ende der Datenschutzerklärung ein.
Informationspflichten
Mit der DS-GVO werden einige neue Informationspflichten eingeführt, die die Rechte der Nutzer stärken. Künftig müssen Sie die Nutzer auf ihr Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten hinweisen, außerdem darüber, dass sie ein Beschwerderecht bei der Datenschutzaufsichtsbehörde haben.
Datenportabilität
Neu eingeführt wurde das Recht auf Datenportabilität. Kunden können von Onlinehändlern einfordern, dass diese die über die betroffene Person gespeicherten Daten in einem gängigen Format an einen anderen Onlineshop übertragen. Dies soll es erleichtern zwischen verschiedenen Anbietern zu wechseln und beispielsweise Empfehlungen auf Basis vergangener Bestellungen zu erhalten.
Datenschutzkonforme Einwilligung
Die Anforderungen an eine datenschutzkonforme Einwilligung (z.B. beim Newsletterversand) haben sich geändert. Online-Händler müssen auf Anfrage nachweisen können, dass die Einwilligung erfolgt ist. Die Einwilligung von Betroffenen in die Verarbeitung ihrer personenbezogenen Daten muss unmissverständlich, freiwillig (z.B. durch das Setzen eines Häkchens), für den konkreten Fall und in Kenntnis der Sachlage erfolgen. Bereits eingeholte Einwilligungen behalten ihre Wirksamkeit nur, wenn diese bereits in der Vergangenheit den Vorgaben der DS-GVO entsprochen hätten. Ansonsten ist eine Anpassung der Einwilligung erforderlich. Die betroffene Person muss über die Möglichkeit die Einwilligung zu widerrufen informiert werden und der Widerruf muss so einfach wie die Erteilung der Einwilligung erfolgen können.
Die DSGVO führt besondere Bestimmungen für den Schutz der Daten Minderjähriger ein. Für die rechtmäßige Erhebung der Daten Minderjähriger ist die Einwilligung eines Erziehungsberechtigten notwendig. Online-Händler sollten ihre Zielgruppe überprüfen und ggf. geeignete Altersverifikationssysteme einrichten.
Fazit
Bis zum In-Kraft-Treten der DS-GVO bleibt nicht mehr allzu viel Zeit. Die verbleibende Zeit sollten Shop-Betreiber nutzen, um die Änderungen, die vor allem Rechtsgrundlagen bei der Datenverarbeitung betreffen, in ihrem Shop rechtzeitig bis zum 25.05.2018 umzusetzen.
Auf einen Blick „Checkliste“- das sollten Sie bereits jetzt tun:
- Befassen Sie sich baldmöglichst mit den neuen Regelungen der DS-GVO und sorgen Sie dafür, dass die Schlüsselpersonen in Ihrem Betrieb auf das Führen eines Verarbeitungsverzeichnisses vorbereitet sind.
- Informieren Sie sich über die neuen notwendigen Angaben und aktualisieren Sie Ihre Datenschutzerklärung.
- Stellen Sie sicher, dass die kurze Frist von 72 Stunde auch eingehalten werden kann, in der eine Datenpanne dokumentiert und gemeldet werden muss.
- Überprüfen Sie die Datenerfassungsprozesse in Ihrem Online-Shop und passen Sie diese gegebenenfalls an. Stellen Sie sicher, dass Ihre bisher erfassten Daten die neuen Mindestnormen für die Einwilligung und deren Widerruf erfüllen.
- Überprüfen Sie Ihre Zielgruppe und denken Sie darüber nach, Onlineprozesse zur Altersprüfung und zur Einholung der Einwilligung von Erziehungsberechtigten einzusetzen.
- Evaluieren Sie Ihre Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und vermerken Sie diese in Ihrer Datenschutzerklärung.
- Schaffen Sie die technischen Voraussetzungen, um auf Anfrage Daten in einem transportfähigen Format an den Betroffenen oder an Dritte übermitteln zu können.
Überprüfen Sie, ob Sie Auftragsdatenverarbeitung einsetzen. Ist dies der Fall, sollten Sie prüfen, ob die getroffene Auftragsdatenverarbeitung den Vorgaben der DS-GVO entspricht oder ob hier eventuell Änderungen notwendig sind.
Von Hagen Meischner - 23 November 2017, Datenschutz