Die DSGVO naht: Was es für Online-Händler zu beachten gilt

In wenigen Wochen ist es soweit – am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) verbindlich. Es gibt zahlreiche Änderungen, um die sich Online-Händler, die sich bisher noch nicht mit dem Thema Datenschutz befasst haben, jetzt dringend kümmern müssen. Bis zum Stichtag müssen Händler alle Prozesse und Strukturen dem neuen, einheitlich geltenden Datenschutzrecht in der EU angepasst haben, sonst drohen empfindliche Sanktionen. Insbesondere gibt es wesentliche Änderungen bei der Datenschutzerklärung.

Im Folgenden erfahrt ihr die wichtigsten Anpassungen, die Online-Händler bei der Datenschutzerklärung vorzunehmen haben und was sich sonst noch für Händler durch die DSGVO ändert.

Datenschutzerklärung

Was auch nach dem Stichtag bleibt, ist die Verpflichtung, eine Datenschutzerklärung mit umfangreichen Informationen für die betroffenen Personen, deren personenbezogene Daten gespeichert und verarbeitet werden (z.B. Besucher einer Webseite, Kunden, Mitarbeiter), im Online-Shop einzustellen. Jedoch werden neue, angepasste Datenschutzerklärungen notwendig, denn die inhaltlichen Anforderungen sind jetzt gesetzlich festgeschrieben. Künftig ist die Datenschutzerklärung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ zu verfassen.

Leicht zugänglich bedeutet, dass die Informationen, die die Datenschutzerklärung enthalten muss, nicht in anderen Texten (z.B. in den AGB) „versteckt“ sein dürfen. Da die Informationen von den betroffenen Personen verstanden werden sollen, sollte sich die Sprache nach dessen Sprachkenntnissen (z.B. auch Kinder als Webseitenbesucher) richten und es sind möglichst keine technischen Begriffe zu verwenden.

Außerdem wurde der Katalog der Pflichtinformationen erheblich erweitert. Bisher war lediglich über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten zu informieren. Künftig ist nicht nur der Zweck der Verarbeitung zu nennen, sondern auch die klare Rechtsgrundlage für die Verarbeitung der Daten.

Informiert werden muss u.a. über den Empfänger der Daten, falls diese an ihn weitergeleitet werden und auch über die geplante Speicherdauer. Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten.

Neu ist, dass die berechtigten Interessen, die zu einer Datenverarbeitung (z.B. beim Newsletterversand oder beim Einsatz von Cookies und Tracking-Tools) in der Datenschutzerklärung dargelegt werden müssen.

Nicht zuletzt müssen Händler in der Datenschutzerklärung die betroffenen Personen über Bestehen ihres Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchsrecht sowie ihr Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde informieren. Diese „Betroffenenrechte“ wurden durch die DSGVO erheblich ausgeweitet und sind den Nutzern verständlich darzulegen, damit sie gegenüber dem Shop-Betreiber geltend gemacht werden können.

Da die Änderungen bei der Datenschutzerklärung sehr umfangreich sind, sollten sich Händler bis zum Stichtag einen fachkundigen Beistand suchen, der ihnen bei der Umsetzung der neuen Klauseln hilft. Weitere Rechtstexte sind von den neuen Regelungen der DSGVO nicht betroffen.

Verzeichnis für Verarbeitungstätigkeiten

Schon bisher gab es eine Pflicht zur Führung eines Verfahrensverzeichnisses, in dem Händler alle Prozesse der Datenverarbeitung in Grundzügen beschreiben müssen. Diese Pflicht gilt weiter. Neu ist, dass ab dem 25.05.2018 die Datenschutzaufsichtsbehörden Online-Händler jederzeit dazu auffordern können, das Verzeichnis für Verarbeitungstätigkeiten, wie es nach neuem Recht heißt, umgehend vorzulegen. Die Analyse der Prozesse und Verfahren ist nicht trivial und kostet Zeit. Hier sollte der Händler insbesondere dann, wenn er Kundenkonten anbietet oder Profile zu Werbezwecken erstellt, Sorgfalt walten lassen. Das Verzeichnis ist die Basis jedes ernstgemeinten Datenschutzmanagements. Und im Zweifel ist es genau das, was die Behörde sehen will – die Ernsthaftigkeit.

Neuerungen im Umgang mit Kunden- und Vertragsdaten

Auch im Umgang mit Kunden- und Vertragsdaten müssen Händler neue datenschutzrechtliche Vorschriften beachten. Eine wirksame Einwilligung (z.B. beim Bestellprozess oder Newsletterversand) kann vom Nutzer nur erteilt werden, wenn sie freiwillig und durch eine eindeutige Handlung erfolgt (z.B. durch das Setzen eines Häkchens). Außerdem muss Einwilligung dokumentiert werden und der Widerruf der Einwilligung muss künftig so einfach erfolgen wie die Erteilung der Einwilligung selbst. Beim Newsletterversand kann neben die Einwilligungserteilung ein „Unsubscribe-Link“ platziert werden.

Pflicht zur Meldung von Datenpannen

Jeder Verstoß gegen das Datenschutzrecht, der die Rechte und Freiheiten einer Person beeinträchtigen könnte, muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden. Ob beispielweise der Verlust von Daten die Rechte und Freiheiten von Personen beeinträchtigt, ist im Einzelfall abzuwägen. Ignorieren und wegducken ist aber sicher keine (gute) Option.

Fazit

Die DSGVO sieht die Umsetzung vieler neuer Regelungen vor. Insbesondere die Umsetzung zahlreicher detaillierter Klauseln in der Datenschutzerklärung ist mit viel Arbeit verbunden. Die Zeit läuft und Aussitzen ist keine Option, denn Fehler können von Verbraucherschutzverbänden abgemahnt und Händler können mit hohen Bußgeldern durch Datenschutzaufsichtsbehörden belangt werden. Für Shop-Betreiber heißt es daher am besten schon heute, aktiv werden und die datenschutzrechtlichen Anpassungen vornehmen, um schmerzhafte Strafen zu verhindern.