Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Die Datenschutzgrundverordnung ist seit gut drei Wochen in Kraft und schon jetzt haben Kunden von ihren Betroffenenrechten Gebrauch gemacht.
Der Kunde (=betroffene Person) unterliegt einer Vielzahl von automatisierten Verarbeitungsprozessen im Online-Shop. Die DSGVO hat die Auskunft- und Löschansprüche von betroffenen Personen gestärkt, die gegenüber dem Online-Händler (Verantwortlichen) geltend gemacht werden können.
In unserer Beitragsreihe haben wir Sie bereits über die weitreichenden Betroffenenrechte informiert. Doch wie soll man einer möglichen Flut an Auskunfts- und Löschungsanfragen der Kunden am besten begegnen? Auf was ist bei der Beantwortung der Anfragen zu achten? Damit beschäftigt sich der folgende Tipp der Woche.
Mit welchen Anfragen hat der Online-Händler zu rechnen?
Die Betroffenenrechte umfassen u.a. das Recht auf Auskunft und Löschung von personenbezogenen Daten.
! Wichtig ist, dass die Rechte unabhängig voneinander geltend gemacht werden können.
Auskunftsrecht
Zunächst kann der Betroffene Auskunft über seine verarbeiteten personenbezogenen Daten beim verantwortlichen Online-Händler beantragen. Die Auskunft ermöglicht der betroffenen Person eine Überprüfung, ob bzw. welche personenbezogenen Daten (rechtmäßig) verarbeitet werden.
Bei einem Auskunftsersuchen Ihrer Kunden empfehlen wir folgende Vorgehensweise:
1. Inhaltliche Prüfung- Was will der Kunde?
In einem ersten Schritt ist zu prüfen, ob es sich bei der eingegangenen Mitteilung überhaupt um ein datenschutzrechtliches Auskunftsersuchen nach Art. 15 Abs. 1 DSGVO handelt. Handelt es sich um eine allgemeine Beschwerde oder ist der Anfrage doch ein datenschutzrechtliches Auskunftsbegehren zu entnehmen? Der betroffenen Person steht es zudem frei, in welcher Form Sie einen Auskunftsantrag stellt. Daher ist es für Ihr Unternehmen besonders wichtig, dass Ihre Mitarbeiter oder Serviceabteilung für mögliche telefonische bzw. schriftliche Auskunftsanfragen ausreichend sensibilisiert und geschult ist.
2. Werden überhaupt Daten des Antragstellers gespeichert?
Das Recht auf Auskunft betrifft nur die Verarbeitung von personenbezogenen Daten (z.B. Name, Anschrift, E-Mailadresse). Darüber hinaus gehende Auskünfte sind nicht zu erteilen.
Eine Auskunft ist nur vom denjenigen zu erteilen, der für die Verarbeitung der Daten verantwortlich ist. Richtet ein Kunde seine Anfrage nicht an Sie, sondern an einen Ihrer Auftragsverarbeiter (z.B. Dienstleister für den Newsletter), ist dieser gehalten Ihnen das Auskunftsersuchen des Kunden zur weiteren Bearbeitung weiterzuleiten.
! Werden keine Daten des Antragstellers verarbeitet, ist dies dem Anfragenden dennoch mitzuteilen (sogenannte Negativauskunft).
3. Wer ist der Antragsteller?
Ein Kunde hat von seinem Recht auf Auskunft Gebrauch gemacht. Und nun? Um alle geforderten Informationen zusammenzustellen, bedarf es ausreichender Informationen über die betroffene Person. Dies ist insbesondere schwierig, wenn unzureichende Informationen (z.B. Anfragen mittels Fantasie-E-Mailadressen) vorliegen und der Antragsteller in Ihrem EDV-System nicht identifiziert werden kann.
Wichtig ist, dass Sie stets die Identität des Anfragenden nachweisen können, denn die Datenauskunft darf nicht an unbefugte Dritte erfolgen. Sie als Online-Händler haben dabei alle vertretbaren Mittel zur Identitätsprüfung in Erwägung zu ziehen. Wenn Sie Zweifel an der Identität eines Antragstellers haben, ist dieser auf die fehlende Identifizierbarkeit hinzuweisen. Die betroffene Person hat sodann weitere Informationen nachzureichen, wie etwa die postalische Adresse bzw. Rechnungsadresse bei einem elektronischen Auskunftsantrag.
Ist der Betroffene letztendlich nicht eindeutig identifizierbar, kann keine Auskunft über die Verarbeitung von personenbezogenen Daten erteilt werden. Die betroffene Person ist auch hierüber, sofern eine Kontaktmöglichkeit besteht, zu informieren.
4. Welche Informationen sind zu erteilen?
Die betroffene Person ist insbesondere über folgende Punkte zu informieren:
- über die Verarbeitungszwecke der Daten;
- über die Kategorien personenbezogener Daten, die verarbeitet werden;
- über die Speicherdauer, oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer;
- über das Bestehen eines Rechts auf Berichtigung, Löschung und Einschränkung sowie über das Widerspruchsrechts gegen die Verarbeitung von personenbezogenen Daten
Eine vollständige Auflistung der verpflichtenden Informationen finden Sie hier.
Sie müssen dem Kunden zudem eine Kopie über die bei ihm gespeicherten personenbezogenen Daten zur Verfügung zu stellen.
5. In welcher Form hat die Auskunft zu erfolgen?
Ein gesetzliches Muster für die Auskunftserteilung ist in der DSGVO nicht vorgesehen. Informationen und Auskünfte können an die betroffene Person in jeder Form erteilt werden: schriftlich, elektronisch oder auf Wunsch auch mündlich (Art. 12 Abs. 1 S. 2 u. 3 DSGVO). Stellt Ihr Kunde seinen Auskunftsantrag elektronisch (z.B. per E-Mail), müssen Sie die Auskunft auch in einem solchen Format (z.B. als PDF-Dokument) zur Verfügung stellen, sofern die betroffene Person nichts anderes angibt. Die gesamte Korrespondenz mit dem Kunden sollte in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen.
6. Welche Fristen gelten?
Auskunftserteilungen (auch Negativauskünfte) müssen unverzüglich erfolgen, spätestens aber innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). In begründeten Ausnahmefällen kann diese Frist überschritten werden, worüber der Betroffene zu informieren ist (z.B. bei einer hohen Auslastung an Anträgen).
7. Wie oft darf der Kunde Auskunft verlangen?
Wie oft der Kunde sein Auskunftsrecht in Anspruch nehmen darf, ist der DSGVO nicht zu entnehmen. Das Gesetz nennt lediglich ein mögliches Auskunftsersuchen in angemessenen Abständen. Sofern der Kunde in einem jährlichen Turnus Auskunft verlangt, wird man grundsätzlich von einem angemessenen Zeitabstand zwischen den Anfragen ausgehen können. Bei einer großen Menge gespeicherter Daten über die betroffene Person kann der Verantwortliche verlangen, dass der Antragsteller genau bestimmt, auf welche Informationen oder Verarbeitungsvorgänge er sich konkret bezieht (EG 63 S. 7 DSGVO). Offenkundig unbegründete oder exzessive Anträge können zur Ablehnung oder zu einer Kostenerstattungspflicht führen, wofür Sie als verantwortlicher Online-Händler die Beweislast tragen (Art. 12 Abs. 5 S. 2 DS-GVO).
Auch der Anspruch auf eine Datenkopie über alle verarbeiteten personenbezogenen Daten ist kostenlos. Auch hier gilt: Bei häufigen Anfragen weiterer Datenkopien können Sie als Online-Händler ein angemessenes Entgelt verlangen.
8. Auskunftsrecht und Datenverarbeitung?
Um einem Auskunftsersuchen gerecht zu werden, ist ein strukturierter Prozessablauf das A und O. Auskunftsanfragen beinhalten personenbezogene Daten und werden in Ihren Systemen zur weiteren Bearbeitung gespeichert. Auch diese Daten unterliegen den Grundsätzen der DSGVO. So sind die beinhalteten personenbezogenen Daten der Auskunftsanfrage insbesondere nur für den Zweck der Auskunftserteilung zu verarbeiten. Die Daten Ihrer Kunden sollten zudem auch nicht von vornherein für ein mögliches Auskunftsersuchen in Ihrem Kundensystem vorgehalten werden.
Recht auf Löschung
1. Was bedeutet Datenlöschung?
Neben dem Recht auf Auskunft besteht für personenbezogene Daten das Recht auf Löschung. Das bedeutet, dass der verantwortliche Online-Händler betreffende personenbezogene Daten des Kunden unverzüglich löschen muss, sofern einer der in Art. 17 Abs. 1 genannten Gründe zutrifft. Dies ist u.a. dann der Fall, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Die Löschung der Daten ist unverzüglich, d.h. ohne schuldhaftes Zögern vorzunehmen. ! Auch ohne direkte Aufforderung der betroffenen Person hat der Verantwortliche personenbezogene Daten insbesondere in den oben genannten Fällen zu löschen.
2. Löschung und Aufbewahrungsfristen
Nach Art. 17 Abs. 3 b) DSGVO ist das Recht des Betroffenen auf Löschung seiner personenbezogenen Daten ausgeschlossen, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Zu den Rechtspflichten in diesem Sinne gehören vor allem handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Gemeint sind damit alle Daten, die Sie für eine ordnungsgemäße Buchführung benötigen (§ 257 Handelsgesetzbuch und § 147 Abgabenordnung).
Das Gesetz bezieht sich dabei auf alle Handelsbriefe (E-Mailkommunikation mit dem Kunden, Rechnungen, Bestellungen, Bestellbestätigungen, etc.) Die für die Buchhaltung benötigten Daten sind für den gesetzlich festgelegten Zeitraum von 6 bzw. 10 Jahren von Ihnen zu speichern. Allerdings gilt auch weiterhin, dass diese Daten in einem solchen Fall nicht über die Zwecke der Speicherung hinaus verarbeitet werden dürfen. Zudem besteht nach Art. 24 Abs. 1 DSGVO die Pflicht, die Verarbeitung nach diesen Anforderungen durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen sicherzustellen. Das bedeutet beispielsweise, dass solche Daten in einer getrennten Datenbank für solche Zwecke aufbewahrt werden sollten. Zusätzliche bzw. auch identische Datensätze (z.B. im Kundenkonto) fallen nicht unter die Aufbewahrungsfrist. Es sind nur die Datensätze (Daten in den Handelsbriefen) aufzubewahren, die für eine Buchführung erforderlich sind.
Erst nach Ablauf der gesetzlichen Aufbewahrungsfristen sind auch diese personenbezogenen Daten zu löschen.
3. Löschkonzept für den Online-Shop
Was bedeutet Löschung? Auch darüber schweigt die DSGVO. Eine Datenlöschung liegt vor, wenn die Daten nicht mehr ohne unverhältnismäßigen Aufwand reproduziert werden können, sprich die Daten sollen unkenntlich- bzw. unbrauchbar gemacht werden. Für einen Löschvorgang reicht es demnach nicht aus, personenbezogene Daten auf einem verschlüsselten Server zu speichern.
Die Einhaltung der Löschpflichten ist sehr komplex und kann grundsätzlich nur durch ein detailliertes Löschkonzept im Unternehmen gewährleistet werden.
Sie als Online-Händler sind demnach gehalten die Datenspeicherung in Ihrem EDV-System mit einem möglichen Löschkonzept abzustimmen. Wichtig ist, dass Sie in Ihrem System erkennen für welchen Zweck die Daten verarbeitet werden, wann die Daten aufgrund des Zweckfortfalls gelöscht werden müssen und welche Daten den Aufbewahrungsfristen unterliegen.
4. Welche Frist gilt bei einem Löschantrag?
Wie oben beschrieben sind die Daten bei Vorliegen eines Löschgrundes unverzüglich zu löschen. Stellt die betroffene Person einen Löschungsantrag ist neben der Datenlöschung zu beachten, dass die betroffene Person spätestens innerhalb eines Monats nach Eingang des Löschungsantrags über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung zu informieren ist.
Wie bei einem Auskunftsersuchen sind die Informationen zur Datenlöschung dem Kunden transparent und in einer verständlichen Form zur Verfügung zu stellen.
Fazit
Die weitreichenden Auskunfts- und Löschungspflichten stellen den Online-Händler vor neue bürokratische Herausforderungen. Nach Aussage der Datenschutzbehörden sind von Unternehmen „organisatorische Vorkehrungen für zügige und korrekte Auskunftserteilungen zu treffen“ (Siehe Kurzpapier Nr. 6 der DSK). Schließlich betrifft der ordnungsgemäße Umgang mit den Betroffenenrechten auch einen Teil der Rechenschaftspflicht, welcher verantwortliche Online-Händler unterliegen.
Doch das ist einfacher gesagt als getan. Die Bearbeitung von Auskunftsanträgen und Löschanfragen ist so in Ihre unternehmerischen Prozessabläufen zu integrieren, dass eine fristgerechte Bearbeitung von Anfragen gewährleistet ist. Zusätzlich sollten Sie Ihr EDV-System auf Löschmöglichkeiten überprüfen und, ggf. zusätzliche Löschregeln für die gespeicherten Daten aufstellen.
In unserem DSGVO-Manager (Link) stellen wir Ihnen für ein Auskunftsersuchen sowie Löschanfragen Ihrer Kunden Mustertexte zur Verfügung, die Sie im Umgang mit den Betroffenenrechten unterstützen.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
14.06.18
