Schreckgespenst DSGVO - Was Sie wissen müssen

Der Winter zieht sich langsam zurück, doch für Frühlingsgefühle bleibt im E-Commerce keine Zeit. Am 25.05.2018 tritt die Datenschutzgrundverordnung (kurz: DSGVO) in Kraft.

Bei dem Gedanken an neue Anforderungen und gesetzliche Hürden bekommt man als Shopbetreiber schnell eine Gänsehaut.

Mit der folgenden Einführung möchten wir unsere Reihe zum Thema DSGVO eröffnen und mit den  Beiträgen in den nächsten Wochen dem Daten-Spuk ein Ende setzen.

DSGVO-Datenschutz 2.0?

Die DSGVO ist eine EU-Verordnung und gilt in den Mitgliedstaaten der EU allgemein sowie unmittelbar. Die neue Verordnung gibt verbindliche Vorgaben für das Datenschutzrecht vor, egal ob sich der Shop an Verbraucher richtet oder an Unternehmen. Allein die Verarbeitung von personenbezogenen Daten zählt. Zuvor wurde der Bereich Datenschutz durch EU-Richtlinien nur „teilharmonisiert“. Es bestanden innerhalb der einzelnen Mitgliedstaaten verschiedene datenschutzrechtliche Regelungen und eine nicht einheitliche Praxis der Aufsichtsbehörden bei deren Auslegung.

Mit der DSGVO wird das Ziel gesetzt, ein hohes Datenschutzniveau trotz Zunahme des Datenaustausches innerhalb der EU zu wahren. Es gilt, die Grundrechte des Einzelnen (Recht auf Schutz der personenbezogenen Daten) mit den Interessen eines freien Verkehrs personenbezogener Daten innerhalb der EU zu vereinbaren.

Dreh und Angelpunkt - Personenbezogene Daten

Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So kann eine Person durch die direkte Zuordnung von Daten erkennbar sein, aber auch die indirekte Identifizierung ist dafür ausreichend. So sind die Regelungen der DSGVO anzuwenden, wenn z.B. ein Cookie im Online Shop Informationen wie die IP-Adresse oder Verhaltensmerkmale über die Kunden im Online-Shop sammelt und diese Daten indirekt einen Rückschluss auf eine bestimmte Person zulassen. Werden Daten anonymisiert, ist grundsätzlich kein direkter bzw. indirekter Rückschluss auf eine Person möglich.

Grundprinzipen im Datenschutzrecht

Um das Ziel eines hohen Datenschutzniveaus zu gewährleisten, orientiert sich die DSGVO an folgenden Grundsätzen. Diese durchziehen das Datenschutzrecht wie ein „unsichtbares Band“:

  • Verbot der Datenverarbeitung mit Erlaubnisvorbehalt („nur mit Einwilligung oder gesetzlicher Erlaubnis“)
  • Rechtmäßige Datenverarbeitung („wie vom Gesetz vorgegeben“)
  • Datensparsamkeit („so viel wie wirklich erforderlich ist“)
  • Datenrichtigkeit („keine Änderung bei Erhebung von Daten“)
  • Zweckbindung („nur so, wie zur Erfüllung eines Zwecks nötig”)
  • Datensicherheit („Schutzmaßnahmen für Daten“ z.B. SSL- Verschlüsselung)
  • Transparenz („nachvollziehbar Daten verarbeiten“)

Diese Grundprinzipien sind dem aktuellen Datenschutzrecht nicht fremd, sondern gelten grundsätzlich auch schon bisher. Hinzu kommt eine sogenannte Rechenschaftspflicht  nach Art 5 Abs. 2 DSGVO, die zur Einhaltung der datenschutzrechtlichen Grundsätze („Protokollieren der Grundprinzipen“) verpflichtet. Werden die Grundsätze nicht eingehalten ist die Datenverarbeitung nicht rechtmäßig und darf nicht vorgenommen werden. Ein Hauptaugenmerk werden in Zukunft die erhöhten Dokumentationspflichten im Online-Shop sein, die bei Anfrage der zuständigen Datenschutzbehörde  erteilt werden müssen.

Datenschutzerklärung - noch mehr Informationspflichten?

Unter der DSGVO sind die Verarbeitungsprozesse von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form innerhalb des Webauftrittes darzustellen. Die Artikel 12 ff. DSGVO geben Auskunft, welche Informationspflichten der Unternehmer erfüllen muss und welche Rechte dem Betroffenen bei einer Datenverarbeitung zustehen.

Ein Update der derzeitigen Datenschutzerklärungen im Online-Shop ist daher erforderlich, da z.B. zusätzlich die Rechtsgrundlage (z.B. Einwilligung oder gesetzliche Ausnahme) einer Verarbeitung  oder die Dauer der Datenspeicherung genannt werden muss.

Um den neuen Anforderungen gerecht zu werden, können Sie sich eine DSGVO-konforme Datenschutzerklärung in unserem Trusted Shops Rechtstexter erstellen lassen.

Die Einwilligung und das Abwägen berechtigter Interessen

Nach den Vorgaben der DSGVO ist die Einwilligungserklärung in einer leicht zugänglichen Form sowie in einer einfachen Sprache im Online-Shop abzubilden. Wie bisher kann der Einwilligungstext z.B. mittels Checkbox transparent in den Bestellprozess eingebunden werden.

Wichtig ist, dass die Einwilligung durch den Kunden freiwillig ohne die Ausübung von Zwang und Druck erfolgt. Was das konkret für den Online-Shop bedeutet, werden wir in den nächsten Wochen noch erläutern.

Eine tragende Rolle wird außerdem Artikel 6 Abs. 1 f DSGVO in Zukunft spielen. Wenn für die Verarbeitung keine Einwilligung des Kunden vorliegt, kann durch eine Abwägung der Unternehmensinteressen mit denen des Kunden die Datenverarbeitung dennoch gerechtfertigt sein, sofern das Interesse auf Seiten des Shopbetreibers überwiegt.

Dies wird Ende Mai auch für den Bereich von „Tracking-Verfahren“ wichtig, denn eine gesetzliche Ausnahme zur Erhebung von (pseudonymisierten) Nutzungsprofilen für Google Analytics und Co. existiert in der DSGVO nicht mehr.

In Zukunft wird daher die Abwägung der Interessen von Online- Unternehmern und deren Kunden mehr oder weniger in den Fokus rücken, ob Verarbeitungsverfahren wie die Nutzung von Tracking-Tools ohne vorherige Einwilligung verwendet werden dürfen oder nicht.

Fazit

Keine Angst vor den neuen Anforderungen. Mit unserer Datenschutzerklärung aus dem Trusted Shops Rechtstexter sind Sie bestens für die neuen gesetzlichen Informationspflichten im Online-Shop aufgestellt. Wichtig: Die neuen Anforderungen auszublenden bringt nichts. Geldbußen von bis zu 20 Millionen Euro bzw. von bis zu 4% des Weltjahresumsatzes eines Geschäftsjahres sind bei Unternehmen möglich.

Daher heißt es: Ärmel hochgekrempelt und ran an die Daten! In den nächsten Wochen geben wir Ihnen hilfreiche Tipps, worauf Sie bei der Umsetzung der DSGVO in Ihrem Online-Shop noch achten sollten.

dsgvo-gross-probe

 

Über den Autor


20170713_Portraets_Konstatin_ANE

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.

08.03.18
Select Country: