Bernadette Mohme, Volljuristin bei der Protected Shops GmbH, informiert in diesem Gastbeitrag über die Auswirkungen der neuen Datenschutzgrundverordnung (DSGVO) auf den Onlinehandel.

In weniger als einem Jahr ist es soweit: die neue Datenschutzgrundverordnung (DSGVO) wird ab dem 25. Mai 2018 geltendes Recht und ersetzt die bisher geltenden Pflichten aus der EU-Datenschutzrichtlinie (RL 95/46/EG). Betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten- also auch der Online-Handel. Auf Online-Händler kommen grundlegende Veränderungen zu, mit denen Sie sich am besten schon jetzt auseinandersetzen sollten, damit die neuen Pflichten rechtzeitig bis zum Stichtag in Ihrem Shop umgesetzt sind. Bei Nichteinhaltung drohen empfindliche Bußgelder. Diese können Millionenhöhe erreichen bzw. 2-4% des weltweiten Jahresumsatzes eines Unternehmens betragen.

Welche Auswirkungen die DSGVO für Online-Händler hat und die wichtigsten neuen Pflichten, die Sie bis zum 25.05.2018 umgesetzt haben müssen, haben wir in diesem Beitrag zusammengefasst.

Neue Informations- und Dokumentationspflichten

Mit der neuen DSGVO werden zahlreiche Informations- und Dokumentationspflichten eingeführt, die insbesondere Auswirkungen auf die Kundenansprache (z.B. Newsletter-Versand) haben.

Neue Anforderungen beim Newsletter-Versand

Die DSGVO stellt an die Einwilligung in die Verarbeitung personenbezogener Daten (z.B. E-Mail Adresse des Empfängers für den Newsletter-Versand) folgende Anforderungen:

• Der E-Mail-Empfänger muss informiert werden, worin er einwilligt.
• Der Empfänger muss über die Widerrufsmöglichkeit informiert werden.
• Die Einwilligung hat freiwillig zu erfolgen.
• Die Einwilligung ist zu dokumentieren.
• Die Einwilligung muss durch eine eindeutige Handlung erfolgen (z.B. Setzen eines Häkchens).
• Die Einwilligung durch Stillschweigen oder vorausgewählte Häkchen ist nicht möglich.

Bisher eingeholte Einwilligungen bestehen weiterhin fort, sofern sie den Anforderungen der DSGVO entsprechen.

Widerruf so einfach wie Einwilligung

Neu geregelt werden auch die Anforderungen an den Widerruf einer Einwilligung in die Verarbeitung personenbezogener Daten: Ein Widerruf muss künftig so einfach gestaltet sein, wie die Einwilligung selbst und muss jederzeit ohne Begründung möglich sein. Beim Newsletterversand empfiehlt es sich daher einen „Unsubscribe-Link“ im Newsletter nach der Eiwilligungserteilung zu platzieren.

Einwilligungen von Minderjährigen

Bisher kannte das Gesetz keine klaren Altersgrenzen ab der Kinder und Jugendliche selbst in die Verarbeitung ihrer Daten einwilligen können. Die Festlegung der Altersgrenze bleibt künftig den einzelnen Mitgliedsstaaten überlassen, die DSGVO nennt aber ein Mindestalter von 13 Jahren. Online-Händler müssen die Einhaltung des Mindestalters dokumentieren und nachweisen. Wir empfehlen Händlern daher, rechtzeitig geeignete Altersverifikationssysteme (z.B. durch Eingabe der Nummer des Personalausweises) einzurichten.

Neue Gestaltung der Datenschutzerklärung

Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereit zu stellen. Die Anforderungen an die Information und Belehrung der betroffenen Personen werden durch die DSGVO steigen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Bereits bestehende Datenschutzerklärungen müssen angepasst werden, um den Vorgaben der DSGVO zu entsprechen. Bei der Umsetzung einer rechtssicheren Datenschutzerklärung bieten wir professionelle Unterstützung an.

Verzeichnis von Verarbeitungstätigkeiten

Schon bisher gab es eine Pflicht zur Führung eines Verfahrensverzeichnisses, in dem interne Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen. Ab dem 25.05.2018 können die Datenschutzaufsichtsbehörden Unternehmen jederzeit dazu auffordern, dieses vorzulegen. Online-Händler aufgepasst: Für kleine und mittelständische Betriebe gelten zwar Erleichterungen, diese schmälern jedoch nur den Umfang der Dokumentationspflicht, aber befreien nicht grundsätzlich von der Pflicht zur Führung eines solchen Verzeichnisses.

Neue Betroffenenrechte

Personen, deren Daten erfasst werden, erhalten durch die DSGVO umfangreiche Rechte gegenüber den datenverarbeitenden Unternehmen. So haben diese u.a. ein Auskunftsrecht über gespeicherte Daten, können Daten berichtigen lassen und fordern, dass Daten gelöscht werden, sofern diese nicht mehr benötigt werden. Völlig neu ist das Recht auf Datenübertragbarkeit: Verbraucher können von Onlinehändlern einfordern, dass diese die über die betroffene Person gespeicherten Daten in einem gängigen Format an einen anderen Onlineshop übertragen. Dies soll es erleichtern zwischen verschiedenen Anbietern zu wechseln, und beispielsweise Empfehlungen auf Basis vergangener Bestellungen zu erhalten. Auch hier gilt es für Unternehmen, sich rechtzeitig zu informieren, um die Rechte erfüllen zu können.

Datenschutz-Folgenabschätzung

Unter bestimmten Umständen müssen Unternehmen zukünftig eine Datenschutz-Folgenabschätzung vornehmen. Dies ist der Fall, wenn durch die Datenverarbeitung ein hohes Risiko besteht, etwa weil besonders sensible Daten verarbeitet werden. Mit der Datenschutz-Folgenabschätzung muss das Unternehmen u.A. die damit verbundenen Risiken bewerten und sich um eine möglichst große Eindämmung der Gefahren bemühen.

Pflicht zur Meldung von Datenpannen

Jeder Verstoß gegen das Datenschutzrecht, der die Rechte und Freiheiten einer Person beeinträchtigen könnte, muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden.

Für Online-Händler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.

Fazit

Mit der DSGVO kommen zahlreiche Veränderungen und damit neue Pflichten auf Online-Händler zu. Die Grundsätze des Datenschutzrechts bleiben zwar erhalten, aber im Detail sind viele Anpassungen vorzunehmen, die bis zum 25.05.2018 umgesetzt sein müssen. Ohne professionelle Beratung wird es für viele Händler kaum möglich sein, den Anforderungen gerecht zu werden. Wir von Protected Shops unterstützen Sie bei der Umsetzung der neuen Pflichten aus der DSGVO, damit Sie auch künftig abmahnfrei bleiben und keine hohen Bußgelder riskieren.