Am 25. Mai 2018 wurde die DSGVO (DatenSchutzGrundVerOrdnung) verbindlich geltendes Recht. Onlineshop-Betreiber, müssen die neuen Regelungen seitdem umgesetzt haben.

Als zuverlässiger Partner hat Afterbuy seinen Nutzern bereits eine Erstinformation zukommen lassen und stellt allen Afterbuy-Nutzern außerdem alle nötigen Auszüge aus dem Verzeichnis der Verarbeitungstätigkeiten der ViA-Online GmbH bis spätestens 15. Mai 2018 direkt im Account zur Verfügung.

Welche Anforderungen sich aus der DSGVO ergeben und welche Maßnahmen Online-Händler bis zum Stichtag ergreifen sollten, sind im folgenden Gastbeitrag von Protected-Shops-CEO Markus Kluge zusammengefasst:

1) Verzeichnis für Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) erstellen

Zunächst sollten sich Online-Händler einen Überblick verschaffen, welche Daten sie überhaupt im Betrieb verarbeiten, denn alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, müssen im Verarbeitungsverzeichnis dokumentiert werden. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. In dem Verarbeitungsverzeichnis muss u.a. auch der Zweck der Verarbeitung der personenbezogenen Daten genannt werden sowie die Rechtgrundlage aufgrund der die Verarbeitung erfolgt.

Für das Verarbeitungsverzeichnis hat die Protected Shops GmbH einen Generator entwickelt, der die Erstellung dieses Verzeichnisses mit allen notwendigen Inhalten sehr vereinfacht. Dabei helfen Vorlagen für die gängigsten Verarbeitungstätigkeiten sich schnell in das Thema einzuarbeiten und ersparen viel Recherchezeit. Automatisierte Vorlagen für die Prozesse, die mit Produkten der ViA-Online GmbH (Afterbuy, VIA-Connect) abgewickelt werden sind in Vorbereitung, sodass hier noch mehr Zeit gespart werden kann.

Kunden der ViA-Online GmbH erhalten für den Zugriff auf den Generator einen Rabatt von über 20% und sparen jährlich auf diese Weise fast 100€.

2) Datenschutzerklärung anpassen

Jeder Onlineshop-Betreiber hat eine Datenschutzerklärung bereitzustellen. Ab dem 25. Mai 2018 werden sich die rechtlichen Anforderungen aufgrund der DSGVO verschärfen. Künftig muss in der Datenschutzerklärung auch darüber informiert werden, wer Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden und auch über die geplante Speicherdauer. Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten.

Webshop-Betreiber sind angehalten, ihre Datenschutzerklärung den neuen Klauseln anzupassen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen.

3) Neue Betroffenenrechte

Die Rechte der von der Datenverarbeitung betroffenen Personen (z.B. Besucher einer Webseite, Kunden, Mitarbeiter) wurden erheblich ausgeweitet. Online-Händler müssen sich darauf einstellen, dass Betroffene künftig an sie herantreten können, um zu erfahren, zu welchem Zweck die Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt. Dieses Recht auf Auskunft ist neben weiteren Rechten zum Schutz der Betroffenen wie das Recht auf Löschung oder das Recht auf Datenübertragbarkeit eines der wichtigsten neuen Rechte, das Nutzer künftig gegenüber Händlern, die Daten von ihnen erheben, geltend machen können. Über das Bestehen sämtlicher Betroffenenrechte müssen Online-Händler auch informieren, am Besten in der Datenschutzerklärung.

4) DSGVO-konforme Einwilligungen einholen

Wer personenbezogene Daten erheben, verarbeiten oder nutzen möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich erlauben bzw. sogar vorschreiben, die Daten werden zur Vertragserfüllung gebraucht oder vor Beginn der Datenverarbeitung ist eine Einwilligung der betroffenen Person notwendig. Diese Vorgaben gelten weiterhin. Einige Anforderungen an eine rechtskonforme Einwilligung nach der DSGVO haben sich aber geändert.

Auf Anfrage besteht eine Nachweispflicht für Online-Händler, in welcher Form die Einwilligung erfolgt ist. Dazu ist es sinnvoll die Einwilligungen zu dokumentieren. Die Einwilligung hat freiwillig, eindeutig (z.B. durch das Setzen eines Häkchens) und informiert zu erfolgen, d.h. der Nutzer muss wissen worin er einwilligt. Außerdem muss auf die jederzeitige Widerrufsmöglichkeit der Einwilligung hingewiesen werden. Online-Händler sollten prüfen, ob die bisherigen Einwilligungen, die sie eingeholt haben, den neuen Anforderungen entsprechen. Falls nicht, wenn also der der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden.

Bei Einwilligungen von Minderjährigen ist darauf zu achten, dass die Zustimmung des gesetzlichen Vertreters vorliegt, sonst sind diese nicht gültig.

5) Pflicht zur Meldung von Datenpannen, Erstellung eines Krisenreaktionsplan

Jeder Verstoß gegen das Datenschutzrecht, der die Rechte und Freiheiten einer Person beeinträchtigen könnte, muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden. Für Online-Händler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.

Fazit

Die Zeit läuft und Aussitzen ist keine Option: Online-Händler sollten sich bis zum 25. Mai 2018 mit den Änderungen durch die DSGVO vertraut gemacht haben und ihren Shop auf die Anforderungen der DSGVO vorbereiten. Wer die Änderungen nicht rechtzeitig bis zum Stichtag umgesetzt hat, riskiert schmerzhaft hohe Bußgelder sowie Abmahnungen.