Am 25. Mai ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten, mit der das bisherige Datenschutzrecht auf EU-Ebene reformiert wird. Die DSGVO bringt auch für den Onlinehandel einige Neuerungen, die Shopbetreiber innerhalb der jetzt laufenden zweijährigen Übergangszeit bis Mai 2018 umsetzen müssen. Worum geht es im Einzelnen?
-
Einwilligung
Auch nach der neuen DSGVO bleibt es dabei: Entweder wird für die Verarbeitung von personenbezogenen Daten eine zweckgebundene Einwilligung des Nutzers bzw. Kunden eingeholt, oder die Datenverarbeitung basiert auf einer gesetzlichen Erlaubnis bzw. ist wegen des berechtigten Interesses ohne spezielle Einwilligung zulässig. Damit ist weiterhin keine spezielle Einwilligung des Kunden erforderlich, wenn seine Daten lediglich zur Abwicklung der Bestellung genutzt werden solle. Für das Anlegen eines Kundenkontos oder das Versenden von Newslettern dürfen die Daten dagegen nur mit vorheriger Einwilligung des Kunden verwendet werden.
-
Altersgrenze
Die neu eingeführte Altersgrenze für die Einwilligungsfähigkeit in die Datenverarbeitung wird für Shopbetreiber wohl keine große Rolle spielen. Die Datenschutzgrundverordnung sieht hierfür künftig ein Mindestalter von 16 Jahren vor (Art. 8 DSGVO). Nationale Vorschriften über die Gültigkeit eines Vertrages sollen jedoch unberührt bleiben. In Deutschland können eigenständige Willenserklärungen nach dem BGB allerdings ohnehin erst mit 18 Jahren wirksam abgegeben werden. Es wird folglich wohl auch künftig bei der Altersgrenze von 18 Jahren bleiben.
Bei minderjährigen Kunden haben Shopbetreiber auch nach der DSGVO „angemessene Anstrengungen“ unter Berücksichtigung der verfügbaren Technik zu unternehmen, um sicherzustellen, dass eine Einwilligung der Eltern oder deren Zustimmung vorliegt. Hier sind die Registrierungs- und Bestellformulare entsprechend einzurichten.
-
Erweiterte Informationspflichten
Zukünftig dürfen personenbezogene Daten nur erhoben und verarbeitet werden, wenn der Nutzer nach Art. 12, 13 DSGVO unter anderem auch über diese Punkte informiert wird:
- Name und Kontaktdaten des Shopbetreibers sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung: Dieser Punkt ist wichtig, wenn die Daten auch zu Werbezwecken verwendet werden sollen;
- die berechtigten Interessen, die von dem Shopbetreiber oder einem Dritten mit der Datenerhebung und -verarbeitung verfolgt werden;
- ggf. die Absicht des Onlinehändlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln: Wer Dienstleister mit Servern außerhalb der EU für die Datenverarbeitung oder sonstige Cloud-Dienste außerhalb der EU nutzt, muss seine Kunden vorab darüber informieren.
Diese Informationen müssen zum Zeitpunkt der Erhebung der Daten zur Verfügung gestellt werden. Für den Onlinehändler bedeutet das, dass er die Datenschutzinformation auf seinem Shop erweitert muss und auch in den Bestell- und Registrierungsformularen auf die Inhalte der Datenschutzinformation hinweisen muss.
-
Voreinstellungen müssen „datenschutzfreundlich“ sein
Künftig müssen Verantwortliche geeignete technische Maßnahmen treffen, um sicherzustellen, dass die Voreinstellungen auf einer Plattform die datenschutzfreundlichsten Einstellungen sind, die möglich sind (Artikel 25 Abs. 2 DSGVO). Es dürfen also durch Voreinstellungen künftig nur solche Daten verarbeitet werden, die für den Shopbetrieb wirklich erforderlich sind. Dies gilt für die Menge, den Umfang, die Speicherfrist und die Zugänglichkeit der erhobenen Personendaten.
-
Datenschutzgrundverordnung und Direktwerbung
Für den Bereich der Direktwerbung regelt die neue DSGVO (in Art. 6 Abs. 1 f in Verbindung mit Erwägungsgrund Nr. 47), dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine dem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Der Begriff der „Direktwerbung“ ist nicht definiert. Onlinehändler können aber davon auszugehen, dass personalisierte Post- oder E-Mailings und Werbung per Telefax, SMS oder Whatsapp sowie die Übersendung von Drucksachen wie Flyer, Prospekte, Kataloge usw. damit zulässig sein dürften – jedenfalls bis der Betroffene von seinem Widerrufsrecht Gebrauch macht, worüber er bereits bei Erhebung der Daten zu informieren ist.
-
Recht auf Vergessenwerden
In den Medien ist das „Recht auf Vergessenwerden“ bereits viel diskutiert worden. Durch die neue Datenschutzgrundverordnung ist es nun europaweit gültig. In Deutschland entspricht es jedoch im Wesentlichen den bisherigen Löschungspflichten des Bundesdatenschutzgesetzes (BDSG).
Für deutsche Betreiber ist in diesem Zusammenhang lediglich die Verpflichtung neu, dass personenbezogene Daten von Kindern (bis zur Vollendung des 16. Lebensjahres) immer zu löschen sind. Außerdem besteht für Unternehmen, die personenbezogene Daten „öffentlich“ gemacht haben, die neue Verpflichtung, andere Unternehmen, die die Daten verarbeiten, wiederum darüber zu informieren, wenn Nutzer die Löschung aller Links, Kopien und Replikationen der Daten verlangen.
Für Shopbetreiber wird diese Verpflichtung etwa im Bereich Adresshandel oder bei „Gewinnspielen“ zu Werbezwecken praktisch relevant. Die beteiligten Unternehmen müssen sich künftig über ein mögliches Löschungsverlangen der Nutzer informieren.
-
Nachweispflichten
Eine größere Neuerung wird auf Onlinehändler im Zusammenhang mit der Dokumentationspflicht des Art. 5 Abs. 2 der DSGVO zukommen. Hiernach müssen Betreiber die Einhaltung des Datenschutzes nachweisen können. Dafür muss eine umfassende Dokumentation erstellt werden, die alle Verarbeitungstätigkeiten auflistet. Die inhaltlichen Anforderungen sind in Art. 30 DSGVO geregelt. In die Dokumentation gehört u.a.:
- der Name und die Kontaktdaten des Verantwortlichen, also des Shopbetreibers und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen;
- die Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Shopbetreiber werden leider nicht von der Ausnahme des Art. 30 Abs. 5 DSGVO profitieren können. Diese sieht vor, dass Verantwortliche mit weniger als 250 Mitarbeitern von der Pflicht befreit sind. Allerdings nur, wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Da Shopbetreiber regelmäßig personenbezogene Daten im Rahmen von Bestellprozessen verarbeiten, kann die Ausnahme für sie wohl nicht gelten.
-
Zertifizierung
Es kommen also bereits einige Pflichten an den Onlinehändler zusammen. Deren Einhaltung kann er sich aber bestätigen lassen. Mit der DSGVO wird auch die Möglichkeit der Zertifizierung eingeführt. Die Verordnung sieht vor, dass sich Shopbetreiber bei den Datenschutzbehörden aktiv zertifizieren lassen können und dann ein Datenschutzsiegel erhalten. Dieses weist dann nach, dass der Shop sämtliche Datenschutzvorschriften einhält. Hiermit kann auch die o.g. Nachweispflicht erfüllt werden. Außerdem erhält der Kunde ein eindeutiges Trust-Signal.
-
Pflichten bei Datenschutzverletzungen
Kommt es zur Verletzung des Schutzes personenbezogener Daten, muss der Shopbetreiber als Verantwortlicher diese unverzüglich (möglichst binnen 72 Stunden) der Aufsichtsbehörde melden (Art. 33 Abs. 1 DSGVO). Die Meldung muss folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
- Bei Datenschutzverletzungen, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge haben, sind auch die Betroffenen unverzüglich zu benachrichtigten (Art. 34 Abs. 1 DSGVO) .
-
Die neue Auftragsverarbeitung
Mit der neuen DSGVO wird die bisherige Auftragsdatenverarbeitung sprachlich zur „Auftragsverarbeitung“. Zudem müssen die alten Auftragsdatenverarbeitungsverträge überprüft und gegebenfalls angepasst werden. Denn Art. 26 Abs. 1 DSGVO fordert, dass der Verantwortliche bei der Auftragsverarbeitung nur mit Auftragsverarbeitern zusammenarbeiten darf, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen bestehen, so dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Die Verträge können nach Art. 26 Abs. 9 DSGVO auch elektronisch geschlossen werden.
Verstöße gegen die Datenschutzgrundverordnung sind teuer
Die bisherigen Bußgelder von bis zu 300.000 Euro waren bereits recht hoch. Mit der Datenschutzgrundverordnung werden diese jedoch noch erheblich angehoben. Zukünftig drohen bei Verstößen Bußgelder in Höhe von 10 Millionen Euro, bzw. zwei Prozent (2%) des weltweiten Jahresumsatzes. Bei schweren Verstößen können sogar Bußgelder in Höhe von 20 Millionen Euro, bzw. vier Prozent des Jahresumsatzes, verhängt werden. Letztlich wird auch ein Schadensersatzanspruch für betroffene Personen eingeführt.
Bis 2018 müssen Shopbetreiber handeln.
Bis zum Ablauf der Übergangsfrist im Mai 2018 sollte jeder Shopbetreiber aktiv geworden sein und sowohl die Prozesse im Shop, als auch die unternehmensinternen Prozesse an die neue DSGVO angepasst haben. Insbesondere im Zusammenhang mit der Dokumentationspflicht sollte die Zeit genutzt werden.
Hinweis: Mehr zur Datenschutzgrundverordnung im Bezug auf Onlineshops, E-Commerce und Magento finden Sie in unserem Blog in der Rubrik DSGVO.