Die DSGVO ist in ihrer amtlichen Version satte 88 pdf-Seiten lang und besteht neben 173 Erwägungsgründen aus 99 Artikeln. Doch viel hilft nicht immer viel, denn Händler können mit der umfangreichen neuen Verordnung wenig anfangen. In unserem kostenlosen Webinar wurden die Teilnehmer fit für die Vorbereitung gemacht.
Mehr unter: Die DSGVO betrifft jeden! – wir machen Sie in nur 15 Minuten fit
Gastartikel: Am 25. Mai 2018 werden die Regelungen der DS-GVO verbindlich. Shop- Betreiber haben nur noch etwas mehr als ein halbes Jahr Zeit, um ihren Shop den neuen Anforderungen anzupassen. Die Zeit vergeht schnell und wer die Änderungen nicht bis zum Stichtag am 25.05.2018 umgesetzt hat, riskiert neben hohen Bußgeldern auch kostenpflichtige Abmahnungen. Für Online-Händler empfiehlt es sich, sich bereits jetzt über die neue Gesetzeslage zu informieren und zu prüfen, welche Änderungen am eigenen Shop vorgenommen werden müssen.
Dieser Beitrag soll einen ersten Überblick geben, was auf Shop-Betreiber nächstes Jahr mit der neuen DS-GVO zukommt.
In kommenden Beiträgen werden wir konkreter auf einzelne relevante Bereiche und die jeweiligen Pflichten der Datenschutzgrundverordnung, die Online-Händler umzusetzen haben, eingehen.
Was ist eigentlich die DS-GVO?
Die DS-GVO ist eine europäische Verordnung mit der Regelungen für die Verarbeitung von personenbezogenen Daten EU-weit vereinheitlicht werden sollen. Ein Vorteil ist, dass sich Online-Händler beim Verkauf in andere EU-Mitgliedsstaaten mit viel weniger unterschiedlichen nationalen Regelungen auseinandersetzen müssen. Die Verordnung tritt am 25.05.2018 in Kraft und muss nicht wie Richtlinien erst in das Recht des jeweiligen Landes umgesetzt werden sondern gilt unmittelbar. Die DS-GVO ersetzt die deutschen Vorschriften zum Datenschutz, die im Bundesdatenschutzgesetz (BDSG) geregelt sind.
DS-VGO: was ändert sich für Online-Händler ab Mai 2018?
mit der Regelungen für die Verarbeitung von personenbezogenen Daten EU-weit vereinheitlicht werden sollen. Ein Vorteil ist, dass sich Online-Händler beim Verkauf in andere EU-Mitgliedsstaaten mit viel weniger unterschiedlichen nationalen Regelungen auseinandersetzen müssen. Die Verordnung tritt am 25.05.2018 in Kraft und muss nicht wie Richtlinien erst in das Recht des jeweiligen Landes umgesetzt werden sondern gilt unmittelbar. Die DS-GVO ersetzt die deutschen Vorschriften zum Datenschutz, die im Bundesdatenschutzgesetz (BDSG) geregelt sind.
Wen betrifft die DS-GVO?
Die DS-GVO betrifft grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet und seinen Sitz in der EU hat. Auf Online-Händler, die täglich personenbezogene Daten wie Kontaktdaten und Zahlungsdaten von Kunden verarbeiten, kommen daher Änderungen durch die DS-GVO zu.
Was ändert sich durch die DS-GVO?
Vieles und zugleich wenig. Da das deutsche Datenschutzniveau bereits jetzt schon sehr hoch ist, bringt die DS-GVO in Bezug auf den Sicherheit von personenbezogener Daten keine großen Änderungen mit sich. Für Online-Händler ändern sich aber viele Details bei den Verarbeitungsprozessen der personenbezogenen Daten über die wir in kommenden Beiträgen informieren werden. Konkret müssen Händler Änderungen hauptsächlich bei der Kundenansprache wie z.B.
- Newsletter
- Formularen, wie z.B. Kontaktformular
- Login-Bereiche
- Datenschutzerklärung
- Social Media Plugins
- Cookies
vornehmen. Die Anforderungen an die Information und Belehrung der betroffenen Personen über den Zweck der Datenerhebung steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig
- präzise
- transparent
- verständlich
- leicht zugänglich
und in einfacher Sprache sein.
Daher wird eine Änderung der Datenschutzerklärung erforderlich.
Eine weitere signifikante Änderung ist die Höhe der Bußgelder. Um dem Schutz personenbezogener Daten Nachdruck zu verleihen, wurden die Geldbußen bei Verstößen gegen die DS-GVO drastisch verschärft. Diese können künftig Millionenhöhe erreichen bzw. 2-4% des weltweiten Jahresumsatzes eines Unternehmens betragen.
Was ändert sich bei den Datenschutz-Grundsätzen?
An vielen bekannten Datenschutz-Grundsätzen wie Datensparsamkeit, Datenrichtigkeit oder dem Verbot mit Erlaubnisvorbehalt (d.h. in die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten muss eingewilligt werden) ändert sich gar nichts.
Welche Rechte haben künftig Betroffene?
Die Rechte der Betroffenen, deren Daten verarbeitet werden, werden durch die DS-GVO gestärkt. Das Recht auf Vergessenwerden (Löschung) wird gesetzlich geregelt. Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer Daten verlangen, wenn die Daten für den Zweck, für den diese ursprünglich verarbeitet wurden, nicht mehr notwendig sind oder diese unrechtmäßig verarbeitet wurden.
Neu eingeführt wird das Recht auf Datenübertragbarkeit. Kunden können von Onlinehändlern einfordern, dass diese die über die betroffene Person gespeicherten Daten in einem gängigen Format an einen anderen Onlineshop übertragen. Dies soll es erleichtern zwischen verschiedenen Anbietern zu wechseln und beispielsweise Empfehlungen auf Basis vergangener Bestellungen zu erhalten.
Welche Pflichten kommen auf Shop-Betreiber zu?
Für Shop-Betreiber werden neue Informations- und Dokumentationspflichten eingeführt. Weiterhin besteht die Pflicht zur Führung eines Verfahrensverzeichnisses in dem interne Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen. Ab Mai 2018 nennt es sich „Verzeichnis von Verarbeitungstätigkeiten“. Zwar gibt es teilweise eine Befreiung der Pflicht für Unternehmen mit weniger als 250 Mitarbeitern, diese betrifft aber nur einzelne Verfahren. Grundsätzlich muss jedes Unternehmen ab dem 25.05.2018 und damit jeder Shop-Betreiber ein „Verzeichnis für Verarbeitungstätigkeiten“ führen.
Neu hinzu kommt die Pflicht bei Datenpannen diese innerhalb von 72 Stunden den Datenschutzbehörden zu melden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden.
Für Online-Händler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.
Was ändert sich beim Datenschutzbeauftragten?
Wie bisher besteht die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen, sofern das Unternehmen nicht weniger als 10 Mitarbeiter aufweist. Zwar sieht der Gesetzestext der DS-GVO die Bestellung eines Datenschutzbeauftragten nicht vor, allerdings enthält die entsprechende Passage eine Öffnungsklausel. Der Gesetzesentwurf zur Änderung des BDSG macht hiervon Gebrauch und behält die alte Regelung bei, sodass es hier aller Voraussicht nach in Deutschland zu keinen Änderungen kommen wird was die Pflicht zur Bestellung eines Datenschutzbeauftragten angeht.
Neu ist, dass der Datenschutzbeauftragte auf der Firmenwebseite bekanntgegeben werden muss. Auch die gesetzlichen Aufgaben des Datenschutzbeauftragten ändern sich. Er ist künftig u.a. Kontaktperson für Aufsichtsbehörden und Ansprechpartner für Betroffene zu Fragen rund um alle Datenverarbeitungsprozesse sowie für Fragen zur DS-GVO.
Fazit
Auch wenn zahlreiche Grundsätze des Datenschutzrechts, die Online-Händlern schon aus dem BDSG schon bekannt sind, weiterhin bleiben, gibt es einige Änderungen, die von Shop-Betreibern vorzunehmen sind und die bis zum 25.05.2018 umgesetzt sein müssen. Keinesfalls sollten die Änderungen von den Händlern außer Acht gelassen werden, denn bei einem Verstoß drohen hohe Sanktionen. Die Zeit bis zum In-Kraft-Treten der DS-GVO sollte genutzt werden, um sich auf die Änderungen vorzubereiten und um frühzeitig mit der Umsetzung zu beginnen.