Die DSGVO ist in ihrer amtlichen Version satte 88 pdf-Seiten lang und besteht neben 173 Erwägungsgründen aus 99 Artikeln. Doch viel hilft nicht immer viel, denn Händler können mit der umfangreichen neuen Verordnung wenig anfangen. In unserem kostenlosen Webinar wurden die Teilnehmer fit für die Vorbereitung gemacht.
Mehr unter: Die DSGVO betrifft jeden! – wir machen Sie in nur 15 Minuten fit
Am 25. Mai 2018 ist es nun endgültig so weit: Die Datenschutzgrundverordnung (DSGVO) tritt in Kraft und wird in allen europäischen Ländern zur Pflicht. Beschlossen wurde sie schon am 14. April 2016 durch das EU-Parlament und soll nun die endgültige Harmonisierung des europäischen Datenschutzes bewirken. 99 Artikel, inklusive der Änderung zur Datenschutzerklärung, Compliance-Pflichten, Dokumentationspflicht und Betroffenenrechte – allesamt Änderungen, von denen jeder Händler bereits gehört haben sollte. Doch zeigte eine Studie Ende 2017, dass immer noch ca. 30 Prozent der Händler nicht darauf vorbereitet sind. Im schlimmsten Fall könnte dies eine teure Angelegenheit werden.
Sanktionen drastisch erhöht
Um den Datenschutz zu gewährleisten, werden die Behörden in allen EU-Staaten mehr Befugnisse als bisher erhalten. Als eine Neuerung dürfen sie dann gegenüber anderen Behörden Anordnungen und Sanktionen erlassen. Darüber hinaus werden die Behörden den Datenschutz nun gnadenlos durchfechten und bekommen dazu neue Bußgelder zur Seite gestellt. Nun sind Bußgelder möglich in Höhe von
- bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw.
- 20 Millionen Euro.
Um diesen zu entgehen, ist es immens wichtig, die Neuerungen zu kennen.
Datenschutzerklärung – neu und sehr ausführlich
Ohne Erhebung und Speicherung von Daten funktioniert der Handel nicht, denn allein um einen Auftrag erledigen zu können, müssen Kunden ihre personenbezogenen Daten eintragen. Zusätzlich werden aber auch eine Vielzahl von anderen Daten erhoben und verarbeitet (Tracking und Analyse-Tools etc.). Hierüber muss informiert werden. Dies ist nicht neu, doch nun kommen eine Vielzahl neuer Pflichten hinzu. Ein kleiner Auszug:
- Zweck der Datenverarbeitung
- Rechtsgrundlage
- Speicherdauer
- Betroffenenrechte: Auskunftsrecht, Löschungsanspruch, Widerspruchsrecht
- Widerrufsrecht
Der Clou: Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Hier ist Ärger vorprogrammiert, denn wie verpackt man komplizierte technische Abläufe in eine transparente Informationserteilung? Hilfe in diesem Bereich in Anspruch zu nehmen, ist daher ratsam.
Datenschutzbeauftragter notwendig
Auch nach der DSGVO gibt es die Vorschrift, dass Unternehmen mit einer bestimmten Größe und Personenzahl einen Datenschutzbeauftragten für sich haben müssen. Diese Pflicht trifft weiterhin alle Unternehmen, die ständig 10 Personen mit der Datenverarbeitung betrauen. „Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört. Daher müssen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte gegebenenfalls dazu gezählt werden.
Verarbeitungsverzeichnis und Dokumentationspflicht
Im Rahmen der DSGVO kommen weitreichende Dokumentationspflichten auf die Unternehmer zu. Letzten Endes muss ein Unternehmen stets in der Lage sein, nachweisen zu können, dass alle Verarbeitungsvorgänge datenschutzkonform stattfinden. Zentrales Element der Dokumentation ist das sogenannte Verarbeitungsverzeichnis. Dieses katalogisiert und erfasst alle Datenverarbeitungsprozesse des Unternehmens und muss geführt werden, solange die Datenverarbeitung nicht gelegentlich stattfindet. Dieser so wichtige Begriff wird aber leider nicht konkretisiert, sodass erst einmal alle Unternehmer verpflichtet sind, jegliche Datenverarbeitungsprozesse in einem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Das Verzeichnis kann auch in elektronischer Form geführt werden. Zu beachten ist aber, dass das Verarbeitungsverzeichnis aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde ggf. auch in gedruckter Form exportierbar sein muss.
Folgender Mindestinhalt muss enthalten sein:
- Namen und Kontaktdaten des Verantwortlichen
- Zweck der Verarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden oder noch offengelegt werden
- Übermittlungen von Daten an ein Drittland oder eine internationale Organisation
- Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO
Auftrags(daten)verarbeitung
Wer Daten durch externe erheben, verarbeiten oder nutzen lässt, bedient sich der nach der DSGVO der Auftragsverarbeitung. Klassische Anwendungsfälle sind bspw. Dienstleister, die den Versand von Newslettern oder die Lohnbuchhaltung eines Unternehmens übernehmen. Dabei ist es stets erforderlich, einen Vertrag über die Auftragsverarbeitung zu schließen. In diesem ist detailliert zu regeln, welche Daten übermittelt und wie diese verarbeitet werden. Nach der DSGVO ist es aber möglich, diesen auch elektronisch zu schließen. Zusätzlich sind Vereinbarungen zu den sogenannten technisch-organisatorischen Maßnahmen zum Schutz der Daten zu treffen. Wer Daten zur Auftragsverarbeitung weitergibt, sollte an folgendes denken:
- Der Auftraggeber haftet für Datenschutzverstöße des Auftragnehmers.
- Der Auftraggeber ist verpflichtet, die Weisungen zu dokumentieren.
- Der Auftraggeber hat die Datenverarbeitung zu kontrollieren.
DSGVO: Nicht für mich?
Die DSGVO gilt übrigens für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung von personenbezogenen Daten vornehmen. Tatsächlich können sich lediglich kleine stationäre Händler, die ausschließlich eine handschriftliche Kundendatei führen, davon ausnehmen. Auch wenn die DSGVO kleinere Unternehmen in vielen Aspekten von einem erhöhten bürokratischen Aufwand befreien will, ist die generelle Anwendbarkeit nicht an die Unternehmensgröße oder Umsatzhöhe gekoppelt. Ob man selbst schon auf die DSGVO vorbereitet ist, kann man mithilfe unserer Checkliste zur DSGVO gern selbst erproben.
Der Händlerbund hilft!
Die Umsetzung der DSGVO verursacht vielen Unternehmen einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Kunde von Shopanbieter jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode Shopanbieter25 einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl: Jetzt informieren!
Experten-Webinar: Die DSGVO betrifft jeden – wir machen Sie in nur 15 Minuten fit
Die DSGVO ist in ihrer amtlichen Version satte 88 pdf-Seiten lang und besteht neben 173 Erwägungsgründen aus 99 Artikeln. Doch viel hilft nicht immer viel, denn Händler können mit der umfangreichen neuen Verordnung wenig anfangen. In unserem kostenlosen Webinar am 29. März werden wir Sie in 15 Minuten fit für die Vorbereitung machen.
Hier kostenlos zum Webinar anmelden
Über den Autor
Ivan Bremers ist Volljurist und seit 2017 für den Händlerbund als juristischer Redakteur tätig. Im Bereich E-Commerce berät und berichtet er regelmäßig zu Rechtsthemen, welche die Branche bewegen. Daneben ist er als Referent auf Veranstaltungen rund um das Thema E-Commerce tätig.