Am 25. Mai 2018 ist die Frist für die Umsetzung der „Europäischen Datenschutz-Grundverordnung“ (in Deutschland als DSGVO, international als „General Data Protection Regulation“, kurz GDPR) abgelaufen. Spätestens ab jetzt müssen Online-Händler nachweisen können, dass sie sich an die Vorschriften der Verordnung halten.

Entgegen eines verbreiteten Vorurteils spielt die Größe des Unternehmens hier keine Rolle. Die DSGVO gilt für alle gleichermaßen.

Vorgaben zum Datenschutz hat es für Online-Händler in Deutschland bereits mit dem BDSG (Bundesdatenschutzgesetz) vorher gegeben. Und aus Gründen des Wettbewerbsrechts war es mehr als empfehlenswert, sich daran auch zu halten. Doch mit der Vereinheitlichung in einer europäischen Verordnung haben sich einige Änderungen ergeben.

1 Was sind personenbezogene Daten eigentlich?

Die DSGVO hat eine klare und umfassende Definition von „personenbezogenen Daten“ geschaffen. Kurz und knapp ermöglichen personenbezogene Daten die Identifizierung einer konkreten Person.

Wichtig für alle Online-Händler: Unter den Begriff fallen auch technische Daten wie die IP-Adresse oder Cookies.

2 Brauche ich eine Datenschutzerklärung?

Händler müssen auf der Webseite eine Datenschutzerklärung zur Verfügung stellen. Diese muss in verständlicher und präziser Form geschrieben sein. Sie umfasst wenigstens:

  • Kontaktdaten des Unternehmens und sofern zutreffend eines Datenschutzbeauftragten.
  • Angabe des Zwecks für eine Verarbeitung der Daten sowie die Rechtsgrundlage. Die DSGVO verbietet grundsätzlich die Verarbeitung von personenbezogenen Daten – es sei denn, die Verarbeitung wird durch das Gesetz erlaubt oder der Betroffene willigt selbst ausdrücklich in die Verarbeitung ein.
  • Berechtigte Interessen an der Datenverarbeitung: Wenn Sie als Shopbetreiber an der Weiterverarbeitung von personenbezogenen Daten ein berechtigtes Interesse haben, müssen Sie dieses nachweisen und in der Datenschutzerklärung benennen. Ein berechtigtes Interesse kann beispielsweise die Übergabe der Daten an einen Dienstleister für Forderungsmanagement sein.
  • Empfänger von Daten: Werden Daten weitergegeben, muss der Betroffene informiert werden.
  • Dauer der Speicherung von personenbezogenen Daten: Nach der DSGVO ist eine dauerhafte Speicherung nicht gestattet. Deswegen muss die Dauer angegeben werden.
  • Hinweise auf Verpflichtung zur Datenbereitstellung: Ohne Daten des Kunden sind weder Bestellung noch ein ordnungsgemäßer Vertrag möglich. Das sollte in der Datenschutzerklärung auch genau beschrieben sein.

Lassen Sie Ihre Datenschutzerklärung am besten von einem erfahrenen Anwalt überprüfen.

3 Welche Strafen gibt es?

Der EU-Gesetzgeber weist dem Verbraucherschutz durch die DSGVO eine hohe Priorität zu. Deswegen ist ein Verstoß mit strengen Sanktionen belegt. Nach Artikel 83 und 84 können als letzte Maßnahme der Behörden Bußgelder in Höhe von bis zu 20 Mio. Euro oder 4 % vom weltweiten Jahresumsatz verhängt werden.

Händler sollten das Thema also ernst nehmen, aber nicht in Panik verfallen. Denn ein Bußgeld muss auch verhältnismäßig sein. So werden die Behörden prüfen, ob es sich bei einem Verstoß um Fahrlässigkeit oder Vorsatz handelt, oder auch welche Nachteile dem Betroffenen entstanden sind.

4 Was ändert sich beim Newsletter- und E-Mail-Marketing?

Grundsätzlich gilt, dass die Kommunikation im Rahmen einer Transaktion erlaubt ist, auch wenn es keine Einwilligung des Kunden gibt. Nachrichten rund um die Bestellabwicklung bleiben also erlaubt.

Auch Newsletter dürfen weiter eingesetzt werden. Allerdings sind daran Bedingungen geknüpft:

  • Der Empfänger hat dem Bezug zugestimmt.
  • Sie können die Einwilligung nachweisen.
  • Die Einwilligung ist freiwillig erfolgt und nicht an eine andere Handlung geknüpft worden. Dies wird „Kopplungsverbot“ genannt. So darf nicht der Bezug eines Newsletters an das Drücken des Buttons „Bestellen“ geknüpft sein.
  • Der Empfänger wurde auf die Datenschutzerklärung hingewiesen.

Wenn Sie schon eine Liste mit E-Mail-Empfängern haben, müssen Sie überprüfen, ob sie diesen Kriterien entspricht. Wenn Sie die Einwilligung nicht nachweisen können, ist die Nutzung nicht erlaubt.

5 Wann wird ein Vertrag zur Auftragsdatenverarbeitung benötigt?

Damit der Online-Shop läuft, werden Sie regelmäßig Dienstleitungen bei externen Partnern einkaufen. Das kann der Betreiber des Mietshops sein, oder ein Dienst zum Versand von Newslettern. Diese benötigen dann in aller Regel auch Zugriff auf die Kundendaten. Damit dies rechtskonform ist, muss mit den Dienstleistern ein Vertrag über die Auftragsdatenverarbeitung geschlossen werden. Er muss zwingend u.a. die Fragen beantworten:

  • Wer ist für die Datenverarbeitung verantwortlich?
  • Welche Daten werden über welchen Zeitraum verarbeitet?
  • Wie und warum werden die Daten verarbeitet?
  • Welcher Art sind die personenbezogenen Daten?
  • Wie ist die Weisungsbefugnis zwischen Auftraggeber und Auftragnehmer geregelt?
  • Welche Maßnahmen für den Datenschutz wurden getroffen?
  • Wie werden personenbezogene Daten wieder zurück geführt, oder gelöscht, wenn das Verhältnis endet?

Die meisten Dienstleister stellen inzwischen Muster zur Verfügung.

6 Was ist das Verarbeitungsverzeichnis?

Grundsätzlich hat jeder Händler ein Verzeichnis der Verfahren zu führen, in denen personenbezogene Daten verarbeitet werden. Es muss aktuell sein und fortlaufend geführt werden. Damit dokumentieren Sie gegenüber den Behörden auch die Einhaltung der gesetzlichen Vorschriften.

Nutzen Sie am besten die Vorlagen, die von den Aufsichtsbehörden selbst zur Verfügung gestellt werden.

Dazu werden erfasst:

  • Zwecke der Verarbeitung,
  • Beschreibung der Kategorien betroffener Personen (Kunden, Mitarbeiter usw.),
  • Kategorien personenbezogener Daten (z.B. Gesundheitsdaten),
  • Kategorien von Empfängern (falls die Daten weitergegeben werden),
  • Fristen für die Löschung,
  • Beschreibung der Maßnahmen, die zum Schutz der Daten ergriffen wurden.

7 Was ist bei Minderjährigen zu beachten?

Die Daten minderjähriger Kunden dürfen nur mit der Einwilligung der Erziehungsberechtigten verarbeitet werden. Deshalb müssen alle Online-Prozesse darauf geprüft werden, ob diese Maßgabe eingehalten werden kann.

Weitere Tipps für E-Commerce gefällig? Abonnieren Sie heute noch unseren monatlichen Newsletter, der Ihnen alle aktuellen E-Commerce-News, Tipps, Trends und Best Practices direkt in Ihr Postfach liefert!