DSGVO: Diese Änderungen kommen auf Online-Händler / Shopbetreiber ab Mai 2018 zu

DS-GVO 2018 für Shopbetreiber Onlineshops mit Checkliste

In etwas mehr als einem halben Jahr ist es soweit: Die Datenschutzgrundverordnung (DS-GVO / DSGVO) tritt am 25. Mai 2018 in Kraft und mit ihr werden datenschutzrechtliche Regelungen verbindlich, die auch Online-Händler betreffen.

Die wichtigsten Änderungen für Online-Händler im Überblick:

Stärkung der Rechte Betroffener

Wesentliche Änderungen finden sich bei den Rechten Betroffener. Betroffene, deren personenbezogene Daten gespeichert und verarbeitet werden, haben künftig ein umfassendes Recht auf Auskunft. Sie können eine Kopie ihrer Daten in gängiger elektronischer Form verlangen und die Information woher ihre Daten stammen, an wen sie übermittelt, wie sie verarbeitet und wie lange sie gespeichert werden.
Ihnen wird künftig auch das Recht auf Löschung ihrer Daten (Recht auf Vergessenwerden) eingeräumt.
Neu eingeführt wird das Recht auf Datenübertragbarkeit. Kunden können von Onlinehändlern einfordern, dass diese die über die betroffene Person gespeicherten Daten in einem gängigen Format an einen anderen Onlineshop übertragen. Dies soll es erleichtern zwischen verschiedenen Anbietern zu wechseln und beispielsweise Empfehlungen auf Basis vergangener Bestellungen zu erhalten.

Meldepflicht bei Datenpannen

Online-Händler müssen Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden.
Für Online-Händler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.

Neue Informations- und Dokumentationspflichten

Für Shop-Betreiber werden neue Informations- und Dokumentationspflichten eingeführt. Wie bisher besteht die Pflicht zur Führung eines Verfahrensverzeichnisses in dem interne Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen. Ab Mai 2018 nennt es sich „Verzeichnis von Verarbeitungstätigkeiten“ und ist von jedem Shop-Betreiber zu führen.

Einwilligungen datenschutzkonform einholen

Die Anforderungen an eine datenschutzkonforme Einwilligung (z.B. beim Newsletterversand) haben sich geändert. Künftig muss der E-Mail Empfänger informiert werden, worin er einwilligt und auf eine Widerrufsmöglichkeit hingewiesen werden. Die Einwilligung hat freiwillig und durch eine eindeutige Handlung zu erfolgen (z.B. durch das Setzen eines Häkchens) und sie ist vom Shop-Betreiber zu dokumentieren. Bereits eingeholte Einwilligungen behalten ihre Wirksamkeit nur, wenn sie der neuen Rechtslage angepasst werden. Die betroffene Person muss über die Möglichkeit die Einwilligung zu widerrufen informiert werden und der Widerruf muss so einfach wie die Erteilung der Einwilligung erfolgen können.

Einwilligungsalter

Bisher kannte das Gesetz keine klaren Altersgrenzen ab der Kinder und Jugendliche selbst in die Verarbeitung ihrer Daten einwilligen können. Die Festlegung der Altersgrenze bleibt künftig den einzelnen Mitgliedsstaaten überlassen, die DS-GVO nennt aber ein Mindestalter von 13 Jahren. Online-Händler müssen die Einhaltung des Mindestalters dokumentieren und nachweisen. Wir empfehlen Händlern daher, rechtzeitig geeignete Altersverifikationssysteme (z.B. durch Eingabe der Nummer des Personalausweises) einzurichten.

Datenschutzerklärung

Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereit zu stellen. Die Anforderungen an die Information und Belehrung der betroffenen Personen werden durch die DS-GVO steigen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Bereits bestehende Datenschutzerklärungen müssen angepasst werden, um den Vorgaben der DS-GVO zu entsprechen. Bei der Umsetzung einer rechtssicheren Datenschutzerklärung bieten wir professionelle Unterstützung an.

Fazit

Online-Händler werden Zeit in die Umstellung relevanter Prozesse investieren müssen, um den neuen datenschutzrechtlichen Anforderungen gerecht zu werden. Daher ist es besonders wichtig, rechtzeitig mit den Vorbereitungen zu beginnen.
Bei Verstößen gegen die DS-GVO drohen empfindliche Geldbußen in Höhe bis zu vier Prozent des Jahresumsatzes eines Unternehmens. Diese Geldbußen können die Datenschutz-Aufsichtsbehörden festsetzen, wenn Online-Händler von bis zum 25.05.2018 keine oder nur unzureichende Änderungen nach der DS-GVO umgesetzt haben. Auch möglich sind Abmahnungen von Wettbewerbern, Verbraucherschutzorganisationen und Verbänden.

Checkliste

In einer Checkliste haben wir die wichtigsten Maßnahmen, die Sie bis zum 25. Mai 2018 umzusetzen haben für Sie zusammengefasst:

  1. Datenschutzerklärung anpassen- Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten darlegen
  2. Einwilligungserklärungen (z.B. bei Newsletterversand) auf Transparenz und Wirksamkeit überprüfen
  3. Widerrufserklärung erleichtern und wie Einwilligungserklärung gestalten
  4. Rechtsvorschriften für Datenverarbeitung von Minderjährigendaten einhalten und geeignete Altersverifikationssysteme einrichten (z.B. Eingabe der Nummer des Personalausweises)
  5. Prüfen, ob bei Datenpannen 72 Stunden Frist eingehalten werden kann
  6. Verarbeitungsverzeichnis aktualisieren und sicherstellen, dass alle Datenschutzverarbeitungsprozesse erfasst werden
  7. Informationspflichten gegenüber den Betroffenen umsetzen und auf weitere Betroffenenrechte (Berichtigung, Löschung, Auskunft) einrichten

Avatar für Bernadette Mohme Experte für Shopsysteme und Warenwirtschaftssysteme
Über Bernadette Mohme 3 Artikel
Bernadette Mohme ist Volljuristin und bei der Protected Shops GmbH in München für die Erstellung allgemein verständlicher Texte zu aktuellen rechtlichen Themen aus dem E-Commerce Bereich zuständig. Protected Shops ist Partner der omeco GmbH und stellt ein eigenes Modul für die Erstellung von abmahnsicheren Rechtstexten zur Verfügung.

1 Trackback / Pingback

  1. Die Datenschutzgrundverordnung der EU DSGVO und mein Blog

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*