Ab dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) rechtlich bindend

Ab dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) rechtlich bindend

In wenigen Wochen endet die zweijährige Übergangsfrist für die EU-Datenschutzgrundverordnung (DSGVO), die bereits am 25. Mai 2016 in Kraft getreten ist und für den Umgang mit personenbezogenen Daten einen EU-weit einheitlichen Rahmen vorgibt. Vom 25. Mai 2018 an ist das komplexe Regelwerk dann rechtlich bindend und nimmt potenziell jedes in der Europäischen Union agierende Unternehmen in die Pflicht – bei empfindlichen Strafandrohungen für Verstöße gegen die Verordnung. Das gilt insbesondere für Shopbetreiber, die jetzt zügig für Rechtssicherheit sorgen müssen – sofern sie es nicht bereits getan haben. Wir fassen zusammen, worum es genau geht und was konkret zu tun ist.

Was ist die Datenschutzgrundverordnung (DSGVO)?

Die als DSGVO abgekürzte Datenschutzgrundverordnung heißt offiziell „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ und kann auf EUR-Lex, dem Portal der Europäischen Union für geltendes EU-Recht, nachgelesen werden. Die Vorgängerregelung, Richtlinie 95/46/EG, die durch die DSGVO überflüssig wird, war bereits im Jahr 1995 in Kraft getreten. Das bisherige EU-Datenschutzrecht stammt also aus einer Zeit vor Google, internetfähigen Mobilgeräten, vernetzter Heimelektronik und vielem mehr. Höchste Zeit also für einen neuen, einheitlichen Rahmen für den Datenschutz in der Europäischen Union.

Was soll die DSGVO?

In erster Linie geht es bei der Datenschutzgrundverordnung darum, den Schutz persönlicher Daten auf eine solide, EU-weit einheitliche Grundlage zu stellen. Damit sollen personenbezogene Daten in Zukunft wirksamer vor Verletzungen des Datenschutzes bewahrt werden, was nicht zuletzt durch die Anhebung des Strafmaßes für Verstöße im Rahmen der DSGVO gewährleistet werden soll. Zudem will die Europäische Union ihre Regulierungsmacht über die EU-Außengrenzen hinaus ausweiten, indem sie auch Unternehmen aus „Drittstaaten“, die persönliche Daten von EU-Bürgern erheben und speichern, in die Pflicht nimmt.

Ist die DSGVO nicht schon längst in Kraft?

Nach jahrelangen Verhandlungen zwischen den mittlerweile (beziehungsweise noch) 28 EU-Mitgliedstaaten war es im Mai 2016 dann endlich so weit und die Datenschutzgrundverordnung konnte in Kraft treten – allerdings mit einer zweijährigen Übergangsfrist, die in wenigen Wochen enden wird. Ab dem 25. Mai 2018 um 0:00 Uhr ist die DSGVO rechtlich bindend und muss auch tatsächlich umgesetzt werden. Sie gilt EU-weit für alle Unternehmen in der Europäischen Union, ob Dienstleister oder Händler, gleichermaßen im Offline- und im Onlinehandel, in allen Branchen und sowohl im B2B- als auch im B2C-Bereich. Allerdings fallen ausschließlich personenbezogene Daten unter die DSGVO, also Daten, die auf eine bestimmte, natürliche Person zurückzuführen sind. Die Verarbeitung anonym erhobener Daten wird nicht von der DSGVO erfasst.

Was bedeutet das konkret?

Einige Bestimmungen aus der DSGVO sind längst einem breiten Publikum bekannt und auch schon auf den meisten Websites und Shops umgesetzt. So müssen Betroffene laut DSGVO für die Verarbeitung ihrer personenbezogenen Daten im Vorfeld die Zustimmung gegeben haben, sofern keine andere gesetzliche Erlaubnis vorliegt. Zudem erhalten sie mehr Rechte (zum Beispiel Auskunftsrechte und ein Beschwerderecht). Aber zugleich bestehen mehr Pflichten für Unternehmen, während für Verstöße mit scharfen Sanktionen gedroht wird. Die Bußgeldandrohungen belaufen sich auf bis zu vier Prozent des gesamten, weltweit erwirtschafteten Jahresumsatzes eines Unternehmens beziehungsweise bis zu 20 Millionen Euro. Daher muss jeder Unternehmer, der in irgendeiner Weise personenbezogene Daten speichert (und seien das nur die Stammdaten der eigenen Mitarbeiter), nun noch einmal sehr genau prüfen, ob bei ihm bis zum Stichtag am 25. Mai nicht doch noch Handlungsbedarf besteht.

Die fünf Grundprinzipien für den Schutz personenbezogener Daten

Inhaltlich orientiert sich die DSGVO an fünf leitenden Grundprinzipien, die den einzelnen Regelungen zugrunde liegen.

  1. Verbot mit Erlaubnisvorbehalt
    Jede Verarbeitung von Daten, die nicht durch die Einwilligung der jeweils betroffenen Person gestattet ist, bedarf einer Erlaubnis auf der Grundlage des Rechts. Andernfalls ist die Verarbeitung der Daten nicht erlaubt.
  2. Datensparsamkeit
    Jede Verarbeitung von Daten muss dem dabei verfolgten Zweck angemessen, in der Sache relevant und dabei stets auf das notwendige Maß beschränkt sein.
  3. Zweckbindung
    Daten, die für einen bestimmten Zweck erhoben worden sind, dürfen nicht in einem anderen Zusammenhang weiterverarbeitet werden.
  4. Datensicherheit
    Der Schutz der verarbeiteten Daten vor unbefugtem Zugriff und Diebstahl muss durch adäquate technische und organisatorische Maßnahmen gewährleistet werden.
  5. Transparenz
    Die betroffenen Personen sollen stets darüber informiert sein, dass von ihnen persönliche Daten erhoben worden sind und um welche Daten es sich dabei handelt.

Was müssen Betreiber von Websites und Onlineshops bis zum 25. Mai 2018 sicherstellen?

Um eine Website oder einen Onlineshop DSGVO-konform betreiben zu können, bedarf es der Umsetzung einer ganzen Reihe von Maßnahmen. Und das lässt sich nicht ein für alle Mal bewerkstelligen, sondern muss als Auftakt für einen dauerhaft geänderten Umgang mit personenbezogenen Daten, externen Dienstleistern und künftigen Entwicklungen verstanden werden. Dabei gilt nicht jede in der DSGVO enthaltene Regelung auch tatsächlich für jedes Unternehmen – aber auch und gerade Online-Händler werden sich an der einen oder anderen Stelle wundern, in wie vielen Zusammenhängen sie nun für Rechtssicherheit sorgen müssen. Und wer es noch nicht getan hat, muss sich schnellstmöglich mit der Materie auseinandersetzen. Denn die Vielzahl und die Komplexität der in der DSGVO enthaltenen Bestimmungen sollte niemand unterschätzen. Nicht umsonst gibt Yvonne Bachmann, Rechtsanwältin beim Händlerbund, im E-Book Leitfaden zur Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) im Hinblick auf die komplexen Anforderungen, die nunmehr an die Datenschutzerklärung eines Onlineshops gestellt werden, zu bedenken:

Die Erteilung der (alten und) neuen Informationspflichten ist für Online-Händler ohne juristische Hilfe schlicht und ergreifend nicht möglich. Die Reihe der Informationspflichten ist schier unüberschaubar und für den Laien nicht rechtssicher formulierbar.

Vor diesem Hintergrund empfiehlt Bachmann Onlinehändlern, für die Umsetzung der DSGVO einen Rechtsbeistand hinzuzuziehen. Aber Shopbetreiber sind gut beraten, wenn sie sich zunächst selbst einen Überblick über die neuen Bestimmungen zu Rechten und Pflichten im Datenschutz verschaffen. Dafür haben wir im Folgenden einige zentrale Fragen, Antworten, nützliche Hinweise und weiterführende Quellen zusammengetragen.

Was gehört künftig alles in die Datenschutzerklärung?

Was genau in die Datenschutzerklärung für eine bestimmte Website oder einen konkreten Onlineshop gehört, hängt davon ab, welche Möglichkeiten Besuchern für das Übermitteln personenbezogener Daten eingeräumt werden. Aber wer beispielsweise ein Kontaktformular, eine Kommentarfunktion, ein Bewertungssystem oder Social-Plug-ins verwendet, wer Cookies einsetzt, Tools für Webanalyse und Tracking benutzt oder Daten an externe Dienstleister weitergibt, wer im Google Remarketing wirbt, seine AdWords Kampagnen mithilfe von Conversion Tracking optimiert oder einen Newsletter versendet und auch wer eine Zahlart mit Bonitätsprüfung einsetzt, muss entsprechende Textbausteine in seine Datenschutzerklärung aufnehmen.

Auch muss in einer DSGVO-konformen Datenschutzerklärung ausdrücklich auf das Recht zur Auskunft über die gespeicherten personenbezogenen Daten sowie die Modalitäten für die Berichtigung, Sperrung und Löschung von Daten für die Betroffenen hingewiesen werden. Der Name und die Kontaktdaten des Verantwortlichen für Datenschutz, die Dauer der Speicherung, die Zwecke der Datenverarbeitung, die Rechtsgrundlage für die Verarbeitung, die damit verfolgten berechtigten Interessen, eventuelle Empfänger von Daten, ob die Übermittlung von Daten in ein Drittland beabsichtigt wird (etwa im Rahmen des Einsatzes eines Analysetools mit Servern in den USA) – und vieles, vieles mehr.

Was ändert sich für den Einsatz von Social-Plugins, Cookies und Analyse-Tools?

Der Einsatz von Social-Plugins wie dem Like-Button von Facebook war, ist und bleibt in datenschutzrechtlicher Hinsicht problematisch. Da von den über diese kleinen Codeschnipsel angeschlossenen Social Media Plattformen nicht transparent kommuniziert wird, welche Daten zu welchen Zwecken auf diesem Weg an sie übertragen werden, sind solche Plugins im Geltungsbereich der DSGVO allenfalls über Behelfslösungen wie die Zwei-Klick-Variante rechtssicher zu betreiben. Cookies und Analyse-Tools werden in der DSGVO erstaunlicherweise gar nicht explizit erwähnt. Aber die rechtlichen Bestimmungen lassen den Einsatz weiterhin zu, sofern jeweils rechtssichere Formulierungen zu den verwendeten Technologien und deren jeweiliger Funktionsweise in der Datenschutzerklärung untergebracht sind.

Wie funktioniert rechtssicherer Versand von E-Mail-Werbung?

Auch E-Mail-Newsletter werden in der DSGVO nicht ausdrücklich erwähnt. Aus den darin formulierten allgemeinen Prinzipien für den Umgang mit personenbezogenen Daten wie E-Mail-Adressen lässt sich jedoch leicht ableiten, dass es nur zwei Möglichkeiten gibt, um Personen erlaubterweise E-Mail-Werbung zu schicken. Sie müssen ausdrücklich eingewilligt haben (per Double-Opt-in) oder es muss ein sogenanntes „berechtigtes Interesse“ für die Direktwerbung bestehen. So könnte ein Shopbetreiber etwa alle seine Kunden anschreiben – auch ohne deren ausdrückliche Einwilligung. Allerdings ist hier die E-Privacy-Richtlinie, die bereits 2019 durch eine die DSGVO ergänzende E-Privacy-Verordnung abgelöst werden soll, strenger und erlaubt E-Mail-Newsletter-Versand letztlich ausschließlich an Empfänger, die ausdrücklich – und beweisbar – ein entsprechendes Interesse bekundet haben.

Wer muss einen Datenschutzbeauftragten benennen?

Laut DSGVO muss ein Unternehmen nur dann einen Datenschutzbeauftragten benennen, wenn die unternehmerische Kerntätigkeit, also das Hauptgeschäftsfeld, in der Datenverarbeitung besteht und dabei eine aufwendige, regelmäßige und systematische Beobachtung von betroffenen Personen vonnöten ist. Das wird auf kaum einen Shopbetreiber zutreffen. Allerdings sieht das Deutsche Recht einen eigenen Datenschutzbeauftragten bereits dann vor, wenn mindestens zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Und diese Voraussetzung ist bei etwas größeren Shops recht schnell erfüllt.

Wer muss ein „Verarbeitungsverzeichnis“ anlegen?

Unternehmen mit mehr als 250 Mitarbeitern müssen ein sogenanntes „Verarbeitungsverzeichnis“ anlegen, in dem festgehalten ist, welche Daten von Kunden, Mitarbeitern und anderen Personen zu welchen Zwecken verarbeitet werden. Für kleinere Unternehmen gilt das nur in Ausnahmefällen, nämlich dann, wenn die Datenverarbeitung nicht nur „gelegentlich“ stattfindet und dabei auch besonders sensible Daten betroffen sind. Die DSGVO ist in diesem Zusammenhang jedoch wenig klar formuliert und eröffnet recht weite Spielräume für die Interpretation. Hier wäre für manchen Shopbetreiber wohl nur mit einem Rechtsbeistand sicher zu entscheiden, ob ein Verarbeitungsverzeichnis angelegt werden muss, oder nicht.

Was fällt unter den Begriff „Auftragsverarbeitung“?

Klar geregelt wird in der DSGVO die sogenannte „Auftragsverarbeitung“, bei der personenbezogene Daten einem externen Dienstleister für die Weiterverarbeitung übermittelt werden. Hier wird sich mancher Shopbetreiber auf der sicheren Seite wähnen, sollte dabei aber wissen und bedenken, dass auch die Nutzung externer Serverkapazitäten (beim Hosting des Shops durch einen Dienstleister) oder der Einsatz von Google Analytics genügen, damit eine Auftragsverarbeitung im Sinne der DSGVO vorliegt. Und für den Auftraggeber (also beispielsweise den Shopbetreiber) bedeutet das eine ganze Reihe weiterer Pflichten.

Wie gewährleistet man die neuen Auskunfts- und Betroffenenrechte?

Laut DSGVO müssen Unternehmen, die personenbezogene Daten erheben und speichern, den Betroffenen weitreichende Auskunftsrechte einräumen. Dabei müssen ihnen auf eine entsprechende Anfrage hin Informationen über Kategorien, Zwecke, Speicherdauer, mögliche weitere Empfänger der Daten sowie das Recht zur Berichtigung, Löschung, Einschränkung der Verarbeitung sowie zum Widerspruch gegen die weitere Datenverarbeitung und auch das Recht zur Beschwerde bei einer zuständigen Behörde mitgeteilt werden – und zwar jeweils unentgeltlich und unverzüglich. Wenn die Daten aus einer externen Quelle stammen oder in ein Drittland übertragen werden sollen, wird es auch hier noch einmal komplexer. In diesem Zusammenhang sollte immer bedacht werden, dass das Aufnehmen der entsprechenden Hinweise in die Datenschutzerklärung eben nur der erste Teil der Maßnahmen für die gewährleistung dieser Rechte ist. Sobald die erste Anfrage eines Betroffenen eingeht, muss der Betreiber des Shops oder der Website in der geeigneten Weise darauf antworten. Die entsprechenden Prozesse sollten daher bereits im Vorfeld ausgearbeitet werden.

Wie wurde die Meldepflicht für Datenschutzverletzungen verschärft?

Die Meldepflicht für Datenschutzverletzungen, bei denen es zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zu einem Verlust, einer Veränderung oder zur unbefugten Offenlegung von persönlichen Daten gekommen ist, wird durch die DSGVO verschärft. Künftig muss der Verantwortliche einen solchen Vorfall „unverzüglich“ (das heißt, möglichst binnen 72 Stunden) nachdem er Kenntnis darüber erlangt hat, an die zuständige Aufsichtsbehörde melden. Dabei gilt die Meldepflicht fortan nicht ausschließlich für besonders sensible Datenbestände, sondern grundsätzlich für personenbezogene Daten jeder Art.

Was muss bei der Einführung von neuen Datenverarbeitungsprozessen beachtet werden?

Im Vorfeld der Einführung eines neuen Prozesses für die Datenverarbeitung muss eine sogenannte „Vorabkontrolle“ auf in diesem Zusammenhang gegebenenfalls bestehende datenschutzrechtliche Risiken durchgeführt werden. Insbesondere vor der Einführung von neuen Technologien, bei denen der Umfang der Datenerhebung und mögliche Eingriffe in Persönlichkeitsrechte noch nicht hinreichend klar sind, muss eine sogenannte „Folgenabschätzung“ stattfinden. In jedem Fall durchzuführen ist eine Folgenabschätzung im Bereich Profiling, für die Verarbeitung besonders sensibler Daten wie im Gesundheitsbereich, für umfangreiche öffentliche Überwachung – und wie bereits erwähnt für den Einsatz neuer Technologien in der Datenverarbeitung.

Wie sieht es mit Aufsicht, Rechtsdurchsetzung und Strafandrohung aus?

Die DSGVO sieht die Einrichtung personell und finanziell handlungsfähiger Institutionen für die Kontrolle vor. Durch diese Einrichtungen sollen Datenschutzkontrollen durchgeführt, mögliche Verstöße benannt und Verantwortliche zu Fragen des Datenschutzes beraten werden. Den Mitarbeitern dieser Aufsichtsbehörden ist unbeschränkter Zugang zu den Datenverarbeitungsanlagen des kontrollierten Unternehmens zu gewähren und sie erhalten weitreichende Befugnisse, um Beschränkungen, Verbote und Bußgelder zu verhängen.

Wo lässt sich mehr darüber erfahren?

Wer sich mit der Datenschutzgrundverordnung nicht im Original auseinandersetzen möchte, sondern eher einen praxisorientierten Leitfaden für bestimmte Zielgruppen – wie Website- und Shopbetreiber – für die in den kommenden Wochen zu treffenden Maßnahmen und den alltäglichen Umgang mit der DSGVO sucht, darf es auf keinen Fall bei diesem kursorischen, sich gerade seinem Ende zuneigenden Überblick bewenden lassen. Daher möchten wir besonders zwei Quellen für weiterführende Informationen empfehlen. In einer umfangreichen Beitragsreihe zur DSGVO auf der Plattform onlinehaendler-news.de hat der Händlerbund zahlreiche Aspekte des neuen Regelwerks beleuchtet und zudem ein informatives E-Book bereitgestellt. Aber auch Trusted Shops hat eine sehr informative Beitragsreihe zur DSGVO verfasst. Für die Betreiber von Shopware Onlineshops gibt es mit einem Wiki zur Umsetzung der DSGVO in Shopware noch eine besonders praxisorientierte Quelle.

Und wer es ganz genau wissen möchte, erhält von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer kompakten Broschüre das Komplettpaket: eine grobe Einführung in die komplexe Materie und den vollen Text der DSGVO sowie das Bundesdatenschutzgesetz (BDSG). Und auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bietet umfangreiche Materialien, die das Verständnis und die Umsetzung der neuen Bestimmungen sehr erleichtern.

Fazit

Die DSGVO stellt die Betreiber von Websites vor besondere Herausforderungen – und das gilt in gesteigertem Maße für Shopbetreiber. Der Schutz personenbezogener Daten muss künftig rechtlich bindend gewährleistet werden und es drohen empfindliche Bußgelder, wenn der Datenschutz nicht vollumfänglich gewährt wird. Onlinehändler müssen daher mehr als je zuvor auf kompetente Unterstützung in Fragen des Datenschutzes bauen und dürfen sich in diesem Bereich nicht weiterhin mehr oder weniger auf eigene Faust durchzuschlagen versuchen. Denn das wird über kurz oder lang mit Sicherheit schiefgehen und zu Abmahnungen oder Bußgeldern führen. Sehr zu empfehlen ist datenschutzrechtlich unbedarften Shopbetreibern die Mitgliedschaft im Händlerbund, der seine Mitglieder sehr kompetent bei der Umsetzung der DSGVO unterstützt, was mit 20 Euro im Monat auch für kleine Shops durchaus erschwinglich ist. Ebenso empfehlenswert ist der Rechtsschutz-Service von Trusted Shops, durch den Online-Händler für 25 Euro monatlich dabei unterstützt werden, ihren Shop jederzeit rechtssicher zu betreiben.

Abschließend sei bemerkt, dass auch mit den erwähnten Lösungen für mehr Rechtssicherheit im Betrieb eines Onlineshops in Sachen Datenschutz noch nicht alles in trockenen Tüchern ist. Wer hundertprozentig sicher sein will, dass er auch in drei Monaten noch im Einklang mit geltendem EU-Recht handelt, muss umgehend einen Rechtsbeistand zurate ziehen, um auch die letzten Fragen in Umgang mit der durch die DSGVO veränderten Situation klären zu können. Und angesichts der drohenden Aufwände und Bußgelder bei Verstößen gegen die datenschutzrechtlichen Bestimmungen der EU muss der Anspruch jedes Shopbetreibers sein, absolut sicher zu sein, im Umgang mit personenbezogenen Daten wirklich alles richtig zu machen.

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.