Neue EU-Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 - Onlineshop erstellenMit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) ändert sich einiges gerade für Online-Shop-Betreiber. Im Onlinehandel sollten die Veränderungen vom Datenschutz über Informationspflicht bis zur Datenportabilität nachhaltig umgesetzt werden. Regelverstöße können teuer werden, hier sieht der Gesetzgeber Bußgelder von bis zu vier Prozent des jährlichen Unternehmensumsatzes vor. Im Einzelfall werden ebenso Abmahnungen durch Handelsverbände und etwaige Institutionen ausgesprochen. Onlinehändler sind angehalten sich über die neuen Richtlinien zu informieren und haben Zeit diese bis Ende Mai in die internen Abläufe einzubinden.

Die folgende Übersicht wird Ihnen einen Einblick zu den Änderungen zur neuen Reform im online Datenschutz DS-GVO geben.

Neuigkeiten zur Datenerfassung
Von höchster Wichtigkeit und dringend bis Mai zu erledigen, ist die Erstellung eines Verarbeitungsverzeichnisses. Für jeden Onlinehändler besteht ab 25.05.2018 die Verpflichtung, interne Abläufe zur Datenerfassung personenbezogener Daten, zu protokollieren. Die Datenschutzbehörde hat das Recht die Vorlage ab 25. Mai zu verlangen, kann der Shopbetreiber die notwendigen Unterlagen nicht vorweisen, wird ein entsprechendes Bußgeldverfahren eingeleitet. Nur auf dieser Grundlage kann Klarheit im Prozess der Datenverarbeitung gewährleistet werden. Gemäß Datenschutz-Grundverordnung ist jedes Unternehmen verpflichtet, die DS-GVO ordnungsgemäß  umzusetzen. Rechtlich betrachtet ist bei Pflichtverletzung oder unsachgemäßer Durchführung der Geschäftsführer zur Rechenschaft zu ziehen, in der Regel wird allerdings im betrieblichen Ablauf die Pflicht an den zuständigen Mitarbeiter für Datenschutz delegiert.

Datenschutzverstöße und Datenpannen sind meldepflichtig
Sobald der Onlinehändler innerhalb der betrieblichen Abläufe eine Datenpanne feststellt, ist diese binnen 72 Stunden der behördlichen Aufsichtskommission mitzuteilen. Die Meldepflicht beinhaltet Verstöße beim Datenschutz, die die persönliche Freiheit und Rechte der leidtragenden Personen betreffen.

Der Maßnahmen Katalog beinhaltet die Benennung bzw. Erklärung der vorliegenden Datenpanne. Zu möglichen Verstößen gegen den Datenschutz und Datensicherheit gehört zum Beispiel ein möglicher Datenabfluss durch die Bearbeitung Unbefugter oder ein Hackerangriff auf die betriebseigene IT-Infrastruktur zusammenhängend mit Datendiebstahl. Zusätzlich besteht die Pflicht Folgeschäden einzuschätzen, und eine Zusammenarbeit mit dem zuständigen Datenschutzbeauftragten des Unternehmens zu gewährleisten. Hier sind die Kontaktdaten zu übermitteln und eine Angabe der bereits durchgeführten Maßnahmen in Zusammenhang der gemeldeten Datenpanne.

Informationen zur Datenschutzerklärung
Der Gesetzesentwurf der Europäischen Union, die Datenschutz-Grundverordnung (DSGVO) regelt die Datenschutzerklärung völlig neu. Der wichtigste Punkt ist die Offenlegung für die zuständigen Behörden, in welcher Form die Privatsphäre von Anwendern und Kunden bewahrt wird. Eine transparente Darstellung ist Grundvoraussetzung, wie die Daten gesammelt und verwendet werden und ich welchem Zusammenhang möglicherweise an Dritte weitergereicht. Der Betreiber des Onlineshops ist in der Datenschutzerklärung mit seinen Kontaktdaten einzutragen, hierzu gehören E-Mail-Adresse und Anschrift. Verfügt das Unternehmen über einen Datenschutzbeauftragten, ist der Name nicht zwangsläufig offenzulegen, allerdings ist die E-Mail-Adresse und gegebenenfalls die Anschrift aufzuführen.

Tipp: Für eine übersichtliche Anordnung der betrieblichen Datenschutzerklärung empfiehlt es sich, die Kontaktangaben am Anfang oder am Ende einzupflegen.

Umfassende Informationspflichten gemäß DSGVO
Jeder Nutzer hat das Recht zur Beschwerde bei der Datenschutzaufsichtsbehörde, wenn eine Verletzung der Privatsphäre in Bezug auf personenbezogene Daten vorliegt. Der Verbraucher, Nutzer und Kunde wird in seinen Rechten bestärkt und ist zukünftig mit der Berechtigung ausgestattet, Auskünfte und Einschränkungen bzw. Löschung seiner Daten zu verlangen. Der Onlineshop Betreiber ist laut der neuen Datenschutzgrundverordnung mit Informationspflichten ausgestattet, die seine gesamten Datenschutz Verarbeitungstätigkeiten betreffen.

Datenübertragbarkeit
Die EU-Datenschutzreform umfasst ebenso eine neue Regelung zur vereinfachten Datenportabilität. Zur Erleichterung zwischen unterschiedlichen Anbietern zu wechseln und optional Rezessionen zu abgehandelten Bestellungen teilen zu können. Der Kunde kann den Onlinehändler dazu auffordern, seine gespeicherten personenbezogenen Daten, einem weiteren Onlineshop zur Verfügung zu stellen.

Datenschutzanpassung und Einwilligung
Der gängige Versand von Newslettern hat sich geändert. Die datenschutzkonforme Nutzung ist an eine neue Form der Einwilligung gebunden. Auf Anfrage besteht eine Nachweispflicht für alle Onlineshop Betreiber, in welcher Form die kundenbezogene Einwilligung erfolgte. Die Verarbeitungstätigkeit der betroffenen personenbezogenen Daten ist leicht verständlich darzulegen. Der Kunde muss beispielsweise bei der Anmeldung durch das Setzen eines Häkchens, mit konkreten Informationen zum Sachverhalt, freiwillig zustimmen.

Vorhandene Einwilligungen, die vor dem In-Kraft-Treten des Gesetzes eingeholt wurden, müssen den Richtlinien der neuen Datenschutzreform entsprechen. Hier sind unter Umständen Anpassungen an den jeweiligen Bewilligungen erforderlich. Es besteht Informationspflicht betroffene Nutzer und Kunden über die Möglichkeit die Einwilligung Widerrufen zu können in Kenntnis zu setzen. Die Abänderung ist in gleicher Form unmissverständlich zu formulieren wie die bereits erteilte Einwilligung. Gemäß DS-GVO gilt eine separate Regelung zum Schutz der Daten von Minderjährigen. Zur ordnungsgemäßen Datenerfassung Minderjähriger besteht die Pflicht, dass ein Erziehungsberechtigter die notwendige Einwilligung erteilt.

Tipp: Onlinehändler können zur Sicherheit ein adäquates System zur Altersverifikation installieren.

Der Onlinehändler sollte zur fristgemäßen Umsetzung der neuen Datenschutzvorschriften mit folgenden Maßnahmen unverzüglich beginnen:
Lassen Sie durch den Datenschutzbeauftragten und allen beteiligten Mitarbeitern die neuen Vorschriften der DS-GVO zu kommen und ein erforderliches Verarbeitungsverzeichnis ausarbeiten.

Prüfen Sie die Umsetzung der Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Aktualisieren Sie die betriebliche Datenschutzerklärung nach Vorgabe der DS-GVO. Checken Sie die Abläufe in Ihrem Onlineshop zur Datenerfassung und ob die neuen Vorschriften bereits umgesetzt werden. Wichtig ist die Überprüfung in der Thematik Widerruf und Einwilligung.

In Abhängigkeit zur Zielgruppe ist die Einführung einer Altersprüfung erforderlich. Stellen Sie sicher im Onlineprozess die gesetzeskonforme Einwilligung von Erziehungsberechtigten einzubauen. Prüfen Sie die Option fristgemäß in einem gängigen Format auf Anfrage das Verarbeitungsverzeichnis oder personenbezogene Daten an Betroffene oder eine Behörde übertragen zu können. Bewerten Sie den dargelegten Verarbeitungsprozess in der Datenschutzerklärung in Bezug auf personenbezogene Daten. Lassen Sie die Rechtsgrundlage ggf. juristisch prüfen.

Zusammengefasst
Onlineshop Betreiber haben noch ein paar Monate um die Voraussetzungen der neuen Datenschutzreform bis 25.05.2018 umzusetzen. Den genannten Richtlinien betreffend der Änderungen im Bereich der Datenverarbeitung und Verarbeitungstätigkeiten, ist dringend Folge zu leisten. In der Regel dient die Auftragsdatenverarbeitung zur Datenerfassung im Onlinehandel, hier ist zu überprüfen, dass die neuen Rechtsvorschriften der DSGVO umgesetzt werden oder ein System Update erforderlich ist. Noch ist Zeit die notwendigen Maßnahmen einzuleiten, um den neuen Vorschriften gerecht zu werden, wenn nicht drohen empfindliche Geldbußen und Abmahnungen.

[ratings id="1390"]