Jeder, der im Bereich E-Commerce tätig ist, hat es sicherlich schon gehört: Die neue DSGVO bringt einige Änderungen für die Arbeit mit personenbezogenen Daten mit sich. Zum Zeitpunkt der Ankündigung haben sich wahrscheinlich nur wenige Shop-Betreiber sofort mit den Änderungen beschäftigt, es gab ja die zweijährige Umstellungsfrist. Doch nun läuft die Frist am 25.05.2018 ab und danach drohen hohe Bußgelder im Fall von Verstößen. Diese Bußgelder belaufen sich zudem auf bis auf vier Prozent des Jahresumsatzes!
Sie haben sich noch nicht ausreichend mit den Neuerungen der DSGVO beschäftigt? In diesem Artikel erklären wir Ihnen die wichtigsten Aspekte, damit Sie bis zum Ende der Umstellungsfrist noch die notwendigen Anpassungen an Ihren Prozessen vornehmen können.
Wen betrifft die neue DSGVO?
Von der neuen Datenschutz-Grundverordnung sind alle Unternehmen betroffen, die mit personenbezogenen Daten arbeiten. Da es sich bei personenbezogenen Daten z. B. um Namen, Adresse, Geburtsdatum oder Kontonummer handelt, sind automatisch alle Firmen im Onlinehandel betroffen. Ausgeschlossen sind von der DSGVO laut Kap. 1, Art. 2 nur “natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” sowie Behörden.
Was hat sich geändert?
Die neue DSGVO stärkt die Rechte der von der Datenverarbeitung betroffenen Personen, im Onlinehandel also die der Kunden. Insbesondere das Recht auf Auskunft ist nun umfassender als vorher. Ihre Kunden können eine Kopie der vorliegenden Daten in elektronischer Form verlangen. Auch weitere Informationen wie z. B. Datenherkunft, Art der Datenverarbeitung, Dauer der Speicherung und Weitergabe, müssen auf Verlangen herausgegeben werden. Aber auch das Recht auf Löschung der Daten, trotz vorheriger Einwilligung besteht. Zudem kann die betroffene Person fordern, dass die Daten an einen anderen Online-Shop übertragen werden, um beispielsweise den Anbieterwechsel zu erleichtern.
Neu ist auch die komplexere Variante der Meldepflicht bei Datenpannen. Bekannt gewordene Datenschutzverstöße müssen innerhalb von 72 Stunden an die zuständige Behörde gemeldet werden. Dabei muss auch eine Dokumentation mitgeliefert werden, dazu gehören z. B. Information zur Art der Datenpanne, die Beschreibung möglicher Folgen, Kontaktdaten des Datenschutzbeauftragten und Informationen über ergriffene Maßnahmen.
Dieser erhöhte Aufwand führt dazu, dass es einen dedizierten Prozess für den Fall einer Datenpanne geben muss, damit die 72 Stunden Frist eingehalten werden kann.
Das bisher zu führende Verfahrensverzeichnis der internen Prozesse zur Verarbeitung personenbezogener Daten wurde in das “Verzeichnis von Verarbeitungstätigkeiten” umbenannt und ist weiterhin von jedem Online-Shop zu führen.
Auch bei den Einwilligungen, z. B. für den Versand von Newslettern, hat sich einiges geändert. Der Kunde muss genau informiert werden, worin er einwilligt und auf die Widerrufsmöglichkeit hingewiesen werden. Die Einwilligung selbst muss eindeutig beabsichtigt sein, z. B. durch Auswählen der Option im Einkaufsprozess (nicht durch ein schon vorher gesetztes Häkchen). Zudem ist die Einwilligung zu dokumentieren.
Selbst bereits eingeholte Einwilligungen bleiben nur wirksam, wenn sie der neuen Rechtsgrundlage angepasst werden. Der Widerruf muss genauso wie die Einwilligung möglichst einfach erfolgen können.
Neu ist auch die Altersgrenze von mindestens 16 Jahren bei Einwilligungen, vorher müssen die Eltern anstatt des Jugendlichen einwilligen. Die EU-Mitgliedsstaaten dürfen diese Altersgrenze auch senken, jedoch nicht unter 13 Jahre (siehe Art. 8 DSGVO). Folge dieser Einschränkung ist, dass nun jede Firma im E-Commerce Bereich geeignete Altersverifikationssysteme für Einwilligungen einführen muss.
Weiterhin ist in der DSGVO vorgegeben, dass Online-Händler auf ihrer Webseite eine Datenschutzerklärung veröffentlichen müssen. Dabei sind die Vorgaben wie diese Erklärung gestaltet sein muss deutlich umfangreicher geworden. Gerne unterstützen Sie unsere Experten der osko it bei der Erstellung einer rechtssicheren Datenschutzerklärung.
Checkliste zur neuen DSGVO
Hier noch einmal die wichtigsten Maßnahmen, die Sie bis zum Ende der Umstellungsfrist durchführen sollten:
1) Datenschutzerklärung kontrollieren und ggf. anpassen auf neue Regelungen
2) Widerrufserklärung auf Einfachheit und Transparenz hin überprüfen
3) Einwilligungserklärungen (z. B. für den Versand von Newslettern) sind auf Wirksamkeit und Transparenz zu prüfen, zudem sind Altersverifikationssysteme im Einwilligungsprozess zu verwenden
4) Prozess für Datenpannen auf Aktualität und Nutzbarkeit kontrollieren, sicherstellen, dass die 72 Stunden Frist eingehalten werden kann
5) Verarbeitungsverzeichnis auf Vollständigkeit überprüfen
6) Prozesse darauf anpassen, dass die Informationspflichten erfüllt werden können (Auskunft, Berichtigung, Löschung)
Noch Fragen?
Sie haben weitere Fragen zu den Änderungen oder der DSGVO im Allgemeinen? Selbstverständlich stehen wir von der osko it Ihnen gerne mit Rat und Tat zur Seite. Sprechen Sie uns einfach per E-Mail oder Telefon an – wir beantworten Ihnen unverbindlich Ihre wichtigsten Fragen zum Thema. Natürlich bieten wir Ihnen bei Bedarf auch eine umfassende Analyse und Beratung zu notwendigen Änderungen an.
Nach oben
