28.03.2018

Drastische Bußgelder, ein 130 Seiten umfassender Praxis-Leitfaden des Bundesverbands Digitale Wirtschaft und Gerüchte, dass die neue EU-Datenschutz-Grundverordnung den bisher geltende Datenschutz völlig auf den Kopf stellen wird. – Diese Aussichten sorgen derzeit für Panik unter den Shop-Betreibern. Ab 25. Mai 2018 treten die neuen Regelungen bereits in Kraft…

EU Datenschutz-Grundverordnung

Doch Sie dürfen beruhigt durchatmen: Die neuen Regelungen sind weniger kompliziert oder revolutionär als angekündigt. Sie verfeinern lediglich den bestehenden Datenschutz und vereinheitlichen die Regelungen innerhalb der EU. Wir zeigen Ihnen in diesem Artikel, welche Änderungen wirklich auf Sie zu kommen und welche Rechte Ihre Kunden (weiterhin) haben.

Bitte beachten Sie, dass Sie für die Umsetzung der Verordnung selbst verantwortlich sind. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Welches Ziel verfolgt die neue Datenschutz-Verordnung?

Datenschutz ist nicht unbedingt die Lieblingsbeschäftigung von Online-Händlern, aber Ignorieren kann keine ernsthafte Option sein. Die EU-Datenschutz-Grundverordnung kommt auf jeden Fall. Zudem haben die Regelungen durchaus ihre Berechtigung. Sie sorgen für:

  • eine europaweite Modernisierung des Datenschutzes
  • ein einheitliches und verbindliches Recht in ganz Europa
  • den Schutz personenbezogener Daten vor Missbrauch

Die Verordnung ist notwendig, weil personenbezogenen Daten inzwischen in großen Mengen über Ländergrenzen hinweg verarbeitet und verbreitet werden. Ohne einheitliche Regelungen würde der Wettbewerb innerhalb Europas verzerrt werden und der Datenschutz bliebe weiterhin sehr undurchsichtig.

Wo gilt die neue EU-Datenschutz-Grundverordnung?

Die neue Verordnung gilt für alle Unternehmen der europäischen Union. Sie gilt auch dann,

  • wenn Daten auf Servern außerhalb der EU verarbeitet werden.
  • wenn das Unternehmen außerhalb der EU sitzt, aber Daten von EU-Bürgern verarbeitet.

# 1: Diese Daten dürfen Shopbetreiber nutzen

Um es kurz zu machen: Sie dürfen im Grunde alle Daten weiterhin speichern und nutzen, die Sie auch vor der neuen Verordnung gespeichert und genutzt haben. Es gilt lediglich, die nötigen Bedingungen hierfür einzuhalten.

Grundsätzlich gilt: Daten, an denen Sie ein berechtigtes Interesse haben und die unbedingt erforderlich sind, dürfen Sie in der Regel auch nutzen. Wichtig ist, dass diese personenbezogenen Daten tatsächlich erforderlich sind (z. B. für die Erfüllung von Verträgen) – Welche Daten als tatsächlich notwendig eingestuft werden können für die Anbahnung, Durchführung und Beendigung von Verträgen, ist zum jetzigen Zeitpunkt noch nicht konkret herausgearbeitet.

Diese Daten dürfen Sie nicht verarbeiten:

  • Daten zur rassischen oder ethnischen Herkunft
  • Daten zur sexuellen Orientierung
  • Daten zu politischen Meinungen
  • Daten zu religiösen oder weltanschaulichen Überzeugungen
  • Gewerkschaftszugehörigkeiten
  • Genetische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben
  • Biometrische Daten (z. B. Fingerabdruck, Stimmerkennung)

Solche Daten können nur in Ausnahmefälle verarbeitet werden. Es gilt für den Einzelfall abzuwägen, ob Erforderlichkeit der Nutzung der Daten den Datenschutz überwiegen. Zu beachten sind dabei in jedem Fall die unter #2 aufgeführten Rechte der Käufer.

Welche Erwartungen haben die Kunden?

Ob Daten erhoben werden dürfen oder nicht, hängt auch von den Erwartungen des Kunden ab. Handelt es sich um durchgehend bekannte, etablierte und transparente Techniken? Kunden können z. B. damit rechnen, dass:

  • eine Analyse via Google Analytics durchgeführt wird
  • eine Messung über IVW erfolgt

Wichtig ist dabei, dass die Daten in den allermeisten Fällen pseudonymisiert werden und damit die Identifizierung des Kunden erschwert wird. Die Nachteile für die Kunden sind dadurch sehr gering.

Besonderheit: Kinder müssen mehr geschützt werden

Kinder müssen gesondert geschützt werden. Daten von Kindern dürfen Sie nur mit elterlicher Zustimmung erheben. Nun stellt sich die Frage: Wie lässt sich ohne Login feststellen, ob sich ein Kind auf einer Webseite aufhält? In der Regel gar nicht. Hier gilt: Gehen Sie von naheliegenden Annahmen aus. Auf Kinderwebseiten müssen Sie z. B. in jedem Fall davon ausgehen, dass die Nutzer minderjährig sind.

# 2: Die Rechte Ihrer Kunden werden gestärkt

Mit der neuen Verordnung sollen vor allem die Rechte der Internetnutzer gestärkt werden. Diese Rechte sind:

  • Transparenz
  • Informationspflicht
  • Auskunftsrecht
  • Löschungsrecht
  • Widerspruchsrecht

Zudem gibt es einige Beschränkungen, die zu berücksichtigen sind. Im Folgenden erfahren Sie, wie Sie die Rechte Ihrer (potentiellen) Kunden wahren können.

Rechte der Kunden Datenschutz

Recht auf Transparenz: Welche Daten werden genutzt?

Sie müssen in Ihrem Onlineshop Maßnahmen treffen, um Ihren Kunden Informationen über die Nutzung Ihrer Daten zugänglich zu machen. Die Informationen müssen dabei

  • präzise,
  • transparent,
  • verständlich und
  • leicht zugänglich sein.

Recht auf Informationspflicht: Teilen Sie Ihren Kunden die Erhebung der Daten mit

Wenn Sie personenbezogene Daten erheben, müssen Sie Ihre Kunden darüber informieren. Folgende Informationen sind relevant:

  • Name und Kontaktdaten des Händlers
  • Zweck, für den die Daten benötigt werden & weitere Zwecke, für die diese Daten zukünftig genutzt werden
  • die Rechtsgrundlage der Verarbeitung
  • Dauer der Datenspeicherung oder die Kriterien für die Festlegung der Dauer
  • Hinweis auf das Auskunftsrecht, Löschungsrecht, Widerspruchsrecht
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Hinweis darüber, ob Datenspeicherung gesetzlich oder vertraglich vorgeschrieben ist oder für einen Vertragsabschluss erforderlich ist
  • Hinweis darüber, ob eine Pflicht zur Daten-Bereitstellung besteht und welche Folgen eine Nicht-Bereitstellung haben kann
  • Informationen über automatische Entscheidungsfindungen (einschließlich Profiling)

Darüber hinaus können noch diese Informationen erforderlich sein:

  • Nennung der berechtigten Interessen
  • Kontaktdaten des Datenschutz-Beauftragten
  • Empfängern der personenbezogenen Daten
  • Absicht, die Daten an ein Drittland/eine internationale Organisation zu übermitteln

Auskunftsrecht: Sie müssen die Nachfragen Ihrer Kunden beantworten

Ihre Kunden können jederzeit bei Ihnen nachfragen, ob Sie personenbezogene Daten von ihnen gespeichert haben. Ihre Kunden haben das Recht zu erfahren:

  • Wieso die Daten gespeichert werden
  • Wer Zugriff auf die Daten hat oder hatte, auch darüber, wer sie zukünftig nutzen wird.
  • Wie lange die Daten gespeichert werden oder nach welchen Kriterien die Dauer festgelegt wird
  • Woher die Daten stammen

Recht auf Löschung: Kunden können eine Löschung Ihrer Daten verlangen

Wenn ein Kunde das Löschen seiner Daten verlangt, sollten Sie die Aufforderung ernst nehmen. Sie sind beispielsweise zur Löschung verpflichtet, wenn einer dieser Gründe zutrifft:

  • Sie brauchen die Daten nicht mehr, denn der Zweck ist bereits erfüllt.
  • Der Nutzer zieht seine Einwilligung zur Datenverarbeitung zurück.
  • Sie haben die Daten zu Unrecht verarbeitet.

Widerspruchsrecht: Die Datennutzung soll nicht mehr erfolgen

Wenn Sie Daten beispielsweise nutzen, um Direktwerbung zu verbreiten, können Ihre Kunden der Datennutzung jederzeit widersprechen. Die Daten dürfen dann nicht mehr für diesen Zweck verwendet werden.

# 3: Shopbetreiber sind selbst für den Datenschutz verantwortlich

Für Shopbetreiber ändert sich in Ihrer Verantwortlichkeit für den Datenschutz soweit nichts. Nach wie vor tragen sie die Verantwortung dafür, dass Daten korrekt erhoben, gespeichert und weitergegeben werden und dass die unter #2 aufgeführten Rechte eingehalten werden.

Sie müssen sowohl technisch als auch organisatorisch sicherstellen, dass Sie die notwendigen Maßnahmen zum Datenschutz erfüllen können.

# 4: Welche Haftungen drohen bei Verstößen gegen die Verordnung?

Es ist wichtig, die Rechte Ihrer Kunden genau zu kennen und von vornherein den Datenschutz korrekt darauf auszurichten. Sollte ein Verstoß gegen die EU-Datenschutzgrundverordnung vorliegen, können Ihre Kunden Schadensersatz von Ihnen verlangen.

Die Höhe von Bußgeldern kann bis zu 10 000 000 € betragen oder 2 % des weltweit erzielten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Wie hoch Strafen tatsächlich ausfallen, richtet sich aber u. a. auch nach der Vorsätzlichkeit oder nach früheren Verstößen und sie werden bei kleinen Verstößen nicht so hoch sein. Trotzdem gilt: Unwissenheit schützt vor Strafe nicht. Falls Sie den Datenschutz in Ihrem Shop bislang stiefmütterlich behandelt haben, ist jetzt der Zeitpunkt gekommen, sich gründlich mit dem Thema auseinander zu setzen.

Fazit: Rechtsunsicherheiten bleiben vorerst bestehen

Wenn Sie die Rechte Ihrer Kunden ernst nehmen und sensibel dafür bleiben, welche Daten Sie in Ihrem Shop erheben, speichern, nutzen und weitergeben, dann sind Sie sehr wahrscheinlich auch auf der (rechts-)sicheren Seite.

Im Moment sind noch viele Details der EU-Datenschutz-Grundverordnung unklar. Bis eine gefestigte Rechtsprechung entstanden ist, wird es auch nach dem 25. Mai 2018 noch einige Zeit dauern. Es bleibt zunächst offen und abzuwarten, wie Gerichte die Verordnung gewichten werden: eher zu Gunsten der Nutzer oder eher zu Gunsten der Wirtschaft.

 

Bitte beachten Sie: Wir übernehmen keine Gewähr für die Richtigkeit oder Vollständigkeit der bereitgestellten Informationen dieses Artikels. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.