Fit für die DSGVO - Welche Umsetzungen Onlinehändler jetzt unbedingt vornehmen sollten

Die Datenschutz-Grundverordnung (DSGVO) ist im Mai 2018 in Kraft getreten. Was allerdings nicht bedeutet, dass alle diesbezüglichen Fragen aus der Welt geschafft wären. Letzte Woche konnten wir das auf dem Shopify Meetup in München noch einmal beobachten: Vielen Händlerinnen und Händlern war noch immer nicht ganz klar, welche Auswirkungen die DSGVO für sie hat.

So kam es, dass der anwesende Shopify Partner Protected Shops eine ganze Reihe an Fragen zur DSGVO beantwortete. Für unseren Blog hat Volljuristin Bernadette Mohme den Vortrag “Fit für die DSGVO in 5 Schritten: Welche Umsetzungen Händler jetzt vornehmen müssen” und die wichtigsten Antworten auf die Fragen der Anwesenden noch einmal zu einem Gastbeitrag zusammengefasst:

WEITERE INFORMATIONEN ZUR DSGVO findest du in unserem Artikel "DSGVO: Was du (und dein Shop) über das neue Datenschutzgesetz wissen müsst. (Der Artikel wird übrigens laufend aktualisiert.)

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) europaweit verbindlich geltendes Recht. Shop-Betreiber müssen seitdem strengere Regeln einhalten, um personenbezogene Daten zu schützen, sonst drohen hohe Sanktionen. Für denjenigen, der sich nicht an die neuen Vorschriften hält, können zukünftig je nach Verstoß Bußgelder bis zu 10 Millionen Euro EUR bzw. 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes verhängt werden. Shop-Betreiber, die trotz des Inkrafttretens der DSGVO vor knapp zwei Wochen das Thema Datenschutz immer noch eher nachlässig behandeln, sollten daher unbedingt sofort tätig werden.

Welche neuen Anforderungen sich aus der DSGVO ergeben und welche Maßnahmen Online-Händler jetzt unbedingt ergreifen sollten, erfährst du in diesem Beitrag.

Lesetipp: Du willst den vollen Überblick? Wie du deinen Shopify-Store rechtssicher machst, erfährst du in diesem Beitrag (inkl. kostenlosem Webinar und Whitepaper!

1. Verzeichnis für Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) erstellen

Zunächst sollten sich Online-Händler einen Überblick verschaffen, welche Daten sie überhaupt im Betrieb verarbeiten, denn alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, müssen in einem Verarbeitungsverzeichnis dokumentiert werden. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. In dem Verarbeitungsverzeichnis muss u.a. auch der Zweck der Verarbeitung der personenbezogenen Daten genannt werden sowie die Rechtsgrundlage, aufgrund der die Verarbeitung erfolgt.

Lesetipp: Damit auch du künftig mit Instagram Geld verdienen kannst, haben wir hier für dich alles Wichtige zusammengefasst.

2. DSGVO-konforme Einwilligungen einholen

Wer personenbezogene Daten erheben, verarbeiten oder nutzen möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich erlauben bzw. sogar vorschreiben oder vor Beginn der Datenverarbeitung ist eine Einwilligung der betroffenen Person notwendig. Diese Vorgaben gelten weiterhin. Einige Anforderungen an eine rechtskonforme Einwilligung nach der DSGVO haben sich aber geändert.

Auf Anfrage besteht eine Nachweispflicht für Online-Händler, in welcher Form die Einwilligung erfolgt ist. Dazu ist es sinnvoll die Einwilligungen zu dokumentieren. Die Einwilligung hat freiwillig und eindeutig (z.B. durch das Setzen eines Häkchens) und informiert zu erfolgen, d.h. der Nutzer muss wissen, worin er einwilligt. Außerdem muss auf die jederzeitige Widerrufsmöglichkeit der Einwilligung hingewiesen werden. Online-Händler sollten prüfen, ob die bisherigen Einwilligungen, die sie eingeholt haben, den neuen Anforderungen entsprechen. Falls nicht, wenn also der der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden.

Bei Einwilligungen von Minderjährigen ist darauf zu achten, dass die Zustimmung des gesetzlichen Vertreters vorliegt, sonst sind diese nicht gültig.

DSGVO-Übersicht im Shopify Help Center.

3. Datenschutzerklärung anpassen

Jeder Onlineshop-Betreiber hat eine Datenschutzerklärung bereitzustellen. Seit Mai 2018 haben sich die rechtlichen Anforderungen aufgrund der DSGVO verschärft. Künftig muss in der Datenschutzerklärung auch darüber informiert werden, wer Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Das gilt ebenfalls für die geplante Speicherdauer. Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten.

Webshop-Betreiber sind angehalten, ihre Datenschutzerklärung den neuen Klauseln anzupassen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen.

Merke: Passe deine Datenschutzerklärung auf für deine Social-Media-Kanäle an, wenn du z.B. mit Instagram Geld verdienen willst.

4. Neue Betroffenenrechte

Die Rechte der von der Datenverarbeitung betroffenen Personen (z.B. Besucher einer Webseite, Kunden, Mitarbeiter) wurden erheblich ausgeweitet. Online-Händler müssen sich darauf einstellen, dass Betroffene künftig an sie herantreten können, um zu erfahren, zu welchem Zweck die Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt. Dieses Recht auf Auskunft ist neben weiteren Rechten zum Schutz der Betroffenen wie das Recht auf Löschung oder das Recht auf Datenübertragbarkeit eines der wichtigsten neuen Rechte, das Nutzer künftig gegenüber Händlern geltend machen können, die Daten von ihnen erheben. Über das Bestehen sämtlicher Betroffenenrechte müssen Online-Händler auch informieren, am Besten in der Datenschutzerklärung.

5. Pflicht zur Meldung von Datenpannen

Jeder Verstoß gegen das Datenschutzrecht, der die Rechte und Freiheiten einer Person beeinträchtigen könnte, muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden. Für Online-Händler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.

Fazit

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, besteht unbedingter Handlungsbedarf.

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, besteht unbedingter Handlungsbedarf. Du solltest dich auch nach dem 25. Mai 2018 noch mit den Änderungen durch die DSGVO vertraut machen und deinen Shop auf die Anforderungen der DSGVO vorbereiten, um keine Abmahnungen oder aufsichtsbehördliche Sanktionen zu riskieren.

IN EINEM WEITEREN GASTBEITRAG beantwortet Volljurist Ivan Bremers weitere Fragen zur DSGVO (unter anderem speziellere Fragen zu Cookies, Tracking Tools und Newsletter-Anmeldungen).

Aufmacherfoto von Burst - Shopifys Bild-Agentur - wo du kostenlose Fotos für dein Web-Projekt finden kannst.