5 Last-Minute-Schritte für die DSGVO – Was Onlinehändler jetzt tun müssen

Jetzt wird es Ernst: ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) europaweit verbindlich geltendes Recht. Shopbetreiber müssen künftig strengere Regeln einhalten, um personenbezogene Daten zu schützen, sonst drohen hohe Sanktionen.

Für denjenigen, der sich nicht an die neuen Vorschriften hält, können zukünftig je nach Verstoß bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 % des Umsatzes verhängt werden. Shopbetreiber, die bisher das Thema Datenschutz eher nachlässig behandelt haben, sollten daher jetzt tätig werden.

Welche neuen Anforderungen sich aus der DSGVO ergeben und welche Maßnahmen Onlinehändler jetzt unbedingt ergreifen sollten, erklärt unser Partner Protected Shops in diesem Beitrag.

1.) Verzeichnis für Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) erstellen

Zunächst sollten sich Onlinehändler einen Überblick verschaffen, welche Daten sie überhaupt im Betrieb verarbeiten, denn alle Verfahren, bei denen personenbezogene Daten verarbeitet werden, müssen in einem Verarbeitungsverzeichnis dokumentiert werden.

Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Onlinehändler bisher auch führen mussten.

Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. In dem Verarbeitungsverzeichnis muss u.a. auch der Zweck der Verarbeitung der personenbezogenen Daten genannt werden sowie die Rechtsgrundlage aufgrund der die Verarbeitung erfolgt.

2.) DSGVO-konforme Einwilligungen einholen

Wer personenbezogene Daten erheben, verarbeiten oder nutzen möchte, braucht dafür eine Rechtsgrundlage. Entweder muss ein Gesetz die Verarbeitung im gegebenen Fall ausdrücklich
erlauben bzw. sogar vorschreiben oder vor Beginn der Datenverarbeitung ist eine Einwilligung der betroffenen Person notwendig.

Diese Vorgaben gelten weiterhin. Einige Anforderungen an eine rechtskonforme Einwilligung nach der DSGVO haben sich aber geändert.

Auf Anfrage besteht eine Nachweispflicht für Onlinehändler, in welcher Form die Einwilligung erfolgt ist. Dazu ist es sinnvoll die Einwilligungen zu dokumentieren.

Die Einwilligung hat freiwillig und eindeutig (z.B. durch das Setzen eines Häkchens) und informiert zu erfolgen, d.h. der Nutzer muss wissen worin er einwilligt. Außerdem auf die jederzeitige Widerrufsmöglichkeit der Einwilligung hingewiesen werden.

Onlinehändler sollten prüfen, ob die bisherigen Einwilligungen, die sie eingeholt haben, den neuen Anforderungen entsprechen. Falls nicht, wenn also der der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden.

Bei Einwilligungen von Minderjährigen ist darauf zu achten, dass die Zustimmung des gesetzlichen Vertreters vorliegt, sonst sind diese nicht gültig.

3.) Datenschutzerklärung anpassen

Für jeden Onlineshop-Betreiber besteht die Pflicht, auf seiner Webseite einen Datenschutzhinweis zu integrieren. Ab Mai 2018 werden sich die rechtlichen Anforderungen aufgrund der DSGVO verschärfen.

Künftig muss in der Datenschutzerklärung auch darüber informiert werden, wer Empfänger der Daten ist. Falls diese an Dritte weitergeleitet werden, muss darüber auch informiert werden.

Eine genaue Auflistung der umfangreichen Pflichtinformationen ist in Art. 13 DSGVO enthalten. Alte Datenschutzerklärungen werden den Anforderungen der DSGVO nicht gerecht und bedürfen einer Anpassung.

Webshop-Betreiber sind angehalten, ihre Datenschutzerklärung den neuen Klauseln anzupassen.

4.) Rechte der Betroffenen

Die Rechte der von der Datenverarbeitung betroffenen Personen (z.B. Besucher einer Webseite, Kunden, Mitarbeiter) wurden erheblich ausgeweitet.

Onlinehändler müssen sich darauf einstellen, dass Betroffene künftig an sie herantreten können, um zu erfahren, zu welchem Zweck die Daten erhoben werden (z.B. zur personalisierten Werbung), welche Datenkategorien (z.B. Kundendaten) betroffen sind und wie lange die voraussichtliche Speicherdauer beträgt.

Dieses Recht auf Auskunft ist neben weiteren Rechten zum Schutz der Betroffenen wie das Recht auf Löschung oder das Recht auf Datenübertragbarkeit eines der wichtigsten neuen Rechte, das Nutzer künftig gegenüber Händlern geltend machen können, die Daten von ihnen erheben.

Über das Bestehen sämtlicher Betroffenenrechte müssen Online-Händler auch informieren, am Besten in der Datenschutzerklärung.

5.) Pflicht zur Meldung von Datenpannen

Jeder Verstoß gegen das Datenschutzrecht, der die Rechte und Freiheiten einer Person beeinträchtigen könnte, muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichts-
behörde gemeldet werden.

Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Unter Umständen sind auch die Personen zu informieren, deren Daten durch die Datenpanne kompromittiert wurden.

Für Onlinehändler bedeutet das erheblich mehr Aufwand. Da die Datenpanne dokumentiert und gemeldet werden muss, sollte im Betrieb sichergestellt werden, dass die kurze Frist auch eingehalten werden kann.

Fazit

Vor allem für Onlinehändler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, besteht jetzt Handlungsbedarf. Sie sollten sich bis zum 25. Mai 2018 mit den Änderungen durch die DSGVO vertraut gemacht haben und ihren Shop auf die Anforderungen vorbereiten, um keine Abmahnungen oder aufsichtsbehördliche Sanktionen zu riskieren.

Mit Gambio ganz einfach noch heute den eigenen Onlineshop erstellen

Mehr erfahren