Die EU-Datenschutzgrundverordnung ist da – Welche Änderungen kommen auf Online-Händler zu?

Am 14. April 2016 ist die EU-Datenschutzgrundverordnung (EU-DSGVO) vom EU-Parlament beschlossen worden. Damit fand ein fast vierjähriger Gesetzgebungsprozess seinen Abschluss. Am 25. Mai 2016 tritt die EU-DSGVO in Kraft. Durch eine zweijährige Übergangsfrist muss sie zwar erst ab dem 25. Mai 2018 angewendet werden, aber Online-Händler sollten sich schon jetzt an die Umsetzung machen.

(Bildquelle Datenschutz: Africa Studio via Shutterstock)

Mit der EU-DSGVO ergeben sich viele positive Vorteile für Online-Händler. Als wichtigstes ist hier wohl die Harmonisierung des Datenschutzes innerhalb der Europäischen Union hervorzuheben: Bisher hatten alle 28 Mitgliedsstaaten der EU eigene Datenschutzgesetze erlassen, so dass ein ungleiches Datenschutzniveau innerhalb der EU herrschte. Mit der EU-DSGVO gilt nun ein einheitliches Datenschutzrecht in der gesamten EU.

Die Grundverordnung gilt in allen Mitgliedsstaaten unmittelbar ohne weitere Umsetzung. Dadurch wird ein einheitlicher Rechtsrahmen geschaffen. Ebenso wird die Arbeit der Datenschutz-Aufsichtsbehörden harmonisiert. Damit wird wohl die unterschiedliche Beurteilung und Anwendung von Datenschutzgesetzen durch die Landesdatenschutzbehörden ein Ende finden. Neu ist, dass auch außereuropäische Unternehmen der Datenschutzgrundverordnung unterliegen, sobald sie eine Niederlassung in der EU besitzen oder Daten von Unionsbürgern verarbeiten.

Von besonderer Bedeutung für Online-Händler mit internationaler Ausrichtung dürfte das sogenannte „One Stop Shop Prinzip“ sein. Dies besagt, dass Bürger ihre Beschwerden immer an die Datenschutzbehörde ihres Mitgliedsstaates richten können, ganz gleich wo der Verstoß passiert ist. Gleiches gilt für Unternehmen: Auch diese müssen nur noch mit der für sie zuständigen Datenschutzbehörde zusammenarbeiten, also mit der des Mitgliedsstaates in dem sich ihr Hauptsitz befindet.

Bewährtes bleibt erhalten – Neues kommt dazu

Viele aus dem deutschen Datenschutzrecht bekannte Prinzipien blieben mit der EU-DSGVO erhalten. Viele Grundsätze beim Umgang mit Daten, die uns bisher begleitet haben, müssen damit auch weiter eingehalten werden. So stehen nach wie vor alle Datenverarbeitungsvorgänge unter einem Verbot mit Erlaubnisvorbehalt. Das heißt, für jede Datenverarbeitung ist eine Ermächtigungsgrundlage notwendig, welche den konkreten Verarbeitungsvorgang erlaubt.

Ebenso bleibt es beim Prinzip der Zweckbindung, wonach Daten grundsätzlich nur für den Zweck verarbeitet werden dürfen, für den Sie erhoben wurden. Auch das Prinzip der Datensparsamkeit bleibt erhalten. Es dürfen also weiterhin Daten nur in dem Umfang erhoben werden, in dem sie tatsächlich benötigt werden.

Es kommen aber auch neue Prinzipien dazu, die Online-Händler bei der Verarbeitung personenbezogener Daten beachten müssen.

Am prominentesten ist dabei wohl das sogenannte „Recht auf Vergessen“. Die EU-DSGVO stellt klare Regelungen auf, wann sich Bürger auf dieses Recht berufen können und wie Unternehmer dieses dann umzusetzen haben. Generell werden Unternehmer persönliche Daten löschen müssen, wenn der betroffene Verbraucher dies wünscht und für eine weitere Speicherung keine berechtigten Gründe vorliegen.

Interessant ist auch das Recht auf Datenportabilität. Bürgern soll es dadurch möglich sein, einfacher auf ihre Daten zuzugreifen und diese auf andere Dienstleister übertragen zu können. Im Blick sind dabei vor allem soziale Netzwerke, es können aber durchaus auch andere Dienstleistungsunternehmen betroffen sein. Wie die praktische Umsetzung zu erfolgen hat und welcher Anpassungsbedarf dadurch auf Unternehmer zukommt, ist noch nicht absehbar.

Was müssen Online-Händler beachten?

Obwohl vieles bestehen bleibt, kommen doch auch Änderungen auf die Online-Händler zu, die nicht auf die leichte Schulter genommen werden sollen.

Nicht nur für den Versand von Newslettern ist die Einwilligung zur Verwendung der persönlichen Daten von zentraler Bedeutung. Die Voraussetzungen dafür werden in Art. 7 der EU-DSGVO neu geregelt.

Wie gehabt, kann eine Einwilligung nur freiwillig vom Nutzer bzw. Verbraucher erteilt werden. Darüber hinaus konkretisiert die EU-DSGVO in den Erwägungsgründen, dass die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen soll. Dies kann etwa durch Abhaken eines Auswahlkästchens geschehen. Stillschweigen, bereits angewählte Kästchen oder Untätigkeit des Betroffenen stellen dagegen keine Einwilligung dar.

Zukünftig darf die Einwilligung nicht vom Abschluss eines Vertrages abhängig gemacht werden, sofern die Verarbeitung der personenbezogenen Daten für die Erfüllung des Vertrages nicht erforderlich sind. Hier wird erst die Auslegung der Grundverordnung zeigen, welche Auswirkungen das auf Werbeaktionen, wie etwa Gewinnspiele hat, bei der eine Teilnahme nur mit Einwilligung in eine Datenverarbeitung möglich ist.

Bereits eingeholte Einwilligungen bleiben auch nach dem 25. Mai 2018 wirksam, sofern Sie den Anforderungen der Datenschutzgrundverordnung genügen.

Hier sollten Online-Händler frühzeitig prüfen, ob das für die ihnen erteilten Einwilligungen der Fall ist.

Änderungen in der Datenschutzerklärung

Die größten Änderungen werden auf die Online-Händler bei der Datenschutzerklärung zukommen. Hier besteht ein wesentlicher Anpassungsbedarf. Die transparente Information über Datenverarbeitungsvorgänge muss auch schon jetzt erfolgen. Die Datenschutzgrundverordnung erhöht jedoch die Anforderungen an die Informationserteilung. So sind nach Art. 12 der EU-DSGVO die Informationen zukünftig „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Welche Auswirkungen das in der Praxis hat, lässt sich noch nicht abschätzen. Es ist anzunehmen, dass die Datenschutzerklärungen wohl länger und ausführlicher als bisher werden. Vor allem ist noch zu klären wie das Spannungsfeld zwischen einer möglichst präzisen und umfassenden Information, mit oftmals detaillierten technischen Erläuterungen, und einer verständlichen, einfachen Sprache aufgelöst werden kann. Hier ist ein großes Augenmerk auf sorgfältige Formulierungen zu legen. Eine versierte, professionelle Beratung ist dabei unabdingbar.

Weitere Änderungen ergeben sich im Bereich der Auftragsdatenverarbeitung. Die Subunternehmer des Auftragsnehmers müssen künftig benannt werden und der Auftraggeber muss seine schriftliche Zustimmung zu diesen erteilen. Weiter gefasst werden auch die Auskunftsansprüche, die Betroffene gegenüber dem Auftraggeber als Verantwortlichen geltend machen können.

Online-Händler sollten daher frühzeitig ihre Verträge zur Auftragsdatenverarbeitung, bspw. mit Rechenzentren oder E-Mail-Dienstleistern, kontrollieren und gegebenenfalls Anpassungen vornehmen.

Es bleibt auch weiter abzuwarten, wie sich die Rechtmäßigkeit von Bonitätsprüfungen entwickelt. Derzeit wird intensiv diskutiert, auf welcher Rechtsgrundlage diese zukünftig weiter möglich sind oder ob hierfür stets eine Einwilligung der Betroffenen erforderlich ist. Dies hat wesentlichen Einfluss darauf, welche Zahlarten im Online-Shop angeboten werden können und ob es zu einer Reduzierung der Zahlungsmöglichkeiten kommt.

Schließlich wird es wesentliche Änderungen im Bereich der Tracking-, Analyse und Remarketing-Tools geben. Bisher war nach § 15 Abs. 3 TMG die Erstellung von pseudonymisierten Benutzerprofilen möglich. Eine solche Privilegierung enthält die Datenschutzgrundverordnung nicht mehr. Das bedeutet, in Zukunft wird für die Verwendung dieser Tools wohl die ausdrückliche Einwilligung der Nutzer erforderlich sein.

Fazit

Auch wenn der 25. Mai 2018 noch in einiger Entfernung liegt, sollten Shop-Betreiber schon jetzt beginnen sich mit dem Thema und den anstehenden Änderungen auseinanderzusetzen. Die zweijährige Übergangszeit bietet eine gute Gelegenheit sich mit den Datenschutzvorgängen im eigenen Unternehmen zu befassen und diese an die neuen Gegebenheiten anzupassen.

Für Online-Händler ist dabei insbesondere zu beachten:

• Prüfen Sie, welche Einwilligungen Sie in Ihrem Shop einholen und ob diese den neuen Anforderungen genügen.
• Überprüfen Sie Ihre Verträge zu Auftragsdatenverarbeitung und nehmen Sie gegebenenfalls Anpassungen vor.
• Behalten Sie im Auge, wie die neuen Vorgaben für die Datenschutzerklärung umzusetzen sind.
• Verfolgen Sie die aktuellen Entwicklungen bezüglich der korrekten Verwendung von Tracking- und Remarketing-Tools.

Den Volltext der Grundverordnung finden Sie hier.

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.