Vier Jahre das Ringen um ein einheitliches europäisches Datenschutzrecht gedauert. Am 25. Mai 2016 ist es endlich in Kraft getreten. Doch besonders kleine und mittelständische Unternehmen haben mit den neuen Regelungen noch nichts am Hut, ist des mächtige Regelkonstrukt kaum zu durchschauen. Unsere neue Themenreihe zur Datenschutzgrundverordnung (DSGVO) soll Licht ins Dunkel bringen und Händler bei der Umsetzung bis 2018 unterstützen.
(Bildquelle Internet-Security: Lichtmeister via Shutterstock)
Was passiert mit meinen Daten, wie kann ich mich vom Newsletter abmelden, welche Cookies verwendet die Webseite und welche Daten werden hierfür von mir gespeichert? Dass hierüber belehrt werden muss, überrascht keinen Online-Händler. Bereits das jetzt geltende Datenschutzrecht in Deutschland schreibt die Grundsätze hierfür fest. Selbst auf der kleinsten Webpräsenz befindet sich daher eine Schaltfläche, die mit „Privatsphäre und Datenschutz“ o. ä. Formulierungen betitelt ist und die Webseitenbesucher mehr oder weniger ausführlich über die Datenerhebung und -nutzung informiert.
Information, Überinformation und Verschweigen von kleinen, aber brisanten Details! Ein schmaler Grat, der besonders im Datenschutz schwimmend ist. Dass Datenschutzerklärungen ihren Zweck überhaupt nicht erfüllen, sie sogar völlig verfehlen, hat bereits die Stiftung Warentest bemängelt. Eins steht fest: Weniger Informationspflichten werden es durch die neue Datenschutzgrundverordnung nicht…
Die DSGVO widmet den erweiterten und erheblich modernisierten Rechten der Betroffenen sogar ein eigenes Kapitel (Kapitel III der DSGVO). Dort werden auch die neuen Informationspflichten festgeschrieben, derer sich der zweite Teil unserer Themenreihe annimmt.
Zunächst zur Begriffsbestimmung: „betroffene Person“ im Sinne der DSGVO ist dabei eine identifizierte oder identifizierbare natürliche Person. Als identifizierbar wird eine natürliche Person angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen […] identifiziert werden kann“.
Die Artikel 13 bis 14 der DSGVO sehen einen umfangreichen Katalog von Informationspflichten vor. Zu den diesen Informationspflichten gehören:
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
Zusätzlich stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person außerdem Folgendes mit:
Zusätzlich zu den vorgenannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist spätestens zum Zeitpunkt der ersten Mitteilung zu belehren.
Die grundsätzlichen Anforderungen an die erteilten Informationen werden durch das Transparenzgebot bestimmt, d. h. die betroffenen Personen müssen klar darüber informiert werden, welche Rechte ihnen zustehen und wie diese ausgeübt werden können. Der Verantwortliche hat der betroffenen Person alle Informationen und alle Mitteilungen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Diese genaue Regelung ist eine Neuerung im Vergleich zum bisher geltenden deutschen Datenschutzrecht.
Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
Sogar eine Datenschutzerklärung in Piktogrammen ist nach dem ausdrücklichen Wortlaut der DSGVO denkbar. Die Informationen, die den betroffenen Personen bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Wie das wohl in der Praxis aussehen soll…?
Die vorgenannten Informationspflichten sind einzuhalten. Verstoßen Online-Händler gegen die Informationspflichten, kann gegen sie ein Bußgeld in Höhe von bis zu 20.000 Euro bzw. maximal 4 Prozent des Jahresumsatzes verhängt werden.
Die Erteilung der neuen Informationspflichten ist für Online-Händler ohne Hilfe schlicht und ergreifend nicht möglich. Die vorgenannte Reihe der Informationspflichten ist schier unüberschaubar. Bis 2018 sollten sich Händler daher einen fachkundigen Beistand suchen, der ihnen bei der Umsetzung hilft.
Händlerbund-Mitglieder werden vorher entsprechend über ihre geänderten Rechtstexte informiert.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.