Viele Jahre zäher Diskussionen und Lobbyarbeit hat die Datenschutzgrundverordnung hinter sich. Nun soll es endlich ein einheitliches europäisches Datenschutzrecht geben. Viele kleine und mittelständische Unternehmen können mit den neuen abstrakten Regelungen jedoch nicht viel anfangen. Eine Vorbereitung auf die ab 2018 gültige Datenschutzgrundverordnung ist damit für die meisten nur schwer möglich. Welche Auskunftspflichten auf Händler zukommen, soll Teil 3 klären.
(Bildquelle Datenschutz: Maksim Kabakou via Shutterstock)
Schutz personenbezogener Daten als europäisches Grundrecht
Ohne die Erhebung und Speicherung von personenbezogenen Daten funktioniert der Online-Handel schlicht und ergreifend nicht. Warum? Natürlich müssen Kunden, um eine Bestellung aufgeben zu können auch persönliche Daten eingeben (z.B. Name, Anschrift, E-Mail-Adresse). Im Online-Handel wird jedoch auch eine Vielzahl von weiteren Daten erhoben. So werten Tracking- und Analyse-Tools massenhaft Daten aus, die einer bestimmten Person zuordenbar sind und damit einen „Personenbezug“ aufweisen. Genau um diese Daten geht es dem Datenschutz, denn der Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten ist ein europäisches Grundrecht.
Jede betroffene Person muss daher ein Anrecht darauf haben, zu wissen und zu erfahren, zu welchen Zwecken diese persönlichen Daten (weiter)verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann (so die Begründung der Datenschutzgrundverordnung).
Neben den in Teil 2 erläuterten Informationspflichten haben Betroffene daher auch Auskunftsrechte, die durch die Datenschutzgrundverordnung festgelegt bzw. erweitert wurden. Jeder Person muss ein Auskunftsrecht besitzen, welches problemlos wahrgenommen werden kann. Das ist nichts Neues. Auch nach den bisher gültigen deutschen Datenschutzvorschriften haben Betroffene ein Recht auf Auskunft über die von ihnen gespeicherten personenbezogenen Daten (§§ 33 bis 35 Bundesdatenschutzgesetz, kurz: BDSG).
Das schon jetzt vorhandene gültige deutsche Auskunftsrecht umfasst beispielsweise auch die Information über den Zweck der Speicherung, die Herkunft dieser Daten oder den Empfänger der Daten, an die die Daten weitergegeben werden. Im neuen maßgeblichen Artikel 15 der DSGVO wird das Auskunftsrecht für Betroffene erweitert. Neu ist dabei, dass beispielsweise auch eine Auskunftspflicht über die Dauer der Speicherung besteht.
Umfang der Auskunftsrechte
Betroffene Personen haben ein Recht auf Auskunft gegenüber Online-Händlern über die von ihnen verarbeiteten personenbezogenen Daten. Was bedeutet das? Kunden eines Online-Shops können beispielsweise Auskunft verlangen, welche personenbezogenen Daten von ihnen gespeichert und verwendet werden (z.B. Name, Anschrift, E-Mail-Adresse). Sie können Auskunft über folgende Informationen verlangen:
-
den Zweck der Datenverarbeitung;
-
die Kategorien personenbezogener Daten, die verarbeitet werden (z.B. rassische oder ethnische Herkunft, politische Meinungen);
-
die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
-
NEU: die geplante Speicherdauer oder die Kriterien für die Festlegung dieser Dauer;
-
NEU: das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Datenverarbeitung;
-
NEU: das Bestehen eines Widerspruchsrechts gegen die Datenverarbeitung;
-
NEU: das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
-
die Herkunft der Daten, wenn sie nicht bei der betroffenen Person erhoben werden;
-
NEU: das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (d.h. über die involvierte Logik, die Tragweite und die Auswirkungen).
-
NEU: Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien unterrichtet zu werden.
Gebühren und Fristen der Auskunftserteilung
Die gewünschten Auskünfte werden unentgeltlich zur Verfügung gestellt. Für die Frist zur Beantwortung lässt die DSGVO nicht viel Raum. Der Verantwortliche stellt die unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. In diesem Fall sind die Fristverlängerung und die Gründe hierfür mitzuteilen.
Ausnahmen von der Auskunftserteilung
Jeder Online-Händler, der schon einmal mit solchen Auskunftsverlangen zu tun hatte, wird wissen wie unverhofft die Aufforderungen kommen können. Meist ist der Laie völlig überfordert, ob und welche Daten überhaupt herauszugeben sind. Auch wenn etwa das Geschäftsgeheimnis nicht angetastet werden darf - Auskünfte dürfen nicht gänzlich verweigert werden.
Zumindest bei offenkundig unbegründeten oder häufig wiederholten exzessiven Anträgen kann entweder ein angemessenes Entgelt verlangt oder die Auskunft verweigert werden. Bleibt der Händler untätig, ist der „Antragsteller“ über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, zu informieren. Diese Information ist daher vergleichbar mit der unter behördlichen Bescheiden verwendeten Rechtsbehelfsbelehrung.
Durch Auslegung der DSGVO sollen weitere Ausnahmen bestehen, beispielsweise wenn die Erteilung der Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.
Kommentar schreiben