Fast drei Viertel der Befragten (72 Prozent) einer aktuellen Händlerbund-Studie haben entweder noch nie von der DSGVO gehört oder wissen nicht, was genau auf sie zukommt. Daher sind die verbleibenden neun Monate nicht zu unterschätzen und beispielsweise die neuen Dokumentationspflichten nicht auf die lange Bank zu schieben.
Unternehmen noch erschreckend schlecht vorbereitet
In weniger als einem Jahr wird die neue Datenschutzgrundverordnung (DSGVO) in allen europäischen Ländern zur Pflicht. Obwohl Begriffe wie Datenportabilität, Marktortprinzip oder One-Stop-Shop schon seit vielen Monaten durch die Internetwelt geistern: Wirkliche Aufklärung besteht bei den meisten Betroffenen noch nicht. Das beweist auch die aktuelle Händlerbund-Befragung.
Am 25. Mai 2016 ist die DSGVO in Kraft getreten und muss spätestens bis zum 25. Mai 2018 umgesetzt werden. Da es eine Vielzahl von Änderungen gibt, sollten Online-Händler diese nicht auf die lange Bank schieben und bestenfalls zeitnah mit der Umsetzung beginnen. Auseinanderzusetzen haben sich die Händler beispielsweise mit dem Verfahrensverzeichnis und der Folgenabschätzung.
Maßnahme 1: Dokumentationspflicht durch Verfahrensverzeichnis
Unternehmen arbeiten massenhaft mit persönlichen Daten. Im Online-Handel ist das vornehmlich die Kundendatei mit sensiblen Anschriftsdaten oder Zahlungsinformationen (z. B. Kreditkartendaten). Sind Angestellte im Unternehmen vorhanden, kommen auch deren persönliche Daten hinzu. Für Unternehmen besteht daher die Pflicht, ein Verfahrensverzeichnis zu führen, welche die Datenverarbeitungsprozesse im Unternehmen katalogisiert. Dieses Verfahrensverzeichnis enthält u. a. die folgenden Angaben:
- den Namen und die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten,
- die Zwecke der Datenverarbeitung,
- die Empfänger, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden.
Für das Verfahrensverzeichnis ist die Unternehmensleitung verantwortlich und es ist auch vom Auftragsverarbeiter – soweit vorhanden – zu führen. Die Pflicht zur Führung eines Verfahrensverzeichnises gilt nach der DSGVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Das dürfte auf die meisten Online-Händler zutreffen, es sei denn man heißt Zalando oder Otto.
Aber auch für jede Ausnahme gibt es natürlich eine Rückausnahme: Es gibt sehr wohl wieder eine Pflicht zur Führung eines Verfahrensverzeichnisses, wenn die Datenverarbeitung ein Risiko birgt, besondere Datenkategorien betroffen sind (z.B. bei Online-Apotheken die Gesundheitsdaten) und nicht nur "gelegentlich" stattfindet. Obwohl es bisher keine nähere Definition von "gelegentlich" gibt und kleinere und mittelständige Unternehmen vor einem erhähten bürokratischen Aufwand geschützt werden sollen, kann die Pflicht auf Händler zutreffen. Schon die Hinterlegung von Kundeninformationen in der shopeigenen Datenbank erfolgt regelmäßig automatisch und nicht nur gelegentlich. Außerdem werten viele Shops systematisch das Verhalten ihrer Webseitenbesucher aus.
Warum überhaupt ein Verzeichnis führen? Der Grund ergibt sich zum einen aus der gesetzlichen Pflicht. Die nationalen Behörden können zur Prüfung der Einhaltung des Datenschutzes Einsicht in das Verfahrensverzeichnis verlangen. Zum anderen haben Unternehmen Informations- und Auskunftspflichten auch gegenüber den Betroffenen, beispielsweise gegenüber den Kunden, mit deren Daten gearbeitet wird. Mit einem aufbereiteten Verfahrensverzeichnis können die Unternehmen den Anfragen leichter Herr werden.
Wird das Verfahrensverzeichnis nicht geführt oder ist lückenhaft, können dem Verantwortlichen Geldbußen von bis zu 10.000.000 Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden.
Maßnahme 2: Die Vorabkontrolle und die Folgenabschätzung
Status quo
Mit dem Fortschreiten der Technologisierung oder beim Wachtum des Unternehmens kommt es von Zeit zu Zeit zur Notwendigkeit, neue Datenverarbeitungsprozesse in das Unternehmen einzuführen. Hier wird einigen schon der Begriff der sog. Vorabkontrolle geläufig sein. Die sog. Vorabkontrolle ist derzeit im deutschen Recht vorhanden: „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle)“.
Eine Vorabkontrolle ist derzeit insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (z. B. Gesundheitsdaten) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten – einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens (z.B. Skill-Datenbanken).
Soweit also reguläre Datenverarbeitungsvorgänge eingeführt werden sollen, die den täglichen Kundenverkehr im Online-Shop betreffen, dürfte die Pflicht zur Vorabkontrolle nicht zutreffen. Die Berechtigung, Kundendaten (wie die Anschrift) automatisiert zu speichern und zu nutzen, ergibt sich aus dem Gesetz. Hierfür ist keine gesonderte Vorabkontrolle notwendig.
Neuerungen durch die DSGVO
Nach der DSGVO muss der Verantwortliche künftig nur dann vorab seine Verarbeitungsprozesse behördlich überprüfen lassen, wenn die sog. Folgenabschätzung („Data Protection Impact Assessment“) ergibt, dass ein hohes Risiko für die Daten besteht (z. B. Profiling) und keine anderweitigen Vorkehrungsmaßnahmen getroffen wurden. Mit der DSGVO ist daher zunächst eine Folgenabschätzung durchzuführen.
Die Folgenabschätzung
Birgt die Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen, muss der Verantwortliche bereits vor Einführung eines neuen Datenverarbeitungsprozesses eine Abschätzung der Folgen durchführen (sog. Folgenabschätzung). Dies ist insbesondere bei neuen Technologien der Fall, bei der der Umfang und der Eingriff in die Persönlichkeitsrechte noch nicht feststeht. Die DSGVO nennt bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen
- das Profiling,
- die Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten)
- der Einsatz neuer Technologien
- die umfangreiche öffentliche Videoüberwachung.
Die nationalen Aufsichtsbehörden werden hier noch nähere Konkretisierungen vornehmen und die Liste auf nationaler Ebene ergänzen.
Die Folgenabschätzung enthält u. a. Folgendes:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (z. B. Sicherheitsvorkehrungen).
Bei der Folgenabschätzung ist der behördliche oder betriebliche Datenschutzbeauftragte zu beteiligen. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte sogar die nationale Datenschutzaufsichtsbehörde vor der Verarbeitung konsultiert werden.
Wird die Folgenabschätzung nicht oder nicht richtig durchgeführt, können dem Verantwortlichen Geldbußen von bis zu 10.000.000 Euro oder von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes aus dem vergangenen Geschäftsjahr auferlegt werden.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.
Kommentar schreiben
Antworten
"Folgenabschätzu ng". betriebliche Datenschutzbeau ftragte". coole Fachbegriffe.
bin aus dem text jedoch nicht schlauer geworden.
muss man als ein Mann - Unternehmen im onlinehandel, der wohl aus diesem grund - da ein mann - keinen "datenschutzbau ftragen braucht und nur in Ruhe seine Waren verkaufen will, sich nicht die Bone für "Kundenprofile" interesiert, keine tracking/analys etools verwendet, keine "cookies" auswerten will und keine werbe-newslette r verschickt, ein "Verfahrensverz eichnis" Folgenabschätzu ng führen oder muss man nicht, und wenn ja - wie.
Ihre Antwort schreiben
Antworten
nach den Ausführungen ist für den konkreten Fall keine Vorabkontrolle/ keine Folgenabschätzu ng notwendig.
Für ein Verfahrensverze ichnis plädieren wir jedoch, da ein Überblick über alle verarbeiteten Daten im Unternehmen insbesondere für Ihre Auskunftspflich ten notwendig sein wird.
Viele Grüße!
Die Redaktion
Ihre Antwort schreiben