Ab dem 25. Mai gelten keine Ausreden mehr! Wer die neuen EU-weiten Datenschutzregeln nicht beachtet, dem drohen hohe Bußgelder und Abmahnungen durch Wettbewerber und Verbraucherschützer. Welche Auswirkungen hat die DSGVO auf den E-Commerce, was sollten Shop-Betreiber unbedingt beachten und wie können sie sich absichern? Ralph Günther von exali.de klärt hier im Gastbeitrag auf.

Die DSGVO gilt für jeden, der personenbezogene Daten in irgendeiner Weise verarbeitet. Daher natürlich auch für Shopbetreiber. Die wichtigsten Grundsätze sind:

Verbot mit Erlaubnisvorbehalt

Personenbezogene Daten dürfen (wie auch laut Bundesdatenschutzgesetz) nur unter dem sogenannten Erlaubnisvorbehalt verarbeitet werden. Das heißt im Klartext, Daten dürfen nicht erhoben, verarbeitet oder genutzt werden, außer der Betroffene willigt ausdrücklich ein.

Die Einwilligung muss so gegeben werden, dass der Verantwortliche diese nachweisen kann. Das heißt, Shop-Betreiber können beispielsweise beim Newsletter-Versand beim bewährten Double-Opt-In-Verfahren bleiben.

Außerdem verlangt die DSGVO, dass die Einwilligung in die Datenverarbeitung von anderen Inhalten deutlich abgehoben, leicht zugänglich und in klarer, einfacher Sprache verfasst wird. Kurz gesagt: Der Betroffene muss klar erkennen können, dass er gerade in die Nutzung seiner Daten einwilligt.

PRAXISTIPP

Was passiert mit „alten“ Einwilligungen?

 

Wer sich als Shop-Betreiber fragt, ob er nun alle Einwilligungen seiner Kunden neu einholen muss, der kann aufatmen: Die bisher erteilten Einwilligungen bestehen weiter, wenn sie nach den bisher geltenden Bestimmungen (Bundesdatenschutzgesetz) korrekt erteilt wurden.

 

Kopplungsverbot

Mit der DSGVO kommt das sogenannte Kopplungsverbot. Das heißt, wenn ein Unternehmen einen Dienst anbietet, darf es vom Kunden keine Daten verlangen, die für die Erbringung des Dienstes gar nicht notwendig wären und die Erbringung des Dienstes von der Einwilligung abhängig machen. Beispielsweise dürften Shop-Betreiber kein Gewinnspiel anbieten und die Teilnahme an die Zustimmung zur Datenverarbeitung zu Werbezwecken (zum Beispiel einen Newsletter-Versand) koppeln.

Rechenschaftspflicht

Laut DSGVO haben alle Datenverantwortlichen eine Rechenschaftspflicht. Das heißt, sie müssen auf Anfrage nachweisen können, dass sie alle Datenschutzanforderungen einhalten. Deshalb sollten sie ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten anlegen, in dem jede Datenverarbeitung genau dokumentiert wird.

Recht auf Vergessenwerden

Jeder Betroffene hat das Recht, dass seine Daten wieder gelöscht werden – beispielsweise, wenn die Speicherung der Daten nicht mehr notwendig ist oder der Betroffene seine Einwilligung widerruft.

 

Recht auf Datenübertragbarkeit

Betroffene haben das Recht, dass ihre Daten ohne Verzögerung an andere Stellen übermittelt werden. Deshalb müssen Unternehmen die technischen Voraussetzungen schaffen, damit Datensätze portabel sind.

ePrivacy 2019: Cookie & Co – diese Änderungen soll es geben

Mit der DSGVO sollte auch die ePrivacy-Verordnung umgesetzt werden, die den Datenschutz im Rahmen elektronischer Kommunikation regeln soll. Nachdem jedoch über die verschiedenen Entwürfe heiß debattiert wird, wird die ePrivacy-Verordnung wohl erst 2019 kommen. Momentan sieht es jedoch danach aus, als hätte der strengste Entwurf die besten Chancen, am Ende verabschiedet zu werden. Grund genug für Shop-Betreiber, hier früh genug Maßnahmen zu treffen. Hier sind die wichtigsten Neuerungen aus dem aktuell wahrscheinlichsten Entwurf:

Cookies

Bisher lautet die Regel: Cookies sind erlaubt, solange der Nutzer nicht widerspricht. Wenn die ePrivacy-Verordnung in der jetzigen Form kommt, heißt es: Der Nutzer muss jedem Cookie einzeln und nachweisbar zustimmen!

Browsereinstellung

Bei der Browsereinstellung soll die datenschutzfreundlichste Voreinstellung Pflicht werden. Dazu gehört auch, dass Unser zentral in ihrem Browser einstellen können, ob sie Cookies generell ablehnen wollen.

E-Mail-Werbung

Werbemails dürfen wie bisher nur nach vorheriger ausdrücklicher Einwilligung des Empfängers verschickt werden.

Adblocker

Eine explizite Regelung zu Adblockern gibt es im Entwurf nicht. Es soll Nutzern aber frei stehen, Adblocker auf ihren Geräten zu installieren. Gute Nachricht für Seitenbetreiber: Sie sollen ohne Einwilligung des Nutzers prüfen dürfen, ob dieser Werbeblocker installiert hat und ihn entsprechend auffordern können, für die Nutzung ihrer Inhalte den Werbeblocker auszuschalten.

Shop-Betreiber: Datenschutzerklärung anpassen

Falls noch nicht geschehen, sollten Shop-Betreiber dringend ihre Datenschutzerklärungen entsprechend der DSGVO anpassen. Es kann dabei sicherlich nicht schaden, sich von einem Experten unterstützen zu lassen. Ansonsten drohen Abmahnungen und Schadenersatzforderungen bis hin zu hohen Bußgeldern. Ohne Anspruch auf Vollständigkeit sind das einige der wichtigsten Informationen, die in eine Datenschutzerklärung müssen:

  • Name und Kontaktdaten des Händlers (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax)
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung und die Rechtsgrundlage (Einwilligung des Betroffenen oder gesetzliche Regelung)
  • Falls die Verarbeitung aufgrund eines berechtigten Interesses erfolgt, muss dieses Interesse beschrieben werden
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, falls Daten weitergegeben werden
  • gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • die Dauer, für die die personenbezogenen Daten gespeichert werden
  • Hinweis auf alle Rechte, die der Betroffene hat: Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrecht sowie Recht auf Datenübertragbarkeit
  • wenn die Verarbeitung aufgrund einer Einwilligung erfolgt: Hinweis auf das Recht, die Einwilligung jederzeit widerrufen zu können (Widerrufsrecht)
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Hinweis, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen sowie welche Folgen es hat, wenn die Daten nicht bereitgestellt werden
  • soweit beabsichtigt ist, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben wurden, so müssen dem Betroffenen dazu alle Informationen zur Verfügung gestellt werden.

DSGVO: So können sich Shop-Betreiber schützen

Am besten schützen sich Shopbetreiber natürlich vor Bußgeldern und Abmahnungen, indem sie alle Anforderungen der DSGVO korrekt umsetzen und sich dazu rechtliche Unterstützung holen. Denn es ist fast unmöglich, sich ohne anwaltliche Hilfe durch die neuen Datenschutzbestimmungen zu wühlen und die richtigen Schlüsse für die Umsetzung im eigenen Shop zu ziehen.

Ab dem 25. Mai 2018 drohen bei Verstößen gegen die DSGVO hohe Bußgelder (bis zu 20 Millionen bzw. 4 Prozent des weltweiten Jahresumsatzes). Gegen diese Bußgelder können sich Datenverantwortliche logischerweise nicht absichern. Anders bei Abmahnungen durch Wettbewerber oder Verbraucherzentralen. Es ist zu befürchten, dass auf diesen Zug viele aufspringen werden und es wie in der Vergangenheit zu Abmahnwellen kommen wird. Wenn eine solche Abmahnung wegen eines Datenschutzverstoßes ins Haus flattert, hilft eine gute Berufshaftpflichtversicherung – wie eine spezielle Webshop-Versicherung – weiter. Sie prüft zunächst auf eigene Kosten, ob die Ansprüche gerechtfertigt sind und übernimmt im Falle einer berechtigten Schadenersatzforderung deren Zahlung.