DSGVO eCommerce – Was Onlinehändler und Shopbesitzer wissen sollten über das neue Datenschutzgesetz

DSGVO: Was müssen Unternehmen jetzt beachten?

Am 25. Mai 2018 tratt die Datenschutz-Grundverordnung in Kraft. Die EU-Verordnung schützt die personenbezogenen Daten von Menschen, die als Kunde oder Interessent mit einem Unternehmen oder einer öffentlichen Einrichtung in Kontakt treten. Bei Unternehmen ist die Unsicherheit angesichts des komplexen Rechtsgebildes für den strukturierten Datenschutz groß. Fällt mein Betrieb überhaupt in den Rechtsbereich der DSGVO? Was tut ein Datenschutzbeauftragter für eine DSGVO Firma? Welche Sanktionen drohen DSGVO Unternehmen bei Nichtbeachtung der Verordnung? Wie kann ein DSGVO Unternehmen die Umsetzung rechtskonform und abmahnsicher gestalten? Alle diese Fragen beantwortet der folgende Ratgeber in einem kompakten Überblick.

Der Geltungsbereich im Fokus
Wann ist Onlinehandel ein DSGVO Shop? Welche Unternehmen brauchen Datenschutz in der vorgeschrieben Weise und welche nicht?Hat die DSGVO eCommerce im Fokus oder auch andere Bereiche? Die Fragen

beantwortet der Blick in den Geltungsbereich der Datenschutz-Grundverordnung. Hier steht, dass im Unternehmen mindestens zehn Leute mit der Verarbeitung von personenbezogenen Daten beschäftigt sein müssen, damit zum Beispiel eine Firma eine DSGVO Firma ist.
Ob die Verarbeitung der Daten digital oder manuell erfolgt, spielt in diesem Zusammenhang jedoch keine Rolle. Und personenbezogene Daten sind nicht nur der Name und die Adresse eines Kunden und Interessenten. Auch die Telefonnummer und sogar die IP-Adresse eines verwendeten Rechners fallen unter diesen Terminus. Daraus wird klar: es gibt nicht nur den klassischen DSGVO Shop oder die DSGVO Website, die die Umsetzung der Bestimmungen aus der EU-Verordnung ab sofort zwingend notwendig macht. Auch ein Arztpraxis mit mehr als zehn Mitarbeitern fällt unter das Datenschutz-Gesetz, wenn diese Mitarbeiter die Daten der Patienten verarbeiten. Und wenn Gastronomie und Hotellerie bei Buchungen die Kundendaten erfassen (wozu sie rechtlich verpflichtet sind), fällt auch dies in den neuen Datenschutz-Bereich.

Die Grundsätze der DSGVO auf einen Blick
Die Datenschutz-Grundverordnung kommt mit einer Vielzahl an Regelungen daher. Sie alle basieren jedoch auf Grundsätzen, die in Artikel 5.1 geregelt sind. Personenbezogene Daten sind nach Treu und Glauben so zu ergeben, zu speichern und zu verarbeiten, dass Rechtmäßigkeit jederzeit gewährleistet ist. Dazu gehört die Einwilligung der Betroffenen, die in diesem Zusammenhang auch jederzeit das Recht auf Widerruf ohne Angabe von Gründen. Neben der Transparenz für Betroffene ist auch die Zweckbindung wichtig. Das heißt, Sie dürfen Daten von Kunden oder Interessenten nur für den jeweils vorgesehenen Verwendung nutzen. Ein Beispiel: Wenn sich ein Kunde via Kontaktformular auf Ihrer rechtskonformen DSGVO Website über ein Produkt informiert, dürfen Sie noch lange nicht einen Newsletter zusenden. Auch die Weitergabe an Dritte ist selbstverständlich nicht gestattet.
Weiterhin ist Datenminimierung für eine DSGVO Homepage erforderlich. Das bedeutet, dass Sie nicht mehr Daten erheben dürfen, als es für den bestimmten Zweck notwendig ist. Wenn ein Interessent nur eine Information benötigt, sind Bankdaten oder Telefonnummer (wenn eine Mailantwort erwünscht ist) für Sie nicht relevant. Auch die Richtigkeit der Datenerfassung steht im Fokus der Datenschützer, die die EU-Verordnung aufwendig konzipiert haben. Wenn ein Kunde einen Datenfehler entdeckt hat, müssen Sie diesen umgehend berichtigen. Auch die Datenlöschung ist ein wichtiges Recht, dass die DSGVO-Regelungen einräumen. Allerdings müssen Sie dies nicht so radikal tun, wie es in den Medien oft proklamiert ist. Wenn Sie Arzt oder Handwerker sind, brauchen Sie gewisse Daten für Haftung und Gewährleistung. Es gibt Fristen, in denen eine Datenlöschung erfolgen muss. Neben dieser Speicherbegrenzung gehört auch die Integrität zu den Grundsätzen. Verlustvermeidung und Vertraulichkeit der Datenverarbeitung spielen hier eine entscheidende Rolle.
Datenschutzbeauftragter: ja oder nein?

Für viele Unternehmen stellt sich die zentrale Frage, ob ein Datenschutzbeauftragter laut Datenschutz-Grundverordnung bestellt werden muss. Dies ist nicht pauschal zu beantworten. Rechtssicherheit gibt oft erst die Beratung durch den fachkundigen Anwalt für Datenschutz. Regelungen wie “ab zehn Mitarbeiter, die mit der Datenverarbeitung beschäftigt sind”, sind vom Laien noch beurteilbar. Anders sieht es aus, wenn Termini wie “umfangreich” in Bezug auf die Datenbehandlung gemacht werden. Diese pauschalen Floskeln sorgen zu Recht für Unsicherheit unter möglicherweise betroffenen Unternehmen.
Datenschutzbeauftragte sind Spezialisten, die Inhaber und Entscheider in einem Unternehmen professionell zu den Datenschutzrichtlinien beraten und diese auch kompetent umsetzen können. Sie haben die Wahl, ob Sie diese Position intern oder extern besetzen möchten. Ein interner Datenschutzfachmann kann Sie gezielter beraten, einen externen Spezialisten bezahlen Sie unter Umständen nur für Leistungen, die aktuell anfallen. Der Datenschutzbeauftragte kann sich auch bei Behörden informieren oder Spezialisierungen im Hinblick auf den Bedarf von Vereinen oder Freiberuflern annehmen. Sie profitieren von einem Fachmann, der Ihnen ein hohes Maß an Rechtssicherheit gibt, wenn es um die DSGVO-Umsetzung geht. Der Datenschutzbeauftragte ist in den Datenschutzbestimmungen einer DSGVO-Website anzugeben.
Checkliste für den individuellen Bedarf
Datenschutzbeauftragte können bedarfsgerecht die DSGVO-Regelungen in Ihrem Unternehmen umsetzen. Benötigen Sie laut Gesetz diese Position nicht, finden Sie im Internet Hilfe. Dort entdecken Sie umfangreiche Checklisten, die Ihnen dabei helfen werden, die EU-Verordnung richtig zu realisieren. Auch Dokumente, Links und Downloads zu diesem Thema sind im weltweiten Web zu finden.
Die Einwilligung im Zentrum der DSGVO-Verordnung
Die Einwilligung der betroffenen Personen ist ein entscheidendes Kriterium für die DSGVO-Umsetzung. Eine einmal erfolgte Einwilligung reicht jedoch nicht aus, um die Kriterien der EU-Verordnung in vollem Umfang zu erfüllen. Zunächst einmal müssen Sie diese Einwilligung nachweisen können. Daher die Flut der augenblicklichen Mitteilungen von Kontakten, die ein Kunde oder Interessenten mit DSGVO-eCommerce oder anderen Unternehmen jemals hatte. Die Einwilligungen müssen bestätigt werden und Kunden haben das Widerrufsrecht zur Datenerhebung, -verarbeitung und -speicherung, auf das sie ebenfalls hingewiesen werden müssen. Ein Beispiel: Bislang haben Sie einen Kunden per SMS benachrichtigt, um ihm mitzuteilen, dass die bestellte Ware bei Ihnen im Haus eingetroffen ist und zur Abholung bereitliegt? Für diese SMS müssen Sie nun den Kunden mittels Formblatt noch einmal um dessen Einwilligung bitten!
Datenübertragbarkeit im Fokus
Die Informationspflicht, die Sie im Zusammenhang mit der DSGVO-konformen Erhebung von Kundendaten haben, besagt, dass Sie dem Kunden jederzeit mitteilen müssen, welche Daten von ihm in Ihrem Unternehmen

gespeichert sind. Die Datenübertragbarkeit ist in diesem Zusammenhang ein wichtiges Stichwort. Im Idealfall präsentieren Sie dem Kunden ein PDF oder anderes gängiges Format, auf dem er seine Daten einfach ersehen kann und das für den Datenexport und -import auf unkomplizierte Weise geeignet ist.
Verzeichnis von Verarbeitungstätigkeiten im Blick
Die Informationspflicht, die sich für Sie aus den DSGVO-Regelungen ergibt, bezieht sich nicht nur auf das klassische Auskunftsrecht des Kunden im Hinblick auf gespeicherte Daten. Auch ein Verzeichnis von Verarbeitungstätigkeiten ist zu erstellen, wenn Sie beispielsweise ein rechtskonformes DSGVO eCommerce führen wollen. Die Beschreibung der Kategorien betroffener Personen ist ebenso anzugeben, wie Kategorien von Empfängern relevanter Daten oder Löschfristen für spezielle Datenkategorien. Der Datenschutzbeauftragte wird Sie im Hinblick auf die rechtssichere Erstellung dieses Verzeichnisses umfassend beraten können. Die gute Nachricht für alle, die eine DSGVO Homepage oder Unternehmen betreiben: Solche Verzeichnisse sind erst nötig, wenn Sie mehr als 250 Mitarbeiter beschäftigen.
Sanktionen im Auge behalten
Wenn Sie als DSGVO Firma meinen, Sanktionen bei Verstößen gegen die DSGVO-Regelung würden in der Anfangsphase nach dem Inkrafttreten am 25. Mai 2018 erst sanft anlaufen, könnte dies ein schwerer Fehler sein, der Sie teuer zu stehen kommt. Denn die DSGVO-Regelungen beinhalten mit Artikel 84.1 einen Passus, der wirksame und abschreckende Sanktionen vorsieht. Die Sanktionen selbst sind den Mitgliedsstaaten der Europäischen Union überlassen. Es ist jedoch davon auszugehen, dass sich ein ganzes Heer von Abmahnanwälten auf die DSGVO-Umsetzung beziehungsweise Sanktionen bei Nichtbeachtung spezialisieren wird und Ihrer Konkurrenz im Wettbewerb zu Diensten sein könnte. Daher ist die Realisierung von Anfang an rechtskonform zu planen und umzusetzen. Sollten Sie als zukünftiger DSGVO-Shop also noch nicht in den Startlöchern sein, ist es nun höchsten Zeit für einen Beginn. Der erste Schritt könnte sein, dass Sie sich einen erfahrenen Datenschutzbeauftragten oder einen Fachanwalt für Datenschutzangelegenheiten an die Seite holen, um in vollem Umfang von der unverzichtbaren Rechtssicherheit zu profitieren.

Fazit: DSGVO Website oder Shop auf eine solide Basis stellen

Die Zeit drängt. Am 25. Mai 2018 starten die DSGVO-Regelungen in der EU. Die Gültigkeit in den Mitgliedsstaaten ist ab diesem Zeitpunkt in vollem Umfang vorhanden. Wenn Sie nun noch nicht gerüstet für die EU-Verordnung sind, hilft Ihnen die folgende Checkliste, vor Toresschluss die erforderlichen Regelungen noch umzusetzen. Die wichtigsten Schritte sind hier chronologisch aufgeführt:
1. Prüfung, ob Sie ein DSGVO Shop sind!
2. Pürfung, ob Sie einen Datenschutzbeauftragten benötigen und Benennung einer kompetenten Person
3. Einwilligung Betroffener zu Datenerhebung, -speicherung und -verarbeitung einholen und sie auf das bestehende Widerrufsrecht aufmerksam machen
4.Datenübertragbarkeit sichern
5. Verarbeitungsverzeichnis anlegen
Bei Fragen sind Fachanwälte für Datenschutzrecht oder externe Datenschutzbeauftragte die richtigen Ansprechpartner.

Auf Aktualisierungen der DGSVO achten

In der Phase vor der Gesetzesänderung ist es immer wieder zu kleinen Änderungen gekommen. Es ist daher auch nicht auszuschließen, dass auch nach Gültigkeit des Gesetzes weitere Anpassungen ergeben, deren Bedarf sich aus der praktischen Erprobung der DSGVO-Regelungen in den Unternehmen ergeben hat. Daher ist auf Aktualisierungen immer zu achten. Auch hier lohnt sich die Bestellung eines Datenschutzbeauftragen. Selbst dann, wenn Sie unter zehn Personen beschäftigen, die für die Datenverarbeitung zuständig ist. Aber mit dem Datenschutzbeauftragten haben Sie immer Know-how im Unternehmen, zum Beispiel dann, wenn es um Gesetzesänderungen oder die Gestaltung der DSGVO Homepage Ihres Unternehmens geht. Dazu kommt, dass Sie sich ganz auf Ihre Kernkompetenzen im Business konzentrieren können, wenn die Umsetzungen der DSGVO-Regelungen durch eine erfahrene Fachkraft für Sie realisiert werden wird. Sie haben das gute Gewissen der Rechtssicherheit und die Beruhigung, dass Sie nicht mit Sanktionen rechnen müssen, weil Ihr DSGVO eCommerce in irgendeiner Weise gegen die Grundsätze der neuen EU-Verordnung verstößt.