Die neue Datenschutzgrundverordnung (DS-GVO) – Pflicht für Unternehmen, insbesondere Online Shop Betreiber
Am 26. Mai 2018 wird die neue Datenschutzgrundverordnung (DS-GVO) in Kraft treten. Wir möchten sie darüber in Kenntnis setzen was sich ab dann für Sie ändert. Wir empfehlen diese Verordnung ernst zu nehmen, da bei Nichtbeachtung hohe Geldbußen (bis zu 4% des Jahresumsatzes) drohen. Weiterhin können Verbände Abmahnungen aussprechen. Auch kein Zuckerschlecken.
Was ändert sich bei der Datenerfassung?
Ab diesem Datum müssen Sie ein Verarbeitungsverzeichnis führen. In diesem werden Ihre internen Prozesse bei der Verarbeitung personenbezogener Daten erfasst und dokumentiert. Was damit erreicht werden soll, ist der lückenlose Nachweis Ihrer Datenverarbeitungsprozesse. Dieses Verarbeitungsverzeichnis muss bis 25. Mai 2018 erstellt sein. Die Datenschutzbehörden können übrigens jederzeit einen Einblick in dieses Verzeichnis fordern. Verantwortlich ist der Inhaber bzw. Geschäftsführer des jeweiligen Unternehmens. Kann eine Verarbeitungsverzeichnis nicht vorgelegt werden, drohen ebenfalls wieder hohe Bußgelder. Sollten Sie in Ihrem Haus einen Datenschutzbeauftragten haben, können Sie die Pflichten auf diese Person übertragen.
Was passiert bei einer Datenpanne?
Online Shop Betreiber sind verpflichtet jegliche Verstöße gegen den Datenschutz innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde mitzuteilen. Hier muss insbesondere die genaue Bezeichnung der Verletzung, also z.B. ein Diebstahl der Daten durch einen Hackerangriff oder unbeabsichtigtes Veröffentlichen von Kundendaten, angegeben werden. Weiterhin müssen mögliche Folgen aufgezeigt werden und der Ansprechpartner (Datenschutzbeauftragter / Geschäftsführer) mitgeteilt werden. Idealerweise können Sie auch schon mitteilen, was an Gegenmaßnahmen bisher in die Wege geleitet wurde.
Neuregelung der Datenschutzerklärung
In der DS-GVO werden auch die neuen Anforderungen der Datenschutzerklärung neu geregelt. Hier muss ein Online Shop Betreiber die Rechtsgrundlage für die Verarbeitung personenbezogener Daten darlegen und entsprechend in der Datenschutzerklärung vermerken. Natürlich müssen in der DSE die Kontaktdaten des Betreibers genannt werden. Sollten Sie einen Datenschutzbeauftragten im Unternehmen haben, muss dieser mit Anschrift und E-Mail genannt werden.
Welche neuen Informationspflichten gibt es?
Die Rechte der Nutzer wollen durch die Informationspflichten geschützt werden. Hierzu müssen Sie diese auf ihre Rechte, wie z.B. Auskünfte, Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung Ihrer personenbezogenen Daten hinweisen. Weiterhin hat der Kunde ein Beschwerderecht bei der Datenschutzaufsichtsbehörde. Auch darüber müssen Sie ihn informieren.
Ein neuer Passus: Datenportabilität
Diese Geschichte könnte etwas komplizierter werden. Ab 26. Mai 2018 können Ihre Kunden sie auffordern, ihre gespeicherten Daten an einen anderen Onlineshop zu übertragen. Hierzu ist ein gängiges Format als Vorlage für eine solche Übertragung zu verwenden. Dies wird sicherlich kein übliches Verlangen von Kunden sein aber man sollte dennoch auf eine solche Möglichkeit hinweisen.
Sind vorhandene Einwilligungen ab jetzt datenschutzkonform?
Wenn sich Kunden z.B. für einen Newsletter angemeldet haben, können Datenschutzbehörden von Ihnen verlangen diese Einwilligung nachzuweisen und wie diese erfolgt ist. Generell gilt, jegliche Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten Ihrer Kunden muss nachvollziehbar aufgeführt werden. Weiterhin muss nachgewiesen werden, für was genau der Kunde seine Einwilligung gegeben hat, es muss also der konkrete Fall genannt werden. Hierbei ist wichtig: Sollten Ihre Kunden in der Vergangenheit z.B. einem Newsletter zugestimmt haben, sind diese Einwilligungen ab 26. Mai 2018 nur dann gültig, wenn diese bereits der neuen Verordnung entsprechen. Ansonsten dürfen Sie bereits heute eine neue Einwilligung einholen. Natürlich haben Ihre Kunden jederzeit das Recht Ihre Einwilligungen zu widerrufen. Über diesen Widerruf müssen sie ebenfalls informiert werden. Knackpunkt hier: Der Widerruf muss genauso einfach erfolgen wie die Einwilligung.
Und auch an Minderjährige wurde gedacht. Die DS-GVO sagt hier klar, dass nur ein Erziehungsberechtigter diese Einwilligung für einen Minderjährigen geben kann. Hier kann man eigentlich nur mit einem Altersverifikationssystem arbeiten. Solche Systeme können problemlos kostenpflichtig im Shop integriert werden.
Zusammenfassung
Seien Sie gewappnet. Sie sollten sich bis zum Inkrafttreten der neuen Datenschutzverordnung mit dem Thema intensiv beschäftigen. Dies betrifft insbesondere das korrekte Führen eines Verarbeitungsverzeichnisses. Weiterhin sollten Sie Ihre Datenschutzerklärung bis zum 26. Mai 2018 angepasst haben. Und seien Sie darauf vorbereitet, dass Sie möglicherweise auch alle gespeicherten Daten Ihres Kunden an einen anderen Shop transferieren müssen, sollte Ihr Kunde dies einfordern. Dieser Prozess bedingt eine gängiges Format zu wählen, um diese Daten auszutauschen. Stellen Sie sich auch weiterhin die Frage wie Sie es schaffen ein Datenleck innerhalb von 72 Stunden an die Datenschutzbehörden zu melden.
Weiterführende Infos gibt´s unter:
https://www.e-recht24.de/datenschutzgrundverordnung.html
