Der Countdown läuft… Sie haben sicher schon davon gehört, dass am 25.05.2018 die neue Datenschutzgrundverordnung (DS-GVO) in Kraft tritt. Die DS-GVO ergänzt und erweitert einige Regelungen, die aufgrund des Bundesdatenschutzgesetzes bereits jetzt schon galten. Zu beachten ist, dass nach dem Inkrafttreten der DS-GVO am 25.05.2018 bei Nichteinhaltung mit Abmahnungen zu rechnen ist. Auch hat der Gesetzgeber erhebliche Bußgelder bei Verstößen gegen die DS-GVO vorgesehen.

Den vollständigen Text der Verordnung finden Sie hier. Wir haben für Sie die wichtigsten Punkte im Bereich des E-Commerce zusammengefasst:

Datenschutzerklärung

Die Datenschutzgrundverordnung (DS-GVO) sieht im Vergleich zum bisherigen Recht erweiterte und präzisere Informationsanforderungen vor, weshalb die Datenschutzerklärungen auf Internetseiten ggf. ergänzt werden müssen. Folgende Informationen sind nunmehr erforderlich:

  • Verantwortlicher für die über die Webseite erfolgenden Datenverarbeitungsvorgänge muss benannt werden (Name, Adresse, Kontaktdaten),
  • Datenschutzbeauftragter muss benannt werden (sofern eine Verpflichtung zur Bestellung besteht),
  • der Kunde muss über Art, Umfang und Zweck der Datenverarbeitung unter Angabe der Rechtsgrundlage aufgeklärt werden,
  •  Hinweise zur Löschung von Nutzungs- und Bestandsdaten sowie Cookies müssen angegeben werden,
  • Hinweise zur Behandlung von Tracking-Daten müssen erfolgen,
  •  der Kunde muss über das Beschwerderecht bei einer Aufsichtsbehörde für den Datenschutz aufgeklärt werden,
  • der Kunde muss über seine Rechte aufgeklärt werden, insbesondere zum neuen Recht auf Datenportabilität (Artikel 20 DSGVO)

Erstellung eines Verzeichnisses von Verarbeitungsstätigkeiten (sogenanntes Verfahrensverzeichnis)

Schon nach bisher geltendem Recht des Bundesdatenschutzgesetzes musste jedes Unternehmen, welches personenbezogene Daten verarbeitet, ein Verfahrensverzeichnis führen und ggf. der Aufsichtsbehörde für den Datenschutz vorlegen können. In einem solchen Verzeichnis müssen sämtliche Datenverarbeitungsvorgänge nach Art, Umfang und Zweck erfasst und aufbereitet werden. Besonders risikogefährdete Datenverarbeitungen wie z. B. Videoüberwachungen oder die Verarbeitung von Zahlungsdaten sollten speziell geprüft und ebenfalls in das Verfahrensverzeichnis aufgenommen werden.

Überprüfung des Vertragsmanagements

Webshop-Betreiber müssen außerdem ihre Prozesse dahingehend überprüfen, ob sie ausschließlich selbst personenbezogene Daten von Kunden verarbeiten, oder ob sie derartige Daten von anderen Dienstleistern verarbeiten lassen, so dass diese mit den personenbezogenen Daten der Kunden in Berührung kommen. Hier sollte (auch nach bisher geltendem Recht) ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen worden sein (beispielsweise mit Paypal etc.)

Bestellung eines Datenschutzbeauftragten

Es besteht für Unternehmen die Verpflichtung, einen Datenschutzbeauftragten zu bestellen, sofern sich mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigen, oder besonders sensible Personendaten verarbeitet werden. Bei der Anzahl der Mitarbeiter werden all diejenigen Mitarbeiter berücksichtigt, die Zugriff auf die Kundendaten haben und diese verarbeiten (dies gilt auch für Azubis etc.).

Es kann sich auch unabhängig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten anbieten, einen solchen zu bestellen, der sich dann um sämtliche Datenschutzanforderungen kümmert. Er ist dann auch verantwortlich für die Durchführung etwaiger Kundenrechte, wie beispielsweise die Auskunft, Berichtigung, Sperrung und Löschung von personenbezogenen Kundenbetreibern.

Datensicherheit laut Datenschutzgrundverordnung

Es ist des Weiteren zu empfehlen, eine Bestandsaufnahme und ggf. Neustrukturierung der bisherigen technischen und organisatorischen Maßnahmen zur Datensicherheit durchzuführen. Hierzu gehören insbesondere folgende Punkte:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit muss bei der Verarbeitung von personenbezogenen Daten sichergestellt sein,
  • bei einem technischen Zwischenfall muss die Verfügbarkeit und der Zugang zu den gespeicherten Daten schnell wieder hergestellt werden können,
  • die Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten sollte regelmäßig überprüft werden.

Überprüfung der internen Datenschutzorganisation

Auch unternehmensintern sollten die Verfahrensabläufe überprüft und schriftlich erfasst werden. Folgende Punkte geprüft werden:

  • Prüfung der internen Datenschutz-Organisationsstruktur (Einführung unternehmensinterner Regeln, Durchführung von Schulungen etc.),
  • Einführung eines konkreten Prozesses für den Umgang mit Datensicherheitsvorfällen,
  • Einführung eines Löschkonzeptes zur Umsetzung der Löschung von personenbezogenen Daten,
  • Gewährleistung der Kundenrechte (Auskunft, Berichtigung, Sperrung, Löschung, Datenportabilität),
  • Überprüfung sämtlicher Einwilligungsprozesse, bei denen Kunden ihre Zustimmung zur Datenverarbeitung geben,
  • Dokumentationen der Sicherheitskonfiguration (Firewall, Router, Gateway, Proxy-Server,etc.),
  • Anpassung der Kontaktformulare und Aufnahme des Kontaktformulars in die Datenschutzerklärung,
  • Erstellung einer Einwilligungsschaltfläche als „Hinweis zur Verwendung von Cookies“.

Newsletterversand

Im Bereich des Newsletterversandes ist vieles so geblieben, wie bisher. Eine Einwilligung des Kunden ist laut Datenschutzgrundverordnung zwingend erforderlich. Es gilt allerdings ein strenges „Koppelungsverbot“, wonach das Generieren von Newsletteranmeldungen ,sofern es z.B. mit einer Teilnahme am Gewinnspiel verknüpft wird, untersagt ist. Hier bleibt abzuwarten, wie sich die Rechtslage entwickelt. Des Weiteren muss in der Datenschutzerklärung über den Newsletterversand informiert werden. Die Datenschutzerklärung muss daher insbesondere vorhalten:

  • Informationen über die Zwecke für die die personenbezogenen Daten verarbeitet werden,
  • Nennung der Rechtsgrundlage für die Datenverarbeitung,
  • Informationen über die Dauer der Speicherung,
  • Informationen über das Bestehen eines Rechts, die Einwilligung jederzeit widerrufen zu können.

Kontaktformular

Hinsichtlich des Kontaktformulars gibt es nur wenige Änderung im Vergleich zur bisherigen Rechtslage. Wichtig ist, dass die per Formular übermittelten Daten des Kunden nur zur Kontaktaufnahme wegen des konkreten Anliegens verwendet werden dürfen. Die Nutzung einer derartigen E-Mail-Adresse beispielsweise für den Newsletterversand ist verboten. Des Weiteren ist es hilfreich, in die Datenschutzerklärung auch einen Hinweis auf das Kontaktformular aufzunehmen und direkt beim Ausfüllen des Formulars transparent auf die Datenschutzerklärung hinzuweisen. Dies kann durch einen Link zum Dokument der Datenschutzerklärung erfolgen.

 

Wie oben bereits dargestellt, gibt es zwar eine ganz Reihe von Änderung im Bereich des Datenschutzes, wobei einige Regelungen auch bereits durch das bisherige Bundesdatenschutzrecht einzuhalten waren. Wir hoffen, Ihnen mit diesem Überblick weitergeholfen zu haben. Gerne stehen wir Ihnen selbstverständlich bei weiteren Fragen jederzeit zur Verfügung.