Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 51

Der DSGVO-Countdown: Was Händler jetzt tun müssen

(©Cifotart / Adobe Stock)

Ab dem 25. Mai gilt die neue Datenschutz-Grundverordnung. Nicht mehr viel Zeit, um ­alles für das neue, europaweit gültige Datenschutzrecht vorzubereiten. Was ­Onlinehändler darüber wissen müssen.

Seit Jahren diskutieren die Staatsvertreter auf EU-Ebene, wie ein neues Datenschutzrecht wohl aussehen könnte. Die bislang geltenden Datenschutzrichtlinien konnte jedes Mitgliedsland selbst rechtlich umsetzen – mit viel Spielraum für Interpretationen, wie sich zeigte. Deshalb stellte die EU-Kommission 2012 eine EU-Datenschutzreform (DSGVO) vor, die eine europaweit verbindliche Regelung bewirken sollte. Denn die DSGVO gilt direkt und kann nicht mit nationalen Regelungen abgeschwächt oder verstärkt werden. Ein zentrales Anliegen dabei war es, das Datenschutzrecht europaweit zu vereinheitlichen, um so den grenzüberschreitenden Handel anzukurbeln. Vor zwei Jahren lag dann die fertige EU-Datenschutz-Grundverordnung DSGVO vor. Sie bringt für Onlinehändler und Website-Betreiber ab dem 25. Mai zahlreiche Änderungen. Wer darauf nicht vorbereitet ist und sie nicht ­einhält, muss mit Sanktionen rechnen. Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit ­erwirtschafteten Jahresumsatzes können dann fällig werden – je nachdem, ­welcher Betrag höher ist. Darüber hinaus drohen im Datenschutzrecht ­Abmahnungen. Unternehmer sollten daher sicherstellen, dass ihre datenverarbeitenden Abläufe und auch Datenschutztexte, wie die Datenschutzerklärung auf der Website, pünktlich ­umgestellt sind. Doch was genau ist zu tun?

Zunächst haben Unternehmen mit der DSGVO stark ­erweiterte Dokumentations- und Rechenschaftspflichten. Bisher mussten die Behörden einen Verstoß gegen die Datenschutz- gesetze ­nachweisen. Das ändert sich: Unternehmer sind nun in der Pflicht, selbst nachzuweisen, dass sie die Datenschutzgesetze einhalten. Dazu müssen sie die Dokumentationen von ­Datenverarbeitungsvorgängen jederzeit den Datenschutzbehörden vorlegen, wenn diese das verlangen. Dazu gehört beispielsweise ein umfangreiches Verzeichnis von Verarbeitungs­­­tätig­keiten. Betroffen davon ist jeder Onlinehändler und auch fast jeder Webseitenbetreiber. Alle müssen in dieses Verzeichnis ­folgende Punkte ­aufnehmen:

  • Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Zweck der Datenverarbeitung
  • Kategorien der betroffenen Personen und der personen­bezogenen Daten
  • Kategorien der Datenempfänger
  • Angaben zu Übermittlungen in ein Drittland
  • Löschfristen der verschiedenen Datenkategorien
  • Technische und organisatorische Maßnahmen

Newsletterversand absichern

Viele fragen sich nun, ob sie Newsletter auch künftig noch so einfach verschicken können. Die Antwort lautet kurz und knapp: Ja. Weiterhin ist dafür grundsätzlich das Einverständnis des ­Empfängers notwendig – am besten im Double-Optin-Verfahren, da dies auch unter der DSGVO das am besten geeignete Mittel zum Nachweis der Einwilligung ist. Auch die sogenannte Bestandskundenausnahme bleibt erhalten. Auf diese können sich aber ohnehin nur die wenigsten Händler berufen, da die Voraussetzungen für diese Ausnahme sehr streng sind und fast nie zum Tragen kommen. Darüber hinaus ändern sich jedoch auch einige Dinge in Bezug auf die Einwilligung. So muss diese freiwillig erfolgen, woraus die DSGVO ein Kopplungsverbot ableitet. Das bedeutet: Unternehmen dürfen ihre Kunden nicht zum Einverständnis zwingen, indem sie dieses zum Beispiel an eine Vertragsabwicklung oder einen Vertragsschluss koppeln. Anders als bisher dürfen Unter­nehmen also bei einer Bestellung das Häkchen zur Newsletter-Einwilligung nicht mehr zu einem Pflicht­feld machen. Außerdem sind Einwilligungen von Personen unter 16 Jahren nicht mehr wirksam, die Zustimmung der Eltern ist erforderlich. Alle Einwilligungen, die Kunden vor dem 25. Mai erteilt haben, gelten danach nur noch, wenn sie die Anforderungen der DSGVO erfüllen. Genügen sie zum Beispiel nicht den strengen Erfordernissen der Freiwilligkeit oder handelt es sich um Personen unter 16 Jahren, verlieren die Einverständniserklärungen zum Stichtag ihre Wirksamkeit.

Folgen richtig abschätzen

Unternehmen müssen mit der DSGVO eine sogenannte Datenschutz-Folgenabschätzung im Vorfeld vornehmen, wenn in der Datenverarbeitung ein Risiko für die Rechte und Freiheiten ­Dritter besteht. Dies ist der Fall, wenn zwei der folgenden Indizien erfüllt sind:

  • Das Unternehmen verwendet automatisierte ­Entscheidungen
  • Es gibt eine umfangreiche Datenverarbeitung
  • Scoring und Profiling kommen zum Einsatz
  • Es gibt eine systematische Überwachung der Kunden
  • Ein Unternehmen führt Datenbestände zusammen und gleicht sie ab
  • Es werden Daten besonders schutzbedürftiger Personen verarbeitet
  • Neue Technologien kommen zum Einsatz
  • Es gibt eine Datenübermittlung an Drittstaaten

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst