Seit Jahren diskutieren die Staatsvertreter auf EU-Ebene, wie ein neues Datenschutzrecht wohl aussehen könnte. Die bislang geltenden Datenschutzrichtlinien konnte jedes Mitgliedsland selbst rechtlich umsetzen – mit viel Spielraum für Interpretationen, wie sich zeigte. Deshalb stellte die EU-Kommission 2012 eine EU-Datenschutzreform (DSGVO) vor, die eine europaweit verbindliche Regelung bewirken sollte. Denn die DSGVO gilt direkt und kann nicht mit nationalen Regelungen abgeschwächt oder verstärkt werden. Ein zentrales Anliegen dabei war es, das
Datenschutzrecht europaweit zu vereinheitlichen, um so den grenzüberschreitenden Handel anzukurbeln. Vor zwei Jahren lag dann die fertige EU-Datenschutz-Grundverordnung DSGVO vor. Sie bringt für Onlinehändler und Website-Betreiber ab dem 25. Mai zahlreiche Änderungen. Wer darauf nicht vorbereitet ist und sie nicht ­einhält, muss mit Sanktionen rechnen. Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit ­erwirtschafteten Jahresumsatzes können dann fällig werden – je nachdem, ­welcher Betrag höher ist. Darüber hinaus drohen im Datenschutzrecht ­Abmahnungen. Unternehmer sollten daher
sicherstellen, dass ihre datenverarbeitenden Abläufe und auch Datenschutztexte, wie die Datenschutzerklärung auf der Website, pünktlich ­umgestellt sind. Doch was genau ist zu tun?

Zunächst haben Unternehmen mit der DSGVO stark ­erweiterte Dokumentations- und Rechenschaftspflichten. Bisher mussten die Behörden einen Verstoß gegen die Datenschutz-
gesetze ­nachweisen. Das ändert sich: Unternehmer sind nun in der Pflicht, selbst nachzuweisen, dass sie die Datenschutzgesetze einhalten. Dazu müssen sie die Dokumentationen von ­Datenverarbeitungsvorgängen jederzeit den Datenschutzbehörden vorlegen, wenn diese das verlangen. Dazu gehört beispielsweise ein umfangreiches Verzeichnis von Verarbeitungs­­­tätig­keiten. Betroffen davon ist jeder Onlinehändler und auch fast jeder Webseitenbetreiber. Alle müssen in dieses Verzeichnis ­folgende Punkte ­aufnehmen:

• Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
• Zweck der Datenverarbeitung
• Kategorien der betroffenen Personen und der personen­bezogenen Daten
• Kategorien der Datenempfänger
• Angaben zu Übermittlungen in ein Drittland
• Löschfristen der verschiedenen Datenkategorien
• Technische und organisatorische Maßnahmen

Viele fragen sich nun, ob sie Newsletter auch künftig noch so einfach verschicken können. Die Antwort lautet kurz und knapp: Ja. Weiterhin ist dafür grundsätzlich das Einverständnis des ­Empfängers notwendig – am besten im Double-Optin-Verfahren, da dies auch unter der DSGVO das am besten geeignete Mittel zum Nachweis der Einwilligung ist. Auch die sogenannte Bestandskundenausnahme bleibt erhalten. Auf diese können sich aber ohnehin nur die wenigsten Händler berufen, da die Voraussetzungen für diese Ausnahme sehr streng sind und fast nie zum Tragen kommen. Darüber hinaus ändern sich jedoch auch einige Dinge in Bezug auf die Einwilligung. So muss diese freiwillig erfolgen, woraus die DSGVO ein Kopplungsverbot ableitet. Das bedeutet: Unternehmen dürfen ihre Kunden nicht zum Einverständnis zwingen, indem sie dieses zum Beispiel an eine Vertragsabwicklung oder einen Vertragsschluss koppeln. Anders als bisher dürfen Unter­nehmen also bei einer Bestellung das Häkchen zur Newsletter-Einwilligung nicht mehr zu einem Pflicht­feld machen. Außerdem sind Einwilligungen von Personen unter 16 Jahren nicht mehr wirksam, die Zustimmung der Eltern ist erforderlich. Alle Einwilligungen, die Kunden vor dem 25. Mai erteilt haben, gelten danach nur noch, wenn sie die Anforderungen der DSGVO erfüllen. Genügen sie zum Beispiel nicht den strengen Erfordernissen der Freiwilligkeit oder handelt es sich um Personen unter 16 Jahren, verlieren die Einverständniserklärungen zum Stichtag ihre Wirksamkeit.

Unternehmen müssen mit der DSGVO eine sogenannte Datenschutz-Folgenabschätzung im Vorfeld vornehmen, wenn in der Datenverarbeitung ein Risiko für die Rechte und Freiheiten ­Dritter besteht. Dies ist der Fall, wenn zwei der folgenden Indizien erfüllt sind:

• Das Unternehmen verwendet automatisierte ­Entscheidungen
• Es gibt eine umfangreiche Datenverarbeitung
• Scoring und Profiling kommen zum Einsatz
• Es gibt eine systematische Überwachung der Kunden
• Ein Unternehmen führt Datenbestände zusammen und gleicht sie ab
• Es werden Daten besonders schutzbedürftiger Personen verarbeitet
• Neue Technologien kommen zum Einsatz
• Es gibt eine Datenübermittlung an Drittstaaten

Der Grund für diese Vorgabe ist, dass solche Datenverarbeitungen die Ausübung der Rechte oder die Inanspruchnahme einer Leistung der Betroffenen erschweren. Unternehmen müssen mit der DSGVO daher dokumentieren, dass sie die Datenschutz-Folgenabschätzung durchgeführt haben. Im Streitfall sollten sie sie schnell aus einer Schublade ziehen können, um sich abzusichern.

Inhaltlich muss diese Folgenabschätzung zunächst eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge sowie deren Zweck enthalten, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen. Außerdem sollte es eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck geben sowie eine Bewertung der Risiken für die Rechte und Freiheiten betroffener Dritter. Schließlich ist es wichtig, dass Unternehmen durch ihre Folgenabschätzung zeigen, wie ihre zur Bewältigung der Risiken geplanten Abhilfemaßnahmen aussehen könnten – einschließlich der Garantien, Sicherheitsvorkehrungen und Verfahren, durch die sie den Schutz personenbezogener Daten sicherstellen. Außerdem sollten sie dokumentieren, wie sie den Nachweis dafür erbringen können, dass sie diese Verordnung einhalten.

Schon heute ist jeder datenverarbeitende Unternehmer zu einer Datenschutzerklärung verpflichtet. Mit der DSGVO werden die entsprechende gesetzliche Vorschrift wesentlich detaillierter und die Informationspflichten weitreichender, zum Beispiel bei den Rechten der Betroffenen. Statt die bestehende Datenschutzerklärung
nun aber punktuell nachzubessern – was zu Inkonsistenzen und Lücken führen könnte – sollten Onlinehändler und Webseiten-
betreiber die Neuerungen zum Anlass nehmen, die bestehende Erklärung komplett neu aufzusetzen. Dabei können sie die neuen Vorschriften Punkt für Punkt wie eine Checkliste abarbeiten. Die wichtigsten Inhalte der neuen Datenschutzerklärung sind:

• Name und Kontaktdaten des Datenschutzbeauftragten
• Rechtsgrundlage für die Datenverarbeitung
• Bestehende berechtigte Interessen für die Datenverarbeitung (mit separater Widerspruchsbelehrung)
• Angaben zur Übermittlung von Daten in Drittländer und
  Garantien für ein angemessenes Datenschutzniveau
• Information über die Rechte betroffener Dritter auf Datenübertragbarkeit und auf Beschwerde bei Aufsichtsbehörden
• Bei automatisierten Entscheidungsfindungen die involvierte Logik sowie die Tragweite und die angestrebten Auswirk­ungen der Verarbeitung
• Löschfristen und gegebenenfalls die Kriterien für deren ­Festlegung
• Die Datenquelle, wenn Daten nicht beim Betroffenen ­erhoben werden (etwa aus einer öffentlichen Quelle)

Tracking-Werkzeuge wie Google Analytics und Econda sind auch mit der DSGVO erlaubt – allerdings unter strengeren Voraus­setzungen. Onlinehändler und Webseitenbetreiber müssen nun eine Interessenabwägung vornehmen, diese dokumentieren und in ihre Datenschutzerklärung aufnehmen. Das bedeutet, dass sie ihr Interesse an der Datenverarbeitung mit dem Interesse der Betroffenen abwägen müssen. Nur wenn das Interesse des Unternehmens überwiegt, ist die Datenverarbeitung zulässig. Das ist zum Beispiel bei anonymisiertem oder pseudonymisiertem Tracking der Fall, wenn ein Onlinehändler dadurch zum Beispiel seine Website optimieren kann. In diesem Fall ist das Tracking auch nach dem 25. Mai zulässig.

Beim Einsatz von Google Analytics sollten Unternehmen ­natürlich auch die anderen Voraussetzungen beachten, die ­heute schon gelten. Wie bisher müssen sie einen Vertrag zur ­Auftragsdatenverarbeitung mit Google schließen, ihre ­Nutzer über die Widerspruchsmöglichkeit informieren und die ­Er­weiterung ­„anonymize-IP“ einsetzen. Darüber hinaus müssen sie die Anwender auch in Zukunft noch immer über den Einsatz von Tracking-Werkzeugen in ihrer Datenschutzerklärung informieren.

Nutzer – im Jargon des Datenschutzrechts „die Betroffenen“ – erhalten mit der DSGVO auch neue Rechte. Zum Beispiel das Recht auf Datenübertragbarkeit, das ihnen den Erhalt all ihrer Daten garantiert, die ein Unternehmen über sie speichert (wozu auch die Bestellhistorie gehört). Diese muss ein Unternehmen in einem gängigen, maschinenlesbaren Format liefern, etwa als csv-Datei. Diese Datei kann ein Kunde dann einem anderen Händler zur ­Verfügung stellen. Es ist aber zu erwarten, dass dieses Recht eher Theorie bleiben wird und in der Praxis vermutlich keine Rolle spielt. Dennoch müssen Unternehmen auf so einen Fall vorbereitet sein. Ein Shopsystem sollte deshalb in der Lage sein, diese Daten in einem entsprechenden Format zu extrahieren – im Zweifelsfall sollte der Hersteller des Systems zeigen können, wie das funktioniert.

Daneben bleibt das Recht auf Berichtigung, Löschung oder Sperrung von Daten bestehen sowie auf Auskunft darüber, welche Daten ein Unternehmen überhaupt speichert. Onlinehändler und Website-Betreiber müssen in ihrer Datenschutzerklärung darüber informieren. Hier müssen die Nutzer nachlesen können, dass sie das Recht haben, sich bei der Aufsichtsbehörde zu beschweren – also bei der zuständigen Landesdatenschutzbehörde. Macht ein Kunde seine Ansprüche geltend, müssen Unternehmen innerhalb von einem Monat darauf antworten. Sie sollten für solche Fälle daher geeignete Auskunftsformulare erstellen, sodass sie eine entsprechende Anfrage strukturiert und innerhalb der gesetzlichen Frist beantworten können. Das macht dann auch einen professionellen Eindruck, was sicherlich auch gut bei den Aufsichtsbehörden ankommt, sollten sie einmal zur Prüfung vorbeikommen.

Man wünscht es niemandem, aber sollte es doch einmal zu einer Datenpanne kommen, müssen Onlinehändler und Webseiten­betreiber sicherstellen, dass sie dies unverzüglich an die ­zuständige Landesdatenschutzbehörde melden – die DSGVO ­konkretisiert das vorgegebene Zeitfenster auf „möglichst binnen 72 Stunden“. In dieser Meldung müssen sie die Art der Datenschutzverletzung, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen beschreiben, die die Rechtsverletzung beheben sollen. Außerdem müssen sie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder anderer Anlaufstellen mitteilen. Auch so ein Szenario sollten ­Unternehmen unbedingt im Vorfeld durchspielen und in einem Aktionsplan zusammenfassen.

In der Regel arbeitet jeder Onlinehändler oder auch Webseitenbetreiber mit vielen unterschiedlichen Dienstleistern zusammen, die für ihn die Datenverarbeitung übernehmen. Angefangen beim Hosting des Servers über den Newsletterservice bis hin zum ­Tracking und vielem mehr. Damit die Datenverarbeitung in solchen Fällen legal ist, müssen Unternehmen auch schon nach bisherigem Recht mit ihren Dienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen. An diesem Grundsatz ändert sich also erst einmal nichts. Mussten diese Verträge bislang schriftlich vorliegen, reicht künftig auch eine elektronisch geschlossene Vereinbarung. Um sicherzustellen, dass auch ihre Dienstleister den künftigen Anforderungen durch die DSGVO gerecht werden, sollten Unternehmen sie bis zum 25. Mai fragen, ob sie ihre Verträge angepasst haben, und ihrerseits neue Vereinbarungen abschließen.