Die neue Datenschutzgrundverordnung wird zum 25.Mai 2018 wirksam und hat das Ziel k√ľnftig einen besseren Datenschutz zu gew√§hrleisten. Insbesondere Onlineshopbetreiber sind nun angehalten, die DSGVO umzusetzen. Das erfordert viel Aufwand. Trusted Shops hat im November 2017 bereits eine Umfrage unter H√§ndlern ver√∂ffentlicht. Danach wussten gerade einmal 64 Prozent √ľberhaupt von der neuen Verordnung. Dabei drohen bei Versto√ü empfindliche Geldstrafen. Alles Wissenswerte rund um die DSGVO…

1. Wann genau tritt die DSGVO in Kraft?

Die DSGVO ist seit dem 25. Mai 2016 in Kraft. Wirksam wird sie ab dem 25. Mai 2018.

2. Gibt es eine √úbergangsfrist?

Nein, es gibt keine Übergangsfrist. Deshalb sollten sich Online-Händler schon heute mit den notwendigen Maßnahmen zur Einhaltung der DSGVO befassen, um gut vorbereitet zu sein, wenn sie am 25. Mai wirksam wird.

3. Was √§ndert sich f√ľr mich konkret?

Eine grundlegende √Ąnderung ist die Einf√ľhrung der Rechenschaftspflicht: Danach sind Unternehmen dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Daraus ergeben sich verst√§rkte Dokumentations- und Nachweispflichten: Die F√ľhrung eines Verzeichnisses von Verarbeitungst√§tigkeiten, die Durchf√ľhrung von Datenschutz-Folgenabsch√§tzungen sowie die Dokumentation von Datenschutzvorf√§llen. Zudem ist das Risiko bei der Nichteinhaltung der datenschutzrechtlichen Vorschriften deutlich gestiegen: Verst√∂√üe k√∂nnen mit Bu√ügeldern von bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden.

Die Informationspflichten gegen√ľber Betroffenen (z.B. die Datenschutzerkl√§rung) sind umfangreicher, die Nutzung von Cookies & Werbetools kann in der Regel k√ľnftig √ľber eine Interessenabw√§gung gerechtfertigt werden; Vertr√§ge mit Dienstleistern zur Auftragsverarbeitung m√ľssen strengere Anforderungen erf√ľllen; das Recht auf Datenportabilit√§t sowie die Fristen f√ľr die Bearbeitung der Antr√§ge zur Aus√ľbung der Rechte der Betroffenen sind zu beachten.

4. Steigt das Abmahnrisiko? Droht eine neue Abmahnwelle?

Datenschutzverstöße können bereits seit 24. Februar 2016 nach § 2 Abs. 2 Nr. 11 des Unterlassungsklagengesetzes (UKlaG) abgemahnt werden. Es ist schwer vorher zu sagen, ob nach Wirksamwerden der DSGVO eine Abmahnwelle entstehen wird. Es ist aber zu erwarten, dass Verbände Datenschutzerklärungen unter die Lupe nehmen werden.

5. Welche √Ąnderungen muss ich wo vornehmen?

Folgende √Ąnderungen sind vorzunehmen:

РDie Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren

РDie Datenschutzerklärung ist zu aktualisieren

– Die bislang nach deutschem Recht zul√§ssigen Einwilligungserkl√§rungen sind weiterhin wirksam, sofern sie die strengeren Anforderungen an die Freiwilligkeit erf√ľllen. Andernfalls m√ľssen sie √ľberarbeitet werden.

– Vertr√§ge zur Auftragsverarbeitung sind zu pr√ľfen;

– Datenschutz-Folgenabsch√§tzungen sind durchzuf√ľhren, wenn der Verantwortliche Datenverarbeitungen vornimmt, welche ein hohes Risiko f√ľr die Rechte und Freiheiten der Betroffenen mit sich bringen

– Interne Prozesse m√ľssen angepasst werden, um die Rechte auf Auskunft, Berichtigung, L√∂schung, Widerspruch sowie das neue Recht auf Datenportabilit√§t zu gew√§hrleisten. Hierbei m√ľssen Antr√§ge der Betroffenen in der Regel innerhalb eines Monats bearbeitet werden;

– Einf√ľhrung eines Reaktionsplans f√ľr Datenpannen, um der Aufsichtsbeh√∂rde die Panne innerhalb 72 Stunden nach Kenntnisnahme zu melden.

6. Wie pr√ľfe ich, ob meine Datenschutzerkl√§rung ausreicht?

Zu aller erst ben√∂tigen Sie eine Bestandsaufnahme der aktuell vorgenommenen Datenverarbeitungen in Ihrem Online-Shop (Tracking Tools, Newsletters, Bonit√§tspr√ľfung, Daten√ľbermittlungen an Dritte). Die Datenschutzerkl√§rung muss √ľber diese Datenverarbeitungen informieren. Dabei m√ľssen folgende Pflichtangaben √ľber die Verarbeitungen angegeben werden:

– Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

– Beabsichtigte Rechtsgrundlage

– Berechtigte Interesse des Verantwortlichen

РDatenempfänger oder Kategorien von Datenempfänger

РAngaben zur Übermittlung in Drittländer

– L√∂schfristen oder die Kriterien f√ľr deren Festlegung

– Information √ľber die Rechte auf Auskunft, Berichtigung, Sperrung, L√∂schung, Widerspruch und Daten√ľbertragbarkeit

РBeschwerderecht bei Aufsichtsbehörden

– Hinweis auf das jederzeitige Widerrufsrecht erteilten Einwilligungen

Рdas Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

– Bei automatisierten Entscheidungsfindungen einschl. Profiling die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung

РWenn Daten nicht beim Betroffenen erhoben werden (z.B. aus einer öffentlichen Quelle), die Datenquelle woher sie stammen.

7. Brauche ich jetzt einen Datenschutzbeauftragten?

Online-H√§ndler m√ľssen nach Art. 37 Abs. 1 lit c DSGVO einen Datenschutzbeauftragten bestellen, wenn ihre Kernt√§tigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Außerdem ist nach § 38 Abs. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes (DSAnPUG-EU) ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder wenn er Datenverarbeitungen vornimmt, die eine Datenschutz-Folgenabschätzung erfordern.

8. Auf was muss ich bei meinen Dienstleistern (Newsletter Versandtool, Shopsoftware, Paymentanbieter, Trackingtools…) achten?

Dienstleister m√ľssen hinreichende Garantien daf√ľr bieten, dass die Einhaltung der Anforderungen der DSGVO durch geeignete technische und organisatorische Ma√ünahmen gew√§hrleistet ist.
Wenn Sie einen geeigneten Dienstleister finden, m√ľssen Sie mit ihm einen Vertrag zur Auftragsverarbeitung schlie√üen, welcher die inhaltlichen Anforderungen von Art. 28 Abs.3 DSGVO erf√ľllen muss.

9. Welche Fragen muss ich meinem Dienstleister stellen?

Sie m√ľssen herausfinden, ob der Dienstleister hinreichende Garantien f√ľr die Einhaltung der Anforderungen der DSGVO bietet. Die Auszeichnung durch eine Datenschutzzertifizierung ist ein wichtiger Indikator daf√ľr, dass der Anbieter die Anforderungen der DSGVO erf√ľllt.

Zudem m√ľssen Sie sicherstellen, dass Sie mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung schlie√üen, welcher die nach Art. 28 Abs. 3 DSGVO erforderlichen Pflichtinformationen enth√§lt. Zum Beispiel muss im Vertrag zur Auftragsdatenverarbeitung festgehalten sein, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter des Dienstleisters zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Ein weiterer Punkt ist die √úbermittlung der Daten in Staaten au√üerhalb der EU: Bleiben die Daten in der EU oder werden sie in einen oder mehrere Drittstaaten √ľbermittelt? Bei internationalen Daten√ľbermittlungen m√ľssen Sie √ľberpr√ľfen, ob Garantien vorliegen, um ein angemessenes Datenschutzniveau zu gew√§hrleisten.

10. Ist Scoring noch zulässig?

Scoring ist weiterhin unter bestimmten Voraussetzungen zul√§ssig. Die f√ľr Online-H√§ndler relevanten Erlaubnistatbest√§nde bleiben dieselben: Scoring darf mit ausdr√ľcklicher Einwilligung des Betroffenen stattfinden oder wenn das Scoring f√ľr den Abschluss oder die Erf√ľllung des Vertrags erforderlich ist. Letzteres ist der Fall, wenn der Kunde die Zahlungsmethode „Kauf auf Rechnung“ oder „Ratenzahlung“ ausw√§hlt. Als Neuerung muss der Betroffene √ľber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung informiert werden.

11. Wie sieht die Bu√ügeldpraxis k√ľnftig genau aus?

Art. 83 DSGVO sieht wesentliche höhere Bußgelder als das BDSG vor. So sind bei bestimmten Rechtsverstößen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes eines Unternehmens vorgesehen. Inwiefern die Aufsichtsbehörden in der Praxis von diesen Befugnissen Gebrauch machen werden, ist schwer vorauszusehen. Eine deutliche Steigerung der Bußgelder bei Datenschutzverstößen ist aber zu erwarten.

12. Gelten f√ľr Kinder besondere Datenschutzrechte?

Kinder sind besonders schutzw√ľrdig, daher gibt es besondere Regelungen in der DSGVO f√ľr Kinder. Demnach ist die Verarbeitung personenbezogener Daten von Kinder unter 16 Jahren nur rechtm√§√üig, sofern und soweit diese Einwilligung durch den Tr√§ger der elterlichen Verantwortung f√ľr das Kind oder mit dessen Zustimmung erteilt wird.

Trusted Shops ist Europas Vertrauensmarke im E-Commerce. Das K√∂lner Unternehmen stellt mit dem G√ľtesiegel inklusive K√§uferschutz, dem Kundenbewertungssystem und dem Abmahnschutz ein „Rundum-sicher-Paket“ bereit: Anhand von strengen Einzelkriterien wie Preistransparenz, Kundenservice und Datenschutz √ľberpr√ľft Trusted Shops seine Mitglieder und vergibt sein begehrtes G√ľtesiegel. Mit dem K√§uferschutz, den jeder zertifizierte Online-Shop bietet, sind Verbraucher etwa bei Nichtlieferung von Waren abgesichert. Dar√ľber hinaus sorgt das Kundenbewertungssystem f√ľr nachhaltiges Vertrauen bei H√§ndlern und bei K√§ufern. Das Trusted Shops Projekt „Locatrust“ verhilft lokalen H√§ndlern zu echten Bewertungen ihrer Kunden. Damit bietet Trusted Shops lokalen H√§ndlern die M√∂glichkeit, mehr Sichtbarkeit f√ľr ihr Gesch√§ft und ihr Sortiment im Netz zu schaffen, um den Local Commerce zu st√§rken. Das Projekt wird im Rahmen des Strukturfonds EFRE (Europ√§ische Fonds f√ľr Regionale Entwicklung) von der Europ√§ischen Union gef√∂rdert.

Kontakt
Trusted Shops GmbH
Mustafa Ucar
Subbelrather Str. 15c
50823 Köln
0221/77536-7531
mustafa.ucar@trustedshops.de
http://trustedshops.de