Die neue Datenschutzgrundverordnung wird zum 25.Mai 2018 wirksam und hat das Ziel k├╝nftig einen besseren Datenschutz zu gew├Ąhrleisten. Insbesondere Onlineshopbetreiber sind nun angehalten, die DSGVO umzusetzen. Das erfordert viel Aufwand. Trusted Shops hat im November 2017 bereits eine Umfrage unter H├Ąndlern ver├Âffentlicht. Danach wussten gerade einmal 64 Prozent ├╝berhaupt von der neuen Verordnung. Dabei drohen bei Versto├č empfindliche Geldstrafen. Alles Wissenswerte rund um die DSGVO…

1. Wann genau tritt die DSGVO in Kraft?

Die DSGVO ist seit dem 25. Mai 2016 in Kraft. Wirksam wird sie ab dem 25. Mai 2018.

2. Gibt es eine ├ťbergangsfrist?

Nein, es gibt keine ├ťbergangsfrist. Deshalb sollten sich Online-H├Ąndler schon heute mit den notwendigen Ma├čnahmen zur Einhaltung der DSGVO befassen, um gut vorbereitet zu sein, wenn sie am 25. Mai wirksam wird.

3. Was ├Ąndert sich f├╝r mich konkret?

Eine grundlegende ├änderung ist die Einf├╝hrung der Rechenschaftspflicht: Danach sind Unternehmen dazu verpflichtet, die Einhaltung der DSGVO nachzuweisen. Daraus ergeben sich verst├Ąrkte Dokumentations- und Nachweispflichten: Die F├╝hrung eines Verzeichnisses von Verarbeitungst├Ątigkeiten, die Durchf├╝hrung von Datenschutz-Folgenabsch├Ątzungen sowie die Dokumentation von Datenschutzvorf├Ąllen. Zudem ist das Risiko bei der Nichteinhaltung der datenschutzrechtlichen Vorschriften deutlich gestiegen: Verst├Â├če k├Ânnen mit Bu├čgeldern von bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden.

Die Informationspflichten gegen├╝ber Betroffenen (z.B. die Datenschutzerkl├Ąrung) sind umfangreicher, die Nutzung von Cookies & Werbetools kann in der Regel k├╝nftig ├╝ber eine Interessenabw├Ągung gerechtfertigt werden; Vertr├Ąge mit Dienstleistern zur Auftragsverarbeitung m├╝ssen strengere Anforderungen erf├╝llen; das Recht auf Datenportabilit├Ąt sowie die Fristen f├╝r die Bearbeitung der Antr├Ąge zur Aus├╝bung der Rechte der Betroffenen sind zu beachten.

4. Steigt das Abmahnrisiko? Droht eine neue Abmahnwelle?

Datenschutzverst├Â├če k├Ânnen bereits seit 24. Februar 2016 nach ┬ž 2 Abs. 2 Nr. 11 des Unterlassungsklagengesetzes (UKlaG) abgemahnt werden. Es ist schwer vorher zu sagen, ob nach Wirksamwerden der DSGVO eine Abmahnwelle entstehen wird. Es ist aber zu erwarten, dass Verb├Ąnde Datenschutzerkl├Ąrungen unter die Lupe nehmen werden.

5. Welche Änderungen muss ich wo vornehmen?

Folgende Änderungen sind vorzunehmen:

– Die Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis von Verarbeitungst├Ątigkeiten zu dokumentieren

– Die Datenschutzerkl├Ąrung ist zu aktualisieren

– Die bislang nach deutschem Recht zul├Ąssigen Einwilligungserkl├Ąrungen sind weiterhin wirksam, sofern sie die strengeren Anforderungen an die Freiwilligkeit erf├╝llen. Andernfalls m├╝ssen sie ├╝berarbeitet werden.

– Vertr├Ąge zur Auftragsverarbeitung sind zu pr├╝fen;

– Datenschutz-Folgenabsch├Ątzungen sind durchzuf├╝hren, wenn der Verantwortliche Datenverarbeitungen vornimmt, welche ein hohes Risiko f├╝r die Rechte und Freiheiten der Betroffenen mit sich bringen

– Interne Prozesse m├╝ssen angepasst werden, um die Rechte auf Auskunft, Berichtigung, L├Âschung, Widerspruch sowie das neue Recht auf Datenportabilit├Ąt zu gew├Ąhrleisten. Hierbei m├╝ssen Antr├Ąge der Betroffenen in der Regel innerhalb eines Monats bearbeitet werden;

– Einf├╝hrung eines Reaktionsplans f├╝r Datenpannen, um der Aufsichtsbeh├Ârde die Panne innerhalb 72 Stunden nach Kenntnisnahme zu melden.

6. Wie pr├╝fe ich, ob meine Datenschutzerkl├Ąrung ausreicht?

Zu aller erst ben├Âtigen Sie eine Bestandsaufnahme der aktuell vorgenommenen Datenverarbeitungen in Ihrem Online-Shop (Tracking Tools, Newsletters, Bonit├Ątspr├╝fung, Daten├╝bermittlungen an Dritte). Die Datenschutzerkl├Ąrung muss ├╝ber diese Datenverarbeitungen informieren. Dabei m├╝ssen folgende Pflichtangaben ├╝ber die Verarbeitungen angegeben werden:

– Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

– Beabsichtigte Rechtsgrundlage

– Berechtigte Interesse des Verantwortlichen

– Datenempf├Ąnger oder Kategorien von Datenempf├Ąnger

– Angaben zur ├ťbermittlung in Drittl├Ąnder

– L├Âschfristen oder die Kriterien f├╝r deren Festlegung

– Information ├╝ber die Rechte auf Auskunft, Berichtigung, Sperrung, L├Âschung, Widerspruch und Daten├╝bertragbarkeit

– Beschwerderecht bei Aufsichtsbeh├Ârden

– Hinweis auf das jederzeitige Widerrufsrecht erteilten Einwilligungen

– das Bestehen eines Beschwerderechts bei einer Aufsichtsbeh├Ârde

– Bei automatisierten Entscheidungsfindungen einschl. Profiling die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung

– Wenn Daten nicht beim Betroffenen erhoben werden (z.B. aus einer ├Âffentlichen Quelle), die Datenquelle woher sie stammen.

7. Brauche ich jetzt einen Datenschutzbeauftragten?

Online-H├Ąndler m├╝ssen nach Art. 37 Abs. 1 lit c DSGVO einen Datenschutzbeauftragten bestellen, wenn ihre Kernt├Ątigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Au├čerdem ist nach ┬ž 38 Abs. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes (DSAnPUG-EU) ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche mindestens zehn Personen st├Ąndig mit der automatisierten Verarbeitung personenbezogener Daten besch├Ąftigt oder wenn er Datenverarbeitungen vornimmt, die eine Datenschutz-Folgenabsch├Ątzung erfordern.

8. Auf was muss ich bei meinen Dienstleistern (Newsletter Versandtool, Shopsoftware, Paymentanbieter, Trackingtools…) achten?

Dienstleister m├╝ssen hinreichende Garantien daf├╝r bieten, dass die Einhaltung der Anforderungen der DSGVO durch geeignete technische und organisatorische Ma├čnahmen gew├Ąhrleistet ist.
Wenn Sie einen geeigneten Dienstleister finden, m├╝ssen Sie mit ihm einen Vertrag zur Auftragsverarbeitung schlie├čen, welcher die inhaltlichen Anforderungen von Art. 28 Abs.3 DSGVO erf├╝llen muss.

9. Welche Fragen muss ich meinem Dienstleister stellen?

Sie m├╝ssen herausfinden, ob der Dienstleister hinreichende Garantien f├╝r die Einhaltung der Anforderungen der DSGVO bietet. Die Auszeichnung durch eine Datenschutzzertifizierung ist ein wichtiger Indikator daf├╝r, dass der Anbieter die Anforderungen der DSGVO erf├╝llt.

Zudem m├╝ssen Sie sicherstellen, dass Sie mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung schlie├čen, welcher die nach Art. 28 Abs. 3 DSGVO erforderlichen Pflichtinformationen enth├Ąlt. Zum Beispiel muss im Vertrag zur Auftragsdatenverarbeitung festgehalten sein, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter des Dienstleisters zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Ein weiterer Punkt ist die ├ťbermittlung der Daten in Staaten au├čerhalb der EU: Bleiben die Daten in der EU oder werden sie in einen oder mehrere Drittstaaten ├╝bermittelt? Bei internationalen Daten├╝bermittlungen m├╝ssen Sie ├╝berpr├╝fen, ob Garantien vorliegen, um ein angemessenes Datenschutzniveau zu gew├Ąhrleisten.

10. Ist Scoring noch zul├Ąssig?

Scoring ist weiterhin unter bestimmten Voraussetzungen zul├Ąssig. Die f├╝r Online-H├Ąndler relevanten Erlaubnistatbest├Ąnde bleiben dieselben: Scoring darf mit ausdr├╝cklicher Einwilligung des Betroffenen stattfinden oder wenn das Scoring f├╝r den Abschluss oder die Erf├╝llung des Vertrags erforderlich ist. Letzteres ist der Fall, wenn der Kunde die Zahlungsmethode „Kauf auf Rechnung“ oder „Ratenzahlung“ ausw├Ąhlt. Als Neuerung muss der Betroffene ├╝ber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung informiert werden.

11. Wie sieht die Bu├čgeldpraxis k├╝nftig genau aus?

Art. 83 DSGVO sieht wesentliche h├Âhere Bu├čgelder als das BDSG vor. So sind bei bestimmten Rechtsverst├Â├čen Bu├čgelder von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes eines Unternehmens vorgesehen. Inwiefern die Aufsichtsbeh├Ârden in der Praxis von diesen Befugnissen Gebrauch machen werden, ist schwer vorauszusehen. Eine deutliche Steigerung der Bu├čgelder bei Datenschutzverst├Â├čen ist aber zu erwarten.

12. Gelten f├╝r Kinder besondere Datenschutzrechte?

Kinder sind besonders schutzw├╝rdig, daher gibt es besondere Regelungen in der DSGVO f├╝r Kinder. Demnach ist die Verarbeitung personenbezogener Daten von Kinder unter 16 Jahren nur rechtm├Ą├čig, sofern und soweit diese Einwilligung durch den Tr├Ąger der elterlichen Verantwortung f├╝r das Kind oder mit dessen Zustimmung erteilt wird.

Trusted Shops ist Europas Vertrauensmarke im E-Commerce. Das K├Âlner Unternehmen stellt mit dem G├╝tesiegel inklusive K├Ąuferschutz, dem Kundenbewertungssystem und dem Abmahnschutz ein „Rundum-sicher-Paket“ bereit: Anhand von strengen Einzelkriterien wie Preistransparenz, Kundenservice und Datenschutz ├╝berpr├╝ft Trusted Shops seine Mitglieder und vergibt sein begehrtes G├╝tesiegel. Mit dem K├Ąuferschutz, den jeder zertifizierte Online-Shop bietet, sind Verbraucher etwa bei Nichtlieferung von Waren abgesichert. Dar├╝ber hinaus sorgt das Kundenbewertungssystem f├╝r nachhaltiges Vertrauen bei H├Ąndlern und bei K├Ąufern. Das Trusted Shops Projekt „Locatrust“ verhilft lokalen H├Ąndlern zu echten Bewertungen ihrer Kunden. Damit bietet Trusted Shops lokalen H├Ąndlern die M├Âglichkeit, mehr Sichtbarkeit f├╝r ihr Gesch├Ąft und ihr Sortiment im Netz zu schaffen, um den Local Commerce zu st├Ąrken. Das Projekt wird im Rahmen des Strukturfonds EFRE (Europ├Ąische Fonds f├╝r Regionale Entwicklung) von der Europ├Ąischen Union gef├Ârdert.

Kontakt
Trusted Shops GmbH
Mustafa Ucar
Subbelrather Str. 15c
50823 K├Âln
0221/77536-7531
mustafa.ucar@trustedshops.de
http://trustedshops.de