Post navigation

Allgemein, E-Commerce, Tools

DSGVO für Online-Händler

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung der EU in Kraft. Prinzipiell finde ich es eine gute Idee, in einer E-Commerce-Welt, in der der Cross-Border-Handel immer größer wird, den Datenschutz europaweit zu vereinheitlichen. Problematisch ist allerdings, dass der Gesetzestext in Teilen noch relativ vage gehalten ist. Gerade deswegen ist es aber sinnvoll als Online-Händler spätestens jetzt vorzusorgen, denn es kommen neue Anforderungen und Informationspflichten auf jeden Shop-Betreiber zu.

Folgend eine Checkliste, die ich zusammengestellt habe über das, was man als Onlineshop-Betreiber achten sollte. Wichtig: Bitte dennoch unbedingt rechtlichen Rat einholen, denn ich bin kein Rechtsberater. (Dazu unten noch ein kleiner Tipp)

1. Das Verarbeitungsverzeichnis

Onlinehändler müssen ein sog. Verarbeitungsverzeichnis erstellen. In diesem Verarbeitungsverzeichnis muss zu jedem verwendeten Drittsystem, das in irgendeiner Weise Kundendaten verarbeitet (z.B. Zahlungsanbieter, E-Mail-Software, Analyse-Systeme) aufgelistet werden, wie und warum die Daten verwendet werden. U.a. muss dort zu jedem Anbieter aufgelistet sein:

  • Zweck der Datenverarbeitung (z.B. Marketing-Zweck bei Affiliate-Dienstleistern, Auftragserfüllung bei WAWI-Systemen)
  • Welche Kategorien von personenbezogenen Daten gibt es?
  • Fristen für die Löschung
  • Wird die IP gespeichert? Das ist anscheinend nicht mehr erlaubt!

2. Auftragsverarbeitungsverträge (AV-Verträge)

Mit jedem Drittanbieter, der personenbezogene Daten verarbeitet (z.B. Payment-Anbieter) muss ein sog. Auftragsverarbeitungsvertrag (kurz AV-Vertrag) geschlossen werden. Im besten Fall hat der Drittanbieter diesen schon vorliegen. Wenn man dabei ist,  das Verarbeitungsverzeichnis zu erstellen, kann man in einem auch die AV-Verträge erledigen.
Ein kostenloses Muster des AV-Vertrages gibt es bei activeMind.AG.

3. Betroffenenrechte und Fristen beachten

Ab dem 25. Mai 2018 hat jeder Endkunde verstärkte Rechte (sog. Betroffenenrechte). Dies sind insbesondere das Auskunft- und Löschungsrecht, aber auch das Berichtigungs-, Einschränkungs-, Widerspruchsrecht. Die wichtigsten beiden seien folgend kurz erläutert:

Auskunftsrecht:

Wenn in Zukunft also ein Kunde bei einem Online-Händler erfragt, welche seiner personenbezogenen Daten wo gespeichert sind, so muss der Online-Händler ihm mit einer Frist eines Monats eine Liste zurückschicken, in der dies aufgelistet ist. Am besten ist es in diesem Fall, schon etwas vorgefertigtes in der Hand zu haben, wofür das Verarbeitungsverzeichnis eine gute Basis ist.

Löschungsrecht: 

Ebenfalls hat der Kunde das Recht, seine Daten zu jeder Zeit löschen zu lassen. Hierfür bietet es sich an, zumindest einen Handlungsplan zu definieren, wie Kundendaten sicher gelöscht werden können. Besser ist es natürlich, eine Automatisierung zu implementieren.

4. Erlaubnistatbestände & Einwilligungsprozesse

Die erste Frage, die man sich in diesem Zusammenhang stellen muss ist: Wann dürfen Daten weiter verarbeitet werden? Als Antwort gelten die sog. „Erlaubnistatbestände“ und hierfür gibt es zwei grundlegend verschiedene Situationen: Ohne und mit Einwilligung des Kunden:

  1. Ohne Einwilligung des Endkunden …
    … dürfen die Daten in folgenden Fällen verarbeitet werden:

    1. Wenn die Datenverarbeitung der Erfüllung der vertraglichen Pflichten dient.
      Sprich: Wenn die Bestellung abgewickelt wird und dafür beispielsweise die Daten in das Warenwirtschaftssystem wandern.
    2. Bei Beantwortung vorvertraglicher Anfragen
      Beispiel: Wenn jemand das Kontaktformular auf der Webseite zu einer individuellen Anfrage ausfüllt.
    3. Zur Erfüllung der gesetzlichen Verpflichtungen
      Beispielsweise müssen für die Steuer Rechnungen aufbewahrt werden.
    4. Wenn ein berechtigtes Interesse des Unternehmers (also des Online-Händlers) besteht.
      Das sog. berechtigte Interesse ist zwar in der DGSVO beschrieben, allerdings kann man es verschieden auslegen. Die Werbeinteressen können als „berechtigtes Interesse“ gelten, allerdings gibt könnte man den Gesetzestext auch anders auslegen.
  2. Mit Einwilligung des Kunden …
    … dürfen die Daten prinzipiell weiterverarbeitet werden. Gerade, weil es zu dem berechtigten Interesse noch keine Referenz-Fälle gibt (Es ist ja schließlich ein neues Gesetz, d.h. es gibt noch keine zurückliegende Rechtsprechung), sollte man als Online-Händler auf Nummer sicher gehen und im Zweifelsfall die Einwilligung des Kunden einholen.

Einwilligungsprozesse

Zwar kann die Einwilligung elektronisch, schriftlich oder mündlich erfolgen, allerdings muss man sie als Unternehmen in Zukunft nachweisen können. Holt man sich die Einwilligung des Kunden ab, so ist also auf folgende Punkte zu achten:

  • Die Einwilligung muss schriftlich oder digital protokolliert sein.
  • Bei digitalen Einwilligungen muss das Double-Opt-In-Verfahren angewandt werden.
  • Der „Betroffene“ (also der Endkunde) muss bei der Einwilligung auf sein Widerrufsrecht hingewiesen werden.

5. Überarbeitung der Rechtstexte (insb. die Datenschutzerklärung)

Wie in diesem Artikel beschrieben, müssen also verschiedene Dinge beachtet werden. Dies wirkt sich natürlich auch auf die Rechtstexte aus. Außerdem gibt es, wie schon bei den Einwilligungsprozessen erwähnt, neue Informationspflichten. Folgendes sollte überarbeitet werden:

  • Datenschutzinformationen müssen überarbeitet werden.
  • Einwilligungstexte müssen neu verfasst werden.
  • AGBs müssen eventuell angepasst werden
  • Der Kunde ist darüber hinaus über Zwecke und Rechtsgrundlagen der Datenverarbeitung zu informieren
  • Über das Bestehen verschiedener (neuer) Rechte der Kunde zu informieren. Also über das Auskunfts-, Löschungs-, Berichtigungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrecht, das Recht auf Übertragbarkeit und das Recht auf Beschwerde bei einer Aufsichtsbehörde

Die Datenschutzerklärung muss in jedem Fall überarbeitet und an das neue Recht angepasst werden. Auf Details möchte ich an dieser Stelle nicht eingehen, da dies von jedem Shop individuell gehandhabt werden muss. Ob die AGBs überarbeitet werden müssen, muss ebenfalls individuell geprüft werden.

Tipp: Spezialisierte Rechtsberater oder Kanzleien anfragen

Viele Onlinehändler stehen mit der DGSVO vor den selben Herausforderungen. Sicherlich werden die Daten in jedem Shopsystem von Händlern unterschiedlich gehandhabt, aber im Großen und ganzen sind die Anforderungen an rechtssicheren Texten und Prozessen sehr sehr ähnlich.

Zum Glück gibt es Anbieter, die das Leben ein wenig erleichtern und mit denen man guten Gewissens auch nach dem 25. Mai 2018 schlafen kann. Folgend ein paar dieser Anbieter bzw. Pakete, mit denen ich gute Erfahrungen gemacht habe:

1. Abmahnschutz-Paket „Enterprise“ (von TrustedShops)

Zusammengefasst ein Service für die Erstellung aller Rechtstexte (AGB, Impressum, Datenschutz und Widerrufs-Texte), Erstellung einer DGSVO-konforme Datenschutzerklärung über einen Generator.
Vorteilhaft: TrustedShops übernimmt die Haftung für die Texte und stellt anwaltliche Hilfe zur Verfügung.
Praktisch: Es gibt einen Update-Service und Rechtsberatung vom Juristen am Telefon.
Für die Erstellen eines Verfahrensverzeichnis wird ein Tool bereit gestellt.
Preise:

€99,89 mtl. für Nicht-Mitglieder von TrustedShops
€80,- mtl. für Mitglieder

Weitere Infos gibt es direkt bei TrustedShops:

2. DSGVO-Schutz (von TrustedShops)

Für alle, die vor allem das Thema Rechts-Texte selbst in die Hand nehmen möchten, empfiehlt sich der „normale“ DSGVO-Schutz von TrustedShops.
Vorteil ist der günstiger Preis, Hauptnachteil ist sicher der, dass der Service nicht so ausgeprägt ist wie bei dem Enterprise-Paket, TrustedShops keine Haftung übernimmt und auch nicht die anwaltliche Hilfe bereit stellt, sollte es zu einer Abmahung kommen.

Preis: €80,- mtl. (nur für Mitglieder)

Weitere Details zum DSGVO-Schutz von TrustedShops gibt es auf der speziell dafür angelegten Landingpage.

3. Schutzpakete der IT-Recht-Kanzlei München

Hier gibt es verschiedene Varianten, die auch die Rechtssicherheit zur Datenschutz-Grundverordnung mit einschließen (Fit für die Datenschutz-Grundverordnung 2018) Weitere Informationen gibt es auf der Webseite der IT-Recht-Kanzlei München.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert