Die Einführung der EU-weiten Datenschutzgrundverordnung sorgt bei vielen für Bauchschmerzen.
Sicher ist es nicht einfach, sich durch die Mengen an Informationen zu wühlen. Deshalb bieten wir Ihnen diesen Service, damit Sie eine schnelle Übersicht bekommen.
Verarbeitungsverbot mit Erlaubnisvorbehalt
Nach dem geltenden deutschen Datenschutzrecht und der DSGVO dürfen Daten nur verarbeitet werden, wenn der Betroffene dies ausdrücklich gestattet oder eine gesetzliche Legitimation zugunsten des Verantwortlichen eingreift.
Erfolgt eine Datenverarbeitung ohne privatautonome oder gesetzliche Berechtigung, ist der Vorgang nach deutschem und europäischen Leitbild rechtswidrig.
Simplizitätsgebot: der Widerruf der Einwilligung muss in Zukunft genau so einfach sein wie ihre Erteilung.
Was ist mit den Daten und Einwilligungen, die vor dem 25.05.2018 eingeholt wurden?
Sind die Daten nach den Bedingungen der DSGVO eingeholt worden, dürfen Sie weiter verwendet werden. Die maßgeblichen Einwilligungserfordernisse nach geltendem und neuem Recht in Deutschland, überschneiden sich mit der DSGVO.
Das bedeutet: Die im Online-Handel eingeholten Daten, für die bereits eine Einwilligung vorliegt, dürfen weiter verarbeitet werden. (Double-Opt-In Verfahren, oder Checkboxen etc.).
Die Prinzipien der Datensparsamkeit und zweckgebundenen Verarbeitung erfordern:
Erhobene Daten dürfen nur für den festgelegten Zweck verwendet werden. Eine Weiterverarbeitung (über den vereinbarten Zweck hinaus) oder Umwidmung ist grundsätzlich untersagt.
Zu gewährleisten ist die Datensicherheit
Das Sicherheitsniveau muss dabei dem jeweiligen Gefahrenpotenzial angemessen angepasst sein.
Berichtigungs- und Löschungsrecht
Wie im deutschen Recht gilt auch in der DSGVO ein Berichtigungs- und Löschungsanspruch.
Voraussetzungen und Grundlagen wurden reformiert.
Während eine Berichtigung, zu der ausdrücklich auch die Vervollständigung gezählt wird, nach Art. 16 DSGVO dann verlangt werden kann, wenn die erhobenen Daten unrichtig sind, muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn
Empfehlenswert für Online-Händler: Eine geeignete Protokollierung ihrer Verarbeitungssysteme und Nutzungsumfänge.
Im Zweifel können sie damit beweisen, dass eine kontinuierliche und gewissenhafte autonome Ausrichtung nach den geltenden Leitlinien erfolgt ist und weiterhin erfolgt.
Auskunftsrecht nach Art. 15 DSGVO
Zukünftig wird der Umfang der Auskünfte für sie erweitert:
Auf Antrag sind dem Betroffenen, dessen Daten erwiesenermaßen erhoben wurden, folgende Auskünfte zu erteilen:
Gleichzeitig werden sie im Falle des Auskunftsverlangens künftig verpflichtet sein, den Informationen eine Kopie sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung sind, beizustellen, und so die von der Auskunftspflicht umfassten Datenkategorien zu konkretisieren.
Online-Händler werden demnach gehalten sein, digitale Verzeichnisse anzulegen, in denen für jeden Betroffenen die individuell erhobenen Daten hinterlegt sind, damit diese im Falle der Geltendmachung von Auskunftsrechten zielgerichtet übermittelt werden können.
Erfolgt der Antrag – wie im Online-Handel regelmäßig – elektronisch, so sind die Informationen ebenfalls in einem gängigen elektronischen Format (bspw. per Mail) bereitzustellen.
Für die Auskünfte haben Online-Händler 30 Tage Zeit.
Verarbeitungsprozesse sollen fair und für den Betroffenen transparent gemacht werden.
Die Pflicht zur situationsbedingten Belehrung (Pop-Ups) vor jeglicher Datenverarbeitung entfällt, wenn der jeweils Betroffene über alle maßgeblichen Informationen bereits verfügt.
Im Bereich der Telemediendienste – also auch im Online-Handel – wird es also auch zukünftig erlaubt sein, anstelle einer verarbeitungsabhängigen Information von einer generellen Datenschutzerklärung Gebrauch zu machen.
Die Datenschutzerklärung muss über alle datenschutzrelevanten Umstände aufklären.
Wichtig ist:
Erweiterung der Pflichtinhalte
Der Umfang an zwingend bereitzustellenden Angaben wird wesentlich erweitert:
Bei jeder Internet-Präsenz ist eine vollständige Überholung und Neufassung der Datenschutzerklärung von Nöten.
Das ergibt sich aus den Punkten Dauer der Datenspeicherung, Verwendung der Daten und das Beschwerderecht bei der Aufsichtsbehörde. Darüber müssen sie aufklären!
Nachdruck wird dem Ganzen durch die Bußgeldvorschriften verliehen. Erstmalig sind hier Beträge bis in Millionenhöhe vorgesehen.
Neu ist der datenschutzrechtliche Verantwortliche. Er sorgt für die Dokumentation und ist für Einhaltung sämtlicher Datenverarbeitungsprozesse verantwortlich.
Verpflichtende Verzeichnisse
Ab 2018 werden Verantwortliche somit grundsätzlich gehalten sein, schriftlich oder elektronisch (Abs. 3) Verzeichnisse anzulegen und zu führen, in welchen sämtliche der nachstehenden Angaben aufgeführt werden:
Hier gibt es Ausnahmen:
Weil im Online-Handel personenbezogene Daten regelmäßig erhoben werden, sollten sie ein solches Verzeichnis anlegen.
Das Verzeichnis ist "Betriebsintern" und muss nur den Aufsichtsbehörden vorgelegt werden. Da es also nach "außen" nicht auftritt, ist hier nicht mit Abmahnungen zu rechnen. Auch Kunden haben keinen Anspruch dieses Verzeichnis einzusehen, da es sich um Betriebsgeheimnisse handelt. Sollte es jedoch nicht vorgelegt werden können, ist mit einem Bußgeld der Datenschutzbehörde zu rechnen.
Das Verzeichnis ist als "Abstraktes Verzeichnis" zu führen. Die Beschreibung erfolgt als "genereller Vorgang", nicht für jeden einzelnen Kunden.
... bei mehr als 9 Mitarbeitern, die mit der Datenverarbeitung betraut sind
Wann benötigen sie einen Datenschutzbeauftragten?
Diese Bestimmung wurde gelockert.
Ein Datenschutzbeauftragter muss bestellt werden wenn:
oder
Es werden also viele Verantwortliche im Online-Handel nicht mehr zwingend gehalten sein, einen Datenschutzbeauftragten einzuschalten.
Insbesondere wird die personenmäßige Zahl der in einem Unternehmen mit Datenvorgängen Beschäftigten als pflichtauslösende Voraussetzung künftig entfallen.
Allerdings wird es in Deutschland generell dann zwingend sein, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 10 Personen ständig mit der Personendatenverarbeitung beschäftigen (Sonderrechtsfall).
Personendaten liegen bereits bei der Bestellung von Produkten vor. Die "Verarbeitung" beginnt bei der bloßen Textverarbeitung, mittels PC.
Es scheint vieles dafür zu sprechen, den E-Commerce, in welchem die Erhebung von personenbezogenen Daten als erstes zur Abwicklung von Kausalgeschäften und in zweiter Linie zu Werbezwecken erfolgt, ohne dass aber vollumfängliche oder besonders sensible personenbezogene Daten verarbeitet würden, von der Bestellungspflicht im Allgemeinen auszunehmen ist.
Bleibt Abzuwarten ob der europäische Gesetzgeber die Kriterien, welche zur Ermittlung der art- und umfangsbasierten Überwachungsbedürftigkeit heranzuziehen und abzuwägen sind, in der Folgezeit noch konkretisiert.
Liegen bei ihnen die verschärften Voraussetzungen für die verpflichtende Bestellung nicht vor, können sie auch zukünftig entscheiden, ob sie freiwillig einen Datenschutzbeauftragten einschalten.
Unser B2B-Angebot richtet sich ausschließlich an Unternehmen, Gewerbetreibende und Freiberufler!