Steven-Team
Steven

01. Mrz 2021 · 12 min Lesezeit

Thema: E-Commerce

DSGVO Checkliste: 8 wichtige Aspekte für Onlinehändler

In diesem Blogbeitrag gehen wir auf die Keyfacts zur EU-Datenschutzgrundverordnung (DSGVO) sowie auf die Änderungen und Pflichten für Onlineshopbetreiber ein. Damit ihr überprüfen könnt, ob ihr als Onlinehändler alle zentralen Anforderungen erfüllt, bieten wir euch zudem am Ende des Beitrags eine DSGVO Checkliste. Hierbei vertiefen wir den ein oder anderen Punkt, der speziell für den Onlinehandel bedeutend ist.

Inhalt

  1. Ziele und allgemeine Bestimmungen der DSGVO
  2. Wichtige Änderungen bei Cookies
  3. Eprivacy Verordnung 2020
  4. DSGVO Checkliste
  5. Dokumentation und Transparenz haben höchste Priorität
DSVGO

Ziele und allgemeine Bestimmungen der DSGVO

Mit der DSGVO wurden im April 2017 neue Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (u.a. Name, Adresse, Telefonnummer, IP-Adresse) festgelegt. Ebenfalls wurde der Schutz der Grundrechte und der Grundfreiheiten dieser Personen, insbesondere deren Recht auf Schutz ihrer Daten sowie der freie Verkehr personenbezogener Daten in der Union Gegenstand der Verordnung. Wichtig ist zudem, dass sie sich auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten bezieht, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Für Onlineshopbetreiber ist hierbei noch von Bedeutung, dass die DSGVO im Art. 2 Absatz 4 die Richtlinie 2000/31/EG zur Verantwortlichkeit der Vermittler unberührt lässt.

Wer auf einen Blick wissen will, welche Ziele die Verordnung verfolgt, kann sich anderen folgenden Schlagworten orientieren:

  • Rechtmäßigkeit
  • Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität
  • Vertraulichkeit
  • Rechenschaftspflicht

Aufhorchen sollten Shopbetreiber außerdem, wenn es um den räumlichen Anwendungsbereich der Verordnung geht. Es gilt das Markt-Ort-Prinzip. Das bedeutet, dass sich alle Stellen, die personenbezogene Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der Europäischen Union verarbeiten, an die Vorgaben der DSGVO halten müssen.

Wichtige Änderungen bei Cookies

Seit dem 25. Mai 2018 gilt die DSGVO, anders als die EU-Richtlinien, handelt es sich um nationales Recht.

Ein zentraler Punkt für Unternehmen ist die Informationspflicht. Diese Veränderung lässt sich am Beispiel der Cookies gut verdeutlichen. Während Nutzer in Onlineshops zuvor oft nicht drum herumkamen, die Verwendung von Cookies mit einem Klick auf den „OK“ Button abzusegnen, um sich überhaupt weiter auf der Seite bewegen zu können, verbietet die neue Verordnung diese Handhabung.

Nutzer müssen ausführlich über die Verwendung von Cookies informiert werden und können sich anschließend auf Grundlage dieser Informationen entscheiden, ob sie diese akzeptierten möchten. Fällt die Entscheidung gegen Cookies aus, können sie sich trotzdem weiter auf den Seiten des Onlineshops bewegen. Hierzu wurde zeitgleich mit der DSGVO die ePrivacy Verordnung eingeführt.

In Bezug auf die Einwilligung ist zudem wichtig, dass Unternehmen nachweisen können müssen, dass die betroffene Person der Verarbeitung ihrer Daten zugestimmt hat. Von unverständlichen und irreführenden Texten sollte hierbei abgesehen werde, da die DSGVO eine verständliche und leicht zugängliche Form der Einwilligung vorschreibt und die Nutzer die Möglichkeit haben müssen, sie jederzeit zu widerrufen.

Werden Auflagen der DSGVO nicht erfüllt, drohen Unternehmen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – je nachdem was höher ausfällt. Hinzu kommen weitere Transparenzpflichten, die deutlich machen, dass der Fokus auf der Stärkung der Rechte von Nutzern liegt.

„Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden.“

— DSGVO Erwägungsgrund 58

Unternehmen, die mit einer großen Menge an Daten arbeiten, sollten außerdem darüber nachdenken, das Personal an Datenschutzexperten aufzustocken. Denn die Einhaltung der Vorgaben allein ist nicht ausreichend, sie muss zudem nachweisbar sein. Hier besteht Rechenschaftspflicht. Mehr dazu in der DSGVO Checkliste.

Eprivacy Verordnung 2020

Ursprünglich sollte die neue EPrivacy Verordnung bereits 2018 mit der neuen EU-Datenschutzgrundverordnung (DSGVO) in Kraft treten, jedoch verzögerte sich die Veröffentlichung der ePVO auf unbestimmte Zeit. Nachdem die Eprivacy Verordnung auch Ende 2020 erneut zu keiner Einigung der EU-Mitgliedsstaaten gekommen war, verschoben sich die Verhandlungen weiter.

ePrivacy Verordnung. Die ePrivacy Verordnung ist eine Datenschutzverordnung für klassische und neue Kommunikationsdienste wie WhatsApp, Gmail oder auch Dating Apps. Die Neuerungen haben insbesondere Auswirkung auf die kommerzielle Überwachung, die viele Unternehmen als Geschäftsmodell verfolgen.

Auch bei der ePVO handelt es sich, wie die DSGVO, um eine Verordnung, welche, sofern sie in Kraft tritt, unverzüglich gesetzlich wirkungsvoll wird.

Sie soll einen noch besseren Schutz von personenbezogenen Daten sowie strengere Cookie-Regelungen umfassen. Zudem sollen Cookie-Regelungen auch im Interesse von Website- und Shopbetreibern sein und ihnen mehr Rechtsgrundlage sowie neue Handlungsspielräume schaffen. Auch das umstrittene Nutzer-Tracking soll im neuen Entwurf aufgegriffen werden.

dsgvo checkliste
DSGVO concept illustration. Idea of data protection by legal-tech

DSGVO Checkliste

1. Dokumentation der DSGVO Umsetzung

Das ist wohl einer der ersten Schritte, den alle Unternehmen vornehmen sollten: Die Umsetzung der Datenschutzgrundverordnung muss nicht nur erfolgen, sondern auch dokumentiert und nachgewiesen werden. Die Unterlagen dafür müssen bereitliegen, falls die Aufsichtsbehörde diese sehen will.

2. Datenschutzerklärung auf jeder Seite – klar verständlich und gut platziert 

Die Nutzer eines Onlineshops müssen auf jeder Seite die Möglichkeit haben, ohne viel Aufwand und Suchen zur Datenschutzerklärung zu gelangen. Das bedeutet auch, einen separaten Link einzurichten und nicht zusammen mit den AGB auf die Datenschutzerklärung zu verweisen. Die DSGVO legt Wert auf Transparenz!

3. Vollständige Datenschutzerklärung 

Nehmt euch Zeit und vervollständigt eure Datenschutzerklärung sorgfältig, denn Informationspflicht ist angesagt! Die neue DSGVO gibt vor, welche Inhalte die Datenschutzerklärung in Zukunft umfassen muss. Darunter fallen beispielsweise die berechtigten Interessen für die Datenverarbeitung mit einer separaten Widerspruchsbelehrung oder auch Löschfristen und die Kriterien für deren Festlegung.

4. Verzeichnis von Verarbeitungstätigkeiten 

Musste bisher die Aufsichtsbehörde dem Unternehmen nachweisen, dass ein Verstoß gegen den Datenschutz besteht, wird der Spieß nun umgedreht: Der Onlinehändler ist dazu verpflichtet die Verarbeitungstätigkeiten in Form eines Verzeichnisses festzuhalten und auf Anfrage vorzulegen. Es gilt der Grundsatz der Rechenschaftspflicht und eine umfassende Dokumentationspflicht steht an. Diese Rechenschaftspflicht bezieht sich auch auf die Grundsätze für die Verarbeitung personenbezogener Daten, wie unter anderem die Zweckbindung oder die Datenminimierung.

5. Interessenabwägungen von Datenverarbeitungsvorgängen

Abgesehen von der Dokumentation der Datenverarbeitungstätigkeiten, sind Onlinehändler in Zukunft auch dazu verpflichtet, ihr berechtigtes Interesse an den jeweiligen Datenverarbeitungsvorgängen (z.B. Einsatz von Cookies) abzuwägen. Diese Abwägung muss ebenfalls dokumentiert werden und ist auf Anfrage der Aufsichtsbehörde auch vorzulegen.

Wer jetzt bedenken hat, keine Cookies oder ähnliche Tools mehr einsetzen zu können, dem können wir Entwarnung geben: Als berechtigtes Interesse versteht sich jedes wirtschaftliche oder ideelle Interesse, das nicht gegen das Gesetzt verstößt und vor dem Hintergrund der Datensparsamkeit steht. Genauere Angaben macht die DSGVO dazu im Artikel 6.

6.  Benennung des Datenschutzbeauftragten

… sofern überhaupt einer benötigt wird. Die Antwort auf die Frage, ob ein Datenschutzbeauftragter beschäftigt werden muss, hängt davon ab, wie viele Personen am regelmäßigen Umgang mit personenbezogenen Daten beteiligt sind. Beträgt die Anzahl unter 10 Personen, muss kein Datenschutzbeauftragter beschäftigt werden. Ist ein Datenschutzbeauftragter beschäftigt, sollten dessen Kontaktdaten in der Datenschutzerklärung enthalten sein.

7. Verträge zur Auftragsdatenverarbeitung (ADV) aktualisieren 

Um die zukünftigen Pflichten einhalten zu können, müssen auch neue Vereinbarungen mit den Vertragspartnern getroffen werden, die im Auftrag Daten der Onlinehändler verarbeiten. Es bietet sich hierbei an, mit bereits bestehenden Vertragspartnern Ergänzungsvereinbarungen zu schließen. Welche Pflichten sich für Auftraggeber und Auftragsverarbeiter ergeben, wird in Artikel 28 genau aufgeführt.

8. Freiwillige Einwilligungen inklusive Widerrufsrecht 

Jede Art von Datenverarbeitung – die nicht allein durch die Gesetzeslage erlaubt ist – muss von den Nutzern des Onlineshops bewilligt werden. Onlinehändler müssen daher ausdrückliche Einwilligungen einholen, bei denen die Kunden sich im Klaren sind, wofür sie eine Einwilligung abgeben (z.B. Newsletter Abonnement, Eröffnung eines Kundenkontos). Zudem muss der Kunde über ein Widerrufsrecht dieser Einwilligung aufgeklärt werden und dieses auch ohne Hindernisse in Anspruch nehmen können. (Artikel 7)

Dokumentation und Transparenz haben höchste Priorität

Die DSGVO wird ziemlich deutlich: Für Onlinehändler bedeutet die Verordnung vor allem dokumentieren und informieren, was das Zeug hält. Für die Nutzer bedeutet sie in erster Linie Transparenz, was mit ihren Daten im Internet geschieht.

Wer sich als Onlinehändler an die Punkte unserer DSGVO Checkliste hält und sich gezielt damit auseinandersetzt, wird mit der Umsetzung der Verordnung keinerlei Probleme haben.

Quellen:

DSGVO, eTrustedBayLDA, onlinesolutionsgroup, deubner-steuern,

Steven-Team
Geschrieben vonSteven

Aktuelle Beiträge

E-CommerceMageSuite

MageSuite – Content Commerce System

Was ist MageSuite? Grundlegend handelt es sich um ein leistungsstarkes Content-Managemen...

Toni
Geschrieben von Antonia - SEO & Online Marketing

12.09.2022 - 7 min Lesezeit

Hier haben wir eine Hinweis einblendung an bestimmte Stellen?

Hotline: 08031 581 799 0 · kontakt@unifiedarts.de