Seit dem 25. Mai 2018 müssen alle, die personenbezogene Daten verarbeiten, die Datenschutz-Grundverordnung (DSGVO) beachten. Online-Händler, die hierzu gehören, sind verpflichtet, die neuen gesetzlichen Vorschriften in ihrem Shop umzusetzen.

Damit Sie überprüfen können, welche Schritte Sie bei der Umsetzung schon abhaken können und an welcher Stelle noch Anpassungsbedarf besteht, haben wir eine Checkliste mit den wichtigsten Änderungen durch die DSGVO zusammengestellt.

1.) Datenschutzerklärung aktualisieren

Jeder Online-Händler ist verpflichtet, eine Datenschutzerklärung auf seiner Shop-Webseite bereitzustellen. Damit diese den neuen Anforderungen der DSGVO gerecht wird, sollten Online-Händler überprüfen, ob in ihrer Datenschutzerklärung alle Pflichtinformationen (Art. 13 DSGVO) enthalten sind. Es muss z.B. darüber informiert werden zu welchem Zweck personenbezogene Daten erhoben werden und wer der Empfänger der Daten ist, falls diese an Dritte weitergeleitet werden. Sofern ein Datenschutzbeauftragter im Unternehmen vorhanden ist, gibt es eine Pflicht zur Nennung seine (E-Mail)-Kontaktdaten. Informiert werden muss auch über die Speicherfristen. Der Link zur Datenschutzerklärung sollte ähnlich wie das Impressum leicht auffindbar sein und möglichst über die Startseite der Webseite erreichbar sein. Dabei ist darauf zu achten, dass die technischen Erläuterungen im Text präzise und zugleich verständlich sein müssen.

 2.) Verzeichnis von Verarbeitungstätigkeiten

Um die Einhaltung der Datenschutzgrundsätze nachweisen zu können, müssen Online-Händler ein Verzeichnis von Verarbeitungstätigkeiten führen. Dabei handelt es sich im Grundsatz um nichts anderes als das Verfahrensverzeichnis, das Online-Händler bisher auch führen mussten. Wenn es jedoch fehlt oder nicht auf dem aktuellen Stand ist, können Aufsichtsbehörden schmerzhaft hohe Strafen verhängen. Das Verarbeitungsverzeichnis sollte am Besten in Tabellenform geführt werden. Die Auflistung sollte in verschiedene Kategorien unterteilt werden wie, wann, und warum im Unternehmen welche Daten erhoben werden. Das gilt sowohl für Kundendaten als auch für interne Daten, wie Mitarbeiterdaten.

Das Anfertigen und Führen eines Verarbeitungsverzeichnisses ist keine einmalige, sondern fortlaufende Arbeit. Wenn sich etwas an einem Verfahren ändert oder ein neues Verfahren hinzukommt, muss das Verzeichnis aktualisiert werden.

Wir unterstützen Sie bei dieser Arbeit.

3.) Technische und organisatorische Maßnahmen

Neben der Webseite sollten Online-Händler dafür sorgen, dass der Schutz und die Sicherheit der personenbezogenen Daten, die im Unternehmen verarbeitet werden, gewährleistet ist. Wenn keine besonders sensiblen Daten (z.B. Gesundheitsdaten, Daten zur sexuellen Orientierung oder politische Meinungen) gespeichert werden, sind im Regelfall Standardmaßnahmen ausreichend.

Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Um eine hinreichende Datensicherheit zu gewährleisten, muss die Shop-Webseite SSL- verschlüsselt sein. Online-Händler sollten eine Übersicht erstellen, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

Mehr zur den technischen und organisatorischen Maßnahmen erfahren Sie hier.

 4.) DSGVO-konforme Einwilligungen einholen

E-Mail Marketing Maßnahmen sind bei Online-Händlern ein beliebtes Werbemittel. Durch die DSGVO hat sich an der Zulässigkeit dieser Maßnahmen nicht viel geändert. Weiterhin basiert die Verarbeitung personenbezogener Daten zu Werbezwecken auf einer Einwilligung des Empfängers. Online-Händler, die z.B. einen Newsletter versenden, müssen darauf achten, dass die Einwilligung mittels Double-Opt-In Verfahrens (Opt-In-Bestellung und Opt-In Bestätigungsmail, dass Newsletter bestellt werden soll) eingeholt und protokolliert wurde. Weiterhin muss der Adressat des Newsletters vor der Erklärung seiner Einwilligung darüber informiert werden, worin er einwilligt. Wichtig ist auch, dass der Empfänger vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen wird.

5.) Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn ständig 10 oder mehr Personen mit der automatisierten Verarbeitung von Daten befasst sind. Die Voraussetzungen unter denen ein Datenschutzbeauftragter zu bestellen ist, sind erweitert worden. Es ist auch Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn im Unternehmen als Kerntätigkeit besonders sensible Daten (z.B. Daten zur sexuellen Orientierung, Gesundheitsdaten) gesammelt werden. Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Dies gilt auch für den Leiter der IT-Abteilung. Voraussetzung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.

Mehr zum Datenschutzbeauftragten erfahren Sie hier.

6.) Neue Pflichten für Händler

Die DSGVO sieht weitere neue Pflichten für Händler vor wie z.B.  die Pflicht Auskunftsanfragen von Nutzern zu beantworten, die Einhaltung von Löschungsfristen („Recht auf Vergessenwerden“) oder die Herausgabe von gespeicherten personenbezogenen Daten in strukturierter, maschinenlesbaren Format (Recht des Betroffenen auf Datenübertragbarkeit). Weiterhin müssen Online-Händler der Meldepflicht nachkommen. Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, müssen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Außerdem müssen die von der Datenschutzrechtsverletzung Betroffenen informiert werden, wenn der Vorfall voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Wir unterstützen Sie bei der Umsetzung des Auskunfts- und Löschverlangens.

7.) Auftragsverarbeitung

Wer einen Dienstleister mit der Verarbeitung von Daten beauftragt, benötigt dafür eine korrekte Vereinbarung zur „Auftragsverarbeitung“ (früher: Auftragsdatenverarbeitung). Ein solcher Dienstleister kann beispielsweise ein externes Lohnbüro, ein Newsletter-Versanddienst oder ein Web-Analysedienst („Google Analytics“) sein. Zahlungsdienste wie z.B. PayPal werden nicht als Auftragsverarbeiter eingestuft, da bei ihnen fremde Dienstleistungen in Anspruch genommen werden, bei der keine aktive Verarbeitung der Daten übernommen wird.

Neben einer wirksamen Vereinbarung ist Voraussetzung für die Vergabe zur Auftragsverarbeitung, dass der Auftragnehmer „geeignete technische und organisatorische Maßnahmen“ zur Einhaltung der datenschutzrechtlichen Bestimmungen gewährleistet.

Bislang war für eine Vereinbarung zur Auftragsdatenvereinbarung Schriftform (Papier mit Unterschrift) vorgeschrieben. Mit der DSGVO werden auch elektronisch abgeschlossene Vereinbarungen möglich. 

Fazit

Kein Online-Händler kommt an der DSGVO vorbei. Auch wenn die DSGVO schon seit einigen Wochen gilt, müssen Online-Händler sich darüber informieren, welche neue Änderungen umgesetzt werden müssen, um keine Abmahnungen oder Bußgelder zu riskieren.