Einzelhandel und Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 endet die 2-jährige Übergangsfrist, sodass die EU-Datenschutzgrundverordnung (DSGVO) dann für alle Unternehmen verbindlich gilt. Was sich für den Einzelhändler im Umgang mit personenbezogenen Daten ändert und wie er sich vor möglichen Abmahnungen schützen kann, erfuhren am 20. Februar rund 30 Teilnehmer beim Workshop des Einzelhandelslabors Südwestfalen in Sundern. Anhand zahlreicher Praxisbeispiele zeigte Referent Martin Rätze von Trusted Shops, was Unternehmer bei der neuen Verordnung berücksichtigen müssen.

 

Martin Rätze von Trusted Shops klärt die rund 30 Teilnehmer über die neue Datenschutzgrundverordnung (DSGVO) auf.

Natürliche Personen bei der Verarbeitung personenbezogener Daten schützen

Die EU-Datenschutzgrundverordnung (DSGVO) ist bereits am 27. April 2016 in Kraft getreten, gilt aber erst ab dem 25. Mai 2018 – nach zweijähriger Übergangsfrist – für alle Unternehmen verbindlich. Das Datenschutzrecht soll an die technische Entwicklung angeglichen werden und für ein einheitliches Datenschutzniveau innerhalb der europäischen Union sorgen. Vorrangig geht es darum, Personen durch die zunehmende Digitalisierung und dem wachsenden E-Commerce, vor Datenmissbrauch zu schützen. Dabei geht es um personenbezogene Daten, wie Name, Geburtsdatum oder IP-Adresse. Grundsätzlich ist eine Datenverarbeitung nach Artikel 5 der DSGVO verboten, es sei denn, sie ist z. B. durch Einwilligung der Person oder gesetzliche Grundlagen erlaubt.

Ab dem 25. Mai sind Unternehmer in der Beweispflicht

Bisher musste die Datenschutzbehörde mögliche Verstöße gegen den Datenschutz dem Unternehmer nachweisen. Das ändert sich nun. Ab dem 25. Mai 2018 muss der Unternehmer nachweisen können, dass er sich an die Datenschutzvorschriften hält (Art. 5 Abs. 2 DSGVO). Wer die Einhaltung der Vorschriften nicht nachweisen kann, dem drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Umfangreiche Dokumentationspflichten für Unternehmer

Gemäß dem Motto „Wer schreibt, der bleibt“, gelten für den Unternehmer durch die DSGVO nunmehr umfangreiche Dokumentationspflichten. Dazu gehören:

  • Verzeichnis von Verarbeitungstätigkeiten*
  • Interessensabwägungen
  • Datenschutzerklärung
  • Reaktionsplan bei Datenschutzverletzungen
  • ggfs. Datenschutz-Folgeabschätzungen
  • Vorbereitungen auf Geltendmachung von Rechten der Betroffenen

*Das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten betrifft grundsätzlich nur Unternehmen mit über 250 Mitarbeitern (Art 30 Abs. 5 DSGVO) und u. a. alle Unternehmen, die personenbezogene Daten so verarbeiten, dass sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (z. B. Scoring und Überwachungsmaßnahmen) oder die, welche Daten nicht nur gelegentlich erheben (z. B. die regelmäßige Verarbeitung von Kunden- und Beschäftigtendaten) – daher dürfte der Online-Handel durch die Bonitätsprüfung sowie die regelmäßige Erhebung von Kundendaten auch bei weniger Mitarbeitern stets ein Verarbeitungsverzeichnis erstellen müssen. Gleiches gilt für Unternehmen, die Kundenprogramme (z. B. eine Kundenkarte) oder Kartenzahlung anbieten. Da in der DSGVO nicht genau benannt wird, was eine „nur gelegentliche Datenverarbeitung“ bedeutet, empfehlen wir Unternehmen, die  z. B. nur monatlich einen Newsletter versenden ein Verzeichnis von Verarbeitungstätigkeiten anzulegen.

Form und Inhalt des Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis kann schriftlich oder elektronisch erstellt werden und sollte folgende Punkte beinhalten:

  • Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien der betroffenen Personen und der personenbezogenen Daten
  • Kategorien der Datenempfänger
  • Angaben zu Übermittlungen in ein Drittland
  • Löschfristen der verschiedenen Datenkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen

Wie so ein Verzeichnis in der Praxis aussehen könnte, zeigt das abgebildete Musterbeispiel (s. Abbildung).

Beispiel: Verarbeitungsverzeichnis für den Versand eines Online-Newsletters (Quelle: Trusted Shops)

Wie darf man Cookies in Zukunft einsetzen?

Cookies sind kleine gespeicherte Datensätze, die es ermöglichen den Nutzer und seine Rechnereinstellungen wiederzuerkennen. U. a. sind Cookies beim Onlinekauf notwendig, da der gesamte Warenbestellprozesses einer identifizierbaren Person zugeordnet werden muss. Cookies werden aber auch zur Website-Analyse genutzt. Mithilfe der Cookies kann der Betreiber der Website sehen, wann und wie seine Websites besucht werden. Der Unternehmer kann dann die Website anhand des Nutzerverhaltens optimieren.

Ob Cookies eingesetzt werden dürfen, ist mittels einer dreistufigen Prüfung zu beantworten:

  • Gibt es ein berechtigtes Interesse des Online-Händlers?
  • Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
  • Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse. Hier einige Beispiele, bei denen die Interessenabwägung zugunsten des Händlers ausfällt:

Web-Analyse-Tools (Webtracking mit Hilfe von IP-Adressen und Cookies)

Personalisierte Werbung (Erscheinen von personalisierte Werbung (Adsense) auf besuchten Websites)

Angebot von Cross-Selling-Artikeln (Es werden dem Nutzer Waren angeboten, die ihn auch interessieren könnten)

Wichtig ist, dass auf der Website in der Datenschutzerklärung auf die Verwendung von Cookies hingewiesen wird und diese deaktiviert werden können. Ein Cookie-Banner ist rechtlich (noch) nicht notwendig. Vor allem lauert hier eine Abmahnfalle. Überlagert das Cookie-Banner z. B. den Link auf das Impressum, so droht sogar ein Bußgeld von bis zu 50.000 Euro. Das Impressum muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein!

Vorsicht bei Social Media PlugIns

Bereits heute gilt, dass direkte PlugIns der Social Media-Anbieter wie Facebook, Twitter etc. nicht eingesetzt werden dürfen, da dabei keine wirksame Einwilligung eingeholt werden kann. Schon beim Laden der Teilen-Buttons sendet der Browser persönliche Daten oder Cookies an die sozialen Dienste. Dies gilt auch für die häufig empfohlene „2-Klick-Lösung“. Die einzige Möglichkeit diese Falle rechtsicher zu umgehen, bietet die Verwendung sogenannter Shariff-Varianten. Hierbei werden, anders als bei den üblichen Share-Buttons, die Nutzer nicht direkt bei Besuch der Webseite verfolgt.

Was muss bei Formularen berücksichtigt werden?

Es gibt eine Vielzahl von Formularen in Onlineshops (u. a. Kontaktformulare, Chatfunktionen, Zahlungsformulare oder Freitextformulare). Für alle Formulare gilt der Grundsatz der Vertraulichkeit und Integrität:

  • Personenbezogene Daten müssen sicher erhoben und verarbeitet werden
  • Zugriff auf diese Daten durch Dritte muss ausgeschlossen sein
  • Daraus folgt, dass alle Formulare im Shop verschlüsselt sein müssen!

Zwingend notwendige Angaben, sogenannte Pflichtfelder, müssen gekennzeichnet werden (z. B. durch einen Stern oder dem Zusatz „notwendig“). Darüber hinaus muss in der Datenschutzerklärung stehen, was mit den Daten, die über solche Formulare erhoben werden, passiert („zur Vertragsabwicklung“, „zur Beantwortung Ihrer Frage“, Speicherdauer etc.).

Tipp: Verzichten Sie auf Freifeldformulare beim Bestellprozess. Dortige Einträge des Kunden können durchaus Auswirkungen auf Vertragsinhalte haben.

Wie formuliere ich die Einwilligung?

Die Einwilligung ist das A und O im Datenschutzrecht. Besonders beim Versand von Werbung per E-Mail oder Newslettern ist die Einwilligung des Kunden zwingend notwendig. Jede Form der Kommunikation, die (un)mittelbar der Absatzförderung oder der Imagepflege eines Unternehmens dient, ist Werbung. Darunter fallen z. B. folgende E-Mails:

  • Bewertungsaufforderungen
  • Bestellabbrecher-Mails
  • Geburtstagsglückwünsche an Kunden
  • Weihnachts-, Oster-Mailings
  • Tell-a-Friend-Mails

Nur bei einer unmissverständlichen abgegebener Willenserklärung, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist, darf Werbung per E-Mail versendet werden. Einwilligungen von Kindern unter 16 Jahren sind durch die neue DSGVO nicht mehr erlaubt. Ebenfalls wird es ein Kopplungsverbot geben. So darf z. B. bei Betätigung des „Bestellbuttons“ nicht gleichzeitig die Einwilligung für ein Newsletter-Abo eingeholt werden. Darüber hinaus muss das werbende Unternehmen klar benennen, für welchen Produktbereich und welche Werbemaßnahmen die Einwilligung gilt. So ist z. B. die Eingrenzung des zu bewerbenden Sortiments auf die Themen „Leben und Wohnen“ zu unbestimmt und somit unwirksam (OLG Düsseldorf, Urt. v. 24.4.2012, I-20 U 128/11).

Der Versender muss das Vorliegen der Einwilligung nachweisen (Art. 7 Abs. 1 DSGVO)! Daher sollten werbende Unternehmen am besten das „Double Opt-In-Verfahren“ (s. Abbildung) anwenden, da hier die Einwilligung des Kunden genau protokolliert wird.

Grundsätzlich bleiben auch alte Einwilligungen nach dem 25. Mai 2018 wirksam. Nur wenn folgende Bedingungen der DSGVO nicht erfüllt werden, gelten bisher erteilte Einwilligungen nicht fort:

  • Freiwilligkeit (Kopplungsverbot)
  • Altersgrenze: 16 Jahre

Tipp: Wenn Sie das Alter Ihrer Kunden wissen, Einwilligungen bestätigen lassen, wenn die Kunden bei der ursprünglichen Einwilligung unter 16 Jahre alt waren.

Mit dem Double-Opt-In-Verfahren sind Sie auf der sicheren Seite.

Welche weiteren Pflichten sind im Rahmen der DSGVO zu berücksichtigen?

Teilweise sind Verantwortliche in der Pflicht eine Datenschutz-Folgenabschätzung (Art. 35 Abs.1 DSGVO) durchzuführen. In der Datenschutzerklärung muss dann über die Tragweite und angestrebte Auswirkung der Datenverarbeitung informiert werden. Sofern vorhanden, muss ebenfalls der Rat des Datenschutzbeauftragten eingeholt werden. Eine Datenschutz-Folgenabschätzung ist z. B. beim Einsatz von Überwachungskameras erforderlich. Weitere Indizien für die Notwendigkeit einer Datenschutzfolgen-Abschätzung sind:

  • Scoring, Profiling (z. B. Bonitätsprüfung)
  • automatisierte Entscheidungen
  • systematische Überwachung
  • Verarbeitung besonderer Daten
  • umfangreiche Datenverarbeitungen
  • Zusammenführen oder Abgleichen von Datenbeständen
  • die Verarbeitung von Daten besonders schutzbedürftiger Personen
  • Verwendung neuer Technologien
  • Datenübermittlungen in Drittstaaten

Was muss eine Folgenabschätzung mindestens beinhalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Wichtige Hinweise für Verträge mit Auftragsverarbeitern (ADV-Verträge)

Arbeitet ein Unternehmen mit Dienstleistern (u. a. Newsletter-Versender, Shop-Hoster oder Bewertungssystemanbieter) zusammen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, sogenannte Auftragsverarbeiter, so muss eine entsprechende Vereinbarung geschlossen werden. Der Vertrag muss folgende Pflichten des Dienstleisters regeln:

  • Daten sind nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • es werden nur Mitarbeiter eingesetzt, die zur Vertraulichkeit verpflichtet sind
  • es werden erforderliche technische und organisatorische Maßnahmen getroffen
  • Unterauftragsnehmer sind nur mit schriftlicher Zustimmung einzusetzen
  • technische und/oder organisatorische Maßnahmen (TOMs) ermöglichen die Beantwortung der Anträge auf Wahrnehmung der Betroffenenrechte
  • Unterstützung bei der Meldung von Datenpannen und der Datenschutz-Folgenabschätzung
  • Daten werden gelöscht oder zurückgegeben nach Auftragsbeendigung
  • Zurverfügungstellung der erforderlichen Informationen an den Verantwortlichen zum Nachweis der Einhaltung der DSGVO und zur Durchführung von Audits, einschließlich Inspektionen

Tipp: Oft haben die Dienstleister aufgrund der der neuen Datenschutzgrundverordnung bereits eine entsprechende Vereinbarung als Vertragsdokument aufgesetzt. Fragen Sie daher am besten bei Ihrem Dienstleister nach.

Datenpannen – Melden macht frei!

Sollte es doch einmal zu einer Datenpanne (z. B. durch einen Hackerangriff oder Verlust eines Datenträgers) kommen, so muss die Datenschutzverletzung „unverzüglich und binnen 72 Stunden, nachdem die Verletzung bekannt wurde“ der Aufsichtsbehörde gemeldet werden. Die Meldung muss folgende Punkte beinhalten:

  • Beschreibung der Art der Datenschutzverletzung
  • Name und Kontaktdaten des Datenschutz-Beauftragten oder einer sonstigen Anlaufstelle
  • Beschreibung der wahrscheinlichen Verletzungsfolgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und ggf. Abmilderung ihrer möglichen Auswirkungen

Daten-Auskunftsrecht (Betroffenenrechte)

Kunden haben das Recht zu erfahren, ob ihre Daten seitens des Unternehmens verarbeitet werden. Das Auskunftsrecht der Betroffenen umfasst:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik, sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Der Betroffene hat das Recht auf eine Kopie seiner personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

Recht auf Löschung von personenbezogenen Daten (Vergessenwerden)

Der Kunde hat das Recht, dass personenbezogene Daten unverzüglich vom verantwortlichen Unternehmen gelöscht werden, sofern einer der folgenden Gründe zutrifft:

  • die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig
  • die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt
  • die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft von einer Person unter 16 Jahren erhoben

Wichtig ist auch, dass Dienstleister, denen personenbezogene Daten offengelegt wurden, über die Löschung der Daten seitens des Unternehmens informiert werden.

Widerspruchsrecht

Der Kunde muss jederzeit der Datenverarbeitung widersprechen können, „es sei denn, der Unternehmer kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.“

Der Widerspruch ist unverzüglich umzusetzen.

Wann wird ein Datenschutzbeauftragter benötigt?

Sollten im Unternehmen mindestens 10 Personen mit der Verarbeitung von personenbezogenen Daten betraut sein, ist ein Datenschutzbeauftragter zu bestellen. Inhaber und Geschäftsführer dürfen nicht zum Datenschutzbeauftragten ernannt werden. Muss eine Datenschutzfolgen-Abschätzung durchgeführt werden, müssen auch Unternehmen, bei denen weniger als 10 Personen mit der Datenverarbeitung zu tun haben, einen Datenschutzbeauftragten bestellen.

Datenübermittlung in Drittländer

Während Datenübertragungen in EU-Länder grundsätzlich aus datenschutzrechtlicher Sicht erlaubt sind, gilt dies für Drittländer nur, wenn diese ein gleichwertiges Datenschutzniveau haben wie es in Europa gilt. Folgende Kriterien müssen gegeben sein:

  • Feststellung eines angemessenen Datenschutzniveaus durch die Kommission, Art. 45 DSGVO
  • Vorhandensein geeigneter Garantien zur Einhaltung eines angemessenen Datenschutzniveaus, wie z. B. verbindliche Unternehmensregelungen oder Standardvertragsklauseln
  • Ausnahmereglungen, wann eine Übermittlung trotz Mangel eines angemessenen Datenschutzniveaus rechtmäßig sein kann – zum Beispiel bei ausdrücklicher Einwilligung der betroffenen Person

Unabhängig von den datenschutzrechtlichen Vorschriften sind natürlich die steuerrechtlichen Gesetze zu beachten, so sind aus steuerrechtlichen Gründen (§ 146 Abs. 2 Abgabenordnung) Rechnungen und Aufzeichnungen innerhalb Deutschlands aufzubewahren!

Anpassung der Datenschutzerklärung

Vergessen Sie nicht zum 25. Mai 2018 aufgrund der neuen Datenschutzgrundverordnung (DSGVO) Ihre Datenschutzerklärung zu überarbeiten. Hier eine kurze Übersicht mit Punkten, die gegebenenfalls in die Datenschutzerklärung gehören:

  • Name und Kontaktdaten des Verantwortlichen
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf berechtigten Interessen beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (z. B. Hinweis auf die allgemeinen Verjährungsfristen)
  • Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • wenn die Verarbeitung auf einer erteilten Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist

Fazit

„Letztendlich gilt beim Thema Datenschutz, nach wie vor, die Empfehlung zur Datensparsamkeit“, sagte Moderator Martin Rätze zum Ende des Workshops in Sundern.

Das Feedback der Workshop-Teilnehmer war durchweg positiv. „Das war sehr wertvoll! Selten habe ich ein Seminar gehabt bei dem ich den Eindruck hatte, derart nach vorne gebracht zu werden“, resümierte Optiker Christian Berndt aus Attendorn in Anschluss an die Veranstaltung.

Weitere Infos, Merkblätter und Ansprechpartner zum Thema Datenschutzgrundverordnung finden Sie auf den entsprechenden Websiten der IHK Arnsberg und der SIHK zu Hagen.

Hier gibt es ein kostenfreies eBook mit den wichtigsten Punkten zur neuen DSGVO.

Auf der Seite des Bayrischen Landesamts für Datenschutzaufsicht finden sich Musterbeispiele/Anleitungen zur DSGVO für kleine Unternehmen und Vereine.

Impressionen des Workshops "Einzelhandel und Datenschutzgrundverordnung" in Sundern