Der Countdown läuft: Händler noch nicht auf die neue DSGVO vorbereitet

Umfrage: Händler weitestgehend unwissend bei DSGVO

Auch wenn sie erst am 25. Mai 2018 in Kraft tritt: Es müssen zahlreiche Maßnahmen im Unternehmen und Abschnitte in den verwendeten Rechtstexten geändert werden. Die verbleibende Zeit ist daher eine gute Basis für eine intensive Vorbereitung. Doch eine brandaktuelle Umfrage des Händlerbundes zeigt, dass es viele Unternehmen noch verdächtig ruhig angehen lassen. 41 Prozent der Befragten gaben an, sich zwar bereits mit der neuen DSGVO befasst zu haben, aber „keine Ahnung“ zu haben. Dementsprechend sind auch nur drei Prozent der Befragten sehr gut auf die Änderung vorbereitet, 40 Prozent hingegen überhaupt nicht.

Datenschutz quo vadis?

Schon am 14. April 2016 wurde die DSGVO vom EU-Parlament beschlossen. Damit hat das EU-Parlament einen mehrjährigen Gesetzgebungsprozess zum Abschluss gebracht. Weil die Änderungen in allen Mitgliedstaaten so weitreichend sind und auch Unternehmensstrukturen neu geordnet oder Verträge optimiert werden müssen, hat der Gesetzgeber einen entsprechend langen Übergangszeitraum gewährt.

Bei allen Datenvorgängen im Unternehmen müssen folgende Prinzipien angewendet werden:

• Verbot mit Erlaubnisvorbehalt = Jede Datenverarbeitung muss durch eine Einwilligung des Betroffenen legitimiert sein, es sei denn, es liegt eine gesetzliche Erlaubnis vor (z. B. Weitergabe der Daten zur Bonitätsprüfung).
• Datensparsamkeit = Die Verarbeitung von Daten muss auf das notwendige Maß beschränkt sein (z. B. keine Telefonnummer bei normalen Warenbestellungen).
• Zweckbindung = Die Daten dürfen grundsätzlich nur für den Zweck verarbeitet werden, für den sie erhoben wurden (z. B. keine Nutzung der E-Mail-Adresse zu Werbezwecken).
• Datensicherheit = Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um den Schutz von Daten zu gewährleisten (z. B. dürfen nur Mitarbeiter Zugang zu Kundendaten haben, die sie tatsächlich benötigen).
• Transparenz = Betroffene müssen informiert werden, dass und welche Daten in Bezug auf seine Person erhoben wurden (z. B. durch eine Datenschutzerklärung).

Diese Grundprinzipien sind auf alle kommenden Neuerungen anzuwenden. Das sind die Neuerungen, auf die Händler in den kommenden Monaten reagieren müssen:

1. Recht auf Vergessen

Website-Betreiber müssen zukünftig persönliche Daten von Verbrauchern löschen, wenn jene dies ausdrücklich wünschen und für eine weitere Speicherung keine berechtigten Gründe vorliegen.

Praxistipp: Unternehmen sollen interne Mechanismen entwickeln, wie solche Anfragen umgesetzt werden können, beispielsweise einen Prüfmechanismus festlegen und einen zuständigen Mitarbeiter bestimmen.

2. Versand von Newslettern

Bisher galt auch schon, dass ein Newsletter nur versendet werden darf, wenn dafür eine Einwilligung vom Empfänger vorliegt. Das wird künftig sogar noch verschärft: Eine Einwilligung in den Erhalt von Newslettern darf nicht vom Vertragsabschluss abhängig gemacht werden, sofern diese nicht erforderlich für die Erfüllung des Vertrages sind.

Praxistipp: Checken Sie Ihre Webseiten in puncto Newsletter-Bestellung. Sind Klauseln in der Datenschutzerklärung vorhanden? Wenn ja, sind diese noch aktuell? Und wie ist der Ablauf bei der Newsletter-Anmeldung gestaltet?

3. Auftragsdatenverarbeitung

Viele Unternehmen sourcen ihre Datenverwaltung aus, etwa durch externe Mailing-Dienstleister oder Callcenter. Verträge mit solchen Subunternehmern des Unternehmers müssen künftig neu gefasst werden, weil neue Klauseln aufgenommen werden müssen.

Praxistipp: Prüfen Sie intern, wer außerhalb Ihres Unternehmens mit der Verwaltung von Kundendaten betraut wurde. Bestehen Verträge und welche Regelungen fehlen noch?

4. Neue Informationspflichten

Die neue DSGVO sieht anders als das bislang geltende Datenschutzrecht erweiterte Informationspflichten vor. Zu informieren ist beispielsweise:

• das Bestehen eines Widerspruchsrechts gegen die Datenverarbeitung
• das Bestehen eines Rechts auf Datenübertragbarkeit
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Diese Informationen sind zukünftig „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Praxistipp: Die neuen Informationspflichten bedeuten, dass die Datenschutzerklärungen vieler Webseiten überarbeitet werden müssen und damit deutlich länger und ausführlicher als bisher werden.

5. Webanalyse und Cookies

Tracking-, Analyse und Remarketing-Tools sind auf Tausenden von Websites im Einsatz. Mit der DSGVO wird für die Verwendung der genannten Tools eine ausdrückliche Einwilligung der Nutzer erforderlich sein. Dies kann etwa in Form einer schriftlichen (auch elektronisch) oder einer mündlichen Erklärung erfolgen.

Praxistipp: Welche Analyse-Tools und Cookies sind auf Ihren Websites im Einsatz? Nehmen Sie Rücksprache mit dem Shop- oder Websites-System-Anbieter, welche Möglichkeiten für die Einwilligung bestehen. Die Einwilligung könnte etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

Fazit:

Am 25. Mai 2016 ist die DSGVO in Kraft getreten und muss spätestens bis zum 25. Mai 2018 umgesetzt werden. Da es eine Vielzahl von Änderungen gibt, sollten Online-Händler diese nicht auf die lange Bank schieben und bestenfalls zeitnah mit der Umsetzung beginnen.

Der Händlerbund hilft!