Was hat sich beim Datenschutz geändert?

Hier nochmals die wichtigsten Punkte, die sich seit Einführung des DSGVO geändert haben. Wenn wir hier von “Daten” sprechen, meinen wir immer “personenbezogene Daten”, also zum Beispiel Namen, Adressen, Telefonnummern, E-Mail-Adressen oder Kontodaten - aber auch IP-Adressen.

Nachweisliche und freiwillige Zustimmung

Die Zustimmung deiner Kunden zur Datenerhebung und -verarbeitung muss von dir nachweisbar sein. Das bedeutet, die Kunden müssen aktiv ein Häkchen zu einem Zustimmungs-Text setzen, sonst kann zum Beispiel ein Kauf nicht abgeschlossen werden.

Ist die Zustimmung aber nicht zum Geschäftszweck notwendig, muss dem Kunden die Wahl zur Zustimmung (oder dem Ausfüllen) überlassen werden.

Aufklärung vor der Zustimmung

Die Zustimmung zur Datenüberlassung muss “aufgeklärt” erfolgen, das bedeutet, dass deine Kunden genau verstehen müssen, zu welchem Zweck ihre Daten verwendet werden.

Dies führt zu längeren Texten an den Buttons zur Zustimmung, wie zum Beispiel dem Abo für einen Newsletter.

Auskunfts- und Löschrechte

Deine Kunden - und Website-Besucher - haben das Recht zu erfahren, welche Daten du von ihnen gespeichert hast. Sie haben außerdem das Recht, ihre Daten von dir anpassen oder auch ganz löschen zu lassen.

Dies betrifft natürlich nicht Rechnungen und Bestellungen, denn diese dienen deinem Geschäftstzweck und zur Wahrung deiner Rechtspflichten.

Gebot der Daten-Sparsamkeit

Es dürfen nur die für den jeweiligen Zweck notwendigen Daten erhoben werden. Wenn du also die Telefonnummer deiner Kunden zwar gerne hättest, sie aber nicht zwingend zur Abwicklung des Verkaufs benötigst, muss das Feld “Telefonnummer” eine freiwillige Angabe sein.

Vollständigkeit der Information - Transparenz

Deine Besucher und Kunden müssen über alle Arten der Datenerhebung beim Besuch deines Shops und beim Kauf von Ware informiert werden. Dies schließt auch Tracking-Pixel und Cookies ein, falls diese IP-Adressen speichern.

Außerdem musst du auch darüber informieren, ob weitere Unternehmen personenbezogene Daten deiner Besucher und Kunden verarbeiten. Dies umfasst deinen Steuerberater, der Rechnungen deiner Kunden sieht ebenso, wie zum Beispiel den Anbieter deiner Lösung für Newsletter.

Nachweisbare Maßnahmen zur Sicherung der Daten

Du musst nachweisen, dass du (und deine Mitarbeiter) Maßnahmen zum Schutz der Daten vor Diebstahl, unbefugter Weitergabe oder Veränderung getroffen haben. Dies erfolgt in deiner Datenschutzdokumentation (siehe unten).

Vertrag zur Auftragsdatenverarbeitung (ADV)

Mit allen Unternehmen, die personenbezogene Daten deiner Kunden verarbeiten musst du einen ADV-Vertrag abschließen.

Hierin wird verzeichnet, wie dein Dienstleister mit den Daten deiner Kunden umgeht und welche Maßnahmen er zu ihrem Schutz getroffen hat.

Datenschutzerklärung

Die Datenschutzhinweise auf deinen Shop-Seiten müssen in einfacher Sprache über die Art der erhobenen Daten sowie deren Verarbeitung informieren.

Außerdem müssen den Kunden ihre Rechte auf Einsicht, Anpassung und Löschung erklärt werden und auch, wie sie diese in Anspruch nehmen können.

Datenschutzdokumentation

Die Datenschutzdokumentation ist ein internes Dokument, das du bei Kontrollen durch Datenschutzbehörden aushändigen musst. Hierin ist die Art und die Verarbeitung der durch dich erhobenen Daten verzeichnet, inklusive einer Liste aller externen Unternehmen, die ebenfalls Zugang zu diesen Daten haben.

Auch die geschlossenen ADVs mit diesen Unternehmen (siehe oben), sowie Geheimhaltungsvereinbarungen und Bestätigungen zur Unterweisung deiner Mitarbeiter gehören dazu.

Anzeigepflicht

Falls du feststellst, dass Daten deiner Kunden gelöscht oder verändert wurden oder in unbefugte Hände gelangt sind, musst du dies bei der Datenschutzbehörde deines Bundeslandes anzeigen.

Außerdem musst du die betroffenen Kunden informieren. Sollten es zu viele Kunden, oder die Benachrichtigung aus anderen Gründen schwierig oder unmöglich sein, kannst du den Verstoß auch öffentlich bekannt geben. Die Frist zur Meldung ist kurz, sie soll “nach Möglichkeit 72 Stunden nicht überschreiten”.

Steigt jetzt die Abmahngefahr?

An dieser Stelle müssen wir nochmal sagen: Wir sind keine Anwälte und dürfen keine rechtsverbindlichen Auskünfte erteilen. Aber wir lassen uns natürlich beraten und recherchieren beständig in den einschlägigen Fachblogs zu den wichtigen Fragen des E-Commerce.

Dies vorausgeschickt sind wir der Auffassung: Die Abmahngefahr im Zusammenhang mit dem Datenschutz war für Online-Händler im Allgemeinen schon immer gering und wird sich auch nach Einführung der DSGVO kaum erhöhen.

Dies liegt daran, dass die einschlägigen beiden Gesetzeswerke (UKlaG: Verbraucherschutz, UWG: Unlauterer Wettbewerb) nur bei groben Verstößen - wie zum Beispiel dem Fehlen der Datenschutzhinweise oder der nicht-genehmigten Datenweitergabe zum Zweck von ungewollter Werbung - greifen. Wichtig ist daher, dass das, was “zu sehen” ist den Anforderungen genügt, also sollten deine Datenschutzhinweise sowie die Hinweise bei Einwilligungen vorhanden sein.

Auch wenn du hier mal einen Fehler drin hättest, wäre der Nachweis zu führen, dass du dies vorsätzlich und/oder mit dem Ziel der Täuschung gemacht hast (Verbraucherschutz), oder, dass du hierdurch einen illegalen Wettbewerbsvorteil erlangt hättest (Wettbewerbsschutz). Beides erscheint aus heutiger Sicht kaum möglich.

Auch, dass die Datenschutzbehörden auf absehbare Zeit über Ressourcen zur Prüfung einzelner Online-Händler verfügen, erscheint eher unwahrscheinlich. Hier sind die großen Internet-Konzerne sicher eher im Fokus der zuständigen Aufsichtsbehörden.

Trotzdem ist die Einhaltung der Vorschriften selbstverständlich geboten - und gehört ja auch zu den vertrauensbildenden Maßnahmen eines professionellen Online-Shops.

In diesem Sinne wenden wir uns im zweiten Teil der Praxis zu und wirst sehen, dass viele Anforderungen mit VersaCommerce sehr einfach zu erfüllen sind.