Datenschutz-Grundverordnung

Neue Datenschutz-Grundverordnung: Das sollten Online-Händler wissen

13. Juni 2017

Ein Shopbetreiber, der physische oder digitale Güter bzw. Dienstleistungen, im Internet anbietet, arbeitet mit jeder Menge personenbezogener Kundendaten. Daher sollten Online-Händler ein wichtiges Datum im Kopf behalten: Den 25 Mai 2018. Ab diesem Zeitpunkt wird die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedsstaaten unmittelbar gelten. Diese europäische Regelung sorgt für verschärfte Transparenz- und Informationspflichten. Auch der deutsche Gesetzgeber ist aktiv und verabschiedet gerade ein neues Gesetz, dass das aktuelle Bundesdatenschutzgesetz (BDSG) ablösen und die DSGVO ergänzen wird. In Zukunft können Verstöße gegen die neuen datenschutzrechtlichen Vorschriften mit erheblichen Bußgeldern (bis zu 20 Millionen Euro oder 4 Prozent des gesamten Jahresumsatzes) geahndet werden. Daher lohnt sich auf jeden Fall ein genauer Blick auf die betriebsinternen Abläufe, die personenbezogene Daten Dritte betreffen.

Verarbeitung von Daten

Unabhängig davon, ob Konzern oder Familienbetrieb: Wer personenbezogene Daten verarbeitet, muss die strenge Regeln des Datenschutzes einhalten. Verarbeiten meint nicht nur die Erhebung, Erfassung, Organisation oder die Speicherung mit Einsatz von EDV-Technik. Auch wenn heutzutage kein Dienstleister seine Kundendaten auf Karteikarten „speichern“ wird. Die Verwendung von EDV ist keine zwingende Voraussetzung für die Einhaltung des Datenschutzes. Bereits dann, wenn ein Unternehmen eine Firmenwebseite betreibt, auf der sich potenzielle Kunden über das Angebot informieren können, werden beim Webseitenbesuch in aller Regel personenbezogene Daten des Nutzers verarbeitet (z.B. Speicherung der IP-Adresse).

Zulässigkeit der Datenverarbeitung

Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn sie nachvollziehbar und transparent für die betroffene Person verarbeitet werden. Die DSGVO enthält einen allgemeinen Grundsatz des Datenschutzes: Personenbezogene Daten dürfen für vorher festgelegte (und zulässige) Zwecke (z.B. Durchführung eines Dienstleistungsvertrages) erhoben werden. Sie dürfen nur in dem Umfang erhoben und verarbeitet werden, in dem es für die Erreichung des jeweiligen Zwecks notwendig ist (Grundsatz der Datenminimierung). Das Gesetz geht jedoch weiter.

Rechtmäßigkeit der Datenverarbeitung

Nur weil ein Unternehmen den Grundsatz der Datenminimierung beachtet, bedeutet das nicht, dass es personenbezogene Daten Dritter einfach erheben und speichern darf (z.B. Speicherung der Kontaktdaten nach Ausfüllen des Kontaktformulars auf der Webseite). Werden personenbezogene Daten verarbeitet, muss diese Verarbeitung auch zulässig sein. Zulässig ist die Verarbeitung dieser Daten nur dann, wenn die betroffene Person (vorher) ihre Einwilligung zur Verarbeitung zu einem festgelegten Zweck (z.B. Vermittlung einer Mietwohnung) erteilt hat. Liegt keine vorherige Einwilligung vor, ist die Erhebung zulässig, wenn die Verarbeitung für die Erfüllung eines Vertrages (z.B. Kaufvertrags) notwendig ist, dessen Vertragspartei die von der Datenverarbeitung betroffene Person ist.

 Informationspflichten bei Erhebung personenbezogener Daten

Werden personenbezogene Daten erhoben, muss der Verantwortliche die betroffene Person über die Durchführung der Datenerhebung und ihren Zweck informieren. Offen zu legen sind sämtliche Informationen, die eine faire und transparente Verarbeitung der personenbezogenen Daten des Betroffenen gewährleisten. Dazu gehören, neben der Nennung der für die Verarbeitung verantwortlichen Personen, u.a. auch die Mitteilung über die Dauer der Speicherung der personenbezogenen Daten, sowie über das Bestehen eines Rechts auf Auskunft über die erhobenen personenbezogenen Daten, sowie auf Berichtigung oder Löschung der personenbezogenen Daten.

 Pflicht zur Bestellung eines Datenschutzbeauftragten

Nach der DSGVO werden nur bestimmte Unternehmen wie z.B. Auskunfteien zur Bestellung eines Datenschutzbeauftragten verpflichtet. Der deutsche Gesetzgeber verschärft die europäische Bestellungspflicht. In dem neuen Datenschutzgesetz (DSAnpUG-EU) ist für Unternehmen eine Bestellungspflicht vorgesehen, wenn sie mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigten.

 

Dieser Beitrag ist von unserem Kooperationspartner janolaw. Die janolaw AG mit Sitz in der Rhein-Main-Region zählt zu den Topanbietern im Bereich Internet-Rechtsdienstleistungen. Mehrere hundert Muster und individuell erstellbare Dokumente aus zahlreichen Rechtsgebieten wie z.B. Internetrecht, Arbeitsrecht, Mietrecht, Familienrecht leisten schnell und unkompliziert juristische erste Hilfe zum Download.