Neues Datenschutzrecht: Was ändert sich für Online-Shops?

Ab 25. Mai 2018 gelten in der gesamten Europäischen Union neue und weitgehend einheitliche Datenschutzregeln. Rechtsgrundlage dafür ist die EU-Datenschutzgrundverordnung (DSGVO), die das Bundesdatenschutzgesetz (BDSG) in den meisten Bereichen ablöst.

Welchen Zweck verfolgt die DSGVO?

Die DSGVO will im wesentlichen zwei Ziele erreichen:

  • Ein EU-weit einheitliches Datenschutz-Niveau und
  • mehr Transparenz beim Umgang mit personenbezogenen Daten.

Bisher gab es in der Europäischen Union in jedem der 28 Mitgliedstaaten unterschiedliche Datenschutzregelungen. Das was für alle Beteiligten rechtlich sehr unübersichtlich. Die DSGVO gilt ab 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar mit demselben Inhalt. Das nunmehr einheitliche Recht ist für alle, die mit ihrem Online-Shop auch Kunden im Ausland ansprechen wollen, daher besser überschaubar. Zugleich entfallen die meisten bisherigen Regeln des deutschen BDSG zum 25. Mai 2018.

Außerdem will die DSGVO die Rechte der Betroffenen stärken. „Betroffener“ ist in diesem Sinne jede natürliche Person, über die jemand Daten verarbeitet, also z.B. die Kunden eines Online-Shops. Kapitalgesellschaften (GmbH, UG, AG) sind keine Betroffenen, da sie keine natürlichen, sondern juristische Personene sind.

Verkäufer müssen künftig genauer über die Datenverarbeitung informieren, und die Betroffenen erhalten weitergehende Auskunftsrechte als zuvor.

Betrifft mich die DSGVO als „kleiner“ Onlinehändler überhaupt?

Ja. Die DSGVO gilt für jeden, der mit personenbezogenen Daten zu tun hat – also auch für Kleinunternehmer und Hobbyverkäufer. Die DSGVO unterscheidet nicht zwischen „großen“ und „kleinen“ Unternehmen. Es spielt keine Rolle, wie groß der Umsatz ist oder wieviele Angestellte ein Unternehmen hat.

Personenbezogene Daten sind zum Beispiel Namen, postalische Adressen, E-Mail-Adressen, Benutzernamen, Telefonnummern, Kontonummern und ähnliche Angaben. Schon der Name eines Käufers ist also ein „personenbezogenes Datum“, so dass die DSGVO zu beachten ist.

Die DSGVO gilt nur nicht für die Datenverarbeitung im rein privaten Bereich (also zum Beispiel für die Gästeliste für einen Geburtstag). Diese Ausnahme gilt aber nicht für Verkäufe über Online-Shops, unabhängig von deren Größe.

Verarbeite ich überhaupt personenbezogene Daten, wenn ich über eine Plattform wie eBay, Amazon, Etsy oder DaWanda verkaufe?

Ja. Denn zur „Verarbeitung“ im Sinne der DSGVO gehört schon die Kenntnisnahme von personenbezogenen Daten. Wenn Sie einen Artikel über eine Plattform verkauft haben,  benachrichtigt Sie die Plattform per E-Mail und speichert in Ihrem Nutzerkonto in der Regel Namen und Anschrift des Käufers. Sobald Sie als Verkäufer diese Daten zur Kenntnis nehmen, handelt es sich um eine Datenverarbeitung Ihrerseits.

Auch jede Kommunikation, die auf der Plattform zwischen Verkäufer und Käufer abläuft – zum Beispiel Fragen zu einem Angebot oder einer Lieferung – gilt als Datenverarbeitung.

Eine Datenverarbeitung ist es auch, wenn ein Verkäufer

  • eine E-Mail mit einer Kaufbestätigung speichert,
  • eine Rechnung schreibt oder
  • ein Versandetikett druckt.

Daher verarbeitet nicht nur die jeweilige Plattform selbst personenbezogene Daten, sondern auch die darauf handelnden Verkäufer. Wer Daten verarbeitet, wird im Sinne der DSGVO als „Verantwortlicher“ bezeichnet. Demnach ist jeder Plattform-Verkäufer ein „Verantwortlicher“ im Sinne des neuen Datenschutzrechts.

Brauche ich eine eigene Datenschutzerklärung, wenn ich auf einer Plattform verkaufe? Genügt nicht die Datenschutzerklärung der Plattform?

Die DSGVO verpflichtet jeden „Verantwortlichen“ (siehe oben) zur Veröffentlichung einer Datenschutzerklärung. Jeder Verkäufer muss daher eine solche Datenschutzerklärung erstellen und in seinem Shop hinterlegen – auch Kleinunternehmer und Hobbyverkäufer.

Verkaufsplattformen wie eBay, Amazon, Etsy und DaWanda haben auch eigene Datenschutzerklärungen. Diese gilt jedoch nur für diejenigen Daten, die die Plattform selbst verarbeitet. Für diejenigen Daten, die ein Verkäufer durch den Abschluss eines Kaufvertrags erhält, und für die anschließenden Schritte der Vertragserfüllung (ggf. Nachfragen beantworten, Sonderwünsche erfüllen, Versandetikett drucken, Rechnung stellen, Retouren oder Reklamationen bearbeiten), ist der Verkäufer selbst verantwortlich und muss daher selbst erklären, wie er in diesem Zusammenhang mit den Kundendaten umgeht.

Die Datenschutzerklärungen des jeweiligen Portals und des darauf handelnden Verkäufers können also nicht identisch sein, sondern ergänzen sich gegenseitig.

Was muss eine Datenschutzerklärung enthalten?

Bei der Datenschutzerklärung handelt es sich um einen Text, der wie die AGB oder die Widerrufsbelehrung in Ihrem Online-Shop hinterlegt werden muss. Die Datenschutzerklärung muss dabei wie die AGB, die Widerrufsbelehrung und das Impressum „leicht auffindbar“ sein, z.B. über einen Link „Datenschutzerklärung“ am Fuß der Webseite.

Die notwendigen Inhalte einer Datenschutzerklärung ergeben sich aus der DSGVO. Die Datenschutzerklärung muss zunächst alle Arten von personenbezogenen Daten nennen, mit denen der Verkäufer in Berührung kommt. Dann muss der Verkäufer für jede Datenart erklären, zu welchem Zweck er die Daten erhebt und verarbeitet, worin die Verarbeitung besteht, wie lange die Daten gespeichert bleiben und welche Auskunfts- und sonstigen Rechte der Betroffene hat. Je nach Konstellation können auch noch weitere Angaben erforderlich sein.

Eine Datenschutzerklärung zu erstellen, ist – ähnlich wie bei AGB – für Laien kaum fehlerfrei machbar, weil die Anforderungen komplex sind und der Text der DSGVO unübersichtlich und teilweise schwer verständlich ist.

Über unseren Service onwalt.de können Sie eine rechtssichere Datenschutzerklärung für Ihren Online-Shop erstellen.

Brauche ich einen Datenschutzbeauftragten?

Ob ein Datenschutzbeauftragter zu benennen ist, regelt § 38 BDSG (in der ab 25. 5. 2018 geltenden Fassung). Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach dieser Regelung jedenfalls für solche Verantwortlichen, die „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Wer also als Online-Händler für die Abwicklung von Bestellungen, die Buchhaltung und den Kundenservice weniger als zehn Personen beschäftigt, braucht keinen Datenschutzbeauftragten. Es gibt Ausnahmen von dieser Regel, z.B. dann, wenn besondere Arten personenbezogener Daten verarbeitet werden, so z.B. Gesundheitsdaten oder Informationen über die religiöse oder politische Orientierung. Die Ausnahmen dürften aber in den meisten Shops praktisch keine Rolle spielen. Holen Sie im Zweifel individuellen Rechtsrat ein.

Wie muss ich die personenbezogenen Daten schützen?

Die DSGVO verpflichtet jeden Verantwortlichen

  • zum Schutz der Daten vor fremdem Zugriff und
  • zum Schutz vor unbeabsichtigtem Datenverlust.

Das bedeutet für Online-Händler in der Praxis zumindest, den Zugang zur Shop-Software und zum eigenen Computer sorgfältig zu sichern und vom eigenen Computer regelmäßig sichere Backups zu machen:

  • Verwenden Sie für den Zugang zu Ihrer Shop-Software ein sicheres Passwort. Tipps für sichere Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Halten Sie Ihre Zugangsdaten stets geheim. Teilen Sie sie auch nicht in der Familie.
  • Verwenden Sie auch für Ihren Computer ein sicheres Passwort – aber ein anderes als für die Shop-Software. Wenn Sie den Computer mit anderen gemeinsam verwenden, zum Beispiel in der Familie, richten Sie unbedingt einen eigenen Benutzer-Account mit gesondertem Passwort für sich ein. Nutzen Sie  nur diesen Account für Ihre Verkäufer-Aktivitäten. Halten Sie auch dieses Passwort geheim.
  • Verschlüsseln Sie die Festplatte Ihres Computers, so dass auch im Falle eines Diebstahls kein Fremder die Festplatte auslesen kann. Eine Einführung zu Verschlüsselungsmöglichkeiten gibt es hier vom BSI.
  • Machen Sie regelmäßige Backups von Ihrem Computer. Nutzen Sie für das Backup ein verschlüsseltes externes Medium (z.B. USB-Stick), das Sie getrennt vom Computer aufbewahren. So können Sie Kundendaten und Geschäftsvorgänge schnell wieder rekonstruieren, falls der Computer beschädigt oder gestohlen wird.
  • Ausgedruckte Daten von Kunden sind so aufzubewahren, dass sie unter normalen Umständen kein Dritter einsehen kann (z.B. in einem abgeschlossenen Schrank).

Bedenken Sie: Alle diese Regeln sind nicht nur unverbindliche Empfehlungen, sondern resultieren aus den gesetzlichen Vorgaben von Artikel 32 DSGVO zur Datensicherheit!

Interne Dokumentationspflicht: Das Verfahrensverzeichnis

Mit der DSGVO wird auch eine neue Dokumentationspflicht eingeführt: Jeder DaWanda-Verkäufer muss ein Dokument erstellen, aus dem alle seine Verarbeitungsvorgänge zusammengefasst hervorgehen. Dieses Dokument nennt sich Verarbeitungsverzeichnis (Artikel 30 DSGVO).

Das Verarbeitungsverzeichnis muss unter anderem folgendes enthalten:

  • Ihren Namen und Ihre Kontaktdaten,
  • die Kategorien der verarbeiteten personenbezogenen Daten (z.B. „Käufername“, „Adresse“, „E-Mail“ usw.),
  • die Kategorien der von der Datenverarbeitung betroffenen Personen (z.B. „Kaufinteressent“, „Käufer“, „Rechnungsempfänger“),
  • die Zwecke der Verarbeitung der personenbezogenen Daten (z.B. „Lieferung“, „Retourenbearbeitung“),
  • die Empfänger, denen Sie personenbezogene Daten offenlegen (z.B. Services wie BillBee oder Zustellunternehmen),
  • eine Information, ob und, falls ja, unter welchen näheren Umständen eine Datenübermittlung an Länder außerhalb der EU stattfindet (z.B. in die USA),
  • eine Erläuterung, wann Sie welche Kategorien von Daten wieder löschen werden,
  • eine Beschreibung der technischen und organisatorischen Maßnahmen, die Sie triffen, um personenbezogene Daten vor Verlust, Beschädigung, Diebstahl und Missbrauch durch Dritte zu schützen.

Das Verarbeitungsverzeichnis ist nicht identisch mit der Datenschutzerklärung. Es unterscheidet sich zum einen inhaltlich. Zum anderen wird das Verarbeitungsverzeichnis vom Verkäufer nicht in seinem Shop veröffentlicht. Es dient vielmehr der internen Dokumentation und muss aber der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung gestellt werden. Auf Grundlage des Verfahrensverzeichnisses prüft die Datenschutzbehörde, ob ein Käufer korrekt mit Kundendaten umgeht.

Gerade die Angaben zu den technischen und organisatorischen Maßnahmen sind für Online-Händler nicht immer einfach umzusetzen, da hierfür auch technisches Verstandnis der Datenverarbeitung vorausgesetzt wird.

Auskunfts- und weitere Rechte

Mit der neuen DSGVO erhalten „Betroffene“ weitergehende Rechte als bisher. Unter anderem wird mit Artikel 15 DSGVO der Anspruch auf Auskunft neu geregelt. Wenn also ein Käufer oder eine andere Person sich bei Ihnen erkundigt, ob Sie Daten über ihn oder sie gespeichert haben, müssen Sie folgende Angaben machen:

  • alle Daten, die Sie über die betreffende Person verarbeitet haben,
  • die Verarbeitungszwecke,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

Es empfiehlt sich, dass Sie bereits vorab ein Muster für die Beantwortung solcher Anfragen erstellen, um auf Anfragen zügig reagieren zu können.

Wann muss ich tätig werden?

Für die Umsetzung aller dieser neuen Regelung ist noch Zeit bis zum 24. Mai 2018. Am 25. Mai 2018 gilt dann nur noch das neue Recht der DSGVO mit den Anforderungen, wie wir sie hier beschrieben haben. Aber es ist natürlich sinnvoll, dass Sie sich schon in den Wochen vor dem 25. Mai 2018 mit den neuen Regelungen vertraut machen, Ihre Datenschutzerklärung aktualisieren und Ihr Verfahrensverzeichnis aufstellen.

Online-Tool zur Erstellung einer Datenschutzerklärung

Tool zur Erstellung einer aktuellen Datenschutzerklärung für Online-Shops außerhalb von Verkaufsplattformen:

Datenschutzerklärung 2018 gemäß DSDVO für Online-Shop erstellen (u.a. für Jimdo, 1&1, Strato etc.)

Tools zur Erstellung von Datenschutzerklärungen auf Verkaufsplattformen:

AGB und Datenschutzerklärung für eBay erstellen

AGB und Datenschutzerklärung für Amazon erstellen

AGB und Datenschutzerklärung für Etsy erstellen

AGB und Datenschutzerklärung für DaWanda erstellen

 

 
«
»