Seit 2018 ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in allen Mitgliedstaaten anzuwenden. So soll sichergestellt werden, dass sich personenbezogener Datenschutz und freier Datenverkehr nicht gegenseitig behindern und dennoch individuell geachtet werden.
Die Verordnung stärkt die Rechte Ihrer Kunden in vielen Punkten. Sie haben nun ein generelles Recht auf Auskunft, was sich besonders in den Auflagen für die Datenschutzerklärung Ihres Webshops widerspiegelt. Außerdem müssen Sie Kundendaten auf Verlangen löschen und auf Anfrage das Datenpaket der Kunden an einen anderen Onlineshop übertragen können.
Um hohe Bußgelder zu vermeiden, sollten Sie Ihren Webshop den Anforderungen anpassen. Wir haben ein paar Tipps zu den wihtigsten Aspekten zusammengestellt.
1. Sie brauchen eine Datenschutzerklärung
Artikel 13 DSGVO regelt die Informationspflicht des Datenerhebers gegenüber den Personen, deren personenbezogene Daten erhoben werden. Sie müssen etwa darüber informieren, dass der Betroffene ein Auskunftsrecht über seine bei Ihnen gespeicherten Daten sowie ein Recht auf Löschung und Korrektur dieser Daten hat.
Auch auf die Widerrufsmöglichkeit muss hingewiesen werden. Dies soll in einer besonders hervorgehobenen Form erfolgen. Wenn Ihr Unternehmen einen Datenschutzbeauftragten hat, muss dessen Kontaktadresse angegeben werden.
Des Weiteren muss angegeben werden, ob Daten an Server außerhalb der EU weitergegeben werden, inwiefern Speicherfristen bestehen und ob eine automatische Entscheidungsfindung benutzt wird.
2. Geben Sie die Rechtsgrundlage der Datenverarbeitung an
Zu den Neuerungen, die auch Betreiber von Webshops in Zukunft in ihre Datenschutzerklärung integrieren sollten, gehört auch die Nennung der Rechtsgrundlage für die Datenverarbeitung. Die Rechtmäßigkeit ist in Artikel 6 erklärt. Demnach dürfen personenbezogene Daten nur dann verarbeitet werden, wenn eine dieser Bedingungen erfüllt ist:
- Die Einwilligung der betroffenen Person ist gegeben.
- Die Verarbeitung der Daten ist für die Vertragserfüllung erforderlich.
- De Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich.
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder anderer (natürlicher) Personen zu schützen.
- Die Verarbeitung ist im Rahmen einer dem Verantwortlichen übertragenen Aufgabe des öffentlichen Interesses erforderlich.
- Die Verarbeitung ist zur Wahrung der Interessen des Verantwortlichen oder Dritten erforderlich, sofern nicht die Interessen der Grundrechte und des Datenschutzes überwiegen.
Mindestens einer dieser Gründe muss also als Rechtsgrundlage Bestandteil Ihrer Datenschutzerklärung sein und so dem Betroffenen Auskunft darüber geben, weshalb es rechtens sowie notwendig oder in seinem Interesse ist, dass seine Daten verarbeitet werden.
%MEDIUM-RECTANGLES%
3. User müssen der Verwendung von Cookies zustimmen können
Cookies ermöglichen die Identifizierung der User auf Ihrer Seite und dürfen nicht ohne deren Zustimmung eingesetzt werden. Stellen Sie deshalb sicher, dass Ihre Website einen „OK-Banner“ hat, der die Zustimmung der Kunden einfordert und diese über die Funktion von Cookies aufklärt, wenn Sie „Retargeting“ oder andere Tags verwenden. Werden diese weiterhin im Hintergrund geladen, ohne dass der Kunde davon erfährt, kann es zu Abmahnungen kommen.
4. Sie haben eine Meldepflicht bei Datenpannen
Wenn es in Ihrem Unternehmen zu einem Datendiebstahl kommt oder Sie für die Datensicherheit Ihrer Kunden aus einem anderen Grund nicht mehr garantieren können, müssen Sie diesen Vorfall innerhalb von 72 Stunden nach dem Bekanntwerden der zuständigen Aufsichtsbehörde melden.
5. Stellen Sie das Alter Ihrer Kunden fest
Bisher gab es keine Altersgrenze zur Einwilligung zu Datenschutzerklärungen, wodurch besonders Minderjährige gefährdet wurden. Deshalb wird in Zukunft ein Mindesteinwilligungsalter gelten. Die DSGVO nennt ein Mindestalter von 13 Jahren, die einzelnen EU-Mitgliedstaaten dürfen aber eine höhere Altersgrenze festlegen.
Als Betreiber eines Online-Handels sollten Sie deshalb darauf achten, dass Ihr Webshop über Mechanismen zur Altersabfrage verfügt, wie zum Beispiel die verpflichtende Eingabe der Personalausweisnummer.
6. Wenden Sie sich im Zweifel an einen Datenschutzexperten
Die DSGVO wird viele Änderungen mit sich bringen, deren Auswirkungen für Sie als Webshop-Betreiber oft leicht übersehbar sind. Wir empfehlen daher, einen Datenschutzexperten zu beauftragen, um Ihre Onlinepräsenz auf den neuesten Stand zu bringen.
%MEDIUM-RECTANGLES%
7. Verfahrensverzeichnis für Webshops
Betreiber von Online-Shops und alle anderen Unternehmen, die im Internet auf Ihrer Webseite agieren, benötigen laut DSGVO ein Verzeichnis für Verarbeitungstätigkeiten. Die Vorgabe für das Verfahrensverzeichnis ist im Artikel 30 DSGVO geregelt. Es muss nicht öffentlich zugänglich sein, sondern sollte bei Bedarf jederzeit zur Verfügung stehen, wenn es verlangt wird.
Glücklicherweise muss das Verfahrensverzeichnis nach Artikel 30 Absatz 3 DSGVO nicht zwangsweise schriftlich geführt werden. Auch eine elektronische Form ist erlaubt.
Schwierig wird es bei der Frage, welches Unternehmen konkret ein Verfahrensverzeichnis anlegen muss. Auf den ersten Blick sind Webshops nicht betroffen. Ein Verfahrensverzeichnis muss jedoch auch dann geführt werden, wenn eine Datenverarbeitung nicht nur gelegentlich stattfindet. Was „gelegentlich“ konkret bedeutet, hat bereits viele Juristen auf den Plan gerufen. Bei einem Webshop wird daher davon ausgegangen, dass die Verarbeitung von Kundendaten selbstverständlich zum Geschäftsmodell gehört und daher auch regelmäßig erfolgt. Ein Verzeichnis ist daher Pflicht, wenn Webshop-Betreiber auf der sicheren Seite sein wollen. Hier sollten Betreiber kein Risiko eingehen.
Im Verzeichnis für Verarbeitungstätigkeiten müssen zahlreiche Daten enthalten sein. Allen voran der Zweck der Datenverarbeitung, aber auch Kategorien, Übermittlungen ans Drittland, Fristen für Löschungen und weitere Details müssen aufgenommen werden.
Weiterlesen: Transparenz-Verordnung für Google, Amazon und Co – was sie Kunden bringt
Weiterlesen: Datenschutz-Grundverordnung – So setzen Selbständige die DSGVO um
Weiterlesen: Datenschutz und Google-Analytics so gehts
Weiterlesen: Neun Musts für den sicheren Umgang mit Cloud-Speichern
damit wir dein Konto freischalten.
Kommentare ( 0 )