Betreiben Sie einen Online-Shop? Haben Sie sich schon mit der DSG-VO befasst? Wenn nicht, könnten die folgenden Informationen sehr hilfreich sein und Sie vor großem Stress kurz vor dem 25.05.2018 bewahren.
Fragen Sie sich, ob die Änderungen für Ihren Shop relevant sind? Die Antwort ist einfach und wird in unserer 3. Folge ausführlich beantwortet…
JA, es ändern sich einige Dinge durch die neue Datenschutz-Verordnung und jeder Online-Shop ist davon betroffen. Aber sicherlich zielt die DSG-VO in erster Linie auf mittlere und große Unternehmen und nicht auf den kleinen Einzelhändler.
Vorab, der Datenschutz ist echte Chefsache! In der neuen EU Datenschutz-Verordnung ist klar geregelt, wer die Verantwortung für die Sachverhalte zum Datenschutz trägt. Als Inhaber oder Geschäftsführer können Sie natürlich Personen benennen, die Sie beraten, beispielsweise einen Datenschutzbeauftragten oder den Leiter der IT-Abteilung. Die alleinige Verantwortung und rechtliche Konsequenz für den Umgang mit Daten trägt der Chef allein.
Daher sollte auf keinen Fall das Thema DSG-VO an Personen im Unternehmen zur Entscheidung delegiert werden.
Doch diese Zuständigkeit ist eigentlich gar nicht so neu. Nur wird er mit den neuen Strafgeldern von bis zu 4% des weltweiten Jahresumsatzes, für einige Unternehmen zukünftig eventuell zur Existenzfrage.
Neue Rechte für Ihre Online-Shop-Kunden!
Unternehmen sind gegenüber Ihren Kunden in Zukunft zur Auskunft verpflichtet. SÄMTLICHE Daten, die Ihr Shop vom Kunden gesammelt hat, müssen diesem mit einer Frist von einem Monat nach Anfrage, ausgehändigt werden. Und das nicht nur einmalig, sondern mehrmals in zumutbaren Abständen, falls gewünscht.
Darunter fallen auch Daten aus dem sogenannten „Profiling“. Sprich der automatisierten Sammlung von Daten durch Software.
Neu ist auch das Recht auf Datenportabilität. Ein Unternehmen muss dem Kunden und anderen Unternehmen die Daten in einem „strukturierten und maschinenlesbarem Format“ zur Verfügung stellen. Die EU zielt hier weniger auf den Schutz von Daten, sondern soll einem Kunden den Wechsel zu einem anderen Anbieter vereinfachen und somit den Wettbewerb fördern.
Recht auf Löschung der eigenen personenbezogenen Daten
Für einen Kunden besteht das Recht, diese vorhandenen Daten nicht nur aushändigen zu lassen, sondern anschließend unverzüglich löschen zu lassen. Sämtliche Daten, die über den Kunden gesammelt werden und über die er dementsprechend informiert wurde, müssen zukünftig entfernt werden können.
Technisch dürfte dies bei vielen Unternehmen aktuell schwierig werden, da die meisten Systeme noch nicht darauf ausgelegt sind.
Es empfiehlt sich, zukünftig mit einer DSG-VO-konformen Shop-Software zu arbeiten, welche solche Prozesse ermöglicht und dokumentiert. Die Dokumentation innerhalb des Systems, beispielsweise von Löschfristen, dem Zweck der Verarbeitung der Daten oder den zuständigen Mitarbeitern wird notwendig.
Weitergabe von personenbezogenen Daten aus Ihrem Online-Shop an Dritte
Generell ist die zur Vertragserfüllung erforderliche Weitergabe von Daten an Dritte rechtskonform. Für einen Online-Shop ist das in der Regel beim Versand oder der Bezahlung der Fall, wenn die Daten an den Paketdienst oder die Bank übermittelt werden.
Hierbei können sich Unternehmen auf Artikel 6 Abs. 1f der Datenschutzgrundverordnung berufen. Hier ist das berechtigte Interesse zur Weitergabe der Daten definiert.
Allerdings müssen zukünftig von externen Dienstleistern in diesem Zusammenhang notwendige Garantien eingeholt werden, wie mit den personenbezogenen Daten umgegangen wird. Da es sich hier eher um Business-to-Business-Vereinbarungen handelt, sollte dies relativ unkompliziert sein.
Online-Shop-Daten in die USA und andere Länder übermitteln
Wer mit Geschäftspartnern in den USA arbeitet und dabei Daten dorthin übermittelt, fällt unter die Drittland-Regelung der DSG-VO. Die USA haben hier jedoch einen Sonderstatus:
Zukünftig dürfen Daten zwar weiterhin in die USA übermittelt werden, genau wie es der Nachfolger der Safe-Harbor-Vereinbarung bereits vorgibt. Die EU-USA Privacy-Shield-Vereinbarung gilt bereits seit 2015.
Neu ist hingegen: Die datenverarbeitenden Unternehmen in den USA müssen zukünftig eine gültige EU-US Privacy-Shield-Zertifizierung vorweisen können. Wer also Daten an Unternehmen in die USA übermittelt, muss darauf achten.
Aber wie sieht es mit anderen Ländern aus? Es bleibt eigentlich so wie es ist, bestehende Rechtsgrundlagen wurden übernommen. Derzeit gültige EU-Standardvertragsklauseln bleiben bestehen. Sprich, der Betroffene muss eingewilligt haben und die Übermittlung ist zur Erfüllung des Vertrages notwendig.
Wie gehen Sie zukünftig mit Hacking und Datendiebstahl um?
Die Zahl der Datendiebstähle steigt weltweit und ein krimineller Online-Angriff kann jeden treffen. Zukünftig werden Unternehmen dazu verpflichtet, einen solchen Diebstahl oder Angriff innerhalb von 72h zu melden. Die Meldung muss zudem mit einer entsprechenden Risikobewertung erfolgen, welche den möglichen nachfolgenden Schaden abschätzt.
An wen wird gemeldet? Nun, das hängt vom Standort des Unternehmens ab. In Deutschland ist das in den jeweiligen Bundesländern der zuständige Datenschutzbeauftragte.
Zusätzlich müssen die Betroffenen direkt informiert werden. Allerdings nur dann, wenn das Datenleck zu einem hohen Risiko für den Betroffenen werden kann.
Was soll ich jetzt machen?
Die neue EU-Datenschutz-Grundverordnung tritt in jedem Fall am 25.05.2018 in Kraft. Die nationalen Regierungen haben jedoch noch einen Verhandlungsspielraum. Es ist also noch nichts final! Zudem gibt es ja noch die ergänzende e-Privacy-Verordnung, welche die Themen Cookies und Remarketing abdeckt und vermutlich erst wesentlich später kommt.
Oberstes Gebot: Verfallen Sie nicht in Panik! Starten Sie einen internen Prozess, welcher für Ihren Online-Shop notwendige Anforderungen identifiziert. Ermitteln Sie Möglichkeiten zur Lösung ihrer individuellen Anforderungen, woraus Sie dann konkrete Maßnahmen ableiten.
Wir wünschen Ihnen auch zukünftig viel Erfolg mit Ihrem Online-Shop!
Bleiben Sie in Sachen DSGVO auf dem Laufenden!
Abonnieren Sie unseren Newsletter und erhalten Sie immer direkt und zuerst aktuelle Informationen rund um das Thema DSGVO. » Jetzt zum Newsletter anmelden!
DSG-VO Serie – lesen Sie jetzt unsere anderen Folgen zum Thema:
Folge 1 – Was sind die Ziele der DSG-VO im Detail?
Folge 2 – Der Cookie ist tot, es lebe der Cookie! DSG-VO und Online-Marketing!
Folge 4 – E-Mail-Marketing, Newsletter nach der neuen DSG-VO
Abonnieren Sie uns auf Facebook, Twitter oder mit RSS-Feed und verpassen Sie demnächst nicht unsere nächste Folgen zur DSG-VO.
Pingback: VegaSystems ist DSGVO-ready! Jetzt AV-Vertrag anfordern!