Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Wie kleinere Online-Händler die Vorgaben erfüllen können

Die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 befolgt werden muss, verunsichert immer noch viele Unternehmer. Das gilt insbesondere für kleine Online-Händler, die sich oft überfordert fühlen. Aber ist dieser Eindruck wirklich berechtigt? Mit der DSGVO ist das „Datenschutz-Rad“ nicht neu erfunden worden, zumindest nicht aus deutscher Sicht. Die meisten datenschutzrechtlichen Anforderungen waren auch schon nach bisheriger Rechtslage (nach dem Bundesdatenschutzgesetz) umzusetzen.

Dennoch gibt es Vorgaben, die auch kleine Online-Händler kennen und umsetzen müssen, sonst drohen hohe Sanktionen.

Wo drohen die größten Risiken?

Die größte Angst vieler Shop-Betreiber besteht darin, wegen eines Verstoßes gegen die DSGVO von einem Wettbewerber kostenpflichtig abgemahnt zu werden. Viel wahrscheinlicher ist es aber, dass ein Bußgeld der Aufsichtsbehörde droht (z.B. bei fehlendem Verarbeitungsverzeichnis oder weil ein Auskunftsersuchen gar nicht oder nur unvollständig beantwortet wurde).

Das Risiko, in Regress genommen zu werden, ist zumindest für kleine Shop-Betreiber ohne Angestellte nur dort wirklich groß, wo Verstöße für externe Dritte erkennbar werden. Das ist insbesondere bei der Datenerhebung, bei der Datenverschlüsselung sowie bei der Datenschutzerklärung auf der Homepage und bei der Beantwortung von Anfragen der Fall. Das sind die Bereiche, die auch kleine Händler unbedingt in den Griff bekommen müssen.

Wir bieten Unterstützung beim Erstellen des Verarbeitungsverzeichnisses sowie der Umsetzung und Erfüllung des Auskunftsverlangens an.

Datenerhebung und Datenverschlüsselung

Bei der Datenerhebung wir oft gegen den Grundsatz der Datensparsamkeit verstoßen. Dieser besagt, dass nicht mehr Daten abgefragt und verarbeitet werden dürfen, als für den Zweck, für den sie benötigt werden. Jeder Shop-Betreiber sollte hier prüfen, ob er Daten erhebt, die für die Abwicklung der Bestellung gar nicht erforderlich sind. Beim Rechnungskauf mag es durchaus zulässig sein, zum Zwecke der Schuldneridentifizierung nach dem Geburtsdatum zu fragen. Es gibt aber meist keinen vernünftigen Grund diese Daten auch von einer Kundin oder einem Kunden zu verlangen, der Vorkasse leistet. Das gleiche gilt für die Erhebung von Kommunikationsdaten. Auch hier sollten nur die Felder im Bestellformular obligatorisch sein, die wirklich gebraucht werden. Faxnummern und alternative Telefonnummern gehören in der Regel nicht dazu.

Darüber hinaus dürfen personenbezogenen Daten keinesfalls mehr unverschlüsselt übertragen werden. Das gilt für die gesamte Kundenkommunikation. Also nicht nur für Bestell- und Kontaktformulare, sondern auch für den E-Mailverkehr, sofern dieser geschützte Daten enthält, was nahezu immer der Fall ist. Verstöße gegen die Verschlüsselungsvorschriften werden nicht nur von Kunden und Konkurrenten sehr leicht bemerkt, auch die Regulierungsbehörden können diese sehr leicht feststellen. Das Bayerische Landesamtes für Datenschutzaufsicht (BayLDA) hat bereits anlassunabhängige Stichprobenprüfungen von kommerziellen Webseiten angekündigt, andere Länderbehörden werden wohl bald folgen. Hier sollten sich auch kleine Händler keine Blöße geben, denn neben saftigen Bußgeldern droht bei mangelhafter Verschlüsselung auch ein Vertrauensverlust seitens der Kunden.

Datenschutzerklärung und Datenauskunft

Jedes Unternehmen, das eine Homepage betreibt, muss auf dieser über den Umgang mit gesetzlich geschützten Daten informieren. Die DSGVO macht hier sehr genaue Vorgaben, die auch unbedingt beachtet werden sollten. Einfach nur eine Vorlage bei der Konkurrenz zu kopieren, ist nicht nur aus urheberrechtlichen Gründen keine gute Idee. Die Datenschutzerklärung muss selbstverständlich zur eigenen Homepage passen. Insbesondere müssen alle datenübertragenden Plugins und alle externen Dienste, wie etwa Google Maps oder Google Analytics, berücksichtig werden. Der korrekte Umgang mit den in die Seite eingebundenen Instrumenten muss auf jeden Fall sichergestellt sein.

Wie Eingangs schon erläutert, ist auch die Datenauskunft, auf die jeder Besucher einer kommerziellen Homepage gemäß Artikel 15 DSGVO einen Anspruch hat, nicht ganz ohne Tücken. Wer beispielsweise einem Nicht-Kunden antwortet, dass keine Daten zu seiner Person gespeichert sind, riskiert bereits eine Abmahnung.

Verarbeitungsverzeichnis

Auch kleine Online-Händler sind verpflichtet, ein schriftliches Verzeichnis über die Verarbeitung ihrer personenbezogenen Daten zu führen, das sie den Aufsichtsbehörden auf Anfrage vorlegen müssen.

Das Erstellen und regelmäßige Führen eines Verarbeitungsverzeichnisses ist umfangreich und mit viel Arbeit verbunden. Mit dem Protected Compliance „Professional“ -Paket unterstützen wir Sie bei dieser Arbeit.

Fazit

Die DSGVO verlangt von den Online-Händlern eigentlich nicht viel Neues, aufgrund der großen Aufmerksamkeit, die das Thema Datenschutz durch die ständige Medienpräsenz erhalten hat, sind aber die Risiken, wegen eines Verstoßes zur Rechenschaft gezogen zu werden, tatsächlich gestiegen. Insbesondere dort, wo Mängel von Dritten beobachtet werden können, sollten Datenschutz-Lücken zügig geschlossen werden. Für kleine Händler, die sich davon überfordert fühlen, bieten wir professionelle Unterstützung an.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com