Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Welche Pflichten müssen Online-Händler Datenverantwortliche erfüllen?

Die Datenschutz-Grundverordnung (DSGVO) hat mit dem Verantwortlichen einen neuen Begriff eingeführt, der immer wieder für Verwirrung sorgt. In diesem Beitrag erklären wir Ihnen, wer der Datenverantwortliche ist, was ihn vom Datenschutzbeauftragten unterscheidet und welche Pflichten er wahrzunehmen hat.

Wer ist der Datenverantwortliche?

Gemäß Artikel 4 Nr. 7 Datenschutz-Grundverordnung ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei Einzelgewerbetreibenden ist also immer der Online-Händler selbst der Verantwortliche im Sinne der DSGVO. Bei juristischen Personen, dazu zählen alle Kapitalgesellschaften einschließlich der Unternehmergesellschaft (haftungsbeschränkt), übernimmt dagegen die Körperschaft diese Rolle. Der Verantwortliche muss in der Datenschutzerklärung für die Webseite des Unternehmens benannt werden. Bei juristischen Personen kann entweder die Gesellschaft selbst, also die Beispiel GmbH, oder ihre Geschäftsführerin, Berta Beispiel, angegeben werden. Der Verantwortliche wird, anders als der Datenschutzbeauftragte, nicht ernannt und muss auch nicht an die Regulierungsbehörde gemeldet werden.

Ernennung des Datenschutzbeauftragten

Der Datenschutzbeauftragte, dessen Pflichten Artikel 39 DSGVO festlegt sind, wird durch den Verantwortlichen benannt. Die Datenschutz-Grundverordnung selbst zwingt Online-Händler in der Regel nicht dazu, einen Datenschutzbeauftragten zu ernennen. Der deutsche Gesetzgeber hat aber von der Möglichkeit Gebrauch gemacht, ergänzend zu Artikel 37 der Verordnung, strengere nationale Regeln zu erlassen. Diese finden sich in § 38 Bundesdatenschutzgesetz (BDSG). Demnach braucht jeder Händler, der mindestens zehn Personen beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten.

Weitere Informationen und in welchen Fällen ein Datenschutzbeauftragter ernannt werden muss, finden Sie hier.

Generelle Pflichten des VerantwortlichenArtikel 24 Abs. 1 DSGVO ist die Generalnorm, in der die Pflichten des Verantwortlichen grundlegend beschrieben werden. Demnach gehört die Implementierung geeigneter technischer und organisatorischer Maßnahmen, die die Einhaltung der Datenschutz-Grundverordnung sicherzustellen, zu seinen wichtigsten Aufgaben. Die Verordnung selbst sagt nicht, was unter geeigneten technischen und organisatorischen Maßnahmen zu verstehen ist. § 9 BDSG alter Fassung war hier aussagekräftiger. Letztlich hat der Verantwortliche aber alle zumutbaren Maßnahmen zu ergreifen, die gewährleisten, dass personenbezogene Daten nicht gestohlen werden können, nicht anders in falsche Hände geraten, nicht zweckentfremdet und nicht unbemerkt verändert oder verfälscht werden können. Für Shop-Betreiber bedeutet das insbesondere, dass die Kundendaten vor Hackerangriffen geschützt werden müssen, die internen Zugriffsberechtigungen restriktiv zu handhaben sind, Datenveränderungen nachvollziehbar sind und Daten ausschließlich für die Zwecke genutzt werden, die dem Kunden gegenüber kommuniziert wurden oder die offensichtlich sind.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Gemäß Artikel 25 DSGVO ist der Verantwortliche zudem verpflichtet dafür Sorge zu tragen, dass systemseitige Voreinstellungen den Datenberechtigten nicht ungebührlich benachteiligen und es so nicht zu einer, aus Sicht des Betroffenen, unerwünschten Weitergabe von personenbezogenen Daten kommen kann. Diese Regelung zielt in erster Linie auf Social-Media-Dienste, insbesondere Facebook. Hier sollen vertrauliche Informationen, wie etwa das Geburtsdatum, nicht mehr ohne aktives Zutun des Nutzers für die gesamte Community ersichtlich sein. Die Regelung hat aber auch für Onlinehändler Bedeutung. So muss zum Beispiel sichergestellt werden, dass Häkchen, die Zustimmung zu einer bestimmten Datenverwendung signalisieren, nicht bereits voreingestellt sind, sondern der Kunde eine Box stets aktiv anklicken muss. Auch bei der Gestaltung von Bestell- und Kontaktformularen ist darauf zu achten, dass nur solche Felder obligatorische sind, auf die in Hinblick auf den Zweck der Datenerhebung nicht verzichtet werden kann.

Verarbeitungsverzeichnis

Jeder Verantwortliche ist verpflichtet, ein Verzeichnis aller datenschutzrelevanten Verarbeitungstätigkeiten im Unternehmen zu führen. Welche Angaben dieses Verzeichnis enthalten muss, spezifiziert Artikel 30 Datenschutz-Grundverordnung. Ausnahmeregelungen für kleine Unternehmen sieht die Verordnung nicht vor.

Zusammenarbeit mit der Aufsichtsbehörde

Gemäß Artikel 31 DSGVO ist der Verantwortliche verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten. Der Verantwortliche hat also dafür zu sorgen, dass Anfragen der zuständigen Landesdatenschutzbehörde zügig, vollständig und korrekt beantwortet werden.

Sicherheit personenbezogener Daten

Das Thema Sicherheit bei der Verarbeitung personenbezogener Daten wird in Artikel 32 Datenschutz-Grundverordnung nochmals aufgegriffen und die Pflichten des Verantwortlichen konkretisiert. Die Norm enthält eine Aufzählung der einzelnen Regeln und Maßnahmen, die zu ergreifen sind. So hat der Verantwortliche beispielsweise durch Pseudonymisierung und Verschlüsselung für ein angemessenes Schutzniveau zu sorgen. Darüber hinaus muss er gewährleisten, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer gewährleistet ist.

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Kein System ist perfekt und keine Firewall undurchdringlich. Das ist auch dem Gesetzgeber klar, weshalb nicht jede Datenpanne zwangsläufig ein Bußgeld nach sich zieht. Vorfälle dieser Art müssen vom Verantwortlichen aber nach Artikel 33 Datenschutz-Grundverordnung innerhalb 72 Stunden an die Aufsichtsbehörde gemeldet werden. Geht mit der Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen einher, dann sind die Betroffenen gemäß Artikel 34 Datenschutz-Grundverordnung ebenfalls zu informieren.

Datenschutz-Folgenabschätzung

Werden in einem Unternehmen besonders sensible Informationen, zum Beispiel Angaben zum Gesundheitszustand, zur Rasse, Religion oder Weltanschauung verarbeitet, hat der Verantwortliche gemäß Artikel 35 Datenschutz-Grundverordnung eine Datenschutz-Folgenabschätzung durchzuführen. Das gleiche gilt für Auskunfteien und Meinungsforschungsinstitute. Für Online-Händler ist eine Datenschutz-Folgenabschätzung dagegen in aller Regel unnötig.

Fazit

Kein Online-Händler kommt an der DSGVO vorbei. Auch wenn die DSGVO schon seit einiger Zeit gilt, müssen Online-Händler sich darüber informieren, welche neue Änderungen umgesetzt werden müssen, um keine Abmahnungen oder Bußgelder zu riskieren.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com