Max-Lion Keller

Rechtsanwalt, LL.M. (IT-Recht)

Antworten auf häufige Fragen zur DSGVO von der IT-Recht Kanzlei

Datenschutz-Grundverordnung – bin ich als Händler betroffen und was muss ich unternehmen? Viele Onlinehändler fragen sich, aber auch unseren Partner, die IT-Recht Kanzlei in letzter Zeit oft, wie sie die Vorgaben dieser Verordnung erfüllen können oder müssen. Die IT-Recht Kanzlei beantwortet daher in diesem Gastbeitrag einige der allgemeineren häufig gestellten Fragen zur DSGVO.

Frage: Bezieht sich die DSGVO nur auf den Onlinehandel?

Nein. Die DSGVO gilt für alle Stellen (sowohl Behörden als auch Unternehmen), die in irgendeiner Form personenbezogene Daten verarbeiten. Der Onlinehandel ist ein Anwendungsfall, es existieren aber noch unzählige weitere. Einige Beispiele sind: Unternehmen im Umgang mit Mitarbeitern; Tätigkeit von Auskunfteien; Forschungsinstitutionen im Umgang mit Studien; der Rundfunkbeitrag

Frage: Gilt die DSGVO auch für vor dem 25.05.2018 erhobene Daten?

Grundsätzlich ja, allerdings mit Erleichterungen. Sofern Datenverarbeitungsvorgänge vor dem Inkrafttreten der DSGVO abgeschlossen sind, dürfen diese nach dem Inkrafttreten nur auf Basis einer Rechtfertigung nach der DSGVO erneut ablaufen.

Die praktischen Auswirkungen dieses Grundsatzes sind allerdings gering, weil die Rechtfertigungsgründe des bisherigen Datenschutzrechts mit denjenigen der DSGVO weitgehend übereinstimmen und für neue Datenvorgänge nach dem 25.05.2018, die ursprünglich gerechtfertigt waren, auch eine Rechtfertigung nach der DSGVO bestehen wird.

Speziell für Datenverarbeitungen auf Grundlage von ausdrücklichen Einwilligungen gilt das Privileg, dass vor dem 25.05.2018 eingeholte Einwilligungen ihre Gültigkeit auch unter der DSGVO unverändert behalten. Nicht abgeschlossene Datenverarbeitungsvorgänge bei Inkrafttreten der DSGVO müssen spätestens zum 25.05.2020 mit ihr in Einklang gebracht werden.

Jtl Blog Gast Recht Dsvgo

Frage: Wer ist richtiger „Verantwortlicher“ im Onlinehandel?

Verantwortlicher ist grundsätzlich, wem die wesentliche Entscheidungsbefugnis für die Verarbeitung von personenbezogenen Daten zukommt. Ob dies eine natürliche Einzelperson oder eine Rechtsperson (Unternehmen) ist, ist egal.

 

Im Online-Handel besteht daher ein eingeschränktes Wahlrecht: Datenverantwortlicher ist vorrangig der Onlinehändler selbst als Einzelperson. Führt er ein Unternehmen (GmbH, GbR etc.), so kann er aber auch das Unternehmen als Verantwortlichen wählen. Alternativ kann er anstelle des Unternehmens den Geschäftsführer oder sich selbst in seiner Funktion als Inhaber des Unternehmens als Verantwortlichen einsetzen.

 

Detaillierte Informationen zur Bestimmung des Verantwortlichen finden Sie in diesem Beitrag.

Frage: Sind kleinere Onlinehändler überhaupt von der Datenschutz-Grundverordnung betroffen?

Ja. Die Datenschutz-Grundverordnung (DSGVO) gilt für jeden, der personenbezogene Daten Dritter verarbeitet und hierbei nicht nur aus persönlichen oder familiären Gründen tätig wird. Das bisher geltende deutsche Datenschutzrecht hat kleine Händler von den Pflichten größerer Online-Unternehmen ausgenommen. Leider ist nach künftiger DSGVO auch der kleine Onlinehändler den umfangreichen Vorgaben der DSGVO unterworfen.

Generell gilt: Wer als kleinerer Händler Produkte über das Internet verkauft und hierbei Kundendaten erhebt und verarbeitet, ist ebenso an die DSGVO gebunden wie etwa ein Großhändler.

Privilegiert wird der Kleinbetrieb nur insofern, als dass er keinen Datenschutzbeauftragten bestellen muss.

Frage: Welche Hauptpflichten gemäß der DSGVO haben kleine Onlinehändler zu erfüllen?

Die zwei wichtigsten Pflichten sind:

  1. Er muss seine Kunden – wie aber auch die Besucher seiner Internetpräsenz – im Rahmen einer Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte informieren.
  1. Er muss für die Aufsichtsbehörden ein sogenanntes Verfahrensverzeichnis führen.

 

Pflicht Nr. 1

In welchen Fällen kommt es zu einer Erhebung und Verarbeitung personenbezogener Daten?

Hierzu ein paar Beispiele:

  • Beim Bestellvorgang fallen Kundendaten an, die der Onlinehändler braucht, um die Bestellung auszuführen.
  • Der Onlinehändler will möglicherweise seine Kunden mittels eines Newsletters über seine Produkte informieren.
  • Es werden Daten an Dritte weitergegeben, zum Beispiel die Lieferadresse an das Transportunternehmen.
  • Der Zahlungsvorgang wird speziellen Dienstleistern überlassen.
  • Der Händler will über Werbepartner wie Google oder andere mehr über die Vorlieben seiner Kunden erfahren.

 

Welche Rechte hat der Nutzer und Kunde?

Zum einen hat er ein umfangreiches Informationsrecht, zu erfahren, was mit seinen Daten geschieht. Zum anderen hat er viele Antragsrechte wie beispielsweise das Recht auf Berichtigung oder auf Löschung. Über diese Rechte muss umfassend informiert werden.

 

Pflicht Nr. 2

Das Verfahrensverzeichnis

Auch der kleine Onlinehändler muss künftig ein schriftliches Verfahrensverzeichnis über seine Verarbeitung von personenbezogenen Daten und seine Maßnahmen zur Datensicherheit bereithalten, das er den Aufsichtsbehörden auf Anfrage zur Verfügung stellen kann.

 

Er kann dieses Verzeichnis auch in einem elektronischen Format, zum Beispiel als Word-Dokument führen. Die Vorgaben der DSGVO in dem Zusammenhang sind leider äußerst umfangreich und schwierig zu lesen.

 

Was die Maßnahmen zur Datensicherheit angeht, so sind die Vorgaben für einen kleinen Onlinehändler auf jeden Fall geringer als für ein größeres Online-Unternehmen.

 

Die NRW-Datenschutzbehörde hat jetzt ein Muster für ein derartiges Verzeichnis (außer Maßnahmen zur Datensicherheit) veröffentlicht, welches Onlinehändlern einen Anhaltspunkt liefert, wie ein solches Verfahrensverzeichnis aussehen soll.

Jtl Blog Gast Recht Dsvgo 2

Frage: Gilt die DSGVO auch für den Handel auf Plattformen (eBay, Amazon und Co.?)

Ja. Auch wenn auf Plattformen der Kontakt zum Kunden über den Plattformbetreiber gemittelt wird, verarbeiten Händler hier personenbezogene Daten von Kunden, etwa im Rahmen von Bestellungen und deren Abwicklung (Buchhaltung, Bezahlung, Versand), aber teils auch im Zusammenhang mit Werbung.

 

Die notwendige Datenschutzerklärung für Plattform-Händler ist allerdings weniger umfangreich als die für einen klassischen Onlineshop, weil der Gestaltungs- und Entscheidungsspielraum für Datenprozesse auf der Plattform (etwa die Wahl von Zahlungsmitteln, der Einsatz von Plug-Ins und Cookies sowie die Verwendung von Tracking-Tools) deutlich eingeschränkt ist.

Aus der Praxis für die Praxis – weitere Fragen zur praktischen Umsetzung der DSGVO im Onlinehandel

Da die praktische Umsetzung der Vorschriften Onlinehändler oft vor erhebliche Schwierigkeiten stellt, die Rechtskennern im Zweifel wenig bewusst sind, hat die IT-Recht Kanzlei Ihre Leser- und Mandantschaft um Zusendung konkreter praxisrelevanter Fragen gebeten die in einer umfangreichen FAQ beantwortet wurden. Diese FAQ gibt einfache, praktikable Antworten auf das, was Onlinehändler im Zusammenhang mit der DSGVO weiterhin wissen sollten.

 

Die vollständige FAQ kann hier abgerufen werden. Habt ihr noch weitere Fragen, die der FAQ nicht beantwortet? Dann stellt sie uns gern, damit wir diese im FAQ ergänzen können.