Online-Händler aufgepasst: Die neue Datenschutz-Grundverordnung kommt

In etwa einem Jahr, nämlich am 25. Mai 2018 ist es soweit: Die neue Verordnung ersetzt die bisherige EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Das ist zwar noch eine Weile hin, aber da das Gesetz weitreichende Folgen auf die Geschäftsmodelle in der digitalen Branche hat, sollten sich Shop-Betreiber und Online-Marketers am besten heute schon mit den Neuerungen auseinandersetzen. Denn die Strafen für die Nichteinhaltung der neuen Verordnung können für Unternehmen durchaus größere finanzielle Konsequenzen haben.

Wir haben hier einige wichtige Neuerungen und Auswirkungen für Online-Händler und Online-Marketing-Verantwortliche zusammengefasst. Zu konkreten rechtlichen Fragen kontaktiert bitte euren Rechtsberater!

Welche Auswirkungen haben die Neuerungen auf Tracking, Mailings & Co.?

Die Verarbeitung von Consumer-Daten spielt für Unternehmen in den Bereichen Vertrieb, Marketing und Produktentwicklung eine bedeutende Rolle. Wenn im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, kommen einige Änderungen auf Unternehmen zu: Die neue Verordnung soll dem Zeitalter von Digitalisierung und Big Data gerecht werden. Im Vordergrund steht das Grundrecht zur informationellen Selbstbestimmung jedes Einzelnen. Gleichzeitig soll die DSGVO der deutschen und europäischen Wirtschaft noch genügend Spielraum liefern, um innovative digitale Geschäftsmodelle zu ermöglichen und die Datenmengen unter Einhaltung des Datenschutzgesetzes zu verwerten.

Auf Unternehmen, gerade in den Bereichen Online-Handel und Online-Marketing kommen grundlegende Veränderungen – besonders bei der Kundenansprache – zu. Besonders Online-Händler und Adresshändler, die zur Verwendung in Kundenbindungsprogrammen oder für Werbemaßnahmen personenbezogene Daten speichern und verarbeiten, müssen sich vor allem mit den neuen Betroffenenrechten auseinandersetzen. Generell gilt: Für digitale Themen wie Websites, Social Media und Cookies gibt es keine gesonderten Artikel im DSGVO. Deshalb gelten u.a. folgende Richtlinien, bis eine ePrivacy-Verordnung verabschiedet worden ist:

• Der Betroffene muss in die Datenverarbeitung einwilligen
• Die Datenverarbeitung ist für die Durchführung des Vertrages notwendig
• Der Datenverarbeiter hat ein legitimes Interesse, solange die Rechte des Betroffenen nicht überwiegen

Begriffsbestimmung (Art. 4 Nr. 1 DSGVO)

Natürlich hat die neue Datengrundschutzverordnung Auswirkungen auf Online-Marketing-Maßnahmen und Trackingverfahren. Mit der neuen Datenschutzgrundverordnung wurde bspw. der Begriff der personenbezogenen Daten erweitert: Zukünftig sind Online-Identifier wie zum Beispiel Cookie-IDs oder IP-Adressen nicht mehr als anonym einzuordnen. Auch ein einzelnes Datum kann personenbezogen sein, wenn es einer Person durch Hinzuziehung einer speziellen Datenbank zugeordnet werden kann. Denn laut Art. 4 Nr. 1 DSGVO werden als personenbezogene Daten alle Informationen definiert, „die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ Die Erfassung von Personendaten, die auf den ersten Blick vielleicht als „anonym“ erscheinen, verstoßen also im Zeitalter von Vorratsdatenspeicherung gegen das DSGVO.

Rechenschaftspflicht (Art. 5 Abs. 2 DGVO)

Neu ist die sogenannte Rechenschaftspflicht: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ (Art. 5 Abs. 2 DGVO). Was bedeutet das für Unternehmen? Im Ernstfall sind sie verpflichtet, die Einhaltung der Datenschutzprinzipien nachweisen zu können. Bei Verstößen drohen hohe Geldbußen, deshalb sind Protokolle über die Verwendung und Verarbeitung von Personendaten dringend anzuraten.

Bedingungen für die Einwilligung (Art. 7 DSGVO)

Die neue EU-DSGVO hat auch Auswirkungen auf die Durchführung von Mailingaktionen: In Art. 7 ist geregelt, dass die freiwillige Einwilligung zur Verwendung persönlicher Daten vorliegen muss. Der Nutzer muss diese Einwilligung jedoch selbst eindeutig gegeben haben, indem er beispielsweise bei einem Formular aktiv seine Zustimmung zum Newsletter-Abonnement gibt. Formulare, die bereits das Kästchen zur Einwilligung eines Abonnements im Voraus angehakt haben, sind nicht rechtsgültig. Außerdem darf die Einwilligung nicht von einem Vertragsabschluss oder einer Dienstleistung abhängig gemacht werden. Übrigens: Einwilligungen, die bereits in der Vergangenheit eingeholt wurden, sind auch nach Inkrafttreten der DSGVO gültig, wenn sie den neuen Anforderungen entsprechen.

Recht auf Löschung (Art. 17 DSGVO) und Vergessenwerden (Art. 17 Abs. 2 DSGVO)

Von besonderer Bedeutung gerade für den Adresshandel, Internet-Suchmaschinen und Social Media-Dienste ist diese neue Art von Löschungsanspruch. Das Recht auf Vergessenwerden beinhaltet u.a. das Löschen aller Links zu den jeweiligen Personendaten inklusive dem Löschen aller Replikationen. Für Anbieter bedeutet das, dass sie nicht nur die Userdaten löschen müssen, sondern auch andere Website-Betreiber informieren müssen, falls diese die Personendaten vervielfältigt haben sollten.

Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

Neu ist auch das Recht auf Einschränkung der Verarbeitung. Dieses kann u.a. dann erwirkt werden, wenn eine Person Widerspruch eingelegt hat, aber noch nicht klar ist, ob die Gründe der Datenverarbeitung des Verantwortlichen gegenüber der Person überwiegen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Zukünftig hat jeder das Recht, eine Kopie seiner personenbezogenen Daten in einem maschinenlesbaren Datenformat zu erhalten. Außerdem können User die Portierung ihrer Daten vom alten zum neuen Anbieter verlangen. Daten können somit aus Kundensicht problemlos übertragen und mitgenommen werden. Das Recht auf Datenübertragbarkeit soll die Anbieterabhängigkeit verringern: So kann beispielsweise ein Cloud-User zukünftig seine Daten problemlos zu einem anderen Cloud-Anbieter umziehen. Die zweijährige Übergangsfrist (mittlerweile ist davon schon ein Jahr vergangen) sollte also dringend von Unternehmen genutzt werden, um technische Möglichkeiten der Datenübertragbarkeit umzusetzen.

Überwiegende berechtigte Interessen (Erwägungsgrund 47, DSGVO)

Welche Folgen haben die Neuerungen für den klassischen Adresshandel? Zwar ist eine Einwilligung nicht auf ein anderes Unternehmen übertragbar, allerdings erlaubt die neue Datenschutzgrundverordnung auch weiterhin den Handel mit Adressen. Denn üblicherweise sind die Käufer von Adressen im Voraus (und damit zum Zeitpunkt der Einwilligungserklärung) nicht bekannt. Erlaubt ist Adresshandel und die Übermittlung von personenbezogenen Daten ohne Einwilligung dann, wenn ein berechtigtes Interesse des Verantwortlichen besteht. „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ (Erwägungsgrund 47, DSGVO).

One-Stop-Shop

Der neue One-Stop-Shop-Mechanismus vereinfacht Unternehmen mit Niederlassungen in EU-Mitgliedstaaten das Thema Datenschutz und bietet einen enormen Vorteil: Bei grenzüberschreitender Datenverarbeitung ist die Aufsichtsbehörde am Hauptsitz zuständig. Bei Beschwerden kann sich ein Betroffener in Datenverarbeitungs-Angelegenheiten an die Datenschutzaufsichtsbehörde am Wohnsitz wenden. Endlich wurde somit ein einheitliches Datenschutzrecht in der gesamten EU geschaffen.

Privacy by Design – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Mit dem Inkrafttreten der Datenschutz-Grundverordnung gibt es neue Anforderung an Produktentwicklung und -implementierung: Der Verantwortliche muss technische und organisatorische Maßnahmen (z.B. zur Pseudonymisierung der Daten) treffen. Außerdem muss sichergestellt werden, dass bereits in den Standardeinstellungen nur die Personendaten verarbeitet werden, die für einen konkreten Zweck benötigt werden. Diese Neuerung wird besonders auf die Entwicklung von IT-Produkten eine große Auswirkung haben.

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO)

Verletzungen des Datenschutzes sollen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Eine Ausnahme liegt dann vor, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Freiheiten und Rechte einer natürlichen Person führt. Zur Meldung gehören eine konkrete Beschreibung, die Abschätzung etwaiger Folgen, Kontaktdaten des Datenschutzbeauftragten und bereits ergriffene Maßnahmen. Darüber hinaus muss der Verantwortliche die Verletzungen des Datenschutzes genau dokumentieren. Für Unternehmen heißt das im Klartext, dass zukünftig wesentlich mehr Aufwand auf sie zukommt und der Umgang mit Themen wie Datendiebstahl und Hackerangriffe konkret festgehalten werden muss.

Fazit

Die neuen Änderungen beinhalten die eine oder andere Stolperfalle für Unternehmen und deshalb sollte auf alle Fälle ein kompetenter Rechtsberater aufgesucht werden. Gerade Themen wie Datenschutzerklärung, Compliance Pflichten, Einwilligung und auch die Meldepflicht von Verstößen gehören in die Hände eines Experten, um kostspielige Abmahnungen und Bußgelder zu vermeiden. Denn bei Verstößen drohen im schlimmsten Fall Sanktionen bis zu vier Prozent des Jahresumsatzes.

Quellen:

Datenschutz-Grundverordnung, Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Auflage: 2. Auflage, Mai 2016

Consumer Insights: Finding and Guarding the Treasure Trove, Capgemini Consulting