Datenschutz Grundverordnung: Alles was Sie zur DSGVO wissen müssen

 

Am 25. Mai 2018 ist es endgültig so weit: Die Datenschutzgrundverordnung (DSGVO) tritt in Kraft und wird in allen europäischen Ländern zur Pflicht. Beschlossen wurde sie schon am 14. April 2016 durch das EU-Parlament und soll nun die endgültige Harmonisierung des europäischen Datenschutzes bewirken. 99 Artikel, inklusive der Änderung zur Datenschutzerklärung, Compliance-Pflichten, Dokumentationspflicht und Betroffenenrechte – allesamt Änderungen, von denen jeder Händler bereits gehört haben sollte. Doch zeigte eine Studie Ende 2017, dass immer noch ca. 30 Prozent der Händler nicht darauf vorbereitet sind. Im schlimmsten Fall könnte dies eine teure Angelegenheit werden.

 

Sanktionen drastisch erhöht

Um den Datenschutz zu gewährleisten und durchzusetzen, werden Behörden in allen EU-Staaten mehr Befugnisse als bisher erhalten. Als eine Neuerung dürfen sie dann gegenüber anderen Behörden Anordnungen und Sanktionen erlassen. Darüber hinaus werden die Behörden den Datenschutz nun gnadenlos durchfechten und bekommen dazu neue und besorgniserregend hohe Bußgelder zur Seite gestellt. Nun sind Bußgelder möglich in Höhe von

• bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw.
• 20 Millionen Euro.

Um diesen zu entgehen, ist es immens wichtig, die Neuerungen zu kennen und Vorgaben der DSGVO rechtskonform umzusetzen.

Datenschutzerklärung – neu und sehr ausführlich

Der Online-Handel funktioniert in der heutigen Zeit natürlich nicht mehr ohne Erhebung und Speicherung von Daten. Allein um einen Auftrag erledigen zu können, müssen Kunden ihre personenbezogenen Daten eintragen. Zusätzlich werden aber auch eine Vielzahl von anderen Daten erhoben und verarbeitet (Tracking und Analyse-Tools etc.). Wie bisher muss dafür stets eine rechtliche Grundlage vorliegen. Hierüber müssen die Händler informieren. Daneben kommen aber neue Pflichten dazu, über die in der Datenschutzerklärung informiert werden muss. Ein kleiner Auszug:

• Zweck der Datenverarbeitung
• Speicherdauer
• Betroffenenrechte: Auskunftsrecht, Löschungsanspruch, Widerspruchsrecht
• Widerrufsrecht

Der Clou dabei: Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Hier ist Ärger vorprogrammiert, denn wie verpackt man komplizierte technische Abläufe in eine transparente Informationserteilung? Hilfe in diesem Bereich in Anspruch zu nehmen, ist daher ratsam.

 

Datenschutzbeauftragter notwendig

Bezüglich der Pflicht zur Bestellung eines Datenschutzbeauftragten ändert sich durch die DSGVO nichts im Vergleich zur derzeitigen Rechtslage. Die Pflicht trifft weiterhin alle Unternehmen, die ständig mindestens 10 Personen mit der Datenverarbeitung betrauen.
„Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss.  Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört (z. B. Mitarbeiter im Kundenservice). Mitarbeiter in diesem Sinne sind auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte.

Verarbeitungsverzeichnis und Dokumentationspflicht

Durch die DSGVO kommen nun jedoch weitreichende Dokumentationspflichten auf die Unternehmer zu. Nach den Vorgaben muss ein Unternehmen stets in der Lage sein, nachweisen zu können, dass alle Verarbeitungsvorgänge datenschutzkonform stattfinden. Dabei ist das zentrale Element der Dokumentation das sogenannte Verarbeitungsverzeichnis. Dieses katalogisiert und erfasst alle Datenverarbeitungsprozesse des Unternehmens und muss geführt werden, solange die Datenverarbeitung nicht gelegentlich stattfindet. Dieser so wichtige Begriff wird aber leider nicht konkretisiert, sodass erst einmal alle Unternehmer verpflichtet sind, jegliche Datenverarbeitungsprozesse in einem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Das Verzeichnis kann auch in elektronischer Form geführt werden. Zu beachten ist aber, dass das Verarbeitungsverzeichnis aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde ggf. auch in gedruckter Form exportierbar sein muss.

Folgender Mindestinhalt muss enthalten sein:

• Namen und Kontaktdaten des Verantwortlichen
• Zweck der Verarbeitung
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden oder noch offengelegt werden
• Übermittlungen von Daten an ein Drittland oder eine internationale Organisation
• Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO

DSGVO: Nicht für mich?

Die DSGVO gilt für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten (z.B. Name, Anschrift, IP-Adresse, E-Mail-Adresse) vornehmen (z. B. Speicherung von Kundendaten in eine Computer-Datenbank).Ob man selbst schon auf die DSGVO vorbereitet ist, kann man mithilfe unserer Checkliste zur DSGVO gern selbst erproben.

 

Der Händlerbund hilft!

 

Die Umsetzung der DSGVO verursacht vielen Unternehmen einen enormen Mehraufwand. Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Kunde von tecsee jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode P2015#2018 einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl im ersten Jahr.

Jetzt informieren!

 

Über den Autor

 

Ivan Bremers ist Volljurist und seit 2017 für den Händlerbund als juristischer Redakteur tätig. Im Bereich E-Commerce berät und berichtet er regelmäßig zu Rechtsthemen, welche die Branche bewegen. Daneben ist er als Referent auf Veranstaltungen rund um das Thema E-Commerce tätig.