Ohne Expertenrat ist die Umsetzung der neuen DSGVO für Onlinehändler schwierig. Bild: mauritius images / Sarayuth Punnasuriyaporn / Alamy

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Antworten auf die drängendsten Fragen von Onlinehändlern gibt Trusted-Shops-Datenschutzexperte Rafael Gomez-Lus.

Im November 2017 hat Trusted Shops eine Umfrage unter Onlinehändlern veröffentlicht. Gerade einmal 64 Prozent wussten damals, was in Sachen DSGVO auf sie zukommt. Dabei drohen bei Verstößen empfindliche Geldstrafen.

Hier die Antworten auf einige wichtige Fragen:

Gibt es eine Übergangsfrist?
Nein, die gibt es nicht. Bis zum 25. Mai müssen alle notwendigen Maßnahmen umgesetzt worden sein.

Was ändert sich konkret?
Eine grundlegende Änderung ist die Einführung der Rechenschaftspflicht, die Einhaltung der Datenschutz-Grundverordnung nachzuweisen.  Daraus ergeben sich Dokumentations- und Nachweispflichten: Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen sowie die Dokumentation von Datenschutzvorfällen. Die Informationspflichten gegenüber Betroffenen sind umfangreicher, die Nutzung von Cookies & Werbetools kann in der Regel künftig über eine Interessenabwägung gerechtfertigt werden; Verträge mit Dienstleistern zur Auftragsverarbeitung müssen strengere Anforderungen erfüllen; das Recht auf Datenportabilität sowie die Fristen für die Bearbeitung der Anträge zur Ausübung der Rechte der Betroffenen sind zu beachten.

Welche Änderungen muss ich wo vornehmen?
Änderungen gibt es viele, dazu gehören beispielsweise: Prozesse, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verzeichnis zu dokumentieren. Händler müssen die Datenschutzerklärung aktualisieren. Die bisher zulässigen Einwilligungserklärungen bleiben wirksam, sofern sie die strengen Anforderungen an die Freiwilligkeit erfüllen.
Alle internen Prozesse müssen angepasst werden, um die Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch sowie das neue Recht auf Datenportabilität zu gewährleisten.

Brauche ich einen Datenschutzbeauftragten?
Onlinehändler müssen nach Art. 37 Abs. 1 lit c DSGVO einen Datenschutzbeauftragten bestellen, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Außerdem ist nach § 38 Abs. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes (DSAnPUG-EU) ein Datenschutzbeauftragter zu bestellen, wenn der Verantwortliche mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder wenn er Datenverarbeitungen vornimmt, die eine Datenschutz-Folgenabschätzung erfordern.

Auf was muss ich bei meinen Dienstleistern (Newsletter-Versandtool, Shopsoftware, Paymentanbieter, Trackingtools ...) achten?
Dienstleister müssen hinreichende Garantien dafür bieten, dass die Einhaltung der Anforderungen der DSGVO durch geeignete technische und organisatorische Maßnahmen gewährleistet ist.
Wenn Sie einen geeigneten Dienstleister finden, müssen Sie mit ihm einen Vertrag zur Auftragsverarbeitung schließen, der die inhaltlichen Anforderungen von Art. 28 Abs.3 DSGVO erfüllt.

Ist Scoring noch zulässig?
Scoring ist weiterhin unter bestimmten Voraussetzungen möglich. Die für Onlinehändler relevanten Erlaubnistatbestände bleiben dieselben: Scoring darf mit ausdrücklicher Einwilligung des Betroffenen stattfinden oder wenn das Scoring für den Abschluss oder die Erfüllung des Vertrags erforderlich ist. Letzteres ist der Fall, wenn der Kunde die Zahlungsmethode "Kauf auf Rechnung" oder "Ratenzahlung" auswählt. Als Neuerung muss der Betroffene über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung informiert werden.

Datenschutz-Grundverordnung: Was Verbraucher von Unternehmen erwarten

Wie Unternehmen von der EU-Datenschutz-Grundverordnung profitieren können

Schlagworte zum Thema:  Datenschutz, E-Commerce, Handel

Aktuell
Meistgelesen