Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) im gesamten Raum der europäischen Union in Kraft. Die DSGVO sieht hierbei insbesondere weiterreichende Informationspflichten für den Onlinehandel vor. Dies zwingt Online-Händler zur Implementierung einer neuen Datenschutzerklärung, welche je nach Einzelfall nicht unerhebliche wesentliche Unterschiede aufweisen wird. Was sie als Betreiber eines Online-Shops allgemein über die DSGVO und insbesondere über die neuen Informationspflichten wissen sollten , wollen wir Ihnen im Folgenden gerne erläutern.
Unsere Mandanten, welche bei uns ihr AGB-Update gebucht haben, werden natürlich über alle Änderungen gesondert informiert. Insbesondere erhalten unsere Mandanten eine nach der DSGVO abgestimmte Datenschutzerklärung für ihren Onlineshop, ebay, Amazon oder für das entsprechende Onlinemarktportal, auf dem sie tätig sind. Neben horrenden Bußgeldern, können auch wettbewerbsrechtliche Abmahnungen drohen, da insbesondere es sich auch bei den erforderlich einzuhaltenden Informationspflichten aus § 13 DSGVO um Marktverhaltensregelungen handeln dürfte, die bei Nichteinhaltung wettbewerbsrechtliche Abmahnungen nach sich ziehen werden.
Die neue Datenschutzerklärung: Informationspflichten für Händler und Unternehmen
Sofern nach der Definition des Art. 4 DSGVO personenbezogene Daten vorliegen, löst dies künftig nach Art. 13 DSGVO weitreichende Informationspflichten eines Shopbetreibers oder Unternehmers aus, die in die jeweilige Datenschutzerklärung aufzunehmen sind.
Art. 13 DSGV: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person.
I. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
- a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
II) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
- a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
III) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
IV) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
Diese Pflichten lassen sich, dem Gesetzestext folgend, wie folgt stichpunktartig zusammenfassen:Namen und Kontaktdaten des Händlers, ggf. des Vertreters und des Datenschutzbeauftragten (falls ein solcher zu bestellen ist).Zweck und Rechtsgrundlage der Verarbeitung.Bei Verarbeitung nach Artikel 6 Abs. 1 lit. f DSGVO das berechtigte InteresseEmpfänger oder Kategorien von EmpfängernGgf. die Absicht des Händlers, die Daten an ein Drittland oder eine internationale Organisation zu übermittelnDauer der Speicherung oder Kriterien für die Festlegung der DauerHinweis auf die bestehenden Betroffenenrechte. Auskunft, Berichtigung , Löschung , Einschränkung der Verarbeitung, Widerspruch und Recht auf Datenübertragbarkeit.Eine ggf. erteilte Einwilligung jederzeit zu widerrufen und die Rechtsfolgen des WiderrufsBeschwerderecht bei einer AufsichtsbehördeOb die Bereitstellung gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist etc.Ggf. Absicht die Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind. Informationen über den anderen Zweck.
Maßgeblicher Zeitpunkt für die Zurverfügungstellung der Datenschutzerklärung ist nach Art. 13 Abs. 1 DSGVO die Erhebung der Daten. Dies bezeichnet den Anfang der Nutzung einer Internetseite, also deren Aufrufen. Art. 12 Abs. 1 DSGVO bestimmt dabei die möglichen Formen der Erklärung. Die Norm ist jedoch sehr weit gefasst und legt nur fest, dass die Erklärung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erteilen ist. Dies setzt somit keine strenge Form fest, sondern ermöglicht neben der Schriftform auch z.B. die elektronische Form oder andere eindeutige Formen der Informationserteilung.
Folgen bei einem Verstoß gegen die DSGVO insbesondere gegen die Informationspflicht nach Art. 13 DSGVO
Gemäß Art. 83 Abs. 5 DSGVO drohen demjenigen, der insbesondere gegen die Informationspflichten verstößt, enorme Bußgelder von bis zu 20 000 000 € oder 4 %des weltweiten Jahresumsatzes des Unternehmens, wobei im Einzelfall stets der Grundsatz der Verhältnismäßigkeit zu berücksichtigen ist. Dies stellt freilich im Vergleich zu § 43 BDSG, der Sanktionen von 50 000 € bis 300 000 € vorsieht, eine enorme Haftungsverschärfung dar.
Zusammenfassung DSGVO für Onlinehandel - neue Datenschutzerklärungen nötig
Das neue Regelungssystem und insbesondere die bestehenden Informationspflichten sind sehr umfangreich und komplex. Dabei sind diese für jeden Einzelfall gesondert zu bestimmen, was es im Onlinehandel dem einzelnen Händler erschweren wird, den Überblick zu behalten und eine den Anforderungen des Art 13 DSGVO entsprechende Datenschutzerklärung aufzusetzen. Flankiert wird diese Unsicherheit durch drohende Bußgelder, deren Höhe abschreckende Wirkung entfalten. Onlinehändler benötigen daher unbedingt spätestens ab dem 25.05.2018 eine neue aktuelle Datenschutzerklärung, und zwar abgestimmt auf den jeweiligen Onlineauftritt. Insofern werden unterschiedliche Datenschutzerklärungen für den Onlineshop, ebay, Amazon oder ein anderes Onlinemarktportal benötigt.
Um in diesem Geflecht den Durchblick zu behalten und einen sicheren Weg einschlagen zu können, kann nur empfohlen werden, sich an Experten zu wenden, die im Umgang mit der neuen DSGVO geschult sind. Wir als Fachanwaltskanzlei für IT-Recht haben uns intensiv mit der neuen DSGVO beschäftigt und können Ihnen als Onlinehändler die nötige Rechtssicherheit durch unsere Beratung gewährleisten. Lassen Sie sich auf keine Experimente ein. Neben horrenden Bußgeldern, die bei der falschen oder gar Nichtumsetzung der neuen Regelung drohen können, sind wir als auf das Institut der Abmahnung spezialisierte Kanzlei ebenfalls ganz sicher, dass kurz nach dem Stichtag des 25.5.2018 uns die ersten wettbewerbsrechtlichen Abmahnungen auf dem Tisch liegen werden.
Wir möchten dafür sorgen, dass Ihnen dies erspart bleibt. Rufen Sie uns an, gerne erläutern wir Ihnen entweder unser AGB-Update oder unterbreiten Ihnen auch ein Angebot für eine datenschutzrechtliche Beratung Ihres Unternehmens.