Die Datenschutzgrundverordnung – Handlungsbedarf auch im Onlinehandel

Am 25.05.2018 tritt die Datenschutzgrundverordnung (DSGVO) im gesamten Raum der europäischen Union in Kraft. Die DSGVO sieht hierbei insbesondere weiterreichende Informationspflichten für den Onlinehandel vor. Dies zwingt Online-Händler zur Implementierung einer neuen Datenschutzerklärung, welche je nach Einzelfall nicht unerhebliche wesentliche Unterschiede aufweisen wird. Was Sie als Betreiber eines Online-Shops allgemein über die DSGVO und insbesondere über die neuen Informationspflichten wissen sollten, wollen wir Ihnen im Folgenden gerne erläutern.

Unsere Mandanten, welche bei uns ihr AGB-Update gebucht haben, werden natürlich über alle Änderungen gesondert informiert. Insbesondere erhalten unsere Mandanten eine nach der DSGVO abgestimmte Datenschutzerklärung für ihren Onlineshop, eBay, Amazon oder für das entsprechende Onlinemarktportal, auf dem sie tätig sind. Neben horrenden Bußgeldern können auch wettbewerbsrechtliche Abmahnungen drohen, da insbesondere es sich auch bei den erforderlich einzuhaltenden Informationspflichten aus § 13 DSGVO um Marktverhaltensregelungen handeln dürfte, die bei Nichteinhaltung wettbewerbsrechtliche Abmahnungen nach sich ziehen werden.

I. Kurzzusammenfassung der allgemeinen Regelungen der DSGVO

Die DSGVO regelt die Erhebung und die Verarbeitung von insbesondere personenbezogenen Daten umfassend und soll so einen einheitlichen und hohen Schutzstandard in der gesamten Europäischen Union herstellen.

Dies soll unter anderem durch Rechtsgrundsätze, wie den „Grundsatz der Zweckbindung“, oder aber auch durch teilweise verpflichtende Bestellung eines Datenschutzbeauftragten sichergestellt werden.

Flankiert wird dies durch zahlreiche „Betroffenenrechte“, wie etwa dem „Recht auf Vergessenwerden“, bei dessen Umsetzung der Betroffene aktiv zu unterstützen ist. Zu erwähnen ist auch, dass dem Betroffenen nunmehr Schadensersatzansprüche nicht mehr nur für materielle Schäden, sondern auch für sog. „moralische“ also immaterielle Schäden, zustehen.

Auch soll es die Möglichkeit geben, ein Zertifikat zu erhalten, sofern der Online-Shop dem hohen Datenschutzniveau der DSGVO entspricht.

II. Der Schutz von personenbezogenen Daten

Die Rechte und Pflichten aus der DSGVO sind zentral daran geknüpft, ob personenbezogene Daten erhoben werden oder nicht. Dies folgt aus dem Zweck der DSGVO, ein EU-weites Regelwerk zum Schutz personenbezogener Daten zu schaffen. Was personenbezogene Daten sind, hat bisher der § 3 des BDSG geregelt. In Zukunft tritt an dessen Stelle Art. 4 DSGVO

Personenbezogenen Daten nach§ 3 Abs. 1 BDSG sind:

§ 3 BDSG : Weitere Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Dies erfasst insbesondere Daten, wie z. B. den Namen, die Anschrift, die Telefonnummer, und die E-Mail-Adresse, aber auch Kontodaten.

Der neue Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten künftig wie folgt:

Art. 4 DSGVO: Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Aus dem Vergleich der beiden Gesetztestexte wird klar, dass diese im Kern dieselben Daten als personenbezogen ansehen. Es soll jedoch darauf hingewiesen werden, dass die DSGVO wohl entgegen dem BDSG nunmehr auch IP-Adressen Personenbezug zuerkennen wird. Wie dies jedoch genau zu beurteilen sein wird, bleibt aufgrund der recht weitreichenden Definition noch abzuwarten.

III. Die neue Datenschutzerklärung: Informationspflichten für Händler und Unternehmen

Sofern nach der Definition des Art. 4 DSGVO personenbezogene Daten vorliegen, löst dies künftig nach Art. 13 DSGVO weitreichende Informationspflichten eines Shopbetreibers oder Unternehmers aus, die in die jeweilige Datenschutzerklärung aufzunehmen sind.

Art. 13 DSGV: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

I. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

II) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

III) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

IV) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Maßgeblicher Zeitpunkt für die Zurverfügungstellung der Datenschutzerklärung ist nach Art. 13 Abs. 1 DSGVO die Erhebung der Daten. Dies bezeichnet den Anfang der Nutzung einer Internetseite, also deren Aufrufen. Art. 12 Abs. 1 DSGVO bestimmt dabei die möglichen Formen der Erklärung. Die Norm ist jedoch sehr weit gefasst und legt nur fest, dass die Erklärung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erteilen ist. Dies setzt somit keine strenge Form fest, sondern ermöglicht neben der Schriftform auch z. B. die elektronische Form oder andere eindeutige Formen der Informationserteilung.

IV) Folgen bei einem Verstoß gegen die DSGVO insbesondere gegen die Informationspflicht nach Art. 13 DSGVO

Gemäß Art. 83 Abs. 5 DSGVO drohen demjenigen, der insbesondere gegen die Informationspflichten verstößt, enorme Bußgelder von bis zu 20 000 000 € oder 4 % des weltweiten Jahresumsatzes des Unternehmens, wobei im Einzelfall stets der Grundsatz der Verhältnismäßigkeit zu berücksichtigen ist. Dies stellt freilich im Vergleich zu § 43 BDSG, der Sanktionen von 50 000 € bis 300 000 € vorsieht, eine enorme Haftungsverschärfung dar.

V) Zusammenfassung

Das neue Regelungssystem und insbesondere die bestehenden Informationspflichten sind sehr umfangreich und komplex. Dabei sind diese für jeden Einzelfall gesondert zu bestimmen, was es im Onlinehandel dem einzelnen Händler erschweren wird, den Überblick zu behalten und eine den Anforderungen des Art 13 DSGVO entsprechende Datenschutzerklärung aufzusetzen. Flankiert wird diese Unsicherheit durch drohende Bußgelder, deren Höhe abschreckende Wirkung entfalten.

Um in diesem Geflecht den Durchblick zu behalten und einen sicheren Weg einschlagen zu können, kann nur empfohlen werden, sich an Experten zu wenden, die im Umgang mit der neuen DSGVO geschult sind. Wir als Fachanwaltskanzlei für IT-Recht haben uns intensiv mit der neuen DSGVO beschäftigt und können Ihnen als Onlinehändler die nötige Rechtssicherheit durch unsere Beratung gewährleisten. Lassen Sie sich auf keine Experimente ein. Neben horrenden Bußgeldern, die bei der falschen oder gar Nichtumsetzung der neuen Regelung drohen können, sind wir als auf das Institut der Abmahnung spezialisierte Kanzlei ebenfalls ganz sicher, dass kurz nach dem Stichtag des 25.5.2018 bei uns die ersten wettbewerbsrechtlichen Abmahnungen auf dem Tisch liegen werden.

Wir möchten dafür sorgen, dass Ihnen dies erspart bleibt. Rufen Sie uns an, gerne erläutern wir Ihnen entweder unser AGB-Update oder unterbreiten Ihnen auch ein Angebot für eine datenschutzrechtliche Beratung Ihres Unternehmens.