DSGVO – Checkliste für Online Händler

In unserem letzten Blogpost haben wir bereits die ersten Keyfacts zusammengefasst und erklärt, welche Änderungen und Pflichten auf Online Shop Betreiber mit der neuen EU-Datenschutzgrundverordnung (DSGVO) zukommen. So langsam rückt die Deadline immer näher – Die neuen gesetzlichen Regelungen müssen bis zum 25. Mai 2018 (0:00 Uhr!) umgesetzt werden. Damit ihr überprüfen könnt, ob ihr als Online Händler alle zentralen Anforderungen erfüllt, haben wir euch eine Checkliste zusammengestellt und vertiefen den ein oder anderen Punkt, der speziell für den Online Handel von Interesse ist.

1. Dokumentation der DSGVO Umsetzung

Das ist wohl einer der ersten Schritte, den alle Unternehmen vornehmen sollten: Die Umsetzung der Datenschutzgrundverordnung muss nicht nur erfolgen, sondern sie muss auch dokumentiert und nachgewiesen werden. Die Unterlagen dafür müssen bereit liegen, falls die Aufsichtsbehörde diese sehen will.

2. Datenschutzerklärung auf jeder Seite – klar verständlich und gut platziert 

Die Nutzer eines Online Shops müssen auf jeder Seite die Möglichkeit haben, ohne viel Aufwand und Suchen zur Datenschutzerklärung zu gelangen. Das bedeutet auch, einen separaten Link einzurichten und nicht zusammen mit den AGB auf die Datenschutzerklärung zu verweisen. Die DSGVO legt Wert auf Transparenz!

3. Vollständige Datenschutzerklärung 

Nehmt euch Zeit und vervollständigt eure Datenschutzerklärung sorgfältig, denn Informationspflicht ist angesagt! Die neue DSGVO gibt vor, welche Inhalte die Datenschutzerklärung in Zukunft umfassen muss. Darunter fallen beispielsweise die berechtigten Interessen für die Datenverarbeitung mit einer separaten Widerspruchsbelehrung oder auch Löschfristen und die Kriterien für deren Festlegung.

4. Verzeichnis von Verarbeitungstätigkeiten 

Musste bisher die Aufsichtsbehörde dem Unternehmen nachweisen, dass ein Verstoß gegen den Datenschutz besteht, wird der Spieß nun umgedreht: Der Online Händler ist dazu verpflichtet die Verarbeitungstätigkeiten in Form eines Verzeichnisses festzuhalten und auf Anfrage vorzulegen. Es gilt der Grundsatz der Rechenschaftspflicht und eine umfassende Dokumentationspflicht steht an. Diese Rechenschaftspflicht bezieht sich auch auf die Grundsätze für die Verarbeitung personenbezogener Daten, wie unter anderem die Zweckbindung oder die Datenminimierung.

Die folgende Abbildung zeigt ein Beispiel des Bayerischen Landesamts für Datenschutzaufsicht, wie das Verzeichnis von Verarbeitungstätigkeiten aussehen kann:

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

5. Interessenabwägungen von Datenverarbeitungsvorgängen

Abgesehen von der Dokumentation der Datenverarbeitungstätigkeiten, sind Online Händler in Zukunft auch dazu verpflichtet, ihr berechtigtes Interesse an den jeweiligen Datenverarbeitungsvorgängen (z.B. Einsatz von Cookies) abzuwägen. Diese Abwägung muss ebenfalls dokumentiert werden und ist auf Anfrage der Aufsichtsbehörde auch vorzulegen.

Wer jetzt bedenken hat, keine Cookies oder ähnliche Tools mehr einsetzen zu können, dem können wir Entwarnung geben: Als berechtigtes Interesse versteht sich jedes wirtschaftliche oder ideelle Interesse, das nicht gegen das Gesetzt verstößt und vor dem Hintergrund der Datensparsamkeit steht. Genauere Angaben macht die DSGVO dazu im Artikel 6.

6.  Benennung des Datenschutzbeauftragten

… sofern überhaupt einer benötigt wird. Die Antwort auf die Frage, ob ein Datenschutzbeauftragter beschäftigt werden muss, hängt davon ab, wie viele Personen am regelmäßigen Umgang mit personenbezogenen Daten beteiligt sind. Beträgt die Anzahl unter 10 Personen, muss kein Datenschutzbeauftragter beschäftigt werden. Ist ein Datenschutzbeauftragter beschäftigt, sollten dessen Kontaktdaten in der Datenschutzerklärung enthalten sein.

7. Verträge zur Auftragsdatenverarbeitung (ADV) aktualisieren 

Um die zukünftigen Pflichten einhalten zu können, müssen auch neue Vereinbarungen mit den Vertragspartnern getroffen werden, die im Auftrag Daten der Online Händler verarbeiten. Es bietet sich hierbei an, mit bereits bestehenden Vertragspartnern Ergänzungsvereinbarungen zu schließen. Welche Pflichten sich für Auftraggeber und Auftragsverarbeiter ergeben, wird in Artikel 28 genau aufgeführt.

8. Freiwillige Einwilligungen inklusive Widerrufsrecht 

Jede Art von Datenverarbeitung – die nicht allein durch die Gesetzeslage erlaubt ist – muss von den Nutzern des Online Shops bewilligt werden. Online Händler müssen daher ausdrückliche Einwilligungen einholen, bei denen die Kunden sich im Klaren sind, wofür sie eine Einwilligung abgeben (z.B. Newsletter Abonnement, Eröffnung eines Kundenkontos). Zudem muss der Kunde über ein Widerrufsrecht dieser Einwilligung aufgeklärt werden und dieses auch ohne Hindernisse in Anspruch nehmen können. (Artikel 7)

Dokumentation & Transparenz 

Das Muster der DSGVO wird ziemlich deutlich: Für die Online Händler bedeutet die DSGVO vor allem dokumentieren und informieren was das Zeug hält. Für die Nutzer bedeutet sie in erster Linie Transparenz, was mit ihren Daten im WWW geschieht.

Wer sich als Online Händler mit den Punkten dieser Checkliste ausreichend auseinandersetzt und sich an die Regeln hält, ist für die Umstellung im Mai gut gewappnet und hat nichts zu befürchten.

Quellen: DSGVO, eTrusted, BayLDA