EU-Datenschutz-Grundverordnung – Was kommt auf uns zu?

Lange hat es gedauert: Im April 2017 hat das EU-Parlament die Reform des Europäischen Datenschutzrechts verabschiedet und ab dem 25. Mai 2018 muss die EU-Datenschutz-Grundverordnung (DSGVO) von den Unternehmen dann auch umgesetzt werden. Wer sich bisher noch nicht damit auseinander gesetzt hat, sollte das schleunigst tun. Denn bei Verstößen drohen hohe Strafen, die man sich als Unternehmen lieber sparen möchte.

Im Zuge der Digitalisierung und auch der Globalisierung gewinnt das Thema Datenschutz immer mehr an Bedeutung. Sobald sich Nutzer beispielsweise in einem sozialen Netzwerk registrieren und ihr Profil mit persönlichen Angaben füllen, geben sie damit Daten frei, die in der heutigen Zeit Gold wert sind. Vor allem im Bereich Marketing haben sich damit in den vergangen Jahren, insbesondere auch für Online Shop Betreiber, neue Welten eröffnet. Doch nicht nur in sozialen Netzwerken, sondern im gesamten Web hinterlassen Nutzer ihre Fußabdrücke, die sich Shop Betreiber zu Nutzen machen können, um ihre Produkte effizient im Web zu platzieren. Cookies, Tracking Pixel und Google Analytics sind hier nur einige Keywords.

Die Technologie hat in diesem Zusammenhang rasend schnell Fortschritte gemacht und damit, um ehrlich zu sein, die rechtliche Perspektive abgehängt. Mit der EU-DSGVO soll die entstandene Lücke zwischen Technologie und Rechtslage nun geschlossen werden. Die DSGVO äußert sich hierzu unter anderem mit folgenden Worten: „Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können.“ (DSGVO Erwägungsgrund 7) Um das zu erreichen, legt die DSGVO aufbauend auf das europäische Datenschutzrecht mehr oder weniger klare Ziele und Grundsätze fest.

Grafik-DSGVO

Ziele und Allgemeine Bestimmungen

Mit der Verordnung werden Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (u.a. Name, Adresse, Telefonnummer, IP-Adresse) festgelegt. Ebenfalls sind der Schutz der Grundrechte und der Grundfreiheiten dieser Personen, insbesondere deren Recht auf Schutz ihrer Daten sowie der freie Verkehr personenbezogener Daten in der Union Gegenstand der Verordnung. Wichtig ist zudem, dass sie sich auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten bezieht, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Für Online Shop Betreiber ist hierbei noch von Bedeutung, dass die DSGVO im Art. 2 Absatz 4 die Richtlinie 2000/31/EG zur Verantwortlichkeit der Vermittler unberührt lässt.

Wer auf einen Blick wissen will, welche Ziele die Verordnung verfolgt, kann sich anden folgenden Schlagworten orientieren:

  • Rechtmäßigkeit
  • Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität
  • Vertraulichkeit
  • Rechenschaftspflicht

Aufhorchen sollten Shop Betreiber noch wenn es um den räumlichen Anwendungsbereich der Verordnung geht und ihr euch fragt: Betrifft die DSVGO unser Unternehmen überhaupt? Es gilt das Marktortprinzip. Das bedeutet, alle Stellen, die personenbezogene Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der europäischen Union verarbeiten, müssen sich an die Vorgaben der DSGVO halten.

Wichtiges und Änderungen für Shop Betreiber

Ab dem 25. Mai 2018 gilt das DSGVO, anders als die EU-Richtlinien, wie ein nationales Recht und Unternehmen müssen die Regelungen ab diesem Zeitpunkt umsetzen. Ein zentraler Punkt ist für die Unternehmen die Informationspflicht. Diese Veränderung lässt sich am Beispiel der Cookies gut verdeutlichen. Kommt der Nutzer eines Online Shops derzeit oft nicht drum herum, die Verwendung von Cookies mit einem Klick auf den „OK“ Button abzusegnen, um sich überhaupt weiter auf der Seite bewegen zu können, verbietet die neue Verordnung diese Handhabung. Der Nutzer muss ausführlich über die Verwendung von Cookies informiert werden und kann sich daraufhin entscheiden, ob er dies akzeptierten möchte. Falls er sich dagegen entscheidet, kann er die Seite und den Online Shop trotzdem nutzen. Hierzu wird es zeitgleich mit der DSGVO die ePrivacy Verordnung geben, die in solchen Fällen greift.


ePrivacy Verordnung. Die ePrivacy Verordnung ist eine Datenschutz Verordnung für klassische und neue Kommunikationsdienste wie WhatsApp, Gmail oder auch Dating Apps. Die Neuerungen haben insbesondere Auswirkung auf die kommerzielle Überwachung, die viele Unternehmen als Geschäftsmodell verfolgen.


In Bezug auf die Einwilligung ist zudem wichtig, dass das Unternehmen nachweisen können muss, dass die betroffene Person der Verarbeitung ihrer Daten zugestimmt hat. Von unverständlichen und irreführenden Texten sollte man hier auf jeden Fall die Finger lassen, da die DSGVO eine verständliche und leicht zugängliche Form der Einwilligung vorschreibt und die Nutzer die Möglichkeit haben müssen, sie jederzeit zu widerrufen.

Werden Auflagen der DSGVO nicht erfüllt, drohen den Unternehmen Strafen von der unangenehmen Sorte: Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem was höher ausfällt. Hinzu kommen weitere Transparenzpflichten, die deutlich machen, dass der Fokus auf der Stärkung der Rechte der betroffenen Nutzer liegt. „Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden.“ (DSGVO Erwägungsgrund 58)

Unternehmen, die mit einer großen Menge an Daten arbeiten, sollten außerdem darüber nachdenken, das Personal an Datenschutzexperten aufzustocken. Denn die Einhaltung der Vorgaben allein ist nicht ausreichend, sie muss zudem nachweisbar sein. Es besteht Rechenschaftspflicht.

Ihr seht, es gibt einiges zu tun. Damit ihr euch bei dem Verordnungschaos nicht verirrt, empfehlen wir euch diesen 8-Punkte-Plan als Checkliste heranzuziehen: sageOne

DSGVO, Datenschutzbeauftragter