Online-Händler und viele andere Unternehmen müssen sich beeilen: Im Mai 2018 tritt die Datenschutz-Grundverordnung der EU in Kraft.
Der Countdown läuft: In knapp sieben Monaten wird in allen Mitgliedsländern der Europäischen Union (EU) die neue Datenschutz-Grundverordnung wirksam. Ab 28. Mai 2018 gelten die neuen Regeln der „DSGVO“ zum Schutz personenbezogener Daten nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Akteure aus Drittländern, die auf dem europäischen Markt tätig sind (sogenanntes Marktortprinzip).
Die DSGVO wurde mit dem politischen Ziel initiiert, einen europaweit einheitlichen Standard für den Datenschutz zu schaffen. Bis zur Verabschiedung des Gesetzeswerks waren jedoch zahlreiche Abstimmungsrunden zu drehen, denn das Spannungsfeld zwischen Datenschutz und wirtschaftlichen Interessen machte einen intensiven Diskussionsprozess erforderlich. Das Ergebnis bemüht sich um einen Ausgleich zwischen diesen beiden Polen: In Artikel 1 DSGVO sind sowohl der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als auch der freie Verkehr dieser Daten festgeschrieben. So hat der Bundesverband E-Commerce und Versandhandel Deutschland (BEVH) gelobt, dass während des Gesetzgebungsverfahrens auf die Belange der deutschen und europäischen E-Commerce-Wirtschaft eingegangen worden sei: „Die (...) Änderungen wie Weiterverarbeitungsbefugnisse und die Anerkennung von Marketing-Aktivitäten als schützenswertes Interesse erhalten der Branche die dringend erforderlichen Spielräume und damit Wettbewerbsfähigkeit und Arbeitsplätze.“
Viele Punkte der DSGVO sind bereits aus dem deutschen Datenschutz bekannt. „Das neue europäische Datenschutzrecht bedeutet keine 180-Grad-Drehung im Vergleich zur bisherigen Rechtslage“, stellte Jennifer Rost, Datenschutzbeauftragte der Trusted Shops GmbH, in einem Interview fest. So bleibt es bei dem Prinzip des Verbots mit Erlaubnisvorbehalt: Eine Datenverarbeitung ist nur aufgrund einer gesetzlichen Erlaubnis oder einer Einwilligung des Betroffenen gestattet. Weiterhin bestehen die Möglichkeit der Auftragsdatenverarbeitung sowie das Recht der Betroffenen auf Auskunft und Löschung. Die DSGVO enthält national auszugestaltende Öffnungsklauseln; in Deutschland wurden sie mit der im April 2017 beschlossenen Novelle des Bundesdatenschutzgesetzes (BDSG-neu) geregelt.
Zu den Neuerungen der DSGVO gehören vor allem eine Stärkung der Rechte der Betroffenen sowie die Intensivierung der Rechenschaftspflicht („Accountability“) der Unternehmen bei der Verarbeitung personenbezogener Daten. Zur Verarbeitung zählen dabei das Erheben, Speichern, Offenlegen durch Übermittlung sowie das Löschen von Daten.
Folgen für den E-Commerce
Die DSGVO gilt für Unternehmen aller Wirtschaftszweige. Allerdings spielt die Verarbeitung personenbezogener Daten für die Geschäftsmodelle des Online-Handels eine besonders starke Rolle. Deshalb werden im Folgenden zentrale Aspekte der EU-Datenschutz-Grundverordnung für den E-Commerce skizziert.
Datenschutz bei Anfragen und Vertragsabwicklung: Die Regelungen der DSGVO erlauben weiterhin die Verarbeitung personenbezogener Daten, wenn dies zur Erfüllung eines Vertrags mit dem Betroffenen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6, Abs. 1 (b) DSGVO). Der Anbieter eines Online-Shops darf beispielsweise die Adresse seines Kunden an einen Paketdienst übermitteln oder die Rechnungen archivieren.
Koppelungsverbot: Nach dem Erlaubnisvorbehalt ist die Verarbeitung personenbezogener Daten nur aufgrund einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen legal. Diese Einwilligung muss freiwillig erfolgen – ein Kriterium, dem die DSGVO einen hohen Stellenwert beimisst. Daraus ergibt sich ein strenges Koppelungsverbot (Art. 7, Abs. 4 DSGVO): Die Einwilligung soll nicht als Zugangsschranke für die Leistungserbringung wirken. Beispiel: Die Anmeldung für einen Newsletter darf nicht zur Voraussetzung für den Abschluss eines Vertrags gemacht werden.
Umgang mit besonders sensiblen Daten: Die „Verarbeitung besonderer Kategorien personenbezogener Daten“ ist grundsätzlich nur erlaubt, wenn die Betroffenen ausdrücklich einwilligen, so die Regelung in Art. 9 DSGVO. Dazu zählen u. a. Angaben zu Ethnie, sexueller Orientierung sowie religiöser und politischer Überzeugung.
Weitergabe von Daten an Dritte: Die Weitergabe von Daten an Dritte ist erlaubt, wenn sie zur Vertragserfüllung erforderlich ist und/oder ein „berechtigtes Interesse“ des Unternehmens besteht. Im Rahmen der Vertragserfüllung ist eine Weitergabe in der Regel notwendig, wenn ein Versandhändler die Kundendaten zur Abwicklung der Zahlung an eine Bank übermittelt oder dem Paketzusteller die Anschrift des Bestellers mitteilt. Bei der Abwägung „berechtigter Interessen“ sind die Art der Daten, der Zweck der Datenweitergabe und die Risiken für die Betroffenen maßgeblich: Unter betriebswirtschaftlichen Aspekten kann es für den Betreiber eines Online-Shops sinnvoll sein, die Rechnungsabwicklung extern erledigen zu lassen. In solchen Fällen kann die Weitergabe der Daten erlaubt sein. Ausdrücklich verboten ist dagegen, dass ein Online-Händler die Daten seiner Kunden ohne deren ausdrückliche Einwilligung an Adresshändler verkauft.
Einwilligung von Kindern und Minderjährigen: Die DSGVO legt fest, dass die Unerfahrenheit von Kindern und Minderjährigen besonders berücksichtigt werden muss (Art. 8 DSGVO). Dementsprechend ist die Altersgrenze für wirksame Einwilligungen Minderjähriger in die Verarbeitung personenbezogener Daten auf 16 Jahre festgelegt worden. Unter 16 Jahren bedarf es der Einwilligung der Eltern.
Verschärfte Rechenschaftspflicht: Mit der DSGVO wird eine Rechenschaftspflicht für das Unternehmen eingeführt. Es muss jederzeit nachweisen können, dass die Vorgaben der DSGVO eingehalten werden. „In der Praxis wird das zu einer Beweislastumkehr führen“, erklärte Barbara Scheben, Partnerin Compliance & Forensic bei KPMG Deutschland, im Online-Magazin „KPMG Klardenker“. Nach den alten Datenschutzregelungen mussten Verbraucher oder Kunden bei einem entsprechenden Verdacht den Beweis antreten, dass der Schutz ihrer personenbezogenen Daten verletzt wurde. Nun ist es andersherum: Das Unternehmen muss nachweisen, dass es die Bestimmungen der DSGVO eingehalten hat.
Dazu dient vor allem die Dokumentationspflicht für sämtliche Datenverarbeitungsprozesse nach Art. 30 DSGVO („Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“). Die gute Nachricht für alle Unternehmen, die bereits ein „Verarbeitungsverzeichnis“ nach altem Recht geführt haben: Die Aufzeichnungen können in das neue „Verzeichnis von Verarbeitungstätigkeiten“ überführt werden. Bestehende Prozesse müssen „nur“ noch auf die Zulässigkeit nach der DSGVO geprüft werden.
Der Wortlaut zu Beginn von Art. 30 Abs. 5 („Die (...) genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigten“) weckt bei vielen Unternehmen die – trügerische – Hoffnung, dass sie von der Rechenschaftspflicht ausgenommen sind. Diese Klausel wird allerdings eingeschränkt („es sei denn, die von ihnen vorgenommene Verarbeitung erfolgt nicht nur gelegentlich“). Das heißt, Unternehmen zu deren Geschäftsmodell die regelmäßige Verarbeitung von Daten gehört (Webshop, CRM-Systeme etc.), sind nicht von der Rechenschaftspflicht befreit.
Dabei sollte man die Rechenschaftspflicht keinesfalls unterschätzen: Barbara Scheben wies darauf hin, „dass künftig nicht nur der konkrete Verstoß gegen den Datenschutz Bußgelder nach sich ziehen kann. Sondern bereits das Nicht-Vorhandensein von Prozessen und Maßnahmen nach den Vorgaben der Datenschutz-Grundverordnung ist bußgeldbewehrt“. Und das nicht zu knapp: Die Höhe der Bußgelder wurde drastisch angehoben, um auch für Großunternehmen spürbare Sanktionen verhängen zu können. Künftig droht der Gesetzgeber mit Strafzahlungen von bis zu zehn Mio. Euro oder von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes.
