Bereits am 25. Mai 2016 trat die DSGVO in Kraft. Anwenden müssen die EU-Mitgliedstaaten die Datenschutz-Grundverordnung (DSGVO) jedoch erst ab dem 25. Mai 2018.
Viele Verkäufer und Betreiber von Webseiten stellen Sich daher die große Frage, was Sie genau tun müssen, um vor den hohen Strafen der DSGVO geschützt zu
sein und das Vertrauen ihrer Kunden und Nutzer nicht zu verlieren.
Auch unter unseren Shopify-Kunden stellt sich inzwischen jeder die Fragen
- was muss ich noch beachten?
- hält Shopify der DSGVO stand?
- kann ich bei Shopify bleiben oder muss ich zu einem deutschen System wechseln?
Unsere Antwort: Sie müssen nicht wechseln!
Shopify stellt sich immer weiter auf die EU-Rechte ein und bietet Ihnen die Möglichkeiten, Shopify rechtssicher in der EU zu nutzen.
(Lesen Sie hierzu auch unseren Blogpost “Shopify in Deutschland
rechtssicher nutzen”)
Das Ziel
Ziel der DSGVO ist die Vereinheitlichung des Datenschutzrechts innerhalb der EU.
Das Datenschutzrecht soll datenschutzfreundlicher für die betroffenen Nutzer werden. Der Bürger soll seine Daten soweit als möglich zurück erhalten.
Zusammen mit deutlich höheren Bußgeldern soll so sichergestellt werden, dass sich auch Cloud Dienste oder soziale Netzwerke etwa aus den USA an die
Regeln halten müssen.
Was soll mit der neuen Datenschutz-Grundverordnung geschützt werden?
Wichtigster Anknüpfungspunkt beim Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten, wie z.B.
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Kfz-Kennzeichen
- Standortdaten
- IP-Adressen
- Cookies
Jede Person soll die Kontrolle über ihre Daten haben und jederzeit informiert darüber sein, welche Daten sie preis gibt und wozu diese gespeichert werden.
Die Datenspeicherung unter der DSGVO wird also künftig transparenter. Die EU bezieht damit nicht nur die EU-Mitgliedsstaaten ein, sondern auch Drittländer.
Jedes Drittland, also jedes Land außerhalb der EU, muss sich an die Transparenz der Daten ebenso halten, wie Sie als Händler innerhalb der EU.
Aktuelle Grundsätze
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist ohne Zustimmung der betroffenen Person grundsätzlich verboten.
Diese Zustimmung bzw. Einwilligung in die Datenspeicherung kann z.B. aus folgendem entstehen:
- Gesetz, z.B. aus dem BDSG, TMG, EU-DSGVO
- Einwilligung der betroffenen Person
- Datensparsamkeit; es dürfen nur Daten erhoben werden, welche benötigt und verarbeitet werden.
- Zweckbindung; Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben werden.
- Datenrichtigkeit
Die neue Grundsätze
Datensicherheit - Artikel 32 DSGVO
Datensicherheit; ein dem Risiko angemessenes Schutzniveau für die Daten
Das heißt: Das Schutzniveau, das Sie gewährleisten müssen, orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten. Welche Maßnahmen dann
"angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Implementierungskosten, den Umständen etc.
So hat ein Arzt oder Krankenhaus andere Pflichten und Rechte bezüglich des Datenschutzes als es zum Beispiel ein Webseitenbetreiber hat.
Recht auf Vergessenwerden (Recht auf Löschung) - Artikel 17 DSGVO
Personenbezogenen Daten müssen gelöscht oder gesperrt werden, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt.
Das Recht können die Nutzer nicht nur gegen Suchmaschinenbetreiber, wie z.B. Google, geltend machen, sondern auch gegen jede Stelle erheben, die
personenbezogene Daten verarbeitet - so auch gegenüber Ihnen als Shop-Besitzer oder Webseiten-Betreiber.
Unter Anderem in folgenden Gründen sind Sie zur Löschung der Daten verpflichtet:
- Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig (Art. 17 a)
- Der Betroffene hat seine Einwilligung widerrufen (Art. 17 b, c)
- Die Datenverarbeitung war/ist unrechtmäßig (Art. 17 d)
- Die Datenverarbeitung war/ist unrechtmäßig (Art. 17 d)
- Die Lösung ist rechtlich erforderlich
Recht auf Datenübertragbarkeit (Daten Portabilität) - Artikel 20 DSGVO
Also die Möglichkeit und das Recht, ihre Daten zu einem anderen Anbieter "mitzunehmen".
Jede Person hat das Recht, alle personenbezogenen Daten, die Sie speichern, in einem gut verarbeitbaren, gängigen Format zu erhalten.
Die Rechenschaftspflicht - Artikel 5 DSGVO
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Diese Artikel beschreibt den Nachweis zur Einhaltung der Datenschutzprinzipien.
Personenbezogene Daten müssen
- nach bestem Gewissen, nachvollziehbar und transparent verarbeitet werden
- für festgelegte und eindeutige Zwecke erhoben werden
- auf die für den Zweck notwendigen DAten beschränkt werden
- aktuell und richtig sein. Nicht mehr aktuelle, für den Zweck unrichtige Daten müssen gelöscht werden
- so gespeichert werden, dass die betroffene Person nur solange identifiziert werden kann, wie es dem Zweck dient
- angemessen sicher verarbeitet werden
Einwilligungen einholen - Artikel 7 DSGVO
Sie müssen Einwilligungen künftig streng dokumentieren. Meldet sich ein Nutzer z.B. zu Ihrem Newsletter an, müssen Sie dies nachweisen können. Hierbei
wird zwischen freiwilliger und vertraglicher Einwilligung unterschieden.
So schreibt die Datenschutz-Grundverordnung zum Beispiel im Bezug auf die Einwilligung vor:
- Die Einwilligung muss dokumentiert werden.
- Willigt der Betroffene in mehrer Punkte ein (z.B. im Rahmen eines Vertrages), muss der Zweck deutlich und in verständlicher Sprache formuliert sein.
- Die Einwilligung kann jederzeit widerrufen werden.
Auftragsdatenverarbeitung (ADV), nun "Auftragsverarbeitung"(AV) - Artikel 28 DSGVO
Bei der ADV ist der Auftraggeber der primäre Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig. Doch auch der
Auftragnehmer (also der Auftragsverarbeiter) ist mitverantwortlich.
Auftragsdatenverarbeiter oder Auftragsverarbeiter sind unter anderem
- externes Kundencenter (z.B. Callcenter)
- externer Newsletter-Anbieter
- Anbieter von Cloud Computing
- externes Unternehmen für Marketing
- externes Rechenzentrum
- externes ERP / CRM
- Shop-System / Hoster (z.B. Shopify)
- Soziale Netzwerke (Facebook, Instagram, usw.)
Auftragsverarbeiter müssen z.B.
- ein Verzeichnis zu allen Kategorien der im Auftrag durchgeführten Tätigkeiten der Verarbeitung erstellen (Artikel 30)
- auf Anfrage mit einer Aufsichtsbehörde zusammenarbeiten (Artikel 31)
- technische und organisatorische Maßnahmen der Datensicherheit ergreifen (Artikel 32 Absatz 1)
- der Vertrag zur ADV muss nicht mehr zwingend schriftlich sondern kann auch in elektronischer Form abgeschlossen werden
Der Datenschutzbeauftragte - Artikel 37 DSGVO
Nach der neuen Datenschutz-Grundverordnung muss ein Datenschutzbeauftrager bestellt werden, wenn ein oder mehrere Gründe vorliegen. Dieser
Datenschutzbeauftrage muss namentlich und mit Kontaktdaten in der Datenschutzerklärung Ihres Internetauftritts genannt werden.
Treffen diese Punkte auf Sie zu (oder aber auch nur einer davon), müssen Sie einen Datenschutzbeauftragen bestellen.
- Ihr Unternehmen besteht aus mindestens 10 Mitarbeitern
- Ihre Kerntätigkeit betrifft eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen"
- Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 und 10 der DSGVO
Neue Datenschutz-Pflichten für Arbeitgeber
Datenverarbeitung im Beschäftigungskontext - Artikel 88 DSGVO
Auch als Arbeitgeber unterliegen Sie den neuen Pflichten laut DSGVO. Die neuen Datenschutz-Bestimmungen betreffen aber nicht nur den Arbeitgeber selbst.
Vielmehr sind sämtliche Stellen betroffen, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten. Dies können auch
Personalvermittler, Betriebsräte, Behörden, Steuerberater und viele weitere sein.
Kurz und klar
Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen zukünftig präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache verfasst sein und die Rechtsgrundlage für die Datenverarbeitung benennen.