Neues Datenschutzrecht: Was ändert sich für Online-Shops?

Ab 25. Mai 2018 gelten in der gesamten Europäischen Union neue und weitgehend einheitliche Datenschutzregeln. Rechtsgrundlage dafür ist die EU-Datenschutzgrundverordnung (DSGVO), die das Bundesdatenschutzgesetz (BDSG) in den meisten Bereichen ablöst.

Welchen Zweck verfolgt die DSGVO?

Die DSGVO will im wesentlichen zwei Ziele erreichen:

  • Ein EU-weit einheitliches Datenschutz-Niveau und
  • mehr Transparenz beim Umgang mit personenbezogenen Daten.

Bisher gab es in der Europäischen Union in jedem der 28 Mitgliedstaaten unterschiedliche Datenschutzregelungen. Das was für alle Beteiligten rechtlich sehr unübersichtlich. Die DSGVO gilt ab 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar mit demselben Inhalt. Das nunmehr einheitliche Recht ist für alle, die mit ihrem Online-Shop auch Kunden im Ausland ansprechen wollen, daher besser überschaubar. Zugleich entfallen die meisten bisherigen Regeln des deutschen BDSG zum 25. Mai 2018.

Außerdem will die DSGVO die Rechte der Betroffenen stärken. „Betroffener“ ist in diesem Sinne jede natürliche Person, über die jemand Daten verarbeitet, also z.B. die Kunden eines Online-Shops. Kapitalgesellschaften (GmbH, UG, AG) sind keine Betroffenen, da sie keine natürlichen, sondern juristische Personene sind.

Verkäufer müssen künftig genauer über die Datenverarbeitung informieren, und die Betroffenen erhalten weitergehende Auskunftsrechte als zuvor.

Betrifft mich die DSGVO als „kleiner“ Onlinehändler überhaupt?

Ja. Die DSGVO gilt für jeden, der mit personenbezogenen Daten zu tun hat – also auch für Kleinunternehmer und Hobbyverkäufer. Die DSGVO unterscheidet nicht zwischen „großen“ und „kleinen“ Unternehmen. Es spielt keine Rolle, wie groß der Umsatz ist oder wieviele Angestellte ein Unternehmen hat.

Personenbezogene Daten sind zum Beispiel Namen, postalische Adressen, E-Mail-Adressen, Benutzernamen, Telefonnummern, Kontonummern und ähnliche Angaben. Schon der Name eines Käufers ist also ein „personenbezogenes Datum“, so dass die DSGVO zu beachten ist.

Die DSGVO gilt nur nicht für die Datenverarbeitung im rein privaten Bereich (also zum Beispiel für die Gästeliste für einen Geburtstag). Diese Ausnahme gilt aber nicht für Verkäufe über Online-Shops, unabhängig von deren Größe.

Verarbeite ich überhaupt personenbezogene Daten, wenn ich über eine Plattform wie eBay, Amazon, Etsy oder DaWanda verkaufe?

Ja. Denn zur „Verarbeitung“ im Sinne der DSGVO gehört schon die Kenntnisnahme von personenbezogenen Daten. Wenn Sie einen Artikel über eine Plattform verkauft haben,  benachrichtigt Sie die Plattform per E-Mail und speichert in Ihrem Nutzerkonto in der Regel Namen und Anschrift des Käufers. Sobald Sie als Verkäufer diese Daten zur Kenntnis nehmen, handelt es sich um eine Datenverarbeitung Ihrerseits.

Auch jede Kommunikation, die auf der Plattform zwischen Verkäufer und Käufer abläuft – zum Beispiel Fragen zu einem Angebot oder einer Lieferung – gilt als Datenverarbeitung.

Eine Datenverarbeitung ist es auch, wenn ein Verkäufer

  • eine E-Mail mit einer Kaufbestätigung speichert,
  • eine Rechnung schreibt oder
  • ein Versandetikett druckt.

Daher verarbeitet nicht nur die jeweilige Plattform selbst personenbezogene Daten, sondern auch die darauf handelnden Verkäufer. Wer Daten verarbeitet, wird im Sinne der DSGVO als „Verantwortlicher“ bezeichnet. Demnach ist jeder Plattform-Verkäufer ein „Verantwortlicher“ im Sinne des neuen Datenschutzrechts.

Brauche ich eine eigene Datenschutzerklärung, wenn ich auf einer Plattform verkaufe? Genügt nicht die Datenschutzerklärung der Plattform?

Die DSGVO verpflichtet jeden „Verantwortlichen“ (siehe oben) zur Veröffentlichung einer Datenschutzerklärung. Jeder Verkäufer muss daher eine solche Datenschutzerklärung erstellen und in seinem Shop hinterlegen – auch Kleinunternehmer und Hobbyverkäufer.

Verkaufsplattformen wie eBay, Amazon, Etsy und DaWanda haben auch eigene Datenschutzerklärungen. Diese gilt jedoch nur für diejenigen Daten, die die Plattform selbst verarbeitet. Für diejenigen Daten, die ein Verkäufer durch den Abschluss eines Kaufvertrags erhält, und für die anschließenden Schritte der Vertragserfüllung (ggf. Nachfragen beantworten, Sonderwünsche erfüllen, Versandetikett drucken, Rechnung stellen, Retouren oder Reklamationen bearbeiten), ist der Verkäufer selbst verantwortlich und muss daher selbst erklären, wie er in diesem Zusammenhang mit den Kundendaten umgeht.

Die Datenschutzerklärungen des jeweiligen Portals und des darauf handelnden Verkäufers können also nicht identisch sein, sondern ergänzen sich gegenseitig.

Was muss eine Datenschutzerklärung enthalten?

Bei der Datenschutzerklärung handelt es sich um einen Text, der wie die AGB oder die Widerrufsbelehrung in Ihrem Online-Shop hinterlegt werden muss. Die Datenschutzerklärung muss dabei wie die AGB, die Widerrufsbelehrung und das Impressum „leicht auffindbar“ sein, z.B. über einen Link „Datenschutzerklärung“ am Fuß der Webseite.

Die notwendigen Inhalte einer Datenschutzerklärung ergeben sich aus der DSGVO. Die Datenschutzerklärung muss zunächst alle Arten von personenbezogenen Daten nennen, mit denen der Verkäufer in Berührung kommt. Dann muss der Verkäufer für jede Datenart erklären, zu welchem Zweck er die Daten erhebt und verarbeitet, worin die Verarbeitung besteht, wie lange die Daten gespeichert bleiben und welche Auskunfts- und sonstigen Rechte der Betroffene hat. Je nach Konstellation können auch noch weitere Angaben erforderlich sein.

Eine Datenschutzerklärung zu erstellen, ist – ähnlich wie bei AGB – für Laien kaum fehlerfrei machbar, weil die Anforderungen komplex sind und der Text der DSGVO unübersichtlich und teilweise schwer verständlich ist.

Über unseren Service onwalt.de können Sie eine rechtssichere Datenschutzerklärung für Ihren Online-Shop erstellen.

Brauche ich einen Datenschutzbeauftragten?

Ob ein Datenschutzbeauftragter zu benennen ist, regelt § 38 BDSG (in der ab 25. 5. 2018 geltenden Fassung). Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach dieser Regelung jedenfalls für solche Verantwortlichen, die „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Wer also als Online-Händler für die Abwicklung von Bestellungen, die Buchhaltung und den Kundenservice weniger als zehn Personen beschäftigt, braucht keinen Datenschutzbeauftragten. Es gibt Ausnahmen von dieser Regel, z.B. dann, wenn besondere Arten personenbezogener Daten verarbeitet werden, so z.B. Gesundheitsdaten oder Informationen über die religiöse oder politische Orientierung. Die Ausnahmen dürften aber in den meisten Shops praktisch keine Rolle spielen. Holen Sie im Zweifel individuellen Rechtsrat ein.

Wie muss ich die personenbezogenen Daten schützen?

Die DSGVO verpflichtet jeden Verantwortlichen

  • zum Schutz der Daten vor fremdem Zugriff und
  • zum Schutz vor unbeabsichtigtem Datenverlust.

Das bedeutet für Online-Händler in der Praxis zumindest, den Zugang zur Shop-Software und zum eigenen Computer sorgfältig zu sichern und vom eigenen Computer regelmäßig sichere Backups zu machen:

  • Verwenden Sie für den Zugang zu Ihrer Shop-Software ein sicheres Passwort. Tipps für sichere Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Halten Sie Ihre Zugangsdaten stets geheim. Teilen Sie sie auch nicht in der Familie.
  • Verwenden Sie auch für Ihren Computer ein sicheres Passwort – aber ein anderes als für die Shop-Software. Wenn Sie den Computer mit anderen gemeinsam verwenden, zum Beispiel in der Familie, richten Sie unbedingt einen eigenen Benutzer-Account mit gesondertem Passwort für sich ein. Nutzen Sie  nur diesen Account für Ihre Verkäufer-Aktivitäten. Halten Sie auch dieses Passwort geheim.
  • Verschlüsseln Sie die Festplatte Ihres Computers, so dass auch im Falle eines Diebstahls kein Fremder die Festplatte auslesen kann. Eine Einführung zu Verschlüsselungsmöglichkeiten gibt es hier vom BSI.
  • Machen Sie regelmäßige Backups von Ihrem Computer. Nutzen Sie für das Backup ein verschlüsseltes externes Medium (z.B. USB-Stick), das Sie getrennt vom Computer aufbewahren. So können Sie Kundendaten und Geschäftsvorgänge schnell wieder rekonstruieren, falls der Computer beschädigt oder gestohlen wird.
  • Ausgedruckte Daten von Kunden sind so aufzubewahren, dass sie unter normalen Umständen kein Dritter einsehen kann (z.B. in einem abgeschlossenen Schrank).

Bedenken Sie: Alle diese Regeln sind nicht nur unverbindliche Empfehlungen, sondern resultieren aus den gesetzlichen Vorgaben von Artikel 32 DSGVO zur Datensicherheit!

Interne Dokumentationspflicht: Das Verfahrensverzeichnis

Mit der DSGVO wird auch eine neue Dokumentationspflicht eingeführt: Jeder DaWanda-Verkäufer muss ein Dokument erstellen, aus dem alle seine Verarbeitungsvorgänge zusammengefasst hervorgehen. Dieses Dokument nennt sich Verarbeitungsverzeichnis (Artikel 30 DSGVO).

Das Verarbeitungsverzeichnis muss unter anderem folgendes enthalten:

  • Ihren Namen und Ihre Kontaktdaten,
  • die Kategorien der verarbeiteten personenbezogenen Daten (z.B. „Käufername“, „Adresse“, „E-Mail“ usw.),
  • die Kategorien der von der Datenverarbeitung betroffenen Personen (z.B. „Kaufinteressent“, „Käufer“, „Rechnungsempfänger“),
  • die Zwecke der Verarbeitung der personenbezogenen Daten (z.B. „Lieferung“, „Retourenbearbeitung“),
  • die Empfänger, denen Sie personenbezogene Daten offenlegen (z.B. Services wie BillBee oder Zustellunternehmen),
  • eine Information, ob und, falls ja, unter welchen näheren Umständen eine Datenübermittlung an Länder außerhalb der EU stattfindet (z.B. in die USA),
  • eine Erläuterung, wann Sie welche Kategorien von Daten wieder löschen werden,
  • eine Beschreibung der technischen und organisatorischen Maßnahmen, die Sie triffen, um personenbezogene Daten vor Verlust, Beschädigung, Diebstahl und Missbrauch durch Dritte zu schützen.

Das Verarbeitungsverzeichnis ist nicht identisch mit der Datenschutzerklärung. Es unterscheidet sich zum einen inhaltlich. Zum anderen wird das Verarbeitungsverzeichnis vom Verkäufer nicht in seinem Shop veröffentlicht. Es dient vielmehr der internen Dokumentation und muss aber der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung gestellt werden. Auf Grundlage des Verfahrensverzeichnisses prüft die Datenschutzbehörde, ob ein Käufer korrekt mit Kundendaten umgeht.

Gerade die Angaben zu den technischen und organisatorischen Maßnahmen sind für Online-Händler nicht immer einfach umzusetzen, da hierfür auch technisches Verstandnis der Datenverarbeitung vorausgesetzt wird.

Auskunfts- und weitere Rechte

Mit der neuen DSGVO erhalten „Betroffene“ weitergehende Rechte als bisher. Unter anderem wird mit Artikel 15 DSGVO der Anspruch auf Auskunft neu geregelt. Wenn also ein Käufer oder eine andere Person sich bei Ihnen erkundigt, ob Sie Daten über ihn oder sie gespeichert haben, müssen Sie folgende Angaben machen:

  • alle Daten, die Sie über die betreffende Person verarbeitet haben,
  • die Verarbeitungszwecke,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

Es empfiehlt sich, dass Sie bereits vorab ein Muster für die Beantwortung solcher Anfragen erstellen, um auf Anfragen zügig reagieren zu können.

Wann muss ich tätig werden?

Für die Umsetzung aller dieser neuen Regelung ist noch Zeit bis zum 24. Mai 2018. Am 25. Mai 2018 gilt dann nur noch das neue Recht der DSGVO mit den Anforderungen, wie wir sie hier beschrieben haben. Aber es ist natürlich sinnvoll, dass Sie sich schon in den Wochen vor dem 25. Mai 2018 mit den neuen Regelungen vertraut machen, Ihre Datenschutzerklärung aktualisieren und Ihr Verfahrensverzeichnis aufstellen.

Online-Tool zur Erstellung einer Datenschutzerklärung

Tool zur Erstellung einer aktuellen Datenschutzerklärung für Online-Shops außerhalb von Verkaufsplattformen:

Datenschutzerklärung 2018 gemäß DSDVO für Online-Shop erstellen (u.a. für Jimdo, 1&1, Strato etc.)

Tools zur Erstellung von Datenschutzerklärungen auf Verkaufsplattformen:

AGB und Datenschutzerklärung für eBay erstellen

AGB und Datenschutzerklärung für Amazon erstellen

AGB und Datenschutzerklärung für Etsy erstellen

AGB und Datenschutzerklärung für DaWanda erstellen

 

 

Mit onwalt.de neue Datenschutzerklärung online erstellen

Auf unserer Seite onwalt.de – dem Online-Anwalt – finden Sie ab sofort ein neues Tool, mit dem Sie eine Datenschutzerklärung für Ihren Online-Shop selbst erstellen können.

Folgende Punkte berücksichtigen wir:

  • geeignet für Jimdo, Shopify, 1&1, Strato und sonstige Shopsysteme
  • Kundenkonto (ja/nein)
  • Kontaktformular (ja/nein)
  • Newsletter-Versand (ja/nein)
  • Produktbewertungen/Kommentare (ja/nein)
  • Cookie-Nutzung (ja/nein)
  • Retouren-Dienstleister (ja/nein)
  • Einbindung von Services wir BillBee, EasyBill, xt:Commerce etc.
  • Sharing-Links zu Facebook, Instagram, Pinterest etc.

Die Datenschutzerklärung ist vorgesehen für unternehmerische Online-Shops mit Sitz in Deutschland, die physische Waren zum Verkauf anbieten. Für andere Einsatzbereiche fragen Sie bitte zuvor an.

Datenschutz: Update für Shop-Plattformen verfügbar auf onwalt.de

Unser AGB-Generator für Onlineshops auf den Plattformen Amazon Marketplace, Handmade by Amazon, DaWanda, Etsy und eBay enthält ab sofort Datenschutzerklärungen, die konform sind mit der EU-Datenschutzgrundverordnung (DSGVO), die EU-weit ab dem 25. 5. 2015 gilt.

Zugleich bereiten wir auf onwalt.de ein Online-Tool vor, mit dem auch Shopbetreiber außerhalb der genannten Plattformen eine aktuelle Datenschutzerklärung erstellen können (verfügbar voraussichtlich ab 9. 5. 2018).

 

 

Datenschutz: Was ändert sich für DaWanda-Shops?

Ab 25. 5. 2018 gilt die Datenschutz-Grundverordnung (DSGVO) und damit EU-weit ein neues Datenschutzrecht. Das wirkt sich auch auf Online-Händler aus.

Unsere Sonderseite für DaWanda-Verkäufer mit Informationen zur neuen Datenschutzerklärung, zum Verfahrensverzeichnis und zu den Auskunftsrechten der Kunden  finden Sie hier.

 

 

Brexit: Britische Unternehmen verlieren .eu-Domains

Der Austritt Großbritanniens aus der Europäischen Union wirkt sich spürbar auf das Domainrecht aus. So erklärte die EU-Kommission in einer offiziellen Stellungnahme vom 28. 3. 2018, dass britische Domain-Inhaber mit der Kündigung ihrer .eu-Domains zu rechnen haben, sobald das Land nicht mehr zur EU gehöre. Denn die Berechtigung zur Registrierung oder Verlängerung einer .eu-Domain bestehe nur, wenn der Registrant einen Sitz in der Europäischen Union habe. Diese Voraussetzung entfalle mit dem Brexit.

Ähnliche Probleme könnten sich auch ergeben für britische Inhaber von Unionsmarken (Marken, die beim Europäischen Markenamt für den gesamten EU-Raum registriert sind).

Haben Sie Fragen zum Domain– oder Markenrecht? Sprechen Sie uns an. Wir beraten Sie gern!