15 Mai 2018

DSGVO: Onlineshops brauchen neue Datenschutzerklärung

Ab 25. Mai 2018 gelten in der gesamten Europäischen Union weitgehend einheitliche Datenschutzregeln. Rechtsgrundlage dafür ist die EU-Datenschutzgrundverordnung (DSGVO), die das Bundesdatenschutzgesetz (BDSG) in den meisten Bereichen ablöst.

Welchen Zweck verfolgt die DSGVO?

Die DSGVO will im wesentlichen zwei Ziele erreichen:

  • Ein EU-weit einheitliches Datenschutz-Niveau und
  • mehr Transparenz beim Umgang mit personenbezogenen Daten.

Bisher gab es in der Europäischen Union in jedem der 28 Mitgliedstaaten unterschiedliche Datenschutzregelungen. Das was für alle Beteiligten rechtlich sehr unübersichtlich. Die DSGVO gilt ab 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar mit demselben Inhalt. Das nunmehr einheitliche Recht ist für alle, die mit ihrem Online-Shop auch Kunden im Ausland ansprechen wollen, daher besser überschaubar. Zugleich entfallen die meisten bisherigen Regeln des deutschen BDSG.

Außerdem will die DSGVO die Rechte der Betroffenen stärken. „Betroffener“ ist in diesem Sinne jede natürliche Person, über die jemand Daten verarbeitet, also z.B. die Kunden eines Online-Shops.

Verkäufer müssen nun genauer über die Datenverarbeitung informieren, und die Betroffenen erhalten weitergehende Auskunftsrechte als zuvor.

Betrifft mich die DSGVO als „kleiner“ Onlinehändler überhaupt?

Ja! Die DSGVO gilt für jeden, der mit personenbezogenen Daten zu tun hat – also auch für Kleinunternehmer und Verkäufer im Nebenerwerb. Die DSGVO unterscheidet nicht zwischen „großen“ und „kleinen“ Unternehmen. Es spielt keine Rolle, wie groß der Umsatz ist oder wieviele Angestellte ein Unternehmen hat.

Personenbezogene Daten sind zum Beispiel Namen, postalische Adressen, E-Mail-Adressen, Benutzernamen, Telefonnummern, Kontonummern und ähnliche Angaben. Schon der Name eines Käufers ist also ein „personenbezogenes Datum“, so dass die DSGVO zu beachten ist.

Die DSGVO gilt nur nicht für die Datenverarbeitung im rein privaten Bereich (also zum Beispiel für die Gästeliste für einen Geburtstag). Diese Ausnahme gilt aber eben nicht für Verkäufe über Onlineshops, unabhängig von deren Größe.

Verarbeite ich personenbezogene Daten, wenn ich über einen Marktplatz wie eBay, Amazon oder Etsy verkaufe?

Ja! Denn zur „Verarbeitung“ im Sinne der DSGVO gehört schon die Kenntnisnahme von personenbezogenen Daten. Wenn Sie ein Produkt über einen Marktplatz verkaufen, erhalten Sie Namen und Anschrift, E-Mail oder Nutzernamen und eventuell weitere Daten. Und diese Daten brauchen Sie auch, um die Bestellung auszuliefern und die Rechnung zu stellen. Es handelt sich also um ein Verarbeitung personenbezogener Daten durch Sie als Verkäufer.

Auch jede Kommunikation, die auf der Plattform zwischen Verkäufer und Käufer abläuft – zum Beispiel Fragen zu einem Angebot oder einer Lieferung – gilt als Datenverarbeitung.

Eine Datenverarbeitung ist es auch, wenn ein Verkäufer

  • eine E-Mail mit einer Kaufbestätigung speichert,
  • eine Rechnung schreibt oder
  • ein Versandetikett druckt.

Daher verarbeitet nicht nur die jeweilige Plattform selbst personenbezogene Daten, sondern auch die darauf handelnden Verkäufer. Wer Daten verarbeitet, wird im Sinne der DSGVO als „Verantwortlicher“ bezeichnet. Demnach ist jeder Verkäufer auf einem Online-Marktplatz ein „Verantwortlicher“ im Sinne des Datenschutzrechts.

Brauche ich eine eigene Datenschutzerklärung, wenn ich auf eBay, Amazon oder Etsy verkaufe? Genügt nicht die Datenschutzerklärung des Marktplatzes?

Die DSGVO verpflichtet jeden „Verantwortlichen“ (siehe oben) zur Veröffentlichung einer eigenen Datenschutzerklärung. Jeder Verkäufer muss daher eine solche Datenschutzerklärung erstellen und in seinem Shop hinterlegen – auch Kleinunternehmer und Hobbyverkäufer.

Verkaufsplattformen wie eBay, Amazon und Etsy haben zwar auch eigene Datenschutzerklärungen. Diese gelten jedoch nur für diejenigen Daten, die der Marktplatzanbieter selbst verarbeitet, also zum Beispiel Kundenbewertungen über einen Verkäufer oder Daten der Verkäufer für die Abrechnung der Verkaufsprovision.

Für diejenigen Daten, die ein Verkäufer bei Abschluss eines Kaufvertrags über seinen jeweiligen Kunden erhält, ist der Verkäufer selbst verantwortlich. In seiner Datenschutzerklärung muss jeder Verkäufer daher erklären, wie er mit den Kundendaten in der gesamten Kette der Vertragserfüllung umgeht (z.B. Nachfragen beantworten, Sonderwünsche aufnehmen, Versandetikett drucken, Rechnung stellen, Retouren oder Reklamationen bearbeiten, Buchhaltung archivieren).

Die Datenschutzerklärung eines Marktplatzes unterscheidet sich daher deutlich von der Datenschutzerklärung eins darüber handelnden Verkäufers – auch wenn die Datenschutzerklärungen genau aufeinander abgestimmt sein müssen, damit sich für Käufer keine widersprüchlichen Informationen ergeben.

Was muss eine Datenschutzerklärung enthalten?

Bei der Datenschutzerklärung (manchmal auch etwas ungenau als „Datenschutzrichtlinie“ bezeichnet) handelt es sich um einen Text, der wie die AGB oder die Widerrufsbelehrung in Ihrem Onlineshop hinterlegt werden muss. Die Datenschutzerklärung muss dabei wie die AGB, die Widerrufsbelehrung und das Impressum „leicht auffindbar“ sein, z.B. über einen Link „Datenschutzerklärung“ am Fuß der Webseite.

Dabei sind die Datenschutzinformationen eng verknüpft mit den Allgemeinen Geschäftsbedingungen (AGB) eines Onlineshops. Die beiden Rechtstexte bedingen einander, und die Datenschutzerklärung baut inhaltlich auf den AGB des Onlineshops auf.

Der Inhalt einer Datenschutzerklärung wird vom gesetzlichn Rahmen der DSGVO vorgegeben. Die Datenschutzerklärung muss zunächst alle Arten von personenbezogenen Daten nennen, mit denen der Verkäufer in Berührung kommt. Dann muss der Verkäufer für jede Datenart erklären, zu welchem Zweck er die Daten erhebt und verarbeitet, worin die Verarbeitung besteht, wie lange die Daten gespeichert bleiben und welche Auskunfts- und sonstigen Rechte der Betroffene hat. Je nach Konstellation können auch noch weitere Angaben erforderlich sein.

Eine Datenschutzerklärung zu erstellen, ist – ähnlich wie bei AGB – für Laien kaum fehlerfrei machbar, weil die Anforderungen komplex sind und der Text der DSGVO unübersichtlich und teilweise schwer verständlich ist.

Professionelle AGB und Datenschutzerklärung online erstellen

Es wäre aufwendig und mit hoher Wahrscheinlichkeit fehlerträchtig, wenn Sie als juristischer Laie AGB und Datenschutzerklärung für Ihren Shop selbst erstellen würden. Und fehlende oder missverständliche Klauseln können schnell zu kostenträchtigten Abmahnungen führen. Nutzen Sie besser die langjährige Expertise unserer Anwaltskanzlei und erstellen Sie hier Ihr professionelles Rechtstextepaket aus AGB, Datenschutzerklärung und Widerrufsinformationen für Amazon, eBay, Etsy, kleinanzeigen.de, für Ihren individuellen Onlineshop oder Ihre Webinare.

Brauche ich einen Datenschutzbeauftragten?

Ob ein Datenschutzbeauftragter zu benennen ist, regelt § 38 BDSG (in der ab 25. 5. 2018 geltenden Fassung). Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach dieser Regelung jedenfalls für solche Verantwortlichen, die „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Wer also als Online-Händler für die Abwicklung von Bestellungen, die Buchhaltung und den Kundenservice weniger als zehn Personen beschäftigt, braucht keinen Datenschutzbeauftragten. Es gibt Ausnahmen von dieser Regel, z.B. dann, wenn besondere Arten personenbezogener Daten verarbeitet werden, so z.B. Gesundheitsdaten oder Informationen über die religiöse oder politische Orientierung. Die Ausnahmen dürften aber in den meisten Shops praktisch keine Rolle spielen. Holen Sie im Zweifel individuellen Rechtsrat ein.

Wie muss ich die personenbezogenen Daten schützen?

Die DSGVO verpflichtet jeden Verantwortlichen

  • zum Schutz der Daten vor fremdem Zugriff und
  • zum Schutz vor unbeabsichtigtem Datenverlust.

Das bedeutet für Online-Händler in der Praxis zumindest, den Zugang zur Shop-Software und zum eigenen Computer sorgfältig zu sichern und vom eigenen Computer regelmäßig sichere Backups zu machen:

  • Verwenden Sie für den Zugang zu Ihrer Shop-Software ein sicheres Passwort. Tipps für sichere Passwörter gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Halten Sie Ihre Zugangsdaten stets geheim. Teilen Sie sie auch nicht in der Familie.
  • Verwenden Sie auch für Ihren Computer ein sicheres Passwort – aber ein anderes als für die Shop-Software. Wenn Sie den Computer mit anderen gemeinsam verwenden, zum Beispiel in der Familie, richten Sie unbedingt einen eigenen Benutzer-Account mit gesondertem Passwort für sich ein. Nutzen Sie  nur diesen Account für Ihre Verkäufer-Aktivitäten. Halten Sie auch dieses Passwort geheim.
  • Verschlüsseln Sie die Festplatte Ihres Computers, so dass auch im Falle eines Diebstahls kein Fremder die Festplatte auslesen kann. Eine Einführung zu Verschlüsselungsmöglichkeiten gibt es hier vom BSI.
  • Machen Sie regelmäßige Backups von Ihrem Computer. Nutzen Sie für das Backup ein verschlüsseltes externes Medium (z.B. USB-Stick), das Sie getrennt vom Computer aufbewahren. So können Sie Kundendaten und Geschäftsvorgänge schnell wieder rekonstruieren, falls der Computer beschädigt oder gestohlen wird.
  • Ausgedruckte Daten von Kunden sind so aufzubewahren, dass sie unter normalen Umständen kein Dritter einsehen kann (z.B. in einem abgeschlossenen Schrank).

Bedenken Sie: Alle diese Regeln sind nicht nur unverbindliche Empfehlungen, sondern resultieren aus den gesetzlichen Vorgaben von Artikel 32 DSGVO zur Datensicherheit!

Interne Dokumentationspflicht: Das Verfahrensverzeichnis

Mit der DSGVO wird auch eine neue Dokumentationspflicht eingeführt: Jeder Verkäufer muss ein Dokument erstellen, aus dem alle seine Verarbeitungsvorgänge zusammengefasst hervorgehen. Dieses Dokument nennt sich Verarbeitungsverzeichnis (definiert in Artikel 30 DSGVO).

Das Verarbeitungsverzeichnis muss unter anderem folgendes enthalten:

  • Ihren Namen und Ihre Kontaktdaten,
  • die Kategorien der verarbeiteten personenbezogenen Daten (z.B. „Käufername“, „Adresse“, „E-Mail“ usw.),
  • die Kategorien der von der Datenverarbeitung betroffenen Personen (z.B. „Kaufinteressent“, „Käufer“, „Rechnungsempfänger“),
  • die Zwecke der Verarbeitung der personenbezogenen Daten (z.B. „Lieferung“, „Retourenbearbeitung“),
  • die Empfänger, denen Sie personenbezogene Daten offenlegen (z.B. Services wie BillBee oder Zustellunternehmen),
  • eine Information, ob und, falls ja, unter welchen näheren Umständen eine Datenübermittlung an Länder außerhalb der EU stattfindet (z.B. in die USA),
  • eine Erläuterung, wann Sie welche Kategorien von Daten wieder löschen werden,
  • eine Beschreibung der technischen und organisatorischen Maßnahmen, die Sie triffen, um personenbezogene Daten vor Verlust, Beschädigung, Diebstahl und Missbrauch durch Dritte zu schützen.

Das Verarbeitungsverzeichnis ist nicht identisch mit der Datenschutzerklärung. Es unterscheidet sich zum einen inhaltlich. Zum anderen wird das Verarbeitungsverzeichnis vom Verkäufer nicht in seinem Shop veröffentlicht. Es dient vielmehr der internen Dokumentation und muss aber der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung gestellt werden. Auf Grundlage des Verfahrensverzeichnisses prüft die Datenschutzbehörde, ob ein Käufer korrekt mit Kundendaten umgeht.

Gerade die Angaben zu den technischen und organisatorischen Maßnahmen sind für Online-Händler nicht immer einfach umzusetzen, da hierfür auch technisches Verstandnis der Datenverarbeitung vorausgesetzt wird.

Auskunfts- und weitere Rechte

Mit der neuen DSGVO erhalten „Betroffene“ weitergehende Rechte als bisher. Unter anderem wird mit Artikel 15 DSGVO der Anspruch auf Auskunft neu geregelt. Wenn also ein Käufer oder eine andere Person sich bei Ihnen erkundigt, ob Sie Daten über ihn oder sie gespeichert haben, müssen Sie folgende Angaben machen:

  • alle Daten, die Sie über die betreffende Person verarbeitet haben,
  • die Verarbeitungszwecke,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

Es empfiehlt sich, dass Sie bereits vorab ein Muster für die Beantwortung solcher Anfragen erstellen, um auf Anfragen zügig reagieren zu können.

Wann muss ich tätig werden?

Für die Umsetzung aller dieser neuen Regelung ist noch Zeit bis zum 24. Mai 2018. Am 25. Mai 2018 gilt dann nur noch das neue Recht der DSGVO mit den Anforderungen, wie wir sie hier beschrieben haben. Aber es ist natürlich sinnvoll, dass Sie sich schon in den Wochen vor dem 25. Mai 2018 mit den neuen Regelungen vertraut machen, Ihre Datenschutzerklärung aktualisieren und Ihr Verfahrensverzeichnis aufstellen.

Online-Tool zur Erstellung von AGB und Datenschutzerklärung

Tools zur Erstellung von AGB und Datenschutzerklärungen auf elektronischen Marktplätzen:

AGB und Datenschutzerklärung für eBay erstellen

AGB und Datenschutzerklärung für Amazon erstellen

AGB und Datenschutzerklärung für Etsy erstellen

Tools zur Erstellung von AGB und Datenschutzerklärungen für Online-Shops außerhalb von Marktplätzen:

AGB und Datenschutzerklärung für Onlineshop erstellen

AGB und Datenschutzerklärung für Azoo erstellen

AGB und Datenschutzerklärung für Elopage erstellen

 

 

 

Drucken