Plus IT > Ressource Center > Blog > DSGVO Novelle – Was Online-Händler künftig beachten müssen

DSGVO Novelle – Was Online-Händler künftig beachten müssen

DSGVO Checkliste für Online-Händler

Die Analyse des Kundenverhaltens ist für Händler zunehmend wichtiger geworden. Egal ob es sich nun um Zielgruppenansprache mit Geotargeting, die Auswertung der Customer Journey oder die Analyse von Retouren handelt – es werden personenbezogene Daten verarbeitet.  Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (kurz DSGVO) in Kraft, die dann mit dem neugefassten Bundesdatenschutzgesetz (BDSG) ihre Anwendung im deutschen Recht findet. Viele der recht strengen deutschen Grundsätze sind dabei in die europäische Verordnung geflossen, so dass deutsche Händler wahrscheinlich die meisten Vorgaben bereits erfüllen. Allerdings wird es den Aufsichtsbehörden durch die Novellierung möglich, Bußgelder zu verhängen – und diese können empfindlich treffen. Insofern sollten Händler auf jeden Fall gewappnet sein und die Prozesse nochmal konform zur Verordnung gestalten.

Wir haben dazu eine Checkliste erstellt, die Sie hier kostenlos herunterladen können.

Die Verarbeitung personenbezogener Daten sollte nach den in der Verordnung definierten Grundsätzen erfolgen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten verboten, aber es gibt einen Erlaubnisvorbehalt. Zulässig ist die Verarbeitung, wenn eine Einwilligung vorliegt oder eine Ausnahme der Verordnung zutrifft. Dies kann bei einem Händler zum Beispiel die Notwendigkeit zur Erfüllung der Verträge sein. Der Händler muss ja schließlich die Adresse erheben können, um die Lieferung gemäß Vertrag veranlassen zu können.

Gleichzeitig sind die Händler, wie jedes Unternehmen, dazu angehalten, Daten sparsam zu erheben. Demnach soll der Zweck der Datenverarbeitung auf das notwendige Maß beschränkt werden. Die Verarbeitung muss also angemessen und sachlich relevant sein. Gerade dieser Punkt ist im Hinblick auf die Verarbeitung von Daten von Besuchern eines Webshops wichtig. IP-Adressen und Cookies sind geeignet, um Profile von natürlichen Personen zu erstellen und Personen wieder identifizieren können.

Für die Verarbeitung solcher Verhaltensdaten ist in der Regel eine freiwillige Einwilligung des Betroffenen erforderlich. Außer es geht um den berechtigen Schutz eigener Interessen.

Bei Händlern dürfte etwa die Auswertung der Retouren – und damit die Auswertung von Kundenverhalten – zur Verhinderung von missbräuchlicher Nutzung gegenüber den Interessen der Käufer überwiegen.

Zur elektronischen Einwilligung muss der Nutzer in einfacher und verständlicher Sprache über die Art und Weise der Datenverarbeitung aufgeklärt werden. Der Hinweis auf ein Widerrufsrecht und die Nennung verantwortlicher Kontaktpersonen darf hier nicht fehlen.

Es ist nicht zulässig, Einwilligungen zu koppeln. Die Verarbeitung der Verhaltensdaten etwa bei der Customer Journey ist ein anderer Zweck als die Verarbeitung zur Erfüllung des Kaufvertrages. Dabei wird eine separate Einwilligung für die Analyse der verschiedenen Verhaltensdaten benötigt. Wenn der Kunde nicht gesondert in die Verarbeitung der Verhaltensdaten einwilligen kann, gilt die Einwilligung nicht als frei. Die Verarbeitung der Daten bleibt somit untersagt.

Verhaltensdaten sind nach der Verordnung biometrische Daten, die einen besonderen Schutz erfordern. Es sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei muss die Wirksamkeit des Schutzes regelmäßig überprüft und bewertet werden. Entsprechend ist eine Verschlüsselung der Daten ebenso wie Penetration-Tests der verarbeitenden Systeme und Security Audits der Software angebracht, um den Anforderungen der Verordnung zu genügen.

Wenn ein Kunde oder Betroffener die Einwilligung zur Verarbeitung der Daten widerruft, muss der Händler in der Lage sein, sämtliche Daten dieser Person zu löschen, wenn es keine berechtigen Interessen gibt, die Daten dieser Person weiterhin zu verarbeiten. Wenn es wie im skizzierten Fall unterschiedliche Zwecke für die Verarbeitung gibt – Auftragserfüllung und Optimierung der Zielgruppenansprache – kann ein Widerruf die umgehende Löschung der Verhaltensdaten erfordern und der Erhalt der Daten zur Auftragserfüllung weiterhin möglich sein.

Eine wesentliche Neuerung der Verordnung sind die Bußgelder, die die Aufsichtsbehörden bei Verstößen gegen die Verordnung verhängen können. Außerdem wird die Verordnung nun auch auf Unternehmen angewandt, die keinen Sitz in Europa haben, deren Angebot sich aber an Bürger der Europäischen Union richtet. Behörden können nach der Verordnung Bußgelder bis zu 20 Millionen Euro oder – wenn dieser Betrag höher ist – 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängen.

Fazit

Dieser Artikel kann nur einen kleinen Einblick zu geben, was bei der verordnungskonformen Datenverarbeitung mit Personenbezug zu beachten ist. Ich möchte damit aber die Thematik ins Bewusstsein rufen. Auf Punkte wie die Verzeichnispflicht, Auftragsverarbeitung oder die Schaffung von Verhaltensregeln wurde nicht näher eingegangen, obwohl sie ebenso wichtig sind wie die oben ausgeführten Punkte.  In jedem Fall ist der Händler gut beraten sich dazu juristischen Beistand zu holen, denn das wirtschaftliche Risiko bei verordnungswidrigem Verhalten ist nicht unerheblich.

Laden Sie sich hier die Checkliste für Online-Händler herunter, um die Verordnung rechtskonform umsetzen zu können.

mm

Stefan Berends

Stefan Berends ist Geschäftsführer der plus-IT und berät seit fast 20 Jahren Kunden im BI Bereich. Er ist Autor und Experte für SAP Crystal Reports und verfügt über langjährige Expertise im Bereich Dashboarding und Reporting sowie Machbarkeitsstudien und Tool-Empfehlungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.