Nur an einigen Stellen der Verordnung gibt es sogenannte Öffnungsklauseln, die es den Mitgliedsstaaten ermöglichen, Konkretisierungen oder Ergänzungen einzelner Regelungen vorzunehmen. Im Großen und Ganzen gelten aber ab dem 25.5.2018 einheitliche Standards in der gesamten EU. Dabei bleibt manches, was bereits aus der alten Datenschutz-Richtlinie der EU und dem Bundesdatenschutzgesetz (BDSG) bekannt ist, wie es war. Allerdings muss auch eine Vielzahl neuer Vorschriften beachtet werden. Gerade die hohen Bußgelder, die im Einzelfall bis zu 20 Millionen Euro betragen können, und die damit einhergehende neue Abmahngefahr lassen Unternehmen aufhorchen – denn von der neuen EU-DSGVO sind alle Unternehmen und Personen betroffen, die online tätig sind, also insbesondere auch Online-Händler.
Die EU macht im Datenschutz ernst. Im Folgenden ein Überblick, was mit dem neuen DSGVO zu beachten ist.
Gilt die neue EU-DSGVO überhaupt für mich?
Wenn Sie z.B. als Online-Händler in Deutschland oder einem anderen Staat der EU ansässig sind und mit der Verarbeitung personenbezogener Daten zu tun haben, gilt für Sie die EU-DSGVO. Unternehmen oder Personen, die nicht aus der EU kommen, müssen die neue EU-DSGVO einhalten, wenn sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.
Personenbezogene Daten sind solche Angaben, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Die DSGVO erweitert diese bislang gültige Definition, wonach gemäß Art. 4 Ziffer 1 EU-DSGVO „personenbezogene Daten“ alle Informationen [sind], die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind[.]“
Zu den personenbezogenen Daten gehören zum Beispiel Name, Anschrift, E-Mail-Adresse, Standortdaten, IP-Adressen aber auch Cookies.
Was bleibt, wie es ist?
Mit der neuen DSGVO wird das Rad nicht neu erfunden – das gilt zumindest aus deutscher Sicht, da die Regelungen des BDSG bereits ein hohes Schutzniveau vorschreiben. Alte und bereits bekannte Prinzipien des Datenschutzes bleiben weiterhin
- Datensparsamkeit
- Verbot der Datenverarbeitung mit Erlaubnisvorbehalt
- Zweckbindung personenbezogener Daten und
- Richtigkeit der Daten
Was ist unter anderem neu?
- Datensicherheit
- Recht auf Löschung
- Recht auf Datenübertragbarkeit
- Rechenschaftspflicht bezüglich der Einhaltung des Datenschutzes und
- Geänderte Vorgaben für die Einwilligung
- Neue Anforderungen an die Datenschutzerklärung
Datensicherheit
Die Datensicherheit, die bislang nicht ausdrücklich geregelt war, soll sich nach der EU-DSGVO an der Schutzbedürftigkeit der personenbezogenen Daten orientieren. Heißt: je sensibler die personenbezogenen Daten, desto intensiver die Maßnahmen, die zu deren Schutz zu treffen sind. Welche Vorkehrungen angemessen sind, richtet sich dann unter anderem danach, in welchem Verhältnis die technische Machbarkeit zu den Kosten steht.
Recht auf Löschung
Das Recht auf Löschung – auch bekannt als Recht auf Vergessenwerden – hat Eingang in die neue DSGVO erhalten. 2014 wurde erstmals einem Kläger vom Europäischen Gerichtshofe (EuGH) in einem Verfahren gegen Google ein Recht auf Löschung auf sich bezogener Daten zugesprochen. Nach dem Urteil dürfen Betroffene von Suchmaschinen wie Google unter bestimmten Voraussetzungen die Löschung von Verlinkungen zu alten Presseartikeln verlangen. Die neue Regelung der DSGVO gibt Nutzern den Anspruch, unter bestimmten Voraussetzungen die Löschung bestimmter personenbezogener Daten geltend zu machen.
Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit verschafft Nutzern den Anspruch, dass personenbezogene Daten nach Verlangen der Nutzer in ein gängiges Format umgewandelt werden, um diese an andere Portale oder Online-Dienste weitergeben zu können.
Rechenschaftspflichten
Die verankerten Rechenschaftspflichten bringen unter anderem umfassende Dokumentationspflichten mit sich. Zum Beispiel muss die Umsetzung datenschutzrechtlicher Regelungen auf Verlangen jederzeit nachgewiesen werden können.
Einwilligungen
Auch bei der Einwilligung kommen geänderte Vorgaben auf Unternehmen zu. Dabei ist insbesondere die neue Opt-In-Lösung der DSGVO hervorzugeheben. Eine Einwilligung durch ein Opt-Out-Kästchen – also ein standardmäßig angekreuztes Kästchen – soll nach der neuen Verordnung nicht mehr ausreichen. Opt-In-Lösung bedeutet, dass Nutzer in Zukunft aktiv ihre Zustimmung durch Anklicken eines Feldes oder Kästchen geben sollen. Außerdem muss der Nachweis erbracht werden, ob eine Einwilligung in die Datenverarbeitung tatsächlich erfolgt ist. Es muss zudem die Möglichkeit bestehen, die Einwilligung jederzeit und ohne Begründung zu widerrufen. Der Widerruf muss dabei mindestens so einfach möglich sein wie die Abgabe der Einwilligung.
Datenschutzerklärung rechts- und abmahnsicher anpassen:
Mit der neuen DSGVO wurden insbesondere die Informations- und Auskunftspflichten ausgeweitet. Online-Händler und Shop-Betreiber werden daher ihre Datenschutzerklärung anpassen müssen. Informationen müssen verständlich, präzise, leicht zugänglich und transparent dargestellt sein.
Beispielsweise müssen Angaben zur Rechtsgrundlage der Datenverarbeitung oder zur Dauer der Speicherung gemacht werden. Hinzu kommt, dass die Kriterien, nach der sich die Speicherdauer bestimmen, den Nutzern genannt werden müssen. Alle Informationen zur Datenverarbeitung müssen zudem leicht wahrnehmbar und in verständlicher Form abgebildet werden.
Update: Wir stellen ab dem 07. Mai 2018 hier einen Datenschutzerklärungs-Generator zur Verfügung.
Was müssen Online-Händler bis Mai 2018 unbedingt tun?
Vor allem die neuen Anforderungen an die Datenschutzerklärung bringen entsprechenden Handlungsbedarf mit sich. Online-Händler müssen bis zum Mai 2018 unbedingt ihre aktuelle Datenschutzerklärung überprüfen und gegebenenfalls rechts- und abmahnsicher anpassen, damit die darin enthaltenen Hinweise hinreichend verständlich, präzise, leicht zugänglich und transparentausgestaltet sind.
Geldbußen und Abmahnungen bei Verstößen gegen die DSGVO
In jedem Mitgliedstaat der EU soll es eine zuständige Aufsichtsbehörde geben, an die sich Betroffene bei Verstößen wenden können (One-Stop-Shop-Lösung). Verstöße können nach der neuen DSGVO mit Geldbußen bis zu 20 Millionen Euro oder 4 % des gesamten Jahresumsatzes geahndet werden.
Beachtet werden sollte unbedingt auch die Rechtsprechung des OLG Köln. Danach kann ein Verstoß in Form einer fehlenden Datenschutzerklärung auf einer Internetseite einen Wettbewerbsverstoß darstellen. Folge kann eine wettbewerbsrechtliche Abmahnung sein. Um sich die damit einhergehenden erheblichen Kosten zu sparen, sollten entsprechende Maßnahmen bereits vorab ergriffen werden.
Was können wir für Sie tun?
Auf die richtige Vorsorge kommt es an! Verstöße gegen die neuen Regelungen des DSGVO können mir hohen Bußgeldern geahndet werden. Zudem droht durch die neue Rechtsprechung eine wettbewerbsrechtliche Abmahnwelle bei Verstößen gegen Datenschutzbestimmungen. Darauf sollten Sie es nicht ankommen lassen!
Online-Händler, die unseren Updateservice in Anspruch nehmen, sind gegen die mit der DSGVO drohenden Bußgelder und die damit einhergehenden neuen Abmahngefahren bestens gewappnet. Wir werden unsere Updateservice-Mandanten rechtzeitig mit einer Datenschutzerklärung ausstatten, die alle hierfür relevanten von der neuen DSGVO zwingend vorgeschriebenen Änderungen berücksichtigt.
Abmahnschutz und Updateservice
Sind Sie an unserem Abmahnschutz und Updateservice interessiert? Sprechen Sie uns gerne jederzeit hierauf an.
Haben Sie eine wettbewerbsrechtliche Abmahnung wegen eines Verstoßes gegen Datenschutzbestimmungen erhalten?