Wie erfüllen "kleinere" Händler die Vorgaben der künftigen Datenschutz-Grundverordnung (DSGVO)?

Wie erfüllen "kleinere" Händler die Vorgaben der künftigen Datenschutz-Grundverordnung (DSGVO)?

Gerade „kleinere“ Online-Händler fragen oft bei der IT-Recht Kanzlei an, ob sie von der künftigen Datenschutzgrundverordnung betroffen sind und falls ja, was sie unternehmen müssen, um die Vorgaben dieser Verordnung zu erfüllen. Die IT-Recht Kanzlei will mit ihrem folgenden Beitrag gerade kleinere Unternehmen über ihre Pflichten nach der künftigen Datenschutzgrundverordnung informieren.

(Wer sich im Detail über die Pflichten des Online-Händlers nach der Datenschutzgrundverordnung unterrichten will, dem sei etwa dieser Beitrag empfohlen.)

I. Betrifft die Datenschutzgrundverordnung überhaupt kleinere Online-Händler?

Ja. Die Datenschutzgrundverordnung (nachfolgend "DSGVO") gilt für jeden, der personenbezogene Daten Dritter verarbeitet und hierbei nicht nur aus persönlichen oder familiären Gründen tätig wird.

Das bisher geltende deutsche Datenschutzrecht hat kleine Händler von den Pflichten größerer Online-Unternehmen ausgenommen. Leider ist nach künftiger DSGVO auch der kleine Online-Händler den umfangreichen Vorgaben der DSGVO unterworfen.

Generell gilt: Wer als kleinerer Händler Produkte über das Internet verkauft und hierbei Kundendaten erhebt und verarbeitet, ist ebenso an die DSGVO gebunden wie etwa ein Großhändler.

Privilegiert wird der Kleinbetrieb nur insofern, als dass er keinen Datenschutzbeauftragten bestellen muss.

Banner Unlimited Paket

II. Welche Hauptpflichten gem. der DSGVO hat der kleine Online-Händler zu erfüllen?

Seine zwei wichtigsten Pflichten:

  • Er muss seine Kunden - wie aber auch die Besucher seiner Internetpräsenz - im Rahmen einer Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte informieren.
  • Er muss für die Aufsichtsbehörden ein sogenanntes Verfahrensverzeichnis führen.

1. Informationspflicht gegenüber Nutzern und Kunden durch Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über deren Rechte

Frage: In welchen Fällen kommt es zu einer Erhebung und Verarbeitung personenbezogener Daten“?

Hierzu folgende Beispiele:

  • Beim Bestellvorgang fallen Kundendaten an, die der Online-Händler braucht, um die Bestellung auszuführen.
  • Der Online-Händler will möglicherweise seine Kunden über einen Newsletter bez. seiner Produkte informieren.
  • Es werden Daten an Dritte weitergegeben, z.B. die Lieferadresse an das Transportunternehmen.
  • Der Zahlungsvorgang wird speziellen Dienstleistern überlassen.
  • Der Händler will über Werbepartner wie Google oder andere mehr über die Vorlieben seiner Kunden erfahren.

etc. etc.

Frage: Welche Rechte hat der Nutzer und Kunde?

Zum einen hat er ein umfangreiches Informationsrecht dahingehend zu erfahren, was mit seinen Daten geschieht. Zum anderen hat er viele Antragsrechte wie z.B. das Recht auf Berichtigung oder auf Löschung. Über diese Rechte muss umfassend informiert werden.

Frage: Wie kann der Online-Händler seine Informationspflichten am besten erfüllen?

Die Informationspflichten des Online-Händlers sind äußerst umfangreich und sollten Nutzern und Kunden in einer Datenschutzerklärung dargestellt werden.

Die IT-Recht Kanzlei versorgt ihre Mandanten bereits nach jetzigem Recht mit einer eine solchen Datenschutzerklärung. Eine neue Datenschutzerklärung nach den Vorgaben der DSGVO ist in Vorbereitung und wird unseren Mandanten rechtzeitig zur Verfügung gestellt werden. Diese (sehr umfangreiche) Datenschutzerklärung wird im Baukastensystem aufgebaut sein und wird nach den jeweiligen speziellen Bedürfnissen der Online-Händler individuell konfigurierbar sein.

Ein umfangreicher Fragenkatalog und Handlungsinformationen werden unsere Mandanten wie bisher bei der Konfiguration der Datenschutzerklärung unterstützen.

2. Verfahrensverzeichnis

Auch der kleine Online-Händler muss künftig ein schriftliches Verfahrensverzeichnis über seine Verarbeitung von personenbezogenen Daten und seine Maßnahmen zur Datensicherheit bereithalten, das er den Aufsichtsbehörden auf Anfrage zur Verfügung stellen muss.

Er kann dieses Verzeichnis auch in einem elektronischen Format, z. B. als Word-Dokument führen. Die Vorgaben der DSGVO in dem Zusammenhang sind leider äußerst umfangreich und schwierig zu lesen.

Was die Maßnahmen zur Datensicherheit angeht, so sind die Vorgaben für einen kleinen Online-Händler auf jeden Fall geringer als für ein größeres Online-Unternehmen.

Die NRW-Datenschutzbehörde hat jetzt ein Muster für eine derartiges Verzeichnis veröffentlicht, das Online-Händlern einen Anhaltspunkt liefert, wie ein solches Verfahrensverzeichnis aussehen soll.

Die IT-Recht Kanzlei wird auf der Grundlage dieses Musters in den nächsten Wochen ein eigenes Muster erarbeiten, das gerade auf die spezifischen Belange insbesondere des kleinen Online-Händlers eingeht und auch die notwendigen Maßnahmen zur Datensicherheit beinhaltet, die ein kleiner Online-Händler beachten soll. Dieses Muster wird den Mandanten der IT-Recht Kanzlei selbstverständlich kostenfrei zur Verfügung gestellt.

Tipp: Online-Händler, die künftig die Datenschutzerklärung der IT-Recht Kanzlei nutzen, haben hier in jedem Fall einen Vorteil, da sie bei der Ausfüllung des oben genannten Musters in vielen Punkten auf ihre Datenschutzerklärung verweisen können.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © Manuel Capellari - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

12 Kommentare

M
Martin Schulze 15.02.2021, 19:54 Uhr
Kein Verfahrensverzeichnis, keine Pflicht für kleine Online-Händler
Das nach alter Rechtslage durch den Datenschutzbeauftragten zu erstellende öffentliche Verfahrensverzeichnis gemäß § 4g Absatz 2 Bundesdatenschutzgesetz (BDSG) bzw. die interne Verfahrensübersicht gemäß § 4g Absatz 2a BDSG wurde ab dem 25. Mai 2018 durch ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigkeiten mit personenbezogenen Daten abgelöst.

Quelle: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verzeichnis-Verarbeitungstaetigkeiten/Inhalt/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html

In dem auf der selben Seite weiter unten verlinkten PDF-Datei mit Hinweisen heißt es:

"Kein Verzeichnis von Verarbeitungstätigkeiten müssen nach Art. 30 Abs. 5 DS-GVO Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen". Es gibt zwar drei Ausnahmen für sensible Personendaten, aber die dürften regelmäßig für Online Händler nicht gelten.
N
Nico 21.01.2019, 14:08 Uhr
Kommunikation Support und Bestellung Amazon
Ich habe Anfang Dezember einen Artikel über Amazon bestellt und habe den Anbieter bzgl. eines Defekts direkt kontaktiert. Ich habe natürlich Artikel und die Bestellnummer mit angegeben, um eben jene Bestellung nachzuvollziehen. Heute habe ich eine E-Mail vom Support erhalten die besagt:
"...wir bedauern, dass Sie ein Problem mit Ihrem Artikel haben.
Auf Grund der Datenschutzverordnung,
sind wir mit dem Eintreten der neuen Richtlinie, nicht mehr befugt,
Anfragen außerhalb des Portals (Amazon) der eingegangenen Bestellung, zu bearbeiten.
Wir bitten Sie die Kommunikation ausschließlich Amazon abzuwickeln.
Wir bitten um Verständnis!"
Ist das so korrekt, oder wird hier nur eine zusätzliche Barriere hingelegt, um den Endverbraucher von den bisher eingeleiteten Maßnahmen abzubringen? Dazu muss ich sagen, dass ich als Kunde in ihrem System geführt werde, da ich auch schon in deren Online-Shop bestellt habe.
Vielen Dank und viele Grüße.
H
Hannes 08.08.2018, 10:26 Uhr
Herr
Wenn ich keine Kunden Daten Speicher speicher und nur Papier Ausdrucke für die Buchhaltung aufbewahre
muss ich dann auf die DSGVO hinweisen und Verfahrensverzeichniss erstellen?
B
Betrieb 22.06.2018, 16:48 Uhr
Landwirtschaftlicher Betrieb Direktvermarktung
Hallo, wir sind ein landwirtschaftlicher Betrieb, der die eigenen Produkte (Milch, Joghurt usw) an Privatkunden liefert.
Die Kunden haben sozusagen ein Abo und bekommen i.d.R. jede Woche die gleiche Lieferung. Am Monatsende erfolgt die Bezahlung per Lastschrifteinzug. Muss ich jeden meiner Kunden informieren welche Daten aktuell gespeichert sind (Name, Adresse, Bankverbindung)?
Wie gehen wir mit neuen Kunden um? Wenn ich die Kunden (ob neu und/oder alt) schriftlich informieren muss, muss ich sämtliche Gesetztesauszüge mit angeben oder reicht es aus, dass angegeben wird, dass die Daten gem. DSGVO gespeichert werden um eine Belieferung und eine Bezahlung per Lastschrift zu ermöglichen?
Wir haben keine Website und müssen dort somit nichts aktualisieren.
Vielen Dank vorab für Ihre Hilfe.
M
Markus Tump 17.05.2018, 13:16 Uhr
Herr
Guten Tag.

Verstehe ich das richtig, daß ich als Kleingewerbler (unter 3000,- Gewinn im Jahr) der Kundendaten nur für den Versand von über Verkaufsplattformen (eBay, Amazon, etc) verkaufter Ware benötigt und diese weder gezielt aufbewahrt noch in irgendeiner Form für andere Zwecke benutzt, ebenfalls mit diesen Riesenaufwand belastet werde?
Ich freue mich auf Ihre Antwort. Herzliche Grüße MT
e
eBay-Verkäufer 09.04.2018, 20:17 Uhr
Müssen auch eBay Verkäufer Änderungen des DSGVO beachten?
Müssen auch eBay Verkäufer Änderungen des DSGVO beachten? Wenn ja, muss ich ein Verfahrensverzeichnis erstellen? Meines Erachtens ist doch eBay der Webseitenbetreiber?
I
Isabel 12.03.2018, 18:18 Uhr
Muster für Verzeichnis
Wird das Muster das Sie speziell für die kleinen Onlinehändler entwickeln wollen auch für Nicht-Mandanten der IT-Recht Kanzlei (dann evtl. kostenpflichtig) zur Verfügung stehen ?
D
Dehne 08.03.2018, 15:37 Uhr
Was ist mit Einzelunternehmer?
Wie muss ich vorgehen? Betrifft mich das auch?
A
Alexander Maier 21.02.2018, 06:08 Uhr
Definition "kleines" Unternehmen
Hallo, bis wann ist man ein "kleines" Unternehmen? Hängt dies von der Mitarbeiterzahl oder vom Umsatz ab?
R
R. Schneider 16.02.2018, 17:59 Uhr
Herr
Muss man als Einzelunternehmer, ohne Angestellte, auch ein Verfahrensverzeichnis führen?
I
IT-Recht Kanzlei 16.02.2018, 17:25 Uhr
Verfahrensverzeichnis
Richtig, dies ist der Fall.
S
Susanne Rita Zizzari 16.02.2018, 17:20 Uhr
Frau
Müssen dann auch Kleinunternehmer (die weniger als 250 Mitarbeiter beschäftigen) ein Verfahrensverzeichnis führen?

Beiträge zum Thema

Ist die Aufzeichnung von Kundentelefonaten erlaubt?
(30.11.2024, 08:07 Uhr)
Ist die Aufzeichnung von Kundentelefonaten erlaubt?
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei