Wie erfüllen "kleinere" Händler die Vorgaben der künftigen Datenschutz-Grundverordnung (DSGVO)?
Gerade „kleinere“ Online-Händler fragen oft bei der IT-Recht Kanzlei an, ob sie von der künftigen Datenschutzgrundverordnung betroffen sind und falls ja, was sie unternehmen müssen, um die Vorgaben dieser Verordnung zu erfüllen. Die IT-Recht Kanzlei will mit ihrem folgenden Beitrag gerade kleinere Unternehmen über ihre Pflichten nach der künftigen Datenschutzgrundverordnung informieren.
Inhaltsverzeichnis
- I. Betrifft die Datenschutzgrundverordnung überhaupt kleinere Online-Händler?
- II. Welche Hauptpflichten gem. der DSGVO hat der kleine Online-Händler zu erfüllen?
- 1. Informationspflicht gegenüber Nutzern und Kunden durch Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über deren Rechte
- 2. Verfahrensverzeichnis
(Wer sich im Detail über die Pflichten des Online-Händlers nach der Datenschutzgrundverordnung unterrichten will, dem sei etwa dieser Beitrag empfohlen.)
I. Betrifft die Datenschutzgrundverordnung überhaupt kleinere Online-Händler?
Ja. Die Datenschutzgrundverordnung (nachfolgend "DSGVO") gilt für jeden, der personenbezogene Daten Dritter verarbeitet und hierbei nicht nur aus persönlichen oder familiären Gründen tätig wird.
Das bisher geltende deutsche Datenschutzrecht hat kleine Händler von den Pflichten größerer Online-Unternehmen ausgenommen. Leider ist nach künftiger DSGVO auch der kleine Online-Händler den umfangreichen Vorgaben der DSGVO unterworfen.
Generell gilt: Wer als kleinerer Händler Produkte über das Internet verkauft und hierbei Kundendaten erhebt und verarbeitet, ist ebenso an die DSGVO gebunden wie etwa ein Großhändler.
Privilegiert wird der Kleinbetrieb nur insofern, als dass er keinen Datenschutzbeauftragten bestellen muss.
II. Welche Hauptpflichten gem. der DSGVO hat der kleine Online-Händler zu erfüllen?
Seine zwei wichtigsten Pflichten:
- Er muss seine Kunden - wie aber auch die Besucher seiner Internetpräsenz - im Rahmen einer Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte informieren.
- Er muss für die Aufsichtsbehörden ein sogenanntes Verfahrensverzeichnis führen.
1. Informationspflicht gegenüber Nutzern und Kunden durch Datenschutzerklärung über die Erhebung und Verarbeitung ihrer personenbezogenen Daten und über deren Rechte
Frage: In welchen Fällen kommt es zu einer Erhebung und Verarbeitung personenbezogener Daten“?
Hierzu folgende Beispiele:
- Beim Bestellvorgang fallen Kundendaten an, die der Online-Händler braucht, um die Bestellung auszuführen.
- Der Online-Händler will möglicherweise seine Kunden über einen Newsletter bez. seiner Produkte informieren.
- Es werden Daten an Dritte weitergegeben, z.B. die Lieferadresse an das Transportunternehmen.
- Der Zahlungsvorgang wird speziellen Dienstleistern überlassen.
- Der Händler will über Werbepartner wie Google oder andere mehr über die Vorlieben seiner Kunden erfahren.
etc. etc.
Frage: Welche Rechte hat der Nutzer und Kunde?
Zum einen hat er ein umfangreiches Informationsrecht dahingehend zu erfahren, was mit seinen Daten geschieht. Zum anderen hat er viele Antragsrechte wie z.B. das Recht auf Berichtigung oder auf Löschung. Über diese Rechte muss umfassend informiert werden.
Frage: Wie kann der Online-Händler seine Informationspflichten am besten erfüllen?
Die Informationspflichten des Online-Händlers sind äußerst umfangreich und sollten Nutzern und Kunden in einer Datenschutzerklärung dargestellt werden.
Die IT-Recht Kanzlei versorgt ihre Mandanten bereits nach jetzigem Recht mit einer eine solchen Datenschutzerklärung. Eine neue Datenschutzerklärung nach den Vorgaben der DSGVO ist in Vorbereitung und wird unseren Mandanten rechtzeitig zur Verfügung gestellt werden. Diese (sehr umfangreiche) Datenschutzerklärung wird im Baukastensystem aufgebaut sein und wird nach den jeweiligen speziellen Bedürfnissen der Online-Händler individuell konfigurierbar sein.
Ein umfangreicher Fragenkatalog und Handlungsinformationen werden unsere Mandanten wie bisher bei der Konfiguration der Datenschutzerklärung unterstützen.
2. Verfahrensverzeichnis
Auch der kleine Online-Händler muss künftig ein schriftliches Verfahrensverzeichnis über seine Verarbeitung von personenbezogenen Daten und seine Maßnahmen zur Datensicherheit bereithalten, das er den Aufsichtsbehörden auf Anfrage zur Verfügung stellen muss.
Er kann dieses Verzeichnis auch in einem elektronischen Format, z. B. als Word-Dokument führen. Die Vorgaben der DSGVO in dem Zusammenhang sind leider äußerst umfangreich und schwierig zu lesen.
Was die Maßnahmen zur Datensicherheit angeht, so sind die Vorgaben für einen kleinen Online-Händler auf jeden Fall geringer als für ein größeres Online-Unternehmen.
Die NRW-Datenschutzbehörde hat jetzt ein Muster für eine derartiges Verzeichnis veröffentlicht, das Online-Händlern einen Anhaltspunkt liefert, wie ein solches Verfahrensverzeichnis aussehen soll.
Die IT-Recht Kanzlei wird auf der Grundlage dieses Musters in den nächsten Wochen ein eigenes Muster erarbeiten, das gerade auf die spezifischen Belange insbesondere des kleinen Online-Händlers eingeht und auch die notwendigen Maßnahmen zur Datensicherheit beinhaltet, die ein kleiner Online-Händler beachten soll. Dieses Muster wird den Mandanten der IT-Recht Kanzlei selbstverständlich kostenfrei zur Verfügung gestellt.
Tipp: Online-Händler, die künftig die Datenschutzerklärung der IT-Recht Kanzlei nutzen, haben hier in jedem Fall einen Vorteil, da sie bei der Ausfüllung des oben genannten Musters in vielen Punkten auf ihre Datenschutzerklärung verweisen können.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
12 Kommentare
Quelle: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verzeichnis-Verarbeitungstaetigkeiten/Inhalt/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html
In dem auf der selben Seite weiter unten verlinkten PDF-Datei mit Hinweisen heißt es:
"Kein Verzeichnis von Verarbeitungstätigkeiten müssen nach Art. 30 Abs. 5 DS-GVO Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen". Es gibt zwar drei Ausnahmen für sensible Personendaten, aber die dürften regelmäßig für Online Händler nicht gelten.
"...wir bedauern, dass Sie ein Problem mit Ihrem Artikel haben.
Auf Grund der Datenschutzverordnung,
sind wir mit dem Eintreten der neuen Richtlinie, nicht mehr befugt,
Anfragen außerhalb des Portals (Amazon) der eingegangenen Bestellung, zu bearbeiten.
Wir bitten Sie die Kommunikation ausschließlich Amazon abzuwickeln.
Wir bitten um Verständnis!"
Ist das so korrekt, oder wird hier nur eine zusätzliche Barriere hingelegt, um den Endverbraucher von den bisher eingeleiteten Maßnahmen abzubringen? Dazu muss ich sagen, dass ich als Kunde in ihrem System geführt werde, da ich auch schon in deren Online-Shop bestellt habe.
Vielen Dank und viele Grüße.
muss ich dann auf die DSGVO hinweisen und Verfahrensverzeichniss erstellen?
Die Kunden haben sozusagen ein Abo und bekommen i.d.R. jede Woche die gleiche Lieferung. Am Monatsende erfolgt die Bezahlung per Lastschrifteinzug. Muss ich jeden meiner Kunden informieren welche Daten aktuell gespeichert sind (Name, Adresse, Bankverbindung)?
Wie gehen wir mit neuen Kunden um? Wenn ich die Kunden (ob neu und/oder alt) schriftlich informieren muss, muss ich sämtliche Gesetztesauszüge mit angeben oder reicht es aus, dass angegeben wird, dass die Daten gem. DSGVO gespeichert werden um eine Belieferung und eine Bezahlung per Lastschrift zu ermöglichen?
Wir haben keine Website und müssen dort somit nichts aktualisieren.
Vielen Dank vorab für Ihre Hilfe.
Verstehe ich das richtig, daß ich als Kleingewerbler (unter 3000,- Gewinn im Jahr) der Kundendaten nur für den Versand von über Verkaufsplattformen (eBay, Amazon, etc) verkaufter Ware benötigt und diese weder gezielt aufbewahrt noch in irgendeiner Form für andere Zwecke benutzt, ebenfalls mit diesen Riesenaufwand belastet werde?
Ich freue mich auf Ihre Antwort. Herzliche Grüße MT