Wesentliche Neuerungen für den Datenschutz im Online-Handel nach der DSGVO
Ab dem 25.05.2018 wird die europäische Datenschutzgrundverordnung in allen Mitgliedsstaaten unmittelbare Geltung beanspruchen und in diesem Zuge das bisher geltende Datenschutzrecht weitgehend reformieren. Nationale Datenschutzgesetze, die bisher in Teilen auf der Richtlinie 95/46/EG basieren, werden zum maßgeblichen Zeitpunkt von den neuen Bestimmungen größtenteils verdrängt werden, was für sämtliche datenverarbeitende Stellen mit einem nicht unerheblichen Umstellungsaufwand einhergehen wird. Der folgende Beitrag widmet sich den Auswirkungen der neuen Datenschutzregeln auf den Online-Handel und zeigt auf, welche Reformen Online-Händler künftig zu beachten und umzusetzen haben.
Inhaltsverzeichnis
- I. Aus alt mach neu – Status Quo des Datenschutzrechts bleibt weitgehend erhalten
- II. Neuartige behördliche Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
- III. Organisatorischer Gleichlauf von Einwilligung und Widerruf
- IV. Besondere Erfordernisse für die Einwilligungen Minderjähriger
- V. Strenge Anforderungen für zweckübergreifende Weiterverarbeitungen
- VI. Erweiterte Auskunftspflicht, Art. 15 DSGVO
- VII. Neuartige Bearbeitungs- und Reaktionsfristen für die Rechtsverfolgung durch Betroffene, Art. 12 Abs. 3 DSGVO
- VIII. Erweiterte Datenschutzerklärung
- 1.) Datenschutzerklärung zur Umsetzung von Informationspflichten bleibt zulässig
- 2.) Erweiterung der Pflichtinhalte
- 3.) Weiterhin Belehrung auch über Art und Umfang der Datenvorgänge erforderlich?
- IX. Regelmäßig keine neuartigen Dokumentationspflichten
- X. Gelockerte Pflicht zur Bestellung von Datenschutzbeauftragten vs. nationale Regelungsautonomie
- XI. Fazit
I. Aus alt mach neu – Status Quo des Datenschutzrechts bleibt weitgehend erhalten
Auch wenn die EU-Datenschutzgrundverordnung (DSGVO) auf eine Anhebung des Datenschutzniveaus in der Europäischen Union abzielt und in diesem Zuge korrespondierend zur Stärkung der Betroffenenrechte vor allem den Pflichtenkatalog von Verantwortlichen erweitert und neue Organisationsmaßstäbe für die behördliche Durchsetzung und Kontrolle des Normenkatalogs schafft, bleiben die aus dem BDSG bekannten Grundzüge des Datenschutzrechts weitgehend erhalten. Insofern werden die Basisprinzipien, welche bereits die europäische Datenschutzrichtlinie 95/46/EG etablierte und welche mit dem deutschen BDSG übernommen wurden, auch unter der Geltung der DSGVO weiterhin das Datenschutzrecht prägen und im Online-Handel zu berücksichtigen sein.
Neben den unverändert fortwirkenden Standards der Datensparsamkeit („nur so viel wie zwingend erforderlich“), Datenrichtigkeit („nur so, wie beim Betroffenen inhaltlich und sachlich tatsächlich erhoben“), Datensicherheit (Gewährleistung des Zugriffsschutzes und der Integrität der Daten) und des Prinzips der strengen Zweckbindung („nur so, wie zur Erfüllung eines legitimen Zwecks nötig”) beansprucht vor allem das Prinzip des Verbots mit Erlaubnisvorbehalt nach wie vor unveränderte Geltung.
Demnach sind – wie auch nach dem BDSG – sämtliche Erhebungs- und Verarbeitungsvorgänge betreffend personenbezogene Daten grundsätzlich verboten, wenn sie nicht entweder durch einen gesetzlichen Erlaubnistatbestand oder eine ausdrückliche Einwilligung des Betroffenen gerechtfertigt sind (Art. 6 DSGVO).
Für den Online-Handel hat die Aufrechterhaltung des datenschutzrechtlichen Status Quo zur Folge, dass die grundlegenden datenschutzrechtswahrenden Elemente auf Webseiten und in Verkäuferprofilen ihrem Wesen nach weitgehend beibehalten werden können.
Dennoch wird es bei der konkreten Ausgestaltung von notwendigen Schutzmechanismen, der Fassung von Pflichtinformationen und Hinweisen und nicht zuletzt auch bei organisatorischen Überwachungs- und Dokumentationserfordernissen zu wesentlichen Änderungen kommen, die Händler zur Anpassung ihrer Präsenzen zwingen werden.
II. Neuartige behördliche Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
Mit der Datenschutzgrundverordnung wird in Art. 5 Abs. 2 DSGVO erstmalig die Pflicht eingeführt, auf behördliche Anforderung hin die Einhaltung aller grundlegenden Datenschutzprinzipien (s.o.) nachweisen zu können.
Mit der so begründeten Rechenschaftspflicht wollte der europäische Gesetzgeber der Umsetzung der datenschutzrechtlichen Grundpflichten Nachdruck verleihen und zur unbedingten Befolgen anhalten.
Inwiefern sich aus der neuartigen Verbindlichkeit Eingriffsbefugnisse der Aufsichtsbehörden herleiten lassen, vermag noch nicht abschließend beurteilt zu werden. Allerdings können bei einem belegbaren Verstoß gegen die Basisprinzipien nach Art. 83 Abs. 5 DSGVO äußerst empfindliche Geldbußen bis zu einer Höhe von 20 000 000€ oder im Fall eines Unternehmens in Höhe von bis zu 4 % seines gesamten (weltweit) erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Auch wenn grundsätzlich angenommen werden kann, dass die für die Einhaltung des Datenschutzrechts zuständigen Behörden eine Rechenschaft über die rechtskonforme Umsetzung der Basisprinzipien erst verlangen werden, wenn ihnen konkrete Hinweise auf Zuwiderhandlungen vorliegen, ist es für Online-Händler dennoch empfehlenswert, durch eine geeignete Protokollierung ihrer Verarbeitungssysteme und Nutzungsumfänge im Zweifel beweisen zu können, dass eine kontinuierliche und gewissenhafte autonome Ausrichtung nach den geltenden Leitlinien erfolgt ist und weiterhin erfolgt.
Als Beweismaterial hierfür können vor allem Protokolle über erteilte Einwilligungen, die Dokumentation des Datenspeichers und der Nachweis der rein internen, zweckgebundenen Verwendung (etwa für Bestellabwicklungen) dienen.
III. Organisatorischer Gleichlauf von Einwilligung und Widerruf
Ebenso wie das derzeit geltende deutsche Datenschutzrecht schreibt auch die DSGVO in Art. 7 Abs. 3 vor, dass einmal erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen werden können müssen. Neu ist hierbei aber die Vorgabe des Satzes 4, nach welcher der Widerruf so einfach muss erfolgen können wie die Einwilligungserteilung.
Im Online-Handel scheint dies insofern problematisch, als Einwilligungen im Regelfall ausschließlich elektronisch durch das Setzen eines Häkchens in einer mit einem Hinweis belegten Checkbox eingeholt werden. Diese erscheint aber nur einmalig vor dem Beginn des jeweiligen Datenvorgangs, ohne dass der Betroffene nachträglich die Möglichkeit hätte, das gesetzte Häkchen im Sinne eines Widerrufs zu entfernen.
Zu beachten ist allerdings, dass Art. 7 Abs. 3 Satz 4 DSGVO ausdrücklich nicht fordert, dass das Widerrufsverfahren demjenigen der Erteilung 1:1 entsprechen muss. Fraglich bleibt aber dennoch, ob ein Widerruf per Mail oder Telefonanruf in seiner Unkompliziertheit dem bloßen Setzen eines Häkchens nebst einer Einwilligungserklärung wird entsprechend können.
Um die größtmögliche Rechtssicherheit zu erzielen und einen Gleichlauf in der Simplizität von Einwilligungserteilung und Widerruf im Online-Handel in jedem Fall zu gewährleisten, kann die Bereitstellung eines personalisierten Links (ausgestaltet wie „Unsubscribe“-Link im Newsletter) nach der Einwilligungserteilung empfohlen werden, dessen Aktivierung per Klick bereits informationstechnologisch die Rechtsfolge des Widerrufs umsetzt und weitere Datenverarbeitungsvorgänge betreffend den Widerrufenden für die Zukunft unterbindet.
IV. Besondere Erfordernisse für die Einwilligungen Minderjähriger
Eine neuartige Ausprägung hat die datenschutzrechtliche Einwilligungsdogmatik in der Normierung spezieller Wirksamkeitsanforderungen für die datenschutzrechtliche Verarbeitungserlaubnis von Daten Minderjähriger erhalten, welche die Tragweite und Reichweite von erteilten Rechtfertigungen weniger sicher und umfassend abzuschätzen wissen als Erwachsene.
Während nach geltendem deutschen Recht die Wirksamkeit von Einwilligungen Minderjähriger individuell nach deren geistiger Reife und konkreter Einsichtsfähigkeit bemessen wird, wird es nach Art. 8 DSGVO zukünftig starre Altersgrenzen geben.
Gemäß Art. 8 Abs. 1 DSGVO wird die Einwilligung eines Minderjährigen in die Verarbeitung von diesen betreffenden personenbezogenen Daten in Kommunikationsmedien grundsätzlich nur wirksam, wenn dieser das 16. Lebensjahr vollendet hat.
Kinder und Jugendliche unter 16 Jahren sollen demgegenüber autonom keine wirksamen Erlaubnisse erteilen können. Vielmehr bedarf es für die rechtmäßige Nutzung der Daten von unter 16-Jährigen in Zukunft der ausdrücklichen Genehmigung des gesetzlichen Vertreters.
Die maßgebliche Altersgrenze bei 16 Jahren ist allerdings nur ein Richtwert, von welchem die Mitgliedsstaaten gemäß Art. 8 Abs. 1 Unterabsatz 2 DSGVO abweichen dürfen. Dabei darf in Anbetracht der Wirksamkeit von Minderjährigeneinwilligungen allerdings nicht die absolute Untergrenze von 13 Lebensjahren unterschritten werden.
Ein aktueller Entwurf des deutschen Umsetzungsgesetzes zur DSGVO etabliert keine niedrigere Altersgrenze, sodass eine Abweichung des in Art. 8 Abs. 1 DSGVO statuierten maßgeblichen Alters von 16 Jahren nicht intendiert scheint.
Fest steht aber jetzt schon, dass Online-Händler künftig geeignete Altersverifikationssysteme (z.B. eine qualifizierte Alters- oder Geburtsdatumsabfrage) in ihre elektronischen Einwilligungsprozesse werden integrieren müssen, um sich nicht der Gefahr unrechtmäßiger Datenverarbeitungen auszusetzen und mithin die Wirksamkeit aller eingeholten Einwilligungen garantieren zu können. Gleichsam wird die Einrichtung neuer informationstechnologischer Mechanismen erforderlich werden, mit denen ein gesetzlicher Vertreter als solcher identifiziert und zur Abgabe einer eigenständigen Einwilligung für den Schutzbefohlenen veranlasst werden kann.
Derartige Altersverifikationssysteme werden freilich nur dann erforderlich sein, sofern Daten erhoben werden, die nicht strikt zur Begründung oder Abwicklung eines Kaufvertragsverhältnisses mit dem jeweiligen Online-Händler verwendet werden. Letztere können nämlich nach wie vor auch ohne eine vorherige Einwilligung erhoben und zu Abwicklungszwecken verarbeitet werden.
Relevant werden die Altersprüfung und die Legitimationsersuchung gegenüber gesetzlichen Vertretern im Online-Shop insofern vor allem bei Datenerhebungen zu Werbezwecken (Newsletter etc.) und sofern besonders sensible Daten nach Art. 9 der DSGVO (etwa Gesundheitsdaten beim Medikamentenkauf) betroffen sind. Verpflichtend kann die Altersverifikation aber auch im Bestellprozess selbst werden, wenn über die Vertragsabwicklung hinausgehende Datenvorgänge dadurch stattfinden, dass sich der Händler Diensten von Dritten (Trackingfunktionen, Zahlungsmechanismen) bedient und den Vertragsschluss deshalb von der Akzeptanz der Datenschutzerklärung abhängig macht. Hier wäre die Minderjährigkeit insofern nicht nur ein Hindernis für die Wirksamkeit des Vertrages selbst, sondern auch für diejenige einer hinreichenden datenschutzrechtlichen Einwilligung.
Dies gilt insbesondere deshalb, weil Art. 8 Abs. 2 DSGVO den Verantwortlichen abverlangt, „angemessene Anstrengungen zu unternehmen“, um die Einhaltung der altersgerechten Differenzierung zu gewährleisten und im Zweifel die Einschaltung der elterlichen Vertreter sicherzustellen.
V. Strenge Anforderungen für zweckübergreifende Weiterverarbeitungen
Die DSGVO statuiert im Verhältnis zur derzeitigen Rechtslage deutlich strengere Anforderungen an die Zulässigkeit von Datenverarbeitungen, die zu einem anderen Zweck erfolgen sollen als zu demjenigen, für den die Betroffeneneinwilligung ursprünglich eingeholt wurde.
Konnte die einwilligungslose Zweckänderung, beispielsweise die Verwendung einer für den Empfang von Newslettern erhobenen E-Mail-Adresse zu Zwecken der Marktforschung oder der Liquiditätsprüfung oder der Erstellung eines Nutzerprofils, bisher nach §28 Abs.2 Nr. 1 BDSG durch berechtigte Interessen gerechtfertigt werden, ist nunmehr ausweislich des Art. 6 Abs. 4 BDSG eine umfangreiche Interessenabwägung der Vereinbarkeit erforderlich, die bei negativem Ausfall die Einholung einer separaten Einwilligung erforderlich machen soll.
Für die Bewertung, ob der intendierte Nutzungszweck mit dem ursprünglichen vereinbar ist, sind zukünftig insbesondere folgende Gesichtspunkte zu berücksichtigen:
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
- der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen
- die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten (sensible Daten nach Art. 9 DSGVO) verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann
Ergibt die stets im Einzelfall durchzuführende Prüfung eine Unvereinbarkeit, ist die Zweckänderung nur bei expliziter Einwilligung zulässig.
Weil Online-Händler ein positives Abwägungsergebnis und seine Grundlagen im Zweifelsfall aber beweisen müssen und die genannten Kriterien in Ermangelung konkreter Bewertungsmaßstäbe kaum geeignet sind, dem Laien eine rechtskonforme Entscheidung zu ermöglichen, wird sich die Änderung der Zulässigkeitsanforderungen faktisch wie eine Sperre der einwilligungslos erlaubten Zweckänderungen auswirken.
Zu hoch sind nämlich die Gefahren einer fehlerhaften Beurteilung und zu gering ist die Rechtssicherheit, sodass zu empfehlen ist, im Interesse einer Risikominimierung künftig jeder Zweckänderung eine erneute Einwilligungserteilung vorangehen zu lassen.
Im Online-Shop können hiervon vor allem Daten zur Identifizierung eines Kunden betroffen sein, die zur Abwicklung des Vertragsverhältnisses einwilligungslos erhoben werden dürfen (Art. 6 Abs. 1 lit. b DSGVO) und deren Nutzung auch für weitergehende Werbezwecke oder zur Aufrechterhaltung von Geschäftsverbindungen zu anderen Unternehmen relevant ist. Aufgrund der strikten, stark auslegungsbedürftigen Abwägungskriterien für eine einwilligungslos erlaubte Zweckveränderung ist hier aus Gründen der Rechtssicherheit fortan zu raten, stets im Voraus eine auf die Zweckerweiterungsabsicht abgestimmte ausdrückliche Einwilligung einzuholen und diese zu protokollieren.
VI. Erweiterte Auskunftspflicht, Art. 15 DSGVO
Ebenso wie der derzeit geltende §34 BDSG sieht auch die DSGVO in Art. 15 ein Auskunftsrecht des Betroffenen vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist.
Zukünftig wird der Umfang der mit dem Auskunftsrecht korrespondierenden Auskunftspflicht aber das derzeit geltende Maß bei weitem überschreiten und so den Betroffenen zur Einholung eines ganzen Katalogs an Informationen berechtigen, welche dem Online-Händler in Bezug auf die personenbezogenen Daten des Betroffenen vorliegen.
Auf Antrag sind dem Betroffenen, dessen Daten erwiesenermaßen erhoben wurden, insofern fortan Auskünfte über folgende Umstände zu erteilen:
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
Gleichzeitig wird der Online-Händler im Falle des Auskunftsverlangens gemäß Art. 15 Abs. 3 DSGVO künftig verpflichtet sein, den Informationen eine (einmalig kostenlose) Kopie sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung sind, beizustellen.
Erfolgt der Antrag – wie im Online-Handel regelmäßig – elektronisch, so sind die Informationen ebenfalls in einem gängigen elektronischen Format (bspw. per Mail) bereitzustellen.
Online-Händler werden demnach gehalten sein, digitale Verzeichnisse anzulegen, in denen für jeden Betroffenen die individuell erhobenen Daten hinterlegt sind, damit diese im Falle der Geltendmachung von Auskunftsrechten zielgerichtet übermittelt werden können. Dies gilt, obwohl die Anzahl an Fällen der Geltendmachung von Auskunftsrechten durch Betroffene gegenüber Online-Shops geringfügig sein dürfte, weil Umfang und Intensität der dort vorherrschenden Datenverarbeitungsvorgänge zum einen regelmäßig durch konkrete Vertragsverhältnisse begrenzt und zum anderen im Vergleich zu den Aktivitäten anderer Stellen sehr überschaubar sein dürften.
Wichtig: macht ein Betroffener sein Auskunftsrecht geltend, sind die erforderlichen Informationen diesem konkret und individuell bereitzustellen. Eine generelle Umschreibung der maßgeblichen Inhalte etwa in der Datenschutzerklärung und eine Verweisung des Betroffenen auf diese genügen der Auskunftspflicht des Händlers nicht.
VII. Neuartige Bearbeitungs- und Reaktionsfristen für die Rechtsverfolgung durch Betroffene, Art. 12 Abs. 3 DSGVO
Während Online-Händler auf Basis der geltenden Rechtslage für die Befolgung von Ansprüchen der Betroffenen und für das Folgeleisten etwaiger Rechtsdurchsetzungen noch an keine zeitlichen Grenzen gebunden sind, führt die DSGVO mit Art. 12 Abs. 3 starre Fristen ein, binnen derer der Verantwortliche zwingend reagieren muss.
Ergreift der Betroffene Maßnahmen zur Durchsetzung seiner Rechte aus den Art. 15-22 (im Online-Handel relevant vor allem das Auskunftsrecht und das Löschungsrecht), so hat der Online-Händler künftig unverzüglich, spätestens aber innerhalb eines Monat nach Eingang des Antrags des Betroffenen, zur beantragten Maßnahme verpflichtend Stellung zu nehmen. Insofern muss spätestens zum Ablauf einer einmonatigen Frist der Antrag so bearbeitet worden sein, dass der Händler dem Betroffenen
- im Falle der Abhilfe gemäß Art. 12 Abs. 3 DSGVO eine Information über die auf Antrag ergriffenen Maßnahmen (Auskunft, Löschung etc. ) oder
- im Falle der Nichtabhilfe gemäß Art. 12 Abs. 4 DSGVO eine Unterrichtung über deren Gründe und die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde und der Einlegung eines gerichtlichen Rechtsbehelfs
bereitstellen kann.
Grundsätzlich wird dem Händler also eine Handlungsfrist gesetzt, binnen derer er sich mit der geltend gemachten Rechtsverfolgung des Betroffenen auseinandersetzen und dieser entweder nachkommen oder diese begründet ablehnen muss. Stellt die betroffene Person den Antrag elektronisch, so soll nach Möglichkeit auch die Unterrichtung elektronisch erfolgen.
Online-Händler werden, um dem neuartigen Fristerfordernis Rechnung tragen zu können, in Zukunft nicht nur eine lückenlose und individualisierbare Dokumentation jedes Datenverarbeitungsvorgangs zur schnellen Sammlung der für die Maßnahmen erforderlichen Informationen gewährleisten, sondern zudem mithilfe technischer Mittel Verfahren einrichten müssen, mit welchen eine Bearbeitung von Anträgen weitgehend automatisch erfolgen kann. Anders ließen sich – gerade im Angesicht einer Vielzahl von Anträgen – die kurz bemessenen Reaktionsfristen, die für jeden Antrag individuell laufen, wohl kaum einhalten.
In Härtefällen besteht allerdings die Möglichkeit, eine Fristverlängerung um 2 weitere Monate durchzusetzen, sofern dies unter Berücksichtigung der Komplexität und vor allem der Anzahl von Anträgen erforderlich ist. Will der Händler von dieser Verlängerungsmöglichkeit Gebrauch machen, hat er den Betroffenen innerhalb von einem Monat nach Eingang des Antrags (bei elektronischem Antrag in elektronischer Form) darüber zu informieren, dass die Bearbeitung mehr Zeit in Anspruch nimmt. Dabei sind der abschätzbare Zeitraum der Verzögerung sowie die Gründe für diese anzugeben, Art. 12 Abs. 3 Satz 3 DSGVO.
VIII. Erweiterte Datenschutzerklärung
Auch nach der DSGVO bleiben Verantwortliche gemäß Art. 13 verpflichtet, Betroffene stets über Art, Umfang und Zweck der Datenerhebungs- und/oder Verarbeitungsvorgänge zu informieren.
1.) Datenschutzerklärung zur Umsetzung von Informationspflichten bleibt zulässig
Zwar soll dies ausweislich Art. 13 Abs. 1 DSGVO grundsätzlich individuell vor Einleitung des maßgeblichen Datenvorgangs geschehen. Statuiert wird in anderen Worten eine betroffenenabhängige, individuelle Pflicht zur verarbeitungsbasierten Belehrung.
Allerdings hat der europäische Gesetzgeber berücksichtigt, dass eine derartige situationsbezogene Unterrichtungsobliegenheit vor allem in Bereichen des elektronischen Geschäftsverkehrs mit einem unverhältnismäßigen Umstellungsaufwand für die Verantwortlichen einhergehen kann, der die Betroffeneninteressen an Fairness und Transparenz übersteigt.
Den Belangen der Händler wird hier durch Art. 13 Abs. 4 DSGVO Rechnung getragen, der die Pflicht zur situationsbedingten Belehrung vor jeglicher Datenverarbeitung dann entfallen lässt, wenn der jeweils Betroffene über alle maßgeblichen Informationen bereits verfügt.
Diese Ausnahme eröffnet faktisch die Möglichkeit zur Vorhaltung einer elektronischen (Art. 12 Abs. 1 DSGVO) Datenschutzerklärung, welche dem Betroffenen allgemein zugänglich sein und die Informationen in transparenter und verständlicher Form sowie einer klaren und einfachen Sprache beinhalten muss.
Zu beachten ist allerdings, dass der Betroffene hinreichend befähigt werden muss, die Datenschutzerklärung auch tatsächlich zur Kenntnis zu nehmen, weil er nur dann über alle maßgeblichen Informationen auch tatsächlich verfügen kann. Neben einer prominenten Platzierung der Datenschutzerklärung im Online-Shop kann dies insbesondere durch Kontrollkästchen mit der Formulierung „Ja, ich habe die Datenschutzerklärung/ die Hinweise zum Datenschutz gelesen und akzeptiere diese“ sichergestellt werden, die der Einleitung von Datenvorgängen vorangestellt werden und innerhalb derer die maßgebliche Erklärung verlinkt wird.
2.) Erweiterung der Pflichtinhalte
Nach der derzeit geltenden Rechtslage ergibt sich die Pflicht, sich über die konkreten Datenverarbeitungsprozesse im Online-Handel zu erklären, aus §13 Abs. 1 TMG. Diese Vorschrift gibt allerdings nur allgemein auf, über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten und hat über die Jahre eine stetige Konkretisierung durch die Rechtsprechung erfahren.
Nach Ablauf der Übergangsfristen zum 25.05.2018 wird der Geltungsbereich des derzeitigen §13 Abs. 1 TMG durch den Katalog an Pflichtinformationen nach Art. 13 Abs. 1 DSGVO ersetzt werden, welcher den Umfang an zwingend bereitzustellenden Angaben bedeutsam erweitert.
Zukünftig sind Online-Händler gehalten, ihre Datenschutzerklärung mit Informationen über alle der nachstehenden Punkte anzureichen:
- den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Händlers (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
- sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Einwilligung oder gesetzlicher Erlaubnistatbestand), wobei zwischen verschiedenen Zwecken deutlich zu differenzieren ist
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
- gegebenenfalls die Absicht des Händlers, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen der Betroffenenrechte, also des Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
- wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
3.) Weiterhin Belehrung auch über Art und Umfang der Datenvorgänge erforderlich?
Zu beachten ist, dass dem Wortlaut der Informationspflicht des Art. 13 DSGVO keine Pflicht besteht, über die Arten und den Umfang der Datenverarbeitungsvorgänge so zu informieren, wie es derzeit noch §13 Abs. 1 TMG vorsieht.
Weil die Informationspflicht das Schutzniveau für die Betroffenen aber weiter anheben sollte (Erwägungsgrund 10 der DSGVO), muss davon ausgegangen werden, dass die Datenschutzerklärung auch weiterhin über sämtliche auf der Webseite ablaufende Datenvorgänge wird belehren müssen. Dies ließe sich zum einen darauf stützen, dass die Belehrung über Art und Umfang der Datenvorgänge im Zusammenhang mit den übrigen Informationen von der DSGVO logisch vorausgesetzt wird. Insofern knüpft nämlich Art. 13 Abs. 1 DSGVO dem Wortlaut nach stets an bestimmte personenbezogene Daten und nicht generell an ein Konvolut derselben an, zumal auch Erwägungsgrund 39 Hinweise auf die Art und den Umfang der Datenvorgänge als Ausprägung des Transparenzgebots in die Informationspflicht einbezieht. Zu gleichem Ergebnis gelangt man im Angesicht der Tatsache, dass der Hinweis auf die Arten und den Umfang der Erhebung und Verarbeitung eine logische Voraussetzung dafür ist, den jeweiligen Verarbeitungszweck nach Art. 13 Abs. 1 lit. c DSGVO zu definieren. Dieser kann nur dann dargestellt werden, wenn die betroffenen Daten im Kontext von Seiten des Händlers gleichermaßen identifiziert werden.
IX. Regelmäßig keine neuartigen Dokumentationspflichten
Grundsätzlich werden alle Verantwortlichen im Sinne des Datenschutzrechts und mithin auch Online-Händler gemäß Art. 30 DSGVO zukünftig gehalten sein, sogenannte Verfahrensverzeichnisse zu führen, in denen sämtliche Verarbeitungsvorgänge konkret und individuell dokumentiert und unter anderem um Informationen zum Verantwortlichen, zu den Zwecken der Prozessierung, zu den Daten selbst und zu Löschungsfristen angereichert werden müssen.
Zu beachten ist aber, dass im Angesicht des erheblichen technischen und organisatorischen Aufwandes, welchen die Anlegung und stetige Aktualisierung der Verzeichnisse mit sich bringen wird, ein gesetzlicher Befreiungstatbestand etabliert wurde.
Nach Art. 30 Abs. 5 DSGVO entfalten die Dokumentationspflichten gegenüber Unternehmen keine Wirkung, die
- weniger als 250 Mitarbeiter beschäftigen und
- nicht mit der Erhebung und Verarbeitung besonders sensibler Daten im Sinne des Art. 9 DSGVO (etwa über die sexuelle Orientierung, ethnische Herkunft, Religion oder Weltanschauung etc.) befasst sind
Weil im Online-Handel personenbezogene Daten regelmäßig nur erhoben werden, um die Durchführung von Kausalgeschäften und personen- und interessenbasierte Werbemaßnahmen zu ermöglichen, ohne dass den Betroffenen die Angabe besonders sensibler Daten abverlangt würde, wird der Großteil der kleinen und mittleren Marktakteure unterhalb der Beschäftigtenschwelle im elektronischen Geschäftsverkehr zur Dokumentation von Verarbeitungsvorgängen auch zukünftig nicht verpflichtet sein.
Anders verhält sich dies freilich bei Großunternehmen, welche die maßgebliche Grenze der Beschäftigtenzahl überschreiten. Ist dies der Fall, kommt es auf die konkret verarbeiteten Kategorien von Daten nicht mehr an. Allein die Beschäftigung von mehr als 250 Mitarbeitern verpflichtet zur Verfahrensverzeichnisführung unabhängig davon, welche Daten das Unternehmen konkret erhebt oder verarbeitet.
X. Gelockerte Pflicht zur Bestellung von Datenschutzbeauftragten vs. nationale Regelungsautonomie
Eine weitere maßgebliche Änderung wird das europäische Datenschutzrecht zum 25.05.2018 durch eine Anhebung der Voraussetzungen für die verpflichtende Bestellung eines Datenschutzbeauftragten erfahren.
Während nach dem geltenden §4f Abs. 1 Satz 1 und 4 BDSG ein Datenschutzbeauftragter bei einer nicht-öffentlichen, also vor allem gewerblichen Stelle schon immer dann zu bestellen ist, wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wird diese Pflicht durch Art. 37 DSGVO entscheidend gelockert.
Nunmehr ist die Bestellung eines Datenschutzbeauftragten für nicht-öffentliche und vor allem gewerbliche Verantwortliche (und damit für den Online-Handel) nur „in jedem Fall“ zwingend, wenn
- die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderes sensibler Daten gemäß Artikel 9 DSGVO besteht
Insbesondere wird die personenmäßige Zahl der in einem Unternehmen mit Datenvorgängen Beschäftigten als pflichtauslösende Voraussetzung auf europäischer Ebene künftig entfallen.
Es spricht vieles dagegen, den Online-Handel nach den neuen Anforderungen zukünftig als Tätigkeit einzustufen, die ob ihrer Art oder aufgrund des Umfangs von Datenverarbeitungsprozessen eine regelmäßige Überprüfung durch einen Beauftragten erforderlich macht. Immerhin dient im E-Commerce die Erhebung von personenbezogenen Daten primär zur Abwicklung von Kausalgeschäften und sekundär zu Werbezwecken, ohne dass aber vollumfängliche oder besonders sensible personenbezogene Daten verarbeitet würden.
Zu berücksichtigen ist aber, dass Art. 37 Abs. 4 Satz 2 DSGVO den Mitgliedsstaaten eine Regelungsautonomie dahingehend einräumt, die Verpflichtung zur Bestellung eines Datenschutzbeauftragten lockereren Voraussetzungen zu unterwerfen. Insofern legt Art. 37 DSGVO nur fest, wann „in jedem Fall“ eine Beauftragung erforderlich wird. Nationale Bestimmungen dürfen daher auch niedrigere Schwellen etablieren, um Verantwortliche zur Berufung eines Beauftragten anzuhalten.
Von dieser Ermächtigung scheint der deutsche Gesetzgeber bislang Gebrauch machen und eine von der Anzahl der Beschäftigten abhängige Schwelle weiterhin aufrecht erhalten zu wollen.
So legt §38 des aktuellen Entwurfs eines deutschen Umsetzungsgesetzes zur DSGVO fest, dass ein Datenschutzbeauftragter zukünftig auch weiterhin (wie derzeit schon nach §4f BDSG) dann zu bestellen sein soll, soweit der Verantwortliche in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Ob der derzeitige Entwurf in seiner jüngsten Fassung als Umsetzungsgesetz tatsächlich beschlossen wird, bleibt zwar noch abzuwarten. Für den deutschen Online-Handel zeichnet sich dennoch ab, dass die nationale Legislative die niedrigen Schwellen für die verpflichtende Bestellung aufrecht zu erhalten gedenkt, sodass eine Entlastung für Händler, angelehnt an den Grundtatbestand der DSGVO, eher fernliegend erscheint.
XI. Fazit
Auch wenn die neue Datenschutzgrundverordnung (DSGVO), die zum 25.05.2018 in allen Mitgliedsstaaten verbindlich wird, in ihren Grundzügen und den maßgeblichen Datenschutzprinzipien mit dem in Deutschland bereits geltenden Recht übereinstimmt, führt sie speziell für den Online-Handel eine Reihe von maßgeblichen Veränderungen herbei, die sich vor allem in einer Ausweitung des datenschutzrechtlichen Pflichtprogramms unter Berücksichtigung gestärkter Betroffenenrechte niederschlagen.
Eine neuartige behördliche Rechenschaftspflicht wird ebenso für einen nicht dagewesenen Dokumentierungs- und Protokollierungsbedarf sorgen wie die Auskunftspflicht gegenüber Betroffenen auf Antrag und die verschärften Wirksamkeitsanforderungen für Einwilligungserklärungen Minderjähriger. Gleichzeitig ist eine vollständige Überholung und Neufassung der Datenschutzerklärung von Nöten, welche erstmalig auch über die Dauer der Datenspeicherung und ein Beschwerderecht bei der Aufsichtsbehörde aufklären muss. Zudem werden durch die Pflicht, den Einwilligungswiderruf auf dem gleichen Simplizitätsniveau zu ermöglichen wie die Einwilligungserteilung, organisatorische und informationstechnologische Umstellungen erforderlich sein.
Bei weiteren Fragen zur neuen Datenschutzgrundverordnung, zu ihren Auswirkungen auf den Online-Handel und zur rechtskonformen Umsetzung der geänderten datenschutzrechtlichen Anforderungen steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare