Sicherer Umgang mit der DSGVO: Die wichtigsten Datenschutz-Tipps

Sicherer Umgang mit der DSGVO: Die wichtigsten Datenschutz-Tipps
Stand: 23.10.2020 8 min 1

Der Datenschutz stellt Online-Händler vor viele Herausforderungen.Was Online-Händler im Datenschutzrecht beachten müssen, haben wir in unseren aktuellen Datenschutz-Tipps zusammengetragen.

Inhaltsverzeichnis

1. Tipp: Datenschutzerklärung

Seit der DSGVO ist die Datenschutzerklärung essenziell, besonders für Online-Händler und Social-Media-Accounts. Fehler wie fehlende oder unzureichende Erklärungen führen häufig zu Abmahnungen und Ordnungsgeldern.

Die Datenschutz-Grundverordnung (DSGVO) stellt die maßgeblichen Vorgaben für den Inhalt einer Datenschutzerklärung in Art. 13 Abs. 1 DSGVO auf. Diese dort genannten Pflichtinformationen müssen zwingend in der Datenschutzerklärung enthalten sein.

Hierdurch soll gewährleistet werden, dass betroffene Personen sich ausreichend über die relevanten Datenverarbeitungsvorgänge informieren können.

Der Katalog in Art. 13 Abs. 1 DSGVO schreibt Online-Händlern konkret vor, worüber in der Datenschutzerklärung zu informieren ist.

Im Falle von Verstößen drohen Ordnungsgelder von Datenschutzaufsichtsbehörden. Auch wettbewerbsrechtliche Abmahnungen werden in diesem Bereich ausgesprochen, wobei noch nicht gerichtlich geklärt ist, ob derartige Verstöße als Wettbewerbsverstöße geahndet werden können.

Weitere Informationen zum Thema Abmahnbarkeit von Datenschutzverstößen können Sie in unserem Beitrag „Wie ist der aktuelle Stand - sind Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar?“ nachlesen!

Sie können in Ihrem Online-Mandantenportal Ihre Datenschutzerklärung ganz einfach selbst erstellen!

2. Tipp: Verarbeitungsverzeichnis

Neben der Datenschutzerklärung sorgt das Verarbeitungsverzeichnis nach Art. 30 DSGVO bei Händlern oft für Unsicherheiten. Dieses interne Dokument listet die Verarbeitungsvorgänge des Verantwortlichen abstrakt auf und dient der Dokumentation und dem Nachweis der DSGVO-Compliance.

Es muss nicht öffentlich sein, sondern nur auf Verlangen der Aufsichtsbehörde vorgelegt werden. Online-Händler sind verpflichtet, ein solches Verzeichnis sorgfältig zu erstellen, zu pflegen und aktuell zu halten.

Welche Bereiche sind betroffen?

Das Verarbeitungsverzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen. Dabei können die konkreten Bereiche, in denen personenbezogene Daten in der beschriebenen Weise verarbeitet werden, je nach Branche bzw. Unternehmen variieren.

Die für den Online-Handel besonders relevante Verarbeitungstätigkeiten fallen beispielsweise in folgenden Bereichen an:

  • Lohnabrechnung für Beschäftigte
  • Abwicklung von Bestellungen
  • Werbung
  • Lieferung von Waren
  • Zahlungsabwicklung
  • Bonitätsprüfung
  • Analyse des Nutzerverhaltens

Sie können in Ihrem Online-Mandantenportal Ihr Verarbeitungsverzeichnis schnell und einfach selbst erstellen!

Banner Premium Paket

3. Tipp: Cookie-Consent-Tool

Schon nach der Entscheidung des EuGH (Urt. v. 01.10.2019, Az. C-673/17) hat sich im Bereich Einwilligungen einiges getan. Denn bereits nach diesem wegweisenden Urteil ist für den Einsatz von Cookies, die für den Betrieb einer Website nicht zwingend technisch erforderlich sind, immer eine ausdrückliche Nutzereinwilligung für jedes einzelne Cookie notwendig (der BGH hat dies in seiner zeitlich nachgelagerten Entscheidung bestätigt).

Die Notwendigkeit einer ausdrücklichen Nutzereinwilligung für jedes einzelne Cookie gilt auch unabhängig davon, ob durch das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht. Diese Vorgabe ergibt sich mittlerweile explizit aus § 25 Abs. 1 TDDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), wonach Cookies und ähnliche Technologien zur Speicherung von Informationen auf den Endgeräten der Nutzer nur mit deren vorheriger Einwilligung zulässig sind, es sei denn, sie sind technisch zwingend erforderlich.

Von dieser Problematik betroffen sind Webseitenbetreiber (und damit auch Online-Händler, die einen eigenen Online-Shop betreiben) insbesondere dann, wenn diese cookiebasierte Tracking-, Analyse- und sonstige Marketingtools auf ihren Seiten implementiert haben.

Für die Wirksamkeit solcher Cookie-Einwilligungen ist erforderlich, dass der Seitenbesucher über die Funktionsweise jedes Cookies bei der Einwilligungserteilung umfänglich informiert wird.

Cookie-Banner, die lediglich allgemein über den Einsatz von Cookies informieren und sich über eine Bestätigungs-Schaltfläche (etwa mit der Aufschrift „OK“) wegklicken lassen, genügen den Anforderungen an einer wirksam erteilten Einwilligung nicht. Weitergehende Informationen, weshalb derartige Banner nicht die Voraussetzungen für eine wirksame Einwilligung erfüllen, können Sie in diesem Beitrag nachlesen.

a) Was Seitenbetreiber tun müssen

Gemäß der gesetzlichen Vorgabe in § 25 Abs. 1 TDDDG gilt: Alle Seitenbetreiber dürfen Cookies, die für den Betrieb einer Webseite nicht zwingend erforderlich sind, nur nach entsprechender aktiver Nutzereinwilligung setzen.

Seitenbetreiber, die technisch nicht erforderliche Cookies setzen, müssen auf ihren Präsenzen zwingend rechtskonforme Cookie-Einwilligungslösungen implementieren. Diese müssen technisch sicherstellen, dass

  • für jede cookie-basierte und nicht technisch erforderliche Anwendung eine individuelle Cookie-Einwilligung abgefragt wird,
  • Cookies dieser Anwendungen erst dann gesetzt werden, wenn der Nutzer hierin jeweils individuell eingewilligt hat,
  • Nutzer ihre Einwilligungen über entsprechende Optionen jederzeit wieder widerrufen können und dadurch die Cookie-Setzung wieder gestoppt wird.

Für cookie-basierte Verarbeitungen haben sich sog. „Cookie-Consent-Tools“ durchgesetzt, welche eine rechtssichere Einwilligung der Nutzer einholen (können).

Seitenbetreiber, die bereits ein rechtssicheres Cookie-Consent Tool auf ihren Präsenzen eingerichtet haben, müssen nichts weiter unternehmen. Seitenbetreiber, die bisher kein oder kein hinreichendes Cookie-Consent-Tool verwenden, müssen ein solches unbedingt einbinden, um sich vor teuren Konsequenzen zu schützen.

b) Anforderungen an ein Cookie-Consent-Tool

Cookie-Consent-Tools müssen nur dort eingesetzt werden, wo der Betreiber die Cookie-Setzung eigenständig kontrollieren kann, also beispielsweise auf der eigenen Website.

Die Pflicht gilt insofern nicht auf Handelsplattformen (eBay, Amazon, etsy und Co.) und in sozialen Netzwerken (Facebook, Instagram und Co.).

Welche Cookie Consent-Tools für Shopsysteme genügen überhaupt den rechtlichen Anforderungen? Unser Test klärt hier auf. Vergessen Sie zudem nicht, dass das verwendete Cookie-Consent Tool auch in Ihrer Datenschutzerklärung erwähnt werden muss!

Als vorgeschaltete Abfrage werden Cookie-Consent-Tools beim erstmaligen Aufruf einer Website angezeigt und bieten dem Betroffenen die Möglichkeit einer Einwilligungserteilung. Damit über derartige Banner und Tools datenschutzkonforme Einwilligungen eingeholt werden können, sind allerdings besondere technische Einstellungen und Ausgestaltungen unbedingt zu beachten.

Mit einem Schutzpaket der IT-Recht Kanzlei ab nur 5,90€ zzgl. USt. im Monat kann nicht nur der gewählte Online-Auftritt mit professionellen Rechtstexten abgesichert, sondern auch kostenlos die vollständig rechtskonforme Cookie-Consent-Lösung von consentmanager genutzt werden.

4. Tipp: Auftragsverarbeitungsverträge

Beauftragt ein Online-Händler einen Dienstleister mit der Verarbeitung personenbezogener Daten, ist meist ein Auftragsverarbeitungsvertrag (AV) nach Art. 28 DSGVO erforderlich. Beide Parteien – Verantwortlicher und Auftragsverarbeiter – müssen dabei umfangreiche Pflichten erfüllen, einschließlich der Führung eines Verzeichnisses über Verarbeitungstätigkeiten durch den Auftragsverarbeiter.

Umso wichtiger ist die Frage, in welchen Fällen denn nun eine Auftragsverarbeitung vorliegt. Sind z.B. Transport- und Bezahldienstleister, die die meisten Online-Händler einschalten, sogenannte Auftragsverarbeiter, mit denen der Online-Händler einen Vertrag über die Auftragsverarbeitung schließen muss? Diese und weitere Fragen haben wir in unserem speziellen Beitrag für Sie beantwortet!

Liegt eine Auftragsverarbeitung vor, muss auch ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dies ist in Art. 28 Abs. 3 DSGVO normiert. Danach verlangt jedes auftragsgebundene Verarbeitungsverhältnis den Abschluss eines Verarbeitungsvertrags mit dem Auftragsverarbeiter.

In diesem Vertrag sind Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen.

Ein Auftragsverarbeitungsvertrag kann schriftlich oder elektronisch abgeschlossen werden und ist oft komplex. Online-Händler müssen sicherstellen, dass er den DSGVO-Vorgaben entspricht, um hohe Bußgelder zu vermeiden.

Sie können in Ihrem Online-Mandantenportal mit dem entsprechenden Muster einen Auftragsverarbeitungsvertrag schnell und einfach selbst erstellen!

5. Tipp: Auskunftsanspruch nach Art. 15 DSGVO (Antwortschreiben an Kunden)

Die DSGVO gibt jeder Person das Recht, zu erfahren, wer welche personenbezogenen Daten über sie gespeichert hat. Das Auskunftsrecht kann formlos beantragt werden, und der Verantwortliche (z. B. ein Online-Händler) muss die Informationen präzise, transparent und verständlich bereitstellen (Art. 12 DSGVO).

Die Auskunft kann schriftlich oder elektronisch erfolgen, abhängig vom Antrag des Betroffenen. Sie muss unverzüglich, spätestens innerhalb eines Monats, erteilt werden. In komplexen Fällen kann die Frist um zwei Monate verlängert werden, sofern dies begründet mitgeteilt wird.

Die Auskunft muss u. a. folgende Informationen enthalten: Zwecke der Verarbeitung, Empfänger oder Kategorien von Empfängern (auch in Drittländern wie den USA), Art der verarbeiteten Daten, Speicherdauer und Datenherkunft. Der Betroffene hat zudem Anspruch auf Auskunft über die Weitergabe und Verarbeitung seiner Daten durch Dritte.

Der Auskunftsanspruch hält in der Praxis für Online-Händler den ein oder anderen juristischen Fallstrick bereit. Aus diesem Grund stellt die IT-Recht Kanzlei ihren Mandanten im Bereich der datenschutzrechtlichen Auskunftserteilung zahlreiche Muster für Antwortschreiben zur Verfügung!

6. Tipp: Was tun bei einer Datenschutz-Panne?

Art. 4 Nr. 12 DSGVO definiert eine Datenpanne als Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, Veränderung, unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.

Solche Pannen entstehen häufig durch unzureichende technische oder organisatorische Maßnahmen, etwa durch ungesicherte Datenspeicherung oder Hacking-Angriffe. Besonders kritisch sind sie, wenn sensible Daten öffentlich zugänglich werden und Missbrauch ermöglichen.

Im Online-Shop treten Datenpannen häufig durch unrechtmäßige Zugriffe oder unzulässige Datenverarbeitungen ohne Rechtsgrundlage auf.

Nach einer Datenpanne ist diese unverzüglich zu beheben, um weitere Risiken für betroffene Daten auszuschließen. Verantwortliche müssen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren, sofern die Panne ein Risiko für die Rechte und Freiheiten Betroffener darstellt (Art. 33 DSGVO). Zusätzlich ist eine Dokumentation und gegebenenfalls die Benachrichtigung der Betroffenen erforderlich.

Sie können auf dieser Seite ein Muster finden, welches Sie im Falle möglicher Datenpanne gegenüber Ihren Kunden verwenden können. Zudem finden Sie hier eine Musterbenachrichtigung an die Aufsichtsbehörde für den Fall einer festgestellten Datenschutzpanne.

7. Schutz vor Abmahnungen: Wir pflegen Ihre Rechtstexte

Sie erhalten die anwaltlich abgesicherte Datenschutzerklärung (inkl. Impressum) ab mtl. nur 5,90 Euro. In diesem Betrag inbegriffen ist ein juristischer Pflegeservice, der für eine dauerhafte Rechtssicherheit der Rechtstexte sorgt.

Interessierte Webseitenbetreiber können sich hier über unsere Datenschutzerklärung für Webseiten informieren.

Tipp: Sie möchten über Ihre Website nicht nur Ihr Unternehmen präsentieren, sondern auch direkt über einen Onlineshop verkaufen? In dem Fall macht dieses Schutzpaket für Sie Sinn.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © strichfiguren.de - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

J
Jia Kraus 28.07.2021, 10:41 Uhr
Ist für jedes Social Media Portal eine eigene...
... Datenschutzerklärung notwendig? Man hört und liest so viel unterschiedliches und kaum etwas Klares dazu.

Beiträge zum Thema

Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
(07.06.2024, 16:18 Uhr)
Zurückweisung von DSGVO-Schadensersatzbegehren: effektive Muster
Frage des Tages: Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
(04.06.2024, 07:30 Uhr)
Frage des Tages: Müssen bei Kontaktformularen die Einwilligungen der Anfragenden eingeholt werden?
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
(16.10.2023, 07:57 Uhr)
OLG München: Datenschutzerklärungen sind urheberrechtlich schutzfähig
Aktualisierung der Datenschutzerklärung für Otto.de
(23.06.2023, 11:28 Uhr)
Aktualisierung der Datenschutzerklärung für Otto.de
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
(06.06.2023, 10:42 Uhr)
Erneut vorm EuGH: Abmahn- und Klagebefugnis von Verbraucherschutzverbänden bei DSGVO-Verstößen
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
(31.05.2023, 09:28 Uhr)
Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei