DSGVO: Was gehört in die Datenschutzerklärung?

Die Datenschutzerklärung – längst zwingender Bestandteil jedes Online-Shops, also was gibt es noch dazu zu wissen? Was ändert sich mit der DSGVO? Richtig – für Ihre Datenschutzerklärung bedeutet die DSGVO einiges an Veränderungen. Da die Datenschutzerklärung Ihre datenschutzrechtliche Visitenkarte als vertrauenswürdiger Online-Händler ist, informieren wir Sie in diesem Beitrag darüber, wie die Datenschutzerklärung nach dem 25.5.2018 aussehen muss.

Wie war es bisher mit der Datenschutzerklärung?

Bisher wurden die Datenschutzerklärung sowie Inhalt und Form in § 13 Abs. 1 TMG relativ kurz (im Vergleich zur DSGVO) behandelt.

Danach muss der Dienstanbieter (der Händler) den Nutzer (den Kunden) lediglich einmalig in „allgemein verständlicher Form“ über Art, Umfang, Zweck der Datenverarbeitung sowie ggf. über eine Verarbeitung in einem Land außerhalb des Anwendungsbereichs der alten Datenschutzrichtlinie (RiLi 95/46/EG) unterrichten. Bei automatisierten Verfahren ist zudem zu beachten, dass die Unterrichtung des Nutzers bereits am Verfahrensanfang erfolgt und er diese während des ganzen Verfahrens abrufen kann. Es reicht danach aus, wenn besagte Angaben allgemein zugänglich und gut lesbar sowie verständlich sind.

Hierbei handelt es sich also um deutliche und informative Angaben, die überschaubar und für Sie als Händler einfach zu sammeln und anzugeben sind.

Was ändert die DSGVO daran?

Die DSGVO kommt allerdings mit erheblich umfangreicheren und weitergehenden Informationspflichten gegenüber Ihren Kunden auf Sie zu (Art. 13 , 14 DSGVO), deren Nichteinhaltung nicht nur zu Abmahnungen seitens der Konkurrenz, sondern auch zur Verhängung von empfindlichen Geldbußen durch die zuständigen Aufsichtsbehörden führen kann. Diese neuen Informationspflichten schlagen sich u. a. in der Datenschutzerklärung nieder. Gerade deswegen ist es wichtig, dass Sie als Händler eine Übersicht über die kommenden Veränderungen bekommen, damit Sie rechtzeitig handeln können.

Was ändert sich konkret im Inhalt der Datenschutzerklärung?

Wenn Sie die personenbezogenen Daten direkt bei Ihren Kunden erheben, so schreibt Art. 13 DSGVO vor, welche Informationen diesem als Betroffenen mitgeteilt werden müssen. Was neu neben den nach der jetzigen Rechtslage bereits zu machenden Angaben (Art, Umfang, Zweck und ggf. Verarbeitungsland) genannt werden muss, sind im Einzelnen:

  • Namen und Kontaktdaten des Verantwortlichen, dessen Vertreter und ggf. eines Datenschutzbeauftragten (mehr dazu hier);
  • WICHTIG: Rechtsgrundlage gem. Art. 6 DSGVO, aufgrund derer die Verarbeitung erfolgt (z. B. Einwilligung des Betroffenen, Vertrag mit dem Betroffenen, öffentlich-rechtlicher Auftrag o. a.);
  • überwiegende berechtigte Interessen von Ihnen als Verantwortlicher, wenn die Verarbeitung auf solchen Interessen nach Art. 6 Abs. 1 lit. f  beruht (z. B. Interesse an der optimalen Präsentation der eigenen Angebote);
  • Empfänger(kategorien) der personenbezogenen Daten (wer soll die Daten bekommen?);
  • Bei Datenübermittlungen ins Ausland neben dem Drittland / der internationalen Organisation das Vorliegen eines Angemessenheitsbeschlusses durch die europäische Kommission und bei Nichtvorliegen ein Verweis auf die geeigneten und angemessenen Garantien sowie auf die Möglichkeit, diese als Kopie zu bekommen oder woanders zu finden (Art. 464749 Abs. 1 UAbs. 2) (z. B. etwa mit Hinweisen auf entsprechende Webseiten) – mehr dazu hier;
  • Dauer bzw. Kriterien für die Festlegung der Dauer der Speicherung der Daten;
  • WICHTIG: Hinweis auf die verschiedenen Rechte des Betroffenen nach der DSGVO (mehr dazu hier)– Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung sowie das Datenübertragbarkeitsrecht, sowie Hinweise. darauf, wie diese Rechte ausgeübt werden können (z. B. per E-Mail an Sie oder per Nachricht über ein Kontaktformular o. ä.);
  • Hinweis auf das Recht des Betroffenen, dessen Einwilligung, wenn die Verarbeitung auf einer solchen beruht, diese jederzeit zu widerrufen, ohne dass dies die Rechtmäßigkeit der Verarbeitung bis zu diesem Zeitpunkt berührt;
  • Hinweis auf das Beschwerderecht des Betroffenen bei einer Aufsichtsbehörde;
  • evtl. gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten sowie ob der Betroffene danach zur Bereitstellung verpflichtet ist und was die möglichen Folgen der Nichtbereitstellung wären;
  • Vorliegen einer automatisierten Entscheidungsfindung (inkl. Profiling) gem. Art. 22 Abs. 1, 4 DSGVO sowie deren Logik, Tragweite und angestrebte Auswirkung auf den Betroffenen (z. B. Auswertung der bisher bestellten Produkte zur optimalen Werbung).

Alle diesen neuen Angaben müssen ihren Platz in Ihrer Datenschutzerklärung finden, damit diese im Einklang mit der DSGVO ausgestaltet ist.

Exkurs: Was ist mit personenbezogenen Daten, die nicht beim Kunden direkt erhoben wurden?

Wenn die personenbezogenen Daten nicht direkt beim Betroffenen erhoben werden, so müssen ihm gem. Art. 14 DSGVO zusätzlich zu den o.g. Angaben noch folgende Informationen erteilt werden:

  • die zu verarbeitenden Datenkategorien (welche Daten) und
  • die Datenquelle und ggf. ob diese öffentlich zugänglich (z. B. Handelsregister) ist.

Da der Betroffene ein gewichtiges Interesse an diesen Informationen hat, die er nicht selbst dem Verantwortlichen mitgeteilt hat, müssen sie ihm möglichst umgehend erteilt werden:

  • Innerhalb einer nach den konkreten Umständen angemessenen Frist, spätestens aber innerhalb eines Monats, nach der Datenerlangung;
  • Bei einer Datennutzung zur Kommunikation mit dem Betroffenen spätestens zum Zeitpunkt der ersten Mitteilung;
  • Bei der Absicht, die Daten an einen anderen Empfänger offenzulegen, spätestens zum Zeitpunkt der ersten Offenlegung.

Das war aber viel! Gibt es noch weitere Vorgaben?

Ja, wenn auch nicht zum Inhalt, sondern zur Form: Gem. Art. 12 Abs. 1 S. 1 DSGVOmüssen alle mitzuteilenden datenverarbeitungsbezogenen Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden.

Was heißt das? Das heißt zum einen, dass die o. g. Angaben dem Kunden stets zur Verfügung stehen müssen, etwa indem sie jederzeit ohne Schwierigkeiten auf der digitalen Plattform abrufbar sind. Zum anderen dürfen weder vage, allgemeine Ausführungen noch für den Laien kaum verständliche, mit überwältigender fachsprachlicher Terminologie überfüllten Detailerklärungen die Anforderungen der Verordnung erfüllen. Die Darstellung der mitteilungspflichtigen Informationen soll auf einen durchschnittlichen Kunden und dessen Verständnis davon zugeschnitten werden. 

Was bedeutet dies schlussendlich?

Eindeutig lässt sich anhand der obigen Ausführungen feststellen, dass das Inkrafttreten der DSGVO auch in Sachen Datenschutzerklärung den Status quo deutlich „erschüttern“ und zahlreiche Veränderungen mit sich bringen wird. Die Datenschutzerklärung, die nach der aktuellen nationalen Rechtslage inhaltlich und formtechnisch noch relativ schlicht und allgemein gehalten wird und daher für den Händler leicht gestaltbar ist, muss demnächst den Informationspflichten des Händlers aus der DSGVO entsprechen. Dafür müssen Sie den Kunden nicht nur zahlreiche neue Informationen zur Verfügung stellen, sondern auch verständlich und leicht zugänglich darstellen.

Unser Tipp

Prüfen Sie Ihre Datenverarbeitungsprozesse und erstellen Sie eine Liste mit den entsprechenden Informationen zur Datenverarbeitung, die Sie nach der DSGVO Ihren Kunden erteilen müssen. Durchlaufen Sie dann einfach den Trusted Shops Rechtstexter mit wichtigen Tipps und relevanten Hintergrundinformationen, um eine DSGVO-konforme Datenschutzerklärung zu erstellen. Diese sollte rechtzeitig zum Stichtag in Ihrem Shop eingebunden werden, um das Abmahnrisiko einer veralteten Datenschutzerklärung zu vermeiden. Damit erfüllen Sie die wesentlichen Informationspflichten nach Art. 13, 14 DSGVO.

Über die Autorin

autor_anne_hattenauerLegal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Seit 2013 im Team von Trusted Shops war sie zunächst für die Prüfung von Online-Shops der Märkte D, AT, CH, NL sowie UK zuständig und verantwortete das Operational Management zahlreicher Großkunden. Sie betreut die Trusted Shops Abmahnschutzpakete und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.

17.05.18

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies