Ab 25. Mai 2018 gelten die neuen Regelungen aus der Datenschutzgrundverordnung. In einem Interview mit unserer Datenschutzbeauftragten Jennifer Rost nehmen wir den Händlern die Angst vor diesem schwierigen Thema und stellen verständlich dar, welche Schritte Sie schon 2017 zur Vorbereitung unternehmen können.

Nach jahrelangen Diskussionen wurde am 4. Mai 2016 die EU-Datenschutzgrundverordnung verkündet. Die Verordnung enthält Vieles, das dem deutschen Datenschutz bereits bekannt ist, andere Punkte werden neu geregelt.

In einem Gespräch hat Jennifer Rost, die Datenschutzbeauftragte von Trusted Shops, die wichtigsten Fragen rund um die Neuregelung des europäischen Datenschutzrechts beantwortet.

Datenschutzgrundverordnung“ – das ist ja ein furchtbar langes Wort. Was bedeutet es eigentlich?

Die Datenschutzgrundverordnung, abgekürzt auch DSGVO genannt, ist das Regelwerk, welches das europäische Datenschutzrecht vollständig reformiert. Als Verordnung gilt sie in allen Mitgliedstaaten der Europäischen Union ab dem 25. Mai 2018 unmittelbar und bedarf grundsätzlich keiner Umsetzung durch die nationalen Gesetzgeber. Gleichzeitig wird die Regelung einiger Punkte in der Verordnung bewusst offengelassen – diese sind dann den einzelnen Mitgliedstaaten überlassen, weshalb es daneben ab Mai 2018 auch neue nationale Umsetzungsgesetze geben wird, die die Verordnung insoweit ergänzen werden.

Was bedeutet das für in Europa ansässige Unternehmer?

Bis zu diesem Zeitpunkt müssen Unternehmer ihre Datenverarbeitungsprozesse an die neuen Regelungen anpassen. Zwei Jahre klingen dabei zunächst nach einer langen Zeit. Häufig hängen mit solchen Änderungen jedoch umfassende Überprüfungen der bestehenden Prozesse, neue Vertragsverhandlungen und andere Umstellungen zusammen. Online-Händler sollten sich daher informieren und Änderungen rechtzeitig in Angriff nehmen.

Darüber hinaus ist zu berücksichtigen, dass jeder, der innerhalb der EU Daten erhebt, verarbeitet oder nutzt, von der DSGVO betroffen ist, selbst, wenn sein Hauptsitz nicht in der EU liegt. Bereits hierdurch werden viel Aufwand und dadurch möglicherweise längere Bearbeitungszeiten bei einigen der gängigen Dienstleister, z.B. aus den USA, entstehen.

Das hört sich zunächst nach einem großen Umbruch an. Bleibt denn auch irgendetwas, wie es war?

Es handelt sich schon um eine große Reform, aber es gibt keinen Grund, in Panik zu verfallen. Tatsächlich bleibt im Vergleich zum aktuell in Deutschland geltenden Datenschutzrecht Vieles, wie es heute ist. So stützt sich das zukünftige europäische Datenschutzrecht zum Beispiel auf die bekannten Prinzipien, wie das Verbot mit Erlaubnisvorbehalt. Das heißt, eine Datenverarbeitung ist weiterhin nur aufgrund einer gesetzlichen Erlaubnis oder einer Einwilligung des Betroffenen gestattet. Auch andere bekannte Institutionen bleiben weiter bestehen, wie die Möglichkeit einer Auftragsdatenverarbeitung oder das Recht der Betroffenen auf Auskunft und Löschung.

Außerdem gelten auch nach Inkrafttreten der Datenschutzgrundverordnung weiterhin strenge Vorgaben für die Übermittlung personenbezogener Daten an Konzernunternehmen oder Dienstleister mit Sitz in Nicht-EU-Ländern.

Letzteres war im Zusammenhang mit Safe-Harbor-Abkommen ja ein viel diskutiertes Thema. Wie wird das in Zukunft geregelt sein?

Auch hier bleibt es beim bisherigen Grundsatz: Nach wie vor wird die Zulässigkeit der Datenübermittlung an einem angemessenen Datenschutzniveau gemessen, welches sich vor allem aus der Vereinbarung von Standardvertragsklauseln oder nach Entscheidungen der Kommission (wie z.B. das EU-U.S. Privacy Shield) ergibt.

Alte Entscheidungen über das Vorliegen eines angemessenen Datenschutzniveaus in einem Drittstaat bleiben zwar auch nach Inkrafttreten der Verordnung wirksam, die Kommission ist jedoch gesetzlich verpflichtet, die getroffenen Entscheidungen regelmäßig zu überprüfen und eventuell anzupassen.

Was ist mit den Definitionen und Begriffen? Müssen wir neue Begrifflichkeiten lernen?

Nicht wirklich, viele bekannte Begriffe bleiben oder ändern sich nur leicht. So wird weiterhin von „Einwilligung“ oder „Pseudonymisierung“ gesprochen.

In Bezug auf das bisher im nationalen Recht verwendete „erheben, verarbeiten, nutzen“ erfolgt eine begriffliche Vereinfachung. Künftig beschreibt allein der Oberbegriff „verarbeiten“ den Umgang mit personenbezogenen Daten. Die „verantwortliche Stelle“ wird zum „für die Verarbeitung Verantwortlichen“, der Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung zum „Auftragsverarbeiter“. Es kommen jedoch auch neue Begriffe, wie das sog. „Profiling“ (Profilbildung mittels personenbezogener Daten), hinzu.

Bei all den Dingen, die bleiben – manches wird sicher auch neu gestaltet. Was ist das zum Beispiel?

Einige der grundsätzlich geläufigen Vorgaben ändern sich im Detail. So ist für eine Datenverarbeitung im Auftrag künftig keine Schriftform mehr erforderlich. Daneben gilt künftig grundsätzlich das Erfordernis einer schriftlichen Zustimmung des Auftraggebers zu Subunternehmern. Bisher musste nach § 11 BDSG nur überhaupt eine Regelung zu Subunternehmern vereinbart werden.

Was wäre hierfür ein gängiger Anwendungsfall?

Google muss künftig im Rahmen von Google Analytics als Auftragsverarbeiter der Webseitenbetreiber seine Subunternehmer bekanntgeben und sich die Zustimmung zu deren Beauftragung einholen. Dies kann jedoch auch allgemein im Rahmen eines Vertrags geschehen.

Online-Händler sollten rechtzeitig ihre bestehenden Vereinbarungen zur Auftragsdatenverarbeitung überprüfen und mit ihren Dienstleistern (wie zum Beispiel zum E-Mail-Versand oder zur Bereitstellung eines Shopsystems) neue, beziehungsweise angepasste Vereinbarungen treffen.

Was ist außerdem neu?

Rechte, die Betroffene gegenüber dem für die Verarbeitung Verantwortlichen, beispielsweise Shopkunden gegenüber dem Online-Händler geltend machen können, sind künftig etwas weiter gefasst, als bisher im deutschen Recht: Eine Auskunft auf Ersuchen eines Betroffenen muss neben den bisherigen Informationen auch über die geplante Dauer der Speicherung, das Bestehen eines Beschwerderechts an die Aufsichtsbehörde und einige weitere Punkte aufklären.

Online-Händler sollten darauf achten, die Pflichtinformationen für den Fall eines Auskunftsverlangens vorzuhalten, da es für die Erteilung einer Auskunft künftig eine Frist von einem Monat gibt.

Ein Kernelement im Datenschutz ist ja die Einwilligung. Gibt es hier Änderungen?

Ja, die gibt es. Eine Einwilligung muss nach Art. 7 DSGVO insbesondere eine freiwillige Willensbekundung sein. Das Kriterium der Freiwilligkeit an sich ist zwar nicht neu, die DSGVO interpretiert dieses Erfordernis aber strenger als bisher das deutsche Recht.

So ergibt sich aus den Erwägungsgründen, dass künftig wohl weder eine Einwilligung in Form eines sogenannten Opt-Outs wirksam eingeholt, noch dass der Abschluss eines Vertrages von einer Einwilligung abhängig gemacht werden kann, wenn diese zur Vertragserfüllung nicht erforderlich ist, ohne dass die Freiwilligkeit entfällt.

Wie kann sich das zum Beispiel auswirken?

Die Newsletter-Anmeldung darf zukünftig nicht zum zwingenden Kriterium für einen Vertragsschluss gemacht werden. Das spielt vor allem im Zusammenhang mit werbefinanzierten Inhalten oder bei Gewinnspielen eine bedeutsame Rolle. Hier bleibt abzuwarten, ob und inwiefern sich alternative rechtliche Lösungsansätze bewähren können.

Was ist mit Einwilligungen, die vor der DSGVO eingeholt wurden?

Einwilligungen, die bis zum 25. Mai 2018 eingeholt werden, bleiben auch weiterhin grundsätzlich wirksam, soweit die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht.

Daher sollten Online-Händler bereits jetzt überprüfen, ob die Einholung etwaiger Einwilligungen von Kunden oder Interessenten den Vorgaben der DSGVO entsprechen, um einer späteren Diskussion über die Wirksamkeit bereits heute entgegenzuwirken.

Und was kann passieren, wenn sich ein Onlinehändler nicht an die Vorgaben der DSGVO hält?

Auch die möglichen Sanktionen im Falle eines Verstoßes verändern sich mit Geltung der DSGVO. Zum Einen wurde der Bußgeldrahmen angehoben. Er kann jetzt bis zu 4% des globalen Jahresumsatzes statt wie bislang bis zu 300.000,- € betragen. Zum Anderen das europaweite Verbandsklagerechts eingeführt. Verbraucherschutzvereine dürfen also – wie in Deutschland heute schon – gegen Datenschutzverstöße klagen.

Bei all den Neuerungen – entfallen auch bisherige Regelungen?

Ja. Dies sind zum Beispiel Meldepflichten über die Datenverarbeitung an die Aufsichtsbehörde, wie sie heute in einigen europäischen Ländern (z.B. Frankreich) vorgesehen sind.

Wie kann man sich der DSGVO annähern und die Vorgaben im Shop umsetzen?

Vor allen Dingen: „Keine Panik!“ Auch nach Wirksamwerden der Datenschutzgrundverordnung wird vieles, was Online-Händlern heute schon aus dem BDSG bekannt ist, bleiben. Das neue europäische Datenschutzrecht bedeutet keine 180°-Drehung im Vergleich zur bisherigen Rechtslage. Wer sich rechtzeitig mit den Änderungen auseinandersetzt, wird auch im Frühjahr 2018 nichts zu befürchten haben.

Bildnachweis: Bloomicon/shutterstock.com