Wenn am 25. Mai 2018 die Datenschutzgrundverordnung geltendes Recht wird, müssen Online-Händler genau zum Stichtag nicht nur ihre Datenverarbeitungsprozesse umstellen, sondern auch eine neue Datenschutzerklärung im Shop einstellen.

An der Verpflichtung, eine Datenschutzerklärung mit umfangreichen Informationen bereitzuhalten, ändert sich grundsätzlich einmal nichts. Aber inhaltlich kommen Änderungen auf Online-Händler zu.

Die Datenschutzerklärung ist zukünftig in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu verfassen.

Genaue Auflistung der Infopflichten

Art. 13 Abs. 1 DSGVO enthält eine genaue Auflistung der Informationspflichten, die in Zukunft in der Datenschutzerklärung erfüllt werden müssen.

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Eine wesentliche Neuerung findet sich in c. So sind in Zukunft nicht nur die Zwecke zu nennen, sondern die klare Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.

Auch die berechtigten Interessen, die zu einer Datenverarbeitung nach Art. 6 führen – also z.B. beim Einsatz von Cookies – müssen in der Datenschutzerklärung dargelegt werden.

Art. 13 Abs. 2 DSGVO enthält dann eine weitere Liste mit zusätlichen Informationspflichten:

Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Der Verbraucher muss also in Zukunft unter anderem darüber informiert werden, dass er sich bei einer Aufsichtsbehörde über den Händler beschweren kann.

Typische Themen für Online-Händler

Für Online-Händler typische Themen, die in der Datenschutzerklärung behandelt werden, sind z.B.

  • Server-Logfiles
  • Webanalyse-Tools
  • Targeting
  • Social PlugIns
  • Kontaktformulare
  • Kundenkonto und Registrierung
  • E-Mail-Newsletter (mit oder ohne Anmeldung)
  • Werbung per Briefpost
  • Bonitätsauskünfte (bei Vorkasse oder generell)
  • Echtzeit-Bonitätsprüfungen (über Drittdienstleister)
  • Bewertungserinnerungen

Fazit

Die DSGVO enthält wesentlich detaillierte Regelungen zu den Informationspflichten der Händler als die heute geltenden Gesetze. Das hat zum einen den Vorteil, dass man sich bei der Erstellung der Texte an den einzelnen Punkten abarbeiten kann, macht die Datenschutzerklärung aber auch länger. Fehler in der Datenschutzerklärung können unter anderem von Verbraucherverbänden abgemahnt werden. Den Stichtag 25. Mai 2018 sollten Händler daher auf keinen Fall verpassen und geänderte Texte vorhalten. (mr)

Bildnachweis: Bloomicon/shutterstock.com