Nach jahrelangen Diskussionen wurde am 4. Mai 2016 die EU-Datenschutzgrundverordnung im Amtsblatt verkündet. Die Verordnung enthält Vieles, das dem deutschen Datenschutz bereits bekannt ist, andere Punkte werden neu geregelt. Online-Händler sollten sich informieren und Änderungen rechtzeitig in Angriff nehmen.
Die Datenschutzgrundverordnung (kurz: DSGVO) ist das Regelwerk, welches das europäische Datenschutzrecht vollständig reformiert. Sie besteht aus 99 Artikeln und fast doppelt so vielen Erwägungsgründen.
Die Verordnung gilt in allen Mitgliedstaaten der Union ab 25. Mai 2018 unmittelbar . Anders als bei einer Richtlinie bedarf es daher keiner Handlung des deutschen Gesetzgebers.
Bis dahin müssen Unternehmer ihre Datenverarbeitungsprozesse an die neuen Regelungen anpassen. Zwei Jahre klingen dabei zunächst nach einer langen Zeit. Häufig hängen mit solchen Änderungen jedoch umfassende Überprüfungen der bestehenden Prozesse, neue Vertragsverhandlungen und andere Umstellungen zusammen, sodass sich Händler nicht zu viel Zeit lassen sollten.
Darüber hinaus ist zu berücksichtigen, dass jeder, der innerhalb der EU Daten erhebt, verarbeitet oder nutzt, davon betroffen ist. Bereits hierdurch wird viel Aufwand und dadurch möglicherweise längere Bearbeitungszeiten bei den diversen Dienstleistern entstehen.
Im Vergleich zum aktuell in Deutschland geltenden Datenschutzrecht bleibt Vieles, wie es bereits heute ist.
So stützt sich auch das zukünftige europäische Datenschutzrecht auf die bekannten Prinzipien:
Anders als im Bundesdatenschutzgesetz (BDSG) sind diese in der DSGVO ausformuliert.
Es gelten auch nach Inkrafttreten der Datenschutzgrundverordnung weiterhin strenge Vorgaben für die Übermittlung personenbezogener Daten an Konzernunternehmen oder Dienstleister mit Sitz in Nicht-EU-Ländern.
Hier ändert sich an der aktuellen Gesetzeslage nicht viel, nach wie vor wird die Zulässigkeit an einem angemessenen Datenschutzniveau gemessen, welches sich vor allem aus der Vereinbarung von Standardvertragsklauseln oder nach Entscheidungen der Kommission (wie z.B. eine künftige Entscheidung aufgrund des geplanten EU-U.S. Privacy Shield) ergibt.
Alte Entscheidungen über das Vorliegen eines angemessenen Datenschutzniveaus in einem Drittstaat bleiben zwar auch nach Inkrafttreten der Verordnung wirksam, die Kommission ist jedoch gesetzlich verpflichtet, die getroffenen Entscheidungen regelmäßig zu überprüfen und ggf. anzupassen.
Weiterhin bleiben viele bekannte Begriffe oder ändern sich nur leicht. So wird weiterhin von "Einwilligung" oder "Pseudonymisierung" gesprochen.
In Bezug auf das bisher im nationalen Recht verwendete "erheben, verarbeiten, nutzen" erfolgt eine begriffliche Vereinfachung dahingehend, dass künftig allein der Oberbegriff "verarbeiten" den Umgang mit personenbezogenen Daten beschreibt.
Die "verantwortliche Stelle" wird zum "für die Verarbeitung Verantwortlichen", der Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung zum "Auftragsverarbeiter".
Es kommen jedoch auch neue Begriffe, wie das sog. "Profiling" (Profilbildung mittels personenbezogener Daten), hinzu.
Schließlich bleiben bekannte Institutionen weiter bestehen, wie die Erforderlichkeit einer gesetzlichen Erlaubnis oder einer Einwilligung zu bestimmten Datenverarbeitungen, die Möglichkeit einer Auftragsdatenverarbeitung oder das Recht der Betroffenen z.B. auf Auskunft und Löschung.
Dabei ist jedoch zu beachten, dass sich einige der grundsätzlich geläufigen Vorgaben im Detail sehr wohl ändern: So ist für eine Datenverarbeitung im Auftrag künftig keine Schriftform mehr erforderlich.
Auch inhaltlich ändern sich einige Vorgaben zur Auftragsdatenverarbeitung: So gilt z.B. künftig grundsätzlich das Erfordernis einer schriftlichen Zustimmung des Auftraggebers zu Subunternehmern. Bisher musste nach § 11 BDSG nur überhaupt eine Regelung zu Subunternehmern vereinbart werden.
Beispiel:
Google muss daher künftig im Rahmen von Google Analytics als Auftragnehmer der Webseitenbetreiber seine Subunternehmer bekanntgeben und sich die Zustimmung zu deren Beauftragung einholen. Dies kann auch allgemein im Rahmen eines Vertrags geschehen.
Online-Händler sollten hier rechtzeitig die bestehenden Vereinbarung zur Auftragsdatenverarbeitung überprüfen und mit ihren Dienstleistern (wie z.B. zum E-Mail-Versand oder zur Bereitstellung eines Shopsystems) neue bzw. angepasste Vereinbarungen treffen.
Rechte, die Betroffene gegenüber dem für die Verarbeitung Verantwortlichen, also z.B. Shopkunden gegenüber dem Online-Händler geltend machen können, sind künftig etwas weiter gefasst, als bisher im deutschen Recht: Eine Auskunft auf Verlangen eines Betroffenen muss neben den bisherigen Informationen auch über die geplante Dauer der Speicherung, das Bestehen eines Beschwerderechts an die Aufsichtsbehörde und einige weitere Punkte aufklären.
Online-Händler sollten darauf achten, die Pflichtinformationen für den Fall eines Auskunftsverlangens vorzuhalten, da es für die Erteilung einer Auskunft künftig eine Frist von einem Monat gibt.
Auch im Hinblick auf das wichtige Erfordernis der Einwilligung ergeben sich einige Änderungen durch die Datenschutzgrundverordnung.
Eine Einwilligung muss nach Art. 7 DSGVO insbesondere eine freiwillige Willensbekundung sein.
Das Kriterium der Freiwilligkeit an sich ist zwar nicht neu, die DSGVO interpretiert dieses Erfordernis aber strenger als bisher das deutsche Recht.
So ergibt sich aus den Erwägungsgründen, dass künftig wohl weder eine Einwilligung in Form eines sog. Opt-Outs wirksam eingeholt, noch dass der Abschluss eines Vertrages von einer Einwilligung abhängig gemacht werden kann, wenn diese zur Vertragserfüllung nicht erforderlich ist, ohne dass die Freiwilligkeit entfällt.
Beispiel:
Die Newsletter-Anmeldung darf zukünftig nicht zum zwingenden Kriterium für einen Vertragsschluss gemacht werden.
Das spielt vor allem im Zusammenhang mit werbefinanzierten Inhalten oder bei Gewinnspielen eine gewichtige Rolle. Hier bleibt abzuwarten, ob und inwiefern sich alternative rechtliche Lösungsansätze (z.B. die Hergabe der Daten nicht als Bedingung sondern als Gegenleistung im Vertrag) bewähren können.
Einwilligungen, die bis zum 25. Mai 2018 eingeholt werden, bleiben auch anschließend grundsätzlich weiterhin wirksam, soweit sie rechtmäßig eingeholt wurde.
Aus den Erwägungsgründen (EG 171) ergibt sich insoweit, dass es nicht erforderlich ist, die Einwilligung erneut einzuholen,
"wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung [DSGVO] entspricht",
so dass der Online-Händler die Verarbeitung nach dem Zeitpunkt der Wirksamkeit der vorliegenden Verordnung fortsetzen kann.
Nichtsdestotrotz sollten Online-Händler bereits jetzt überprüfen, ob die Einholung etwaiger Einwilligungen von Kunden oder Interessenten den Vorgaben der DSGVO entsprechen, um einer späteren Diskussion über die genaue Interpretation dieses Erwägungsgrundes bereits heute entgegenzuwirken.
Neu ist außerdem der aus Art. 22 DSGVO hervorgehende Gedanke, dass keine Person einer Entscheidung mit für sie rechtlicher Wirkung unterworfen werden soll, die auf einer ausschließlich automatisierten Verarbeitung ihrer Daten beruht.
Wird sie es doch, so sind ihr geeignete Maßnahmen anzubieten, diese Entscheidung anzufechten. Etwas anderes gilt nur, wenn die betroffene Person ihre ausdrückliche Einwilligung in das automatisierte Verfahren erteilt hat.
Dies hört sich zunächst sehr abstrakt an, spielt für Online-Händler jedoch eine wichtige Rolle im Rahmen von Zahlartensteuerung und Bonitätsauskünften. Inwiefern sich die Auswahl verschiedener Zahlungsarten für Verbraucher dadurch möglicherweise in Zukunft verkleinern wird oder ob sich die vorherige Einholung einer Einwilligung etabliert, bleibt abzuwarten.
Schließlich haben sich auch mögliche Sanktionen im Falle eines Verstoßes verändert. Zum Einen wurde der Bußgeldrahmen angehoben. Wichtiger ist jedoch die europaweite Einführung des Verbandsklagerechts. Verbraucherschutzervereine dürfen also - wie in Deutschland heute schon - gegen Datenschutzverstöße klagen.
Einige Regelungen werden mit Wirksamwerden der Datenschutzgrundverordnung auch entfallen. Dies sind zum Beispiel Meldepflichten über die Datenverarbeitung an die Aufsichtsbehörde, wie sie in einigen europäischen Ländern (z.B. Frankreich) vorgesehen sind.
Ebenfalls eine wichtige Änderung für Online-Händler:
In Bezug auf solche Werkzeuge zur Gestaltung zielgruppengesteuerter Werbemaßnahmen gilt ab 25. Mai 2018, dass eine Einwilligung des Betroffenen vorliegen muss oder die Datenverarbeitung über eine Interessenabwägung gerechtfertigt werden kann.
Auch nach Wirksamwerden der Datenschutzgrundverordnung wird vieles, was Online-Händlern heute schon aus dem BDSG bekannt ist, bleiben. Gleichzeitig gibt es einige wichtige Themen, die durch die DSGVO neu gestaltet werden und die Online-Händler näher ins Auge fassen sollten. Keinesfalls sollte die Grundverordnung außer Acht gelassen werden - durch die neuen und schärferen Sanktionsmöglichkeiten enstehen im Falle eines Verstoßes auch höhere Risiken.
Nichtsdestotrotz gilt es, Ruhe zu bewahren. Das neue europäische Datenschutzrecht bedeutet keine 180°-Drehung im Vergleich zur bisherigen Rechtslage. Wer sich rechtzeitig mit den Änderungen auseinandersetzt, wird auch im Frühjahr 2018 nichts zu befürchten haben. Am besten sprechen Sie uns direkt an.