Der Shopify Blog

Möchtest du einen Onlineshop erstellen?

Gastbeitrag zur DSGVO: Ein Volljurist beantwortet deine Fragen

In diesem Gastbeitrag beantwortet Ivan Bremers, Volljurist und juristischer Redakteur beim Händlerbund, die wichtigsten Fragen zur EU-Datenschutz-Grundverordnung (DSGVO).

Auch mit der DSGVO bleiben viele altbekannte Grundsätze und Prinzipien des deutschen Datenschutzrechtes bestehen. Doch gerade für Online-Händler bringt die neue Verordnung auch Veränderungen mit sich.

WEITERE INFORMATIONEN ZUR DSGVO findest du in unserem Artikel "DSGVO: Was du (und dein Shop) über das neue Datenschutzgesetz wissen musst. (Der Artikel wird übrigens laufend aktualisiert.)

Bin ich von der DSGVO betroffen?

Die DSGVO gilt für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten durchführen. Die neue Verordnung muss also immer dann angewendet werden, wenn ein Unternehmen Daten, wie z.B. Kundendaten, automatisch verarbeitet – damit gilt sie für jeden Online-Händler und Website-Betreiber. Sie muss auch eingehalten werden, wenn ein Unternehmen die Daten nicht automatisiert speichert, etwa bei der händischen Eingabe von Kundendaten in eine Computer-Datenbank. Die DSGVO gilt dabei nicht nur für große Unternehmen: Auch kleine und mittelständische Händler müssen sich mit ihr auseinandersetzen.

Lesetipp: Du willst den vollen Durchblick? Wie du deinen Shopify-Store rechtssicher machst, erfährst du in diesem Beitrag (inkl. kostenlosem Webinar und Whitepaper)!

Brauche ich für die Verwendung von Cookies und Tracking-Tools zukünftig eine explizite Einwilligung?

Nein, für die Verwendung von Cookies oder Tracking- und Analyse-Tools ist keine ausdrückliche Einwilligung (z. B. über eine Checkbox) erforderlich. Dieser Punkt sorgt für viel Verwirrung und es ist auch noch nicht letztendlich geklärt, wie der Einsatz von Cookies künftig gestaltet werden soll. Dieser Punkte soll durch die ePrivacy-Verordnung, die sich noch im Gesetzgebungsverfahren befindet und wahrscheinlich erst im Jahr 2019 in Kraft tritt, geregelt werden. Bis dahin bleibt die bestehende Rechtslage zunächst unverändert.
Die Besucher einer Website müssen allerdings nach wie vor über den Einsatz von Cookies in der Datenschutzerklärung aufgeklärt werden. Darüber hinaus muss ein Unternehmen die Möglichkeit bieten, dem Setzes des Cookies zu widersprechen. Dazu genügt eine Klausel innerhalb der Datenschutzerklärung. Die Verwendung der Tools wird auch zukünftig aufgrund des berechtigten Interesses des Unternehmers zulässig sein.

Brauche ich nach der DSGVO eine neue Einwilligung für meinen Newsletter?

Nein. Grundsätzlich ändert sich hinsichtlich der Einwilligung zum Newsletterversand durch die DSGVO nichts. Die bisherigen Anforderungen, die an die Einwilligung gestellt werden, bleiben die gleichen, insbesondere müssen weiterhin Einwilligungen dokumentiert werden. Glück für Versender: Die deutschen Datenschutzbehörden haben vereinbart, dass bestehende Einwilligungen, die bereits rechtskonform eingeholt wurden, auch weiterhin gültig bleiben. Daher müssen die Einwilligungen auch nach Umsetzung der DSGVO nicht erneut eingeholt werden.

Sofern also die derzeitige Einwilligung für den Newsletterversand in deinem Shop den rechtlichen Voraussetzungen entspricht, genügt diese Einwilligung auch für den Newsletterversand ab Mai dieses Jahres.

Brauche ich einen Datenschutzbeauftragten?

Alle Unternehmen, die ständig mehr als 10 Mitarbeiter mit der Datenverarbeitung betrauen, müssen einen Datenschutzbeauftragten bestellen. "Ständig" meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss.  Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört (z. B. Mitarbeiter im Kundenservice). Mitarbeiter in diesem Sinne sind auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte.

Muss ich ein Verarbeitungsverzeichnis führen?

Im Rahmen der DSGVO kommen weitreichende Dokumentationspflichten auf die Unternehmer zu. Nach den Vorgaben der neuen EU-Verordnung muss jedes Unternehmen stets nachweisen können, dass alle Verarbeitungsvorgänge datenschutzkonform stattfinden. Es gibt eine Pflicht zur Führung eines Verfahrensverzeichnisses, wenn ein Unternehmern mehr als 250 Mitarbeiter beschäftigt, die Datenverarbeitung ein Risiko birgt, besondere Datenkategorien betroffen sind (z.B. bei Online-Apotheken die Gesundheitsdaten) oder nicht nur "gelegentlich" stattfindet.

Obwohl es bisher keine nähere Definition von "gelegentlich" gibt und kleinere und mittelständige Unternehmen vor einem erhöhten bürokratischen Aufwand geschützt werden sollen, kann die Pflicht auf Händler zutreffen. Schon die Hinterlegung von Kundeninformationen in der shopeigenen Datenbank erfolgt regelmäßig automatisch und nicht nur gelegentlich. Außerdem werten viele Shops systematisch das Verhalten ihrer Webseitenbesucher aus. Daher ist aus unserer Sicht die Anfertigung eines Verfahrensverzeichnisses für jeden Händler ratsam.

TIPP:

Die kommende Rechtsänderung sollten Unternehmer als Chance sehen, um die Datenverarbeitungsvorgänge in ihrem Unternehmen zu durchleuchten. Dazu gehören die nachfolgenden Punkte:

  • Ermittle, in welchen Prozessen in deinem Unternehmen personenbezogene Daten verarbeitet werden und dokumentiere die Verarbeitungsvorgänge.
  • Überprüfe deine Verträge zu Auftragsdatenverarbeitung und nimm gegebenenfalls Anpassungen vor.
  • Behalte im Auge, wie die neuen Vorgaben für die Datenschutzerklärung umzusetzen sind.

Wer jetzt aktiv werden will, kann kostenlos die Checkliste zur DSGVO des Händlerbundes für sich durcharbeiten und herausfinden, was noch zu beachten ist.

Aufmacherfoto von Samuel Zeller auf Unsplash.

Hinweis: Shopifys deutschsprachigen Support erreichst du unter: hilfe@shopify.com.


Which method is right for you?Über den Autor: Ivan Bremers ist Volljurist und seit 2017 für den Händlerbund als juristischer Redakteur tätig. Im Bereich E-Commerce berät und berichtet er regelmäßig zu Rechtsthemen, welche die Branche bewegen.


Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung für Informationen, die spezifisch für dein Land und deine Umstände sind. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.