Datenschutz

Was bedeutet die EU-DSGVO für den Handel?

Dr. Frank Hülsberg Dr. Frank Hülsberg

Die Digitalisierung hat den Einzelhandel schon längst in allen Bereich durchdrungen: Online-Bestellungen, Marketing, Kundenbindungsprogramme (einschl. Rabattkarten, Kunden-Feedback etc.), elektronische Arbeitszeitenplanung und -verwaltung – an allen Stellen werden inzwischen umfangreiche personenbezogene Daten erhoben, verarbeitet und gespeichert. Im Mai 2016 ist die „Europäische Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (kurz: EU-Datenschutzgrundverordnung/“DSGVO“) im offiziellen Amtsblatt der EU verkündet worden und damit in Kraft getreten. Die EU verfolgt damit folgende Ziele: Zum einen soll den Auswirkungen der technologischen Dynamik und der globalen Ausrichtung auf das Ausmaß der Erhebung und Verarbeitung von Daten Rechnung getragen werden. Zum anderen will die EU die teilweise stark divergierenden datenschutzrechtlichen Vorgaben einzelner Mitgliedsstaaten auf ein gleiches und angemessenes hohes Niveau heben.

Trotz des Inkrafttretens gilt die DSGVO unmittelbar erst ab dem 25. Mai 2018. Die nationalen Gesetze gelten bis zu diesem Stichtag weiter. Bis dahin sollten sich Unternehmen unbedingt mit den Anforderungen der neuen Verordnung vertraut machen und die relevanten Teile nach einem klaren Zeitplan umsetzen. Folgende Grundsätze der DSGVO gelten für den Handel:

Die Rechenschaftspflicht

Anders als das Bundesdatenschutzgesetz führt die DSGVO die Pflicht ein, auf Anforderung die Einhaltung aller Datenschutzprinzipien, die in Artikel 5 Absatz 1 DSGVO genannt sind, nachweisen zu können. Für Online-Händler ist somit von größter Wichtigkeit, ihre Verarbeitungssysteme zu protokollieren und Nutzungsumfänge festzuhalten.

Einwilligung von Minderjährigen

Gemäß Artikel 8 DSGVO ist die Verarbeitung der personenbezogenen Daten eines Kindes nur dann rechtmäßig, wenn dieses das sechzehnte Lebensjahr vollendet hat. Das bedeutet: Online-Händler müssen künftig geeignete Altersverifikationssysteme in ihre elektronischen Einwilligungsprozesse einbauen, um sich nicht der Gefahr unrechtmäßiger Datenverarbeitungen auszusetzen.

Benennung eines Datenschutzbeauftragten

Die Pflichten zur Bestellung eines Datenschutzbeauftragten werden ab dem 25. Mai 2018 für den Online-Handel gelockert. Gemäß Artikel 37 DSGVO ist die Bestellung eines Datenschutzbeauftragten dennoch zwingend, wenn:

  1. die Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht, oder
  2. die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Daten gemäß Artikel 9 DSGVO besteht.

Geldbuße bei Verstößen

Bei Verstößen gegen die aus den Artikeln 8, 11, 25 bis 39 und 42 DSGVO resultierenden Pflichten können Geldbußen von bis zu 10.000.000 Euro oder in Höhe von 2% des weltweiten Jahresumsatzes verhängt werden, (maßgeblich ist der jeweils höhere Betrag). Bei Verstößen gegen die Grundsätze der Artikel 5, 6, 7 und 9 DSGVO drohen Geldbußen von bis zu 20.000.000 Euro oder in Höhe von 4% des weltweiten Jahresumsatzes (maßgeblich ist der jeweils höhere Betrag).

Praxishinweis

Bis zum 25. Mai 2018 ist es zwar noch etwas Zeit, dennoch sollten Branchenunternehmen schon jetzt ihre aktiven Systeme, die in Verbindung zur neuen Gesetzgebung stehen, auf den Prüfstand stellen. Konkret sollten sie:

  • über eine Neubewertung Ihrer Risiken nachdenken und diese aktualisieren,
  • ihre interne Situation zur Benennung eines Datenschutzbeauftragten überprüfen,
  • schon jetzt über einen DSGVO-Transformationsplan nachdenken. Für viele Unternehmen wird die Umstellung eine große Herausforderung,
  • überlegen, wie und mit welchen Mitteln sie die umfassenden Rechenschafts- und Dokumentationspflichten umsetzen,
  • mit ihrem Datenschutzbeauftragen – falls bereits vorhanden – das künftige Budget für die Umsetzung erörtern.