Neues Datenschutzrecht kommt – was Händler über DSGVO wissen müssen.
von Andre Schreiber am 11.August 2017 in News, Trends & AnalysenEin Drittel der Befragten einer aktuellen Umfrage des Händlerbunds gab an, noch nie etwas von der neuen Datenschutzgrundverordnung (DSGVO) gehört zu haben. Dabei ist das neue Gesetz zum Datenschutz bereits seit Mai 2016 in Kraft. Zum Glück für alle, die sich damit noch nicht auseinandergesetzt haben, ist die Verordnung erst ab Mai 2018 anzuwenden. Es bleibt also noch Zeit, sich eingehender damit zu beschäftigen. Und das sollten alle Händler auch. Denn der ehemals „zahnlose“ Tiger Datenschutz erhält damit ziemlich scharfe Krallen. Betroffen sind alle Händler, nicht nur die Betreiber von Online-Shops.
Vereinheitlichung des Datenschutzes in Europa
Mit der Schaffung einer europäischen Verordnung zum Datenschutz sollen die Gesetze der Mitgliedsstaaten harmonisiert werden. Damit sollen die Bürger europaweit den gleichen Schutz ihrer personenbezogenen Daten genießen. Die Harmonisierung legt zum anderen auch die Grundlage für einen freien Datenverkehr innerhalb des Binnenmarkts. Ergebnis ist die Verordnung, an der seit mehreren Jahren intensiv gearbeitet wurde und die nun ab dem 25. Mai 2018 anzuwenden ist. Da Deutschland mit seinem Bundesdatenschutzgesetz (BDSG) in Sachen Datenschutz zu den führenden Nationen innerhalb der Europäischen Union zählt, sind auch viele Elemente des Gesetzes in die neue Verordnung übernommen worden.
Datenschutz ernst nehmen, sonst kann es teuer werden
Verstöße gegen den Datenschutz – wer die Schlagzeilen über Datenlecks und Pannen in der Fachpresse verfolgt, könnte fast den Eindruck gewinnen, als ob nicht wenige Manager darin eher so etwas wie eine Unachtsamkeit sehen. Diese Haltung erwuchs sicherlich auch aus dem doch eher bescheidenen Instrumentarium, das den Aufsichtsbehörden für Sanktionen bei Verstößen zur Verfügung stand. Das ändert sich mit der DSGVO massiv. Denn die neue Verordnung sieht Bußgelder vor, die bis zu 20 Mio Euro betragen können bzw. bei Konzernen bis zu 4 Prozent des weltweit (!) erzielten Umsatzes des Vorjahres.
Dass es den Behörden damit durchaus ernst ist, musste vor einigen Tagen der Autovermieter Hertz in Frankreich erfahren. Hier wurde für den öffentlichen Zugang von personenbezogenen Daten, der durch eine Panne erfolgt, erstmals ein Bußgeld von 40.000 Euro verhängt. Dass es nicht höher ausgefallen ist, begründete die Behörde damit, dass das Unternehmen zeitnah reagiert habe, und sich kooperativ gegenüber dem Amt verhielt.
Gewinner ist der Kunde!
Eine der wesentlichsten Änderungen der DSGVO ist sicherlich die Umkehrung der Beweislast. Und bereits dieser Punkt hat es in sich. Denn bisher mussten Datenschutzbehörden nachweisen, dass es einen Verstoß innerhalb des Unternehmens gegeben hat. Jetzt müssen Unternehmen beweisen, dass sie alle Möglichkeiten ergriffen haben, um den Datenschutz einzuhalten und darlegen, warum die Art und Weise, in der personenbezogene Daten verarbeitet werden, auch gesetzeskonform ist. Mit anderen Worten müssen Unternehmen jetzt zeigen, dass sie die Regeln einhalten.
Gewinner der Reform sind auf diese Weise aber nicht nur die Behörden, denen ja nun das wirksame Instrument der Bußgelder zur Verfügung steht. Gewonnen hat auch der Kunde. Denn von seiner Einwilligung hängt auch die Verarbeitung seiner persönlichen Daten ab. Um sich mit der Verarbeitung und Erhebung seiner Daten einverstanden zu erklären, muss er aber umfassend über den Zweck informiert werden. Im Kern steht dies auch jetzt bereits im BDSG, allerdings sind die Informationspflichten für Unternehmen nun noch größer geworden.
Es ist gerade die Kombination aus Sanktionsmöglichkeiten durch die Behörden und der im Zweifel zu erbringende Nachweis über die Einhaltung aller Vorschriften, der Händler dazu bewegen sollte, sich ihre Systeme eingehender zu betrachten. Das gilt streng genommen für alle Lösungen, die Kundendaten verarbeiten und speichern. Also nicht nur das CRM, die Übergabe von Informationen an Zahlungsabwickler, sondern beispielsweise auch Analyse-Systeme oder auch Kameraüberwachung.
Lieber zu viel informieren
In Zukunft müssen Unternehmen ihre Kunden wesentlich umfangreicher und häufiger darüber informieren, dass deren Daten verarbeitet werden. Und das gilt beispielsweise auch, wenn die Daten eigentlich von Dritten geliefert werden, zum Beispiel durch Adresshandel oder Bonitätsprüfungen. Informiert werden müssen die Kunden über:
- Zweck der Datenverarbeitung,
- die gesetzliche Grundlage für die Verarbeitung,
- Empfänger der Daten und
- Speicherfrist
Dazu kommt dann noch der bereits heute übliche Passus über die Möglichkeit, sich Auskunft holen zu können. Und natürlich der Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde. Nach aktuellem Stand gilt die Informationspflicht auch, wenn Bestandsdaten für neue Zwecke verarbeitet werden. In diesem Fall lebt sie wieder auf, auch wenn bereits einmal informiert wurde.
Und nach wie vor gilt auch in der neuen DSGVO, dass der Betroffene jederzeit der weiteren Nutzung seiner Daten widersprechen kann.
Apropos Adressenhandel: Das aus dem ehemaligen BDSG abzuleitende Listenprivileg findet sich in der neuen Fassung nicht mehr. Eine explizite Erwähnung der Weitergabe von Adressen, etwa zu werbenden Zwecken, gibt es nicht mehr. Die Herausforderung wird hier für das Marketing darin bestehen, gesetzliche Erlaubnis für die Datenerhebung zu finden oder auf bestehende Einwilligungen auszuweichen.
Es ist daher unbedingt empfehlenswert, den eigenen Adressbestand daraufhin zu überprüfen, ob dessen Nutzung auch noch in Zukunft erlaubt sein wird.
Achtung Falle – das Recht auf Vergessenwerden
Das „Vergessenwerden“ kennen viele Händler wahrscheinlich im Zusammenhang mit Suchmaschinen. Für Schlagzeilen sorgen dabei immer wieder Prominente, die unliebsame Ergebnisse bei Google & Co aus den Ergebnislisten entfernen lassen.
Dieses Recht haben aber auch die sogenannten Betroffenen, also die Kunden, deren Daten in Händlersystemen gespeichert sind. Möchte der Kunde, dass sein Datensatz gelöscht wird, dann muss dies umgesetzt werden, es sei denn, andere wichtige Interessen (oder gesetzliche Vorschriften) stehen diesem Wunsch entgegen. Besteht beispielsweise ein Vertrag mit einem Kunden, dann kann dieser nicht einfach verlangen, dass seine Daten gelöscht werden. Das Interesse des Händlers auf eine ungestörte Geschäftsbeziehung überwiegt hier. Das gilt etwa auch dann, wenn der Vertrag bereits erfüllt wurde. Denn der Händler muss ja aufgrund der Steuergesetzgebung Belege und Dokumente langfristig aufbewahren, um den Finanzbehörden Nachweise über seine Erlöse zur Verfügung zu stellen. Hier überwiegt das staatliche Interesse. Was die Sache kompliziert macht, ist die sich ergebende Verpflichtung, dass derjenige, der die Daten des Kunden an einen Dritten weitergegeben hat, diesen über den Wunsch der Löschung informieren muss. Das erhöht den Grad der Komplexität.
Die Veränderungen, die sich durch die neue DSGVO ergeben, haben es also in sich. Wer sich bisher nicht intensiver um das Thema Datenschutz gekümmert hat, sollte dies jetzt also schleunigst nachholen.
Newsletter abonnieren
Abonnieren Sie den kostenlosen Newsletter von Location Insider. Wir liefern darin täglich gegen 11 Uhr business-relevante Hintergründe zur Digitalisierung des Handels.