Im Shop DSGVO-konform personalisieren
EU-DSGVO © tanaonte | 123rf.com
Was genau ist die DSGVO?
Dr. Judith Nink: EU-DSGVO ist die Abkürzung der neuen EU-Datenschutz-Grundverordnung. Die internationale Bezeichnung hierfür lautet General Data Protection Regulation – kurz GDPR. Nachdem die Verordnung 2016 verabschiedet worden ist, tritt dieses Jahr die Anwendung der Verordnung in Kraft. Unternehmen und öffentliche Stellen hatten somit knapp 2 Jahre Zeit, sich mit den Regelungen vertraut zu machen. Am 25. Mai 2018 müssen Sie alle entsprechenden Maßnahmen zur Einhaltung der Regularien der GDPR umgesetzt haben – sonst kommen verstärkte Sanktionen auf Sie zu.
Welche Länder betrifft die neue Grundverordnung?
Dr. Judith Nink: Die EU-Datenschutz-Grundverordnung betrifft nicht nur die 31 Staaten innerhalb des EWR (EU und EFTA), sondern muss weltweit von vielen Unternehmen umgesetzt werden. Bedingt durch die Globalisierung und zunehmende Vernetzung, greifen heutzutage auch Unternehmen mit Sitz außerhalb des EWR auf personenbezogene Daten von EU-Bürgern zu. Da der Schutz eben dieser Bürger im Fokus der Verordnung steht, müssen auch diese Unternehmen den Anforderungen der neuen Grundverordnung im Falle der Verarbeitung personenbezogener Daten von EWR Bürgern gerecht werden. Dies ist zudem eine der wichtigsten Änderungen im Vergleich zum Bundesdatenschutzgesetz (BDSG), die mit der Anwendung der DSGVO ab dem 25. Mai 2018 kommt.
Welche gravierenden Änderungen kommen durch die DSGVO auf Unternehmen zu?
Dr. Judith Nink: Durch die DSGVO sind Unternehmen vor allem verpflichtet, Daten- bzw. Informationsprozesse zu dokumentieren bzw. diese nachweisbar zu machen. Um diese Aufgabe zu bewerkstelligen, müssen Unternehmen ihre laufenden Prozesse natürlich zunächst durchleuchten und darauf aufbauend Änderungen umsetzen. Dies ist zeitintensiv und setzt zudem eine Kenntnis der Materie voraus: Die Einhaltung der DSGVO ist daher vor allem für KMU herausfordernd.
Dr. Judith Nink ist Expertin für die neue Datenschutzgrundverordnung der EU und Dozentin an der Düsseldorfer Akademie für Marketing und Kommunikation. Sie promovierte 2009 an der Georg-August-Universität Göttingen und ist seit 2016 Datenschutzbeauftragte der odoscope GmbH.
Was sind die größten Veränderungen, die mit der neuen Verordnung Anwendung finden?
Dr. Judith Nink: Die EU-Datenschutz-Grundverordnung ist sehr umfangreich und detailliert – sie enthält 11 Kapitel mit insgesamt 99 Artikeln und beinhaltet neben den Rechten und Sanktionen auch Vorgaben zur Umsetzung. So besitzen betroffene Personen unter anderem das Recht, alle einem Unternehmen zur Verfügung gestellten, personenbezogenen Daten in Form einer Kopie einzufordern. Daher sind die Unternehmen in der Pflicht, Instrumente und Prozesse zu etablieren, die die Einhaltung dieser Rechte ermöglichen. Auch die Datensicherheit an sich ist von der GDPR betroffen. Vorhandene IT-Standards und Möglichkeiten zur Pseudonymisierung sowie Verschlüsselung sind – abhängig von Risiken und Eintrittswahrscheinlichkeit – von Unternehmen, die personenbezogene Daten verarbeiten, anzuwenden. Deutlich umfangreicher und präziser sind auch die Informationspflichten ausgestalten, die Unternehmen zum Beispiel im Rahmen von Datenschutzerklärungen gegenüber ihren Nutzern haben. Unternehmen müssen hier deutlich mehr Aufklärungsarbeit leisten, um die betroffenen Personen transparent über die Datenverarbeitung zu informieren.
Was bleibt gleich?
Dr. Judith Nink: Die allgemeinen Datenschutzprinzipien, die bereits aus dem BDSG bekannt sind, sowie die meisten Erlaubnistatbestände zur Datenverarbeitung bleiben erhalten. Jedoch werden erstere konkreter und strenger umgesetzt. Zudem ist die Verarbeitung sensibler Daten weiterhin an bestimmte Voraussetzungen geknüpft: so existieren für die Verarbeitung dieser spezielle, strengere Erlaubnistatbestände. Liegen diese nicht vor, muss eine explizite Einwilligung des Betroffenen erfolgen. Auch der Umgang mit personenbezogenen Daten bleibt nach wie vor verboten, wenn nicht ein Erlaubnistatbestand oder eine Einwilligung nach der DSGVO besteht. Auch die Betroffenenrechte, wie Auskunft, Datenberichtigung und -löschung bleiben erhalten. Wie man sieht, ist nicht alles neu. Falls die Unternehmen also schon einen entsprechenden Datenschutz in Ihrem Unternehmen implementiert haben, müssen Sie diesen nun zielgerichtet erweitern und an den Änderungen der neuen Verordnung ausrichten.
Was bedeutet das für den Online Handel?
Dr. Judith Nink: Online-Händler werden Zeit in die Umstellung relevanter Prozesse investieren müssen, um den neuen datenschutzrechtlichen Anforderungen gerecht zu werden. Daher ist es besonders wichtig, rechtzeitig mit den Vorbereitungen zu beginnen. Für Shop-Betreiber werden neue Informations- und Dokumentationspflichten eingeführt. Die bisherige frewillige, wenn auch empfohlene Führung eines internen Verfahrensverzeichnisses in dem interne Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen, wird nunmehr verpflichtend, dafür entfällt das öffentliche Verfahrensverzeichnis (eine grobe und kurze Übersicht über sämtliche Verfahren). Ab Mai 2018 nennt es sich „Verzeichnis von Verarbeitungstätigkeiten“ und ist von jedem Shop-Betreiber zu führen.
Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereit zu stellen. Die Anforderungen an die Information und Belehrung der betroffenen Personen werden durch die DSGVO steigen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Bereits bestehende Datenschutzerklärungen müssen angepasst werden, um den Vorgaben der DSGVO zu entsprechen.
Lesen Sie mehr zur EU-DSGVO & E-Commerce in unserem E-Book.
Wie sehen die Konsequenzen für den Online Handel bei Verstößen aus?
Dr. Judith Nink: Online-Händler müssen Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Diese Geldbußen können die Datenschutz-Aufsichtsbehörden festsetzen, wenn Online-Händler bis zum 25.05.2018 keine oder nur unzureichende Änderungen nach der DSGVO umgesetzt haben. Möglich sind beispielsweise auch Abmahnungen von Wettbewerbern, Verbraucherschutzorganisationen und Verbänden oder Beschwerden von Betroffenen bei der Aufsichtsbehörde.
Im September 2017 hatten branchenübergreifend erst 13 Prozent der Organisationen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen haben. Warum sind die Unternehmen hier noch so zurückhaltend?
Dr. Judith Nink: Offensichtlich sind die Unternehmen mit Investitionen noch sehr verhalten. Schließlich werden Datenschutzbestimmungen immer noch als Kostenfaktor wahrgenommen. Solange der Ernstfall nicht eintritt, ist die Relevanz eher theoretischer Natur und CIOs sowie Datenschutzbeauftragte haben es mitunter schwer, das Management von Investitionen zu überzeugen – sie konkurrieren dabei mit innovativen, gewinnversprechenden Technologien wie künstlicher Intelligenz, Blockchain oder dem Internet der Dinge. Die abwartende Haltung vieler Unternehmen ist jedoch leichtsinnig, da Prüfungen durch Datenschutzbehörden zu erwarten und bereits angekündigt sind. Das abwartende Verhalten der Unternehmen kann erhebliche finanzielle Auswirkungen haben aber auch zu Imageproblemen führen.
Lassen sich Personalisierung der User Experience und Datenschutzgrundverordnung vereinbaren?
Dr. Judith Nink: Personenbezogene Besucherdaten dürfen – wie schon bisher – ausschließlich mit einer gesetzlichen Erlaubnis oder einer vorherigen Einwilligung erhoben sowie weiterverwendet werden. Daher ist es auch in Bezug auf die Investition in eine Personalisierungssoftware sehr wichtig, dass diese datenschutzkonform ausgestaltet ist und dem Grundsatz Privacy by Default entsprechen kann. Darüber hinaus haben die die betroffenen Personen das Recht ihre Daten in einem gängigen und maschinenlesbaren Format zu erhalten.
- Datenschutzerklärung anpassen- Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten darlegen.
- Einwilligungserklärungen (z.B. bei Newsletter Versand) noch einmal auf Transparenz und Wirksamkeit überprüfen sowie eine einfache Widerspruchsmöglichkeit ermöglichen.
- Besondere Rechtsvorschriften für Datenverarbeitung von Minderjährigendaten einhalten und gegebenenfalls geeignete Altersverifikationssysteme einrichten. Prüfen, ob bei Datenpannen 72 Stunden Frist eingehalten werden kann.
- Verarbeitungsverzeichnis erarbeiten oder aktualisieren und sicherstellen, dass alle Datenschutzverarbeitungsprozesse erfasst werden. Informationspflichten gegenüber den Betroffenen umsetzen und auf weitere Betroffenenrechte (Datenportabilität, Einschränkung der Verarbeitung) einrichten.
Dr. Judith Nink: EU-DSGVO ist die Abkürzung der neuen EU-Datenschutz-Grundverordnung. Die internationale Bezeichnung hierfür lautet General Data Protection Regulation – kurz GDPR. Nachdem die Verordnung 2016 verabschiedet worden ist, tritt dieses Jahr die Anwendung der Verordnung in Kraft. Unternehmen und öffentliche Stellen hatten somit knapp 2 Jahre Zeit, sich mit den Regelungen vertraut zu machen. Am 25. Mai 2018 müssen Sie alle entsprechenden Maßnahmen zur Einhaltung der Regularien der GDPR umgesetzt haben – sonst kommen verstärkte Sanktionen auf Sie zu.
Welche Länder betrifft die neue Grundverordnung?
Dr. Judith Nink: Die EU-Datenschutz-Grundverordnung betrifft nicht nur die 31 Staaten innerhalb des EWR (EU und EFTA), sondern muss weltweit von vielen Unternehmen umgesetzt werden. Bedingt durch die Globalisierung und zunehmende Vernetzung, greifen heutzutage auch Unternehmen mit Sitz außerhalb des EWR auf personenbezogene Daten von EU-Bürgern zu. Da der Schutz eben dieser Bürger im Fokus der Verordnung steht, müssen auch diese Unternehmen den Anforderungen der neuen Grundverordnung im Falle der Verarbeitung personenbezogener Daten von EWR Bürgern gerecht werden. Dies ist zudem eine der wichtigsten Änderungen im Vergleich zum Bundesdatenschutzgesetz (BDSG), die mit der Anwendung der DSGVO ab dem 25. Mai 2018 kommt.
Welche gravierenden Änderungen kommen durch die DSGVO auf Unternehmen zu?
Dr. Judith Nink: Durch die DSGVO sind Unternehmen vor allem verpflichtet, Daten- bzw. Informationsprozesse zu dokumentieren bzw. diese nachweisbar zu machen. Um diese Aufgabe zu bewerkstelligen, müssen Unternehmen ihre laufenden Prozesse natürlich zunächst durchleuchten und darauf aufbauend Änderungen umsetzen. Dies ist zeitintensiv und setzt zudem eine Kenntnis der Materie voraus: Die Einhaltung der DSGVO ist daher vor allem für KMU herausfordernd.
Dr. Judith Nink ist Expertin für die neue Datenschutzgrundverordnung der EU und Dozentin an der Düsseldorfer Akademie für Marketing und Kommunikation. Sie promovierte 2009 an der Georg-August-Universität Göttingen und ist seit 2016 Datenschutzbeauftragte der odoscope GmbH.
Was sind die größten Veränderungen, die mit der neuen Verordnung Anwendung finden?
Dr. Judith Nink: Die EU-Datenschutz-Grundverordnung ist sehr umfangreich und detailliert – sie enthält 11 Kapitel mit insgesamt 99 Artikeln und beinhaltet neben den Rechten und Sanktionen auch Vorgaben zur Umsetzung. So besitzen betroffene Personen unter anderem das Recht, alle einem Unternehmen zur Verfügung gestellten, personenbezogenen Daten in Form einer Kopie einzufordern. Daher sind die Unternehmen in der Pflicht, Instrumente und Prozesse zu etablieren, die die Einhaltung dieser Rechte ermöglichen. Auch die Datensicherheit an sich ist von der GDPR betroffen. Vorhandene IT-Standards und Möglichkeiten zur Pseudonymisierung sowie Verschlüsselung sind – abhängig von Risiken und Eintrittswahrscheinlichkeit – von Unternehmen, die personenbezogene Daten verarbeiten, anzuwenden. Deutlich umfangreicher und präziser sind auch die Informationspflichten ausgestalten, die Unternehmen zum Beispiel im Rahmen von Datenschutzerklärungen gegenüber ihren Nutzern haben. Unternehmen müssen hier deutlich mehr Aufklärungsarbeit leisten, um die betroffenen Personen transparent über die Datenverarbeitung zu informieren.
Was bleibt gleich?
Dr. Judith Nink: Die allgemeinen Datenschutzprinzipien, die bereits aus dem BDSG bekannt sind, sowie die meisten Erlaubnistatbestände zur Datenverarbeitung bleiben erhalten. Jedoch werden erstere konkreter und strenger umgesetzt. Zudem ist die Verarbeitung sensibler Daten weiterhin an bestimmte Voraussetzungen geknüpft: so existieren für die Verarbeitung dieser spezielle, strengere Erlaubnistatbestände. Liegen diese nicht vor, muss eine explizite Einwilligung des Betroffenen erfolgen. Auch der Umgang mit personenbezogenen Daten bleibt nach wie vor verboten, wenn nicht ein Erlaubnistatbestand oder eine Einwilligung nach der DSGVO besteht. Auch die Betroffenenrechte, wie Auskunft, Datenberichtigung und -löschung bleiben erhalten. Wie man sieht, ist nicht alles neu. Falls die Unternehmen also schon einen entsprechenden Datenschutz in Ihrem Unternehmen implementiert haben, müssen Sie diesen nun zielgerichtet erweitern und an den Änderungen der neuen Verordnung ausrichten.
Was bedeutet das für den Online Handel?
Dr. Judith Nink: Online-Händler werden Zeit in die Umstellung relevanter Prozesse investieren müssen, um den neuen datenschutzrechtlichen Anforderungen gerecht zu werden. Daher ist es besonders wichtig, rechtzeitig mit den Vorbereitungen zu beginnen. Für Shop-Betreiber werden neue Informations- und Dokumentationspflichten eingeführt. Die bisherige frewillige, wenn auch empfohlene Führung eines internen Verfahrensverzeichnisses in dem interne Prozesse bei der Verarbeitung personenbezogener Daten dokumentiert werden müssen, wird nunmehr verpflichtend, dafür entfällt das öffentliche Verfahrensverzeichnis (eine grobe und kurze Übersicht über sämtliche Verfahren). Ab Mai 2018 nennt es sich „Verzeichnis von Verarbeitungstätigkeiten“ und ist von jedem Shop-Betreiber zu führen.
Online-Händler sind verpflichtet, eine Datenschutzerklärung auf ihrer Webseite bereit zu stellen. Die Anforderungen an die Information und Belehrung der betroffenen Personen werden durch die DSGVO steigen. Dabei ist darauf zu achten, dass die technischen Erläuterungen präzise und zugleich verständlich sein müssen. Bereits bestehende Datenschutzerklärungen müssen angepasst werden, um den Vorgaben der DSGVO zu entsprechen.
Lesen Sie mehr zur EU-DSGVO & E-Commerce in unserem E-Book.
Wie sehen die Konsequenzen für den Online Handel bei Verstößen aus?
Dr. Judith Nink: Online-Händler müssen Datenschutzverstöße, die die Rechte und Freiheiten der Betroffenen beeinträchtigen könnten, innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Zu der Meldung gehören eine konkrete Beschreibung der Datenpanne (z.B. Hackerangriff oder Datendiebstahl), die Abschätzung etwaiger Folgen, die Nennung der Kontaktdaten des Datenschutzbeauftragten und die Information, welche Maßnahmen bereits ergriffen wurden. Diese Geldbußen können die Datenschutz-Aufsichtsbehörden festsetzen, wenn Online-Händler bis zum 25.05.2018 keine oder nur unzureichende Änderungen nach der DSGVO umgesetzt haben. Möglich sind beispielsweise auch Abmahnungen von Wettbewerbern, Verbraucherschutzorganisationen und Verbänden oder Beschwerden von Betroffenen bei der Aufsichtsbehörde.
Im September 2017 hatten branchenübergreifend erst 13 Prozent der Organisationen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen haben. Warum sind die Unternehmen hier noch so zurückhaltend?
Dr. Judith Nink: Offensichtlich sind die Unternehmen mit Investitionen noch sehr verhalten. Schließlich werden Datenschutzbestimmungen immer noch als Kostenfaktor wahrgenommen. Solange der Ernstfall nicht eintritt, ist die Relevanz eher theoretischer Natur und CIOs sowie Datenschutzbeauftragte haben es mitunter schwer, das Management von Investitionen zu überzeugen – sie konkurrieren dabei mit innovativen, gewinnversprechenden Technologien wie künstlicher Intelligenz, Blockchain oder dem Internet der Dinge. Die abwartende Haltung vieler Unternehmen ist jedoch leichtsinnig, da Prüfungen durch Datenschutzbehörden zu erwarten und bereits angekündigt sind. Das abwartende Verhalten der Unternehmen kann erhebliche finanzielle Auswirkungen haben aber auch zu Imageproblemen führen.
Lassen sich Personalisierung der User Experience und Datenschutzgrundverordnung vereinbaren?
Dr. Judith Nink: Personenbezogene Besucherdaten dürfen – wie schon bisher – ausschließlich mit einer gesetzlichen Erlaubnis oder einer vorherigen Einwilligung erhoben sowie weiterverwendet werden. Daher ist es auch in Bezug auf die Investition in eine Personalisierungssoftware sehr wichtig, dass diese datenschutzkonform ausgestaltet ist und dem Grundsatz Privacy by Default entsprechen kann. Darüber hinaus haben die die betroffenen Personen das Recht ihre Daten in einem gängigen und maschinenlesbaren Format zu erhalten.
Checkliste für Online Händler:
- Datenschutzerklärung anpassen- Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten darlegen.
- Einwilligungserklärungen (z.B. bei Newsletter Versand) noch einmal auf Transparenz und Wirksamkeit überprüfen sowie eine einfache Widerspruchsmöglichkeit ermöglichen.
- Besondere Rechtsvorschriften für Datenverarbeitung von Minderjährigendaten einhalten und gegebenenfalls geeignete Altersverifikationssysteme einrichten. Prüfen, ob bei Datenpannen 72 Stunden Frist eingehalten werden kann.
- Verarbeitungsverzeichnis erarbeiten oder aktualisieren und sicherstellen, dass alle Datenschutzverarbeitungsprozesse erfasst werden. Informationspflichten gegenüber den Betroffenen umsetzen und auf weitere Betroffenenrechte (Datenportabilität, Einschränkung der Verarbeitung) einrichten.