Seit dem 25. Mai ist die neue Datenschutz-Grundverordnung (DSGVO) geltendes Recht. Die EU-weite Verordnung betrifft so ziemlich jeden, der auf irgendeine Art und Weise Daten über Menschen im gewerblichen Sinne speichert oder verarbeitet. Sofort ist klar, dass insbesondere die E-Commerce-Branche davon in besonderem Maße betroffen ist.
Gerade für Onlineshop-Betreiber kann die Vielzahl der nun zu treffenden Maßnahmen schnell unübersichtlich werden. Zum Glück gibt es aber bereits erste Ratgeber, die die notwendigen Schritte übersichtlich und branchenspezifisch zusammenfassen, zum Beispiel ein eBook von lexoffice.
Die neue DSGVO – wann muss ich handeln?
Maßgeblich bei der DSGVO ist vor allem, dass sie keine bloße Richtlinie darstellt. Richtlinien werden auf EU-Ebene beschlossen und müssen später von den einzelnen Nationalstaaten selbst umgesetzt werden. Die DSGVO ist aber eine Verordnung, das heißt: Sie gilt ohne Einschränkungen und Schonfrist ab dem 25. Mai. Trotz dessen, dass im Vorfeld viel Panik gemacht wurde, blieb eine wirklich große Abmahnwelle bislang aus.
Dennoch gab und gibt es – was zu erwarten war – schon vor dem Inkrafttreten der Verordnung eine Vielzahl von Anwälten, die auf Abmahnverfahren und Datenschutz spezialisiert sind und nur darauf warten, die neue Verordnung rechtswirksam umzusetzen. So berichtete das Internetmagazin „heise“ bereits kurz nach dem 25. Mai von Unternehmen, die vor allem gegen Konkurrenten klagen und die Abmahnungen offenbar bereits lange vorbereitet hatten.
Für Unternehmer, die im Bereich E-Commerce tätig sind, ist also kein Zeitpunkt zu früh, um sich mit den Details der DSGVO auseinanderzusetzen und gegen eventuelle Abmahnungen abzusichern.
Knackpunkt Kundendaten
Das Hauptanliegen der DSGVO ist der Schutz von sogenannten personenbezogenen Daten, also solchen Informationen, die einem echten Menschen zuzuordnen sind. Das betrifft im Bereich E-Commerce so ziemlich alles, von offensichtlichen Daten wie Namen und Rechnungsanschriften bis zu gespeicherten Käufen. Onlineshops, die solche Kundendaten erheben und speichern, sind seit Inkrafttreten der DSGVO in der Informationspflicht, sowohl für sich selbst als auch für ihre Kunden.
Das bedeutet, dass sie alle ihre Kunden, von denen sie Daten speichern, zunächst darüber informieren und gegebenenfalls auch um deren ausdrückliche Zustimmung bitten müssen. Das führte bereits wenige Wochen nach dem 25. Mai für einige User zu einer regelrechten Flut an E-Mails, da sie von allen Unternehmen, bei denen sie in den vergangenen Jahren irgendwann einmal online eingekauft hatten, über deren aktualisierte Datenschutzrichtlinien aufgeklärt wurden.
In diesem Sinne hat die DSGVO eines ihrer wichtigsten Ziele bereits erreicht: Transparenz darüber, wer jemals unter welchen Bedingungen und aus welchen Gründen Daten gespeichert hat.
Auskunft, Widerspruch und Löschung
Die DSGVO geht aber über eine bloße Informationspflicht hinaus. Kunden, von denen Daten gespeichert wurden, haben neben dem Recht auf Auskunft auch die Möglichkeit, der Erhebung von Daten zu widersprechen oder ausdrücklich eine Löschung zu fordern („Recht auf Vergessenwerden“).
Die zwei letzteren Szenarien werden nur in Einzelfällen vorkommen, dennoch können sich Unternehmer im Bereich E-Commerce durch die DSGVO auf Mehrarbeit einstellen – unter Umständen bietet sich sogar die Anstellung eines Datenschutzbeauftragten oder die Beauftragung einer entsprechenden Agentur an.
