Was bringt der neue EU-Datenschutz?
Ende Mai tritt die neue Datenschutz-Grundverordnung in der EU (EU-DSGVO) in Kraft. Auch ein Grossteil der Schweizer Onlinehändler ist davon betroffen. Denn die schärferen Regelungen der Verordnung gelten bereits, wenn das Verhalten von EU-Bürgern mittels Tracking ausgewertet wird.
Damit verändert sich der Umgang mit persönlichen Daten im Netz grundlegend. Shopbetreiber sollten also keine Zeit verschenken und sich schnell auf die neuen EU-Regelungen einstellen.
Datenauswertung stützt den E-Commerce
Die Auswertung von Kundendaten ist ein wichtiger Faktor für erfolgreichen Onlinehandel. Das reicht von Produktvorschlägen über personalisierte Shopansichten bis hin zu individuellem Newsletter-Marketing. Ohne umfassende Erhebungen zum Einkaufsverhalten sind diese Instrumente nicht nutzbar. Will ein Händler darauf im EU-Raum nicht verzichten müssen, führt an den Anforderungen der EU-DSGVO kein Weg vorbei.
Welches sind die wichtigsten Neuerungen für Händler?
Artikel 7: Einwilligung
Jede Einwilligung zur Verarbeitung von Daten muss freiwillig und nach Information erfolgen und nachgewiesen werden. Dies kann eine erneute Einwilligung von bestehenden Kunden erfordern, sofern ein Nachweis nicht vorliegt.
Artikel 13-15: Informations- und Auskunftspflicht
Händler sind verpflichtet, Kunden transparent über die erhobenen Daten zu informieren, selbst wenn diese Daten nicht sensibel sind. Über Profiling und automatische Entscheidungen in Einzelfällen muss ebenfalls informiert werden.
Artikel 17: Recht auf Löschung
Auf Antrag des Betroffenen haben Unternehmen und Auftragsverarbeiter die Pflicht, persönliche Daten innerhalb von 30 Tagen restlos zu löschen, sofern sie nicht notwendig sind.
Artikel 20: Recht auf Datenübertragbarkeit
Sollten elektronische Dienstleistungen angeboten werden, sind die Anbieter verpflichtet, die Daten für einen Anbieterwechsel ohne Umwege bereitzustellen, etwa durch Download vom alten und Upload beim neuen Anbieter.
Artikel 25: Umsetzung des Datenschutzes durch Technikgestaltung (privacy by design) und datenschutzfreundliche Voreinstellungen (privacy by default)
Sämtliche Hard- und Software muss den Anforderungen des Datenschutzes entsprechend konzipiert werden. Für Nutzer sollen die Grundeinstellungen so angelegt werden, dass eine Zustimmung zur Sammlung persönlicher Daten nicht der Standard ist. So sollte zum Beispiel ein Opt-Out (explizite Ablehnung der Datensammlung) durch ein Opt-In (bewusste Zustimmung) ersetzt werden.
Artikel 27: Benennung eines EU-Vertreters
hat ein Schweizer Unternehmen keine Niederlassung in der EU und verarbeitet Daten von EU-Bürgern, ist ein Vertreter zu bestimmen. Dieser EU-Vertreter fungiert als Ansprechpartner für die Aufsichtsbehörden.
Artikel 30: Dokumentationspflicht
Die Einhaltung der Verordnung muss lückenlos dokumentiert werden. Kann ein Verantwortlicher die Einhaltung nicht jederzeit nachweisen, drohen Sanktionen. Es müssen zum Beispiel die datenverarbeitenden Tätigkeiten in einem Verzeichnis zusammengestellt werden.
Artikel 33 f.: Meldepflichten
Verstösse gegen den Datenschutz, welche Folgen für die Betroffenen haben können, müssen innert 72 Stunden gemeldet werden. Die Meldung muss bei den Aufsichtsbehörden und in schweren Fällen auch bei den Betroffenen direkt erfolgen. Diese Regelung gilt nicht mehr nur für Controller, sondern auch für Verarbeiter.
Artikel 35 f.: Datenschutzfolgeabschätzung
Beim Profiling, also der Auswertung persönlicher Daten von Kunden, muss künftig eine Datenschutzfolgeabschätzung erstellt und mit der zuständigen EU-Aufsichtsbehörde abgestimmt werden. Darin sollen die Risiken der Verarbeitung der Daten analysiert und allenfalls Gegenmassnahmen festgelegt werden.
Artikel 37 ff.: Benennung eines Datenschutzbeauftragten
Werden persönliche Daten regelmässig verarbeitet und stellt diese Datenverarbeitung eine Kernaktivität des Unternehmens dar, ist ein Datenschutzbeauftragter zu benennen. Dieser kann intern oder extern beschäftigt sein.
Artikel 83 f.: Sanktionen
Bei Verstössen können Bussen bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro angeordnet werden. Auch eine Gewinnabschöpfung oder eine Beendigung des Verstosses können verlangt werden. Darüber hinaus sind Schadenersatzforderungen möglich.
Über die Anforderungen der EU-DSGVO an Schweizer Händler berichtete die Netzwoche.
Tagged Datenschutz, Gesetz, Grundverordnung, Regelung, EU-DSVGO, GDPR, onlinehandel, EU
