Home
Intern
Global
Kontakt
Ab dem 25. Mai 2018 findet die DSGVO vollumfänglich Anwendung. In den Medien wird regelmäßig über sog. DSGVO-Absurditäten berichtet, welche die fehlerhafte Auslegung der Vorschriften der Verordnung betreffen. Gegenwärtig sollte niemand überrascht sein, dass praktisch jedes Unternehmen personenbezogene Daten verarbeitet und Verarbeitungsprozesse eine natürliche Folge der Tätigkeitsausübung sind. Insbesondere betrifft dies die Tätigkeit im Internet, darunter E-Commerce. In diesem Artikel gehen wir auf die grundlegenden Änderungen und Risiken für die Tätigkeit von Onlineshops ein, die mit der DSGVO verbunden sind.
Der Internetverkauf zählt zu den populärsten Handels- und Verbrauchergeschäften. Selbstverständlich hängt deren Skala von der Art des Sortiments und von dem Charakter der ausgeübten Tätigkeit ab, jedoch verzeichnen die Onlineshops mancher Branchen mit ihrem Umsatz eine deutliche Überlegenheit gegenüber stationären Geschäften. Die intensive Entwicklung von E-Commerce zwang den Gesetzgeber, rechtliche Regelungen zu schaffen. Derzeit wird der Internetverkauf hauptsächlich im Gesetz über die Erbringung von Dienstleistungen auf elektronischem Wege und in einer Reihe anderer Gesetze, darunter im Gesetz über die Verbraucherrechte, geregelt. Mit diesen Gesetzen eng verbunden sind diejenigen DSGVO-Vorschriften, die die Pflichten des Eigentümers des Onlineshops als Verantwortlichen und die Rechte des Käufers im Bereich Verarbeitung personenbezogener Daten, die er überlassen hat, regeln.
Aus rechtlicher Sicht sind vor allem zwei Dokumente wichtig, die die Tätigkeit im Bereich E-Commerce regeln – die Ordnung des Onlineshops und die Datenschutzerklärung. Selbstverständlich sind andere Bezeichnungen dieser Dokumente auch zulässig, es ist aber wichtig, dass beide den gesetzlich vorgeschriebenen Inhalt ausweisen.
Die Ordnung des Onlineshops sollte typische Bestimmungen zum Kaufvertrag, wie Zahlungskonditionen, Lieferbedingungen, eine Widerrufsbelehrung oder Reklamationsbedingungen enthalten. Sämtliche Bestimmungen zum Kaufvertrag sind so zu formulieren, dass sie die Interessen und Rechte der Verbraucher berücksichtigen. Das Amt für Wettbewerbs- und Verbraucherschutz führt ein Register über unzulässige Vertragsklauseln.
In die Ordnung des Onlineshops sollten auch Bestimmungen über die Verarbeitung und den Schutz personenbezogener Daten aufgenommen werden. Diese sollten Informationen darüber enthalten, wie der Verantwortliche ermittelt wird und welche Rechtsgrundlagen zur Verarbeitung personenbezogener Daten vorliegen. Bei Onlineshops sind dies vor allem der Vertrag und das rechtlich begründete Interesse des Verantwortlichen an der Abwehr möglicher Ansprüche (eventuell eine Einwilligung, wenn der Onlineshop die Zustimmung erhalten hat, Informationen per E-Mail oder telefonisch mitzuteilen). Jedoch ist es wichtig, zu wissen, dass dieses Kapitel in der Ordnung des Onlineshops niemals eine umfassende Datenschutzerklärung ersetzen kann, die u.a. den Umfang der zu verarbeitenden Daten, die Empfänger der Daten oder auch die Belehrung über die Rechte, die ihnen zustehen, detailliert festlegen muss. Vor Erstellung der Datenschutzerklärung muss eingehend analysiert werden, auf welche Daten der Onlineshop zugreifen kann und wo genau sich diese Daten befinden.
Je nach den vom Onlineshop angebotenen Produkten und Dienstleistungen kann sich der Umfang der gesammelten Daten unterscheiden. Oft sind sich die Onlineshop-Eigentümer nicht bewusst, dass sie auf sog. sensible Daten Zugriff haben. Beispielsweise ist dies dann der Fall, wenn der Onlineshop medizinische Dienstleistungen anbietet, die es erfordern, dass der Kunde Informationen zu seinem Gesundheitszustand preisgibt. Neben der Pflicht des Onlineshop-Eigentümers, eine ausdrückliche Einwilligung in die Verarbeitung solcher Daten einzuholen (und in seiner Datenschutzerklärung die Tatsache der Verarbeitung ausdrücklich zu vermerken), muss er zusätzlich besondere Sicherheitsmaßnahmen einführen, die ihn und die betroffene Person vor möglicher Verletzung der Regeln für die Verarbeitung personenbezogener Daten von besonderem Wert, die besonders zu schützen sind, schützt.
Des Weiteren sind sich die Onlineshop-Eigentümer oftmals nicht bewusst, dass die ihnen überlassenen personenbezogenen Daten im Falle der Inanspruchnahme von Dienstleistungen externer Anbieter, z.B. im Bereich Hosting, nach außerhalb der Europäischen Union versandt werden können. Dies bedeutet nicht, dass die DSGVO-Vorschriften für solche Daten nicht gelten. Mehr noch, diese Information muss sich auch in der Datenschutzerklärung wiederfinden.
Ist sich der Onlineshop-Eigentümer nicht sicher, was genau mit den Daten passiert, auf die er zugreifen kann, so ist es begründet, einen detaillierten organisatorischen und technischen Audit durchzuführen. Datenschutzexperten können die Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten durch das betreffende Unternehmen genau bestimmen und werden einen diesbezüglichen Bericht erstellen. Empfohlen wird auch die Lösung, die Dienstleistungen i.Z.m. der Implementierung der Datenschutzpolitik in Übereinstimmung mit der Datenschutz-Grundverordnung in Anspruch zu nehmen. Durch diese Implementierung können Onlineshops eine umfassende Dokumentation erhalten und technische Mittel anwenden, die auf erforderliche Maßnahmen zum Schutz personenbezogener Daten zugeschnitten sind.
Außer konkreten Inhalten, die in die Datenschutzerklärung aufzunehmen sind (präzisiert in Art. 13 DSGVO), müssen Onlineshops auch für die Platzierung, den Stil und die Gestalt ihrer Datenschutzerklärung sorgen. Vor allem muss der Kunde immer leichten Zugang zu Informationen über seine personenbezogenen Daten haben. Es lohnt sich also, auf der Internetseite einen gut sichtbaren Reiter einzurichten, aus dem sich klar ergeben wird, dass mit dem Anklicken darauf Informationen über die Verfahren zur Verarbeitung personenbezogener Daten eingeholt werden können (von Bedeutung ist auch der Titel eines solchen Dokuments, z.B. „Schutz personenbezogener Daten”, „Verarbeitung personenbezogener Daten” oder „Privatsphäre”). Außerdem ist die Datenschutzerklärung in einer einfachen Sprache zu verfassen, ohne viele juristische Begriffe zu verwenden, die für den Verbraucher oft unverständlich sind. Nachdem der Kunde die Datenschutzerklärung zur Kenntnis genommen hat, muss er sich darüber sicher sein, dass die von ihm übergebenen Daten sicher verarbeitet werden. Werden unverständliche und komplizierte Begriffe verwendet, so können die Onlineshops wegen Verletzung eines der wichtigsten Grundsätze der DSGVO verklagt werden, und zwar des Grundsatzes der Transparenz. Transparenz bedeutet auch, dass das Visuelle bei der Erarbeitung der Datenschutzerklärung zu berücksichtigen ist. Es empfiehlt sich, auf Fließtext zu verzichten und stattdessen einzelne Absätze oder Aufzählungen zu verwenden, die vorstehend in einem allgemeinen „Inhaltsverzeichnis“ aufgeführt werden.
Mit E-Commerce ist auch die Marketingtätigkeit verbunden. Es ist schwer vorstellbar, dass die Onlineshops keine Kundenakquirierung betreiben. Selbstverständlich gehen solche Marketingmaßnahmen mit der Verarbeitung personenbezogener Daten einher. Vor allem ist zu beachten, dass die Daten des Kunden, die infolge eines abgeschlossenen Kaufvertrages eingeholt wurden, nicht automatisch dafür verwendet werden können, weitere Produkte zu bewerben, z.B. per E-Mail oder Telefon. Neben den Vorschriften der DSGVO finden in diesem Fall auch die Vorschriften polnischer Gesetze Anwendung (Gesetz über die Erbringung von Dienstleistungen auf elektronischem Wege und das Telekommunikationsgesetz) die die Pflicht auferlegen, Einwilligungen für die Vornahme von Marketingmaßnahmen einzuholen.
Wie bereits erwähnt, müssen Onlineshop-Eigentümer oft eine Zusammenarbeit mit externen Unternehmen aufnehmen, die z.B. Kurierleistungen oder Dienstleistungen im Bereich Hosting oder Onlinezahlung erbringen. In diesen Fällen können ihnen personenbezogene Daten überlassen werden. Das externe Unternehmen muss nicht immer ein Auftragsverarbeiter sein, mit dem ein Auftragsverarbeitungsvertrag zu schließen ist, der zur Verarbeitung personenbezogener Daten erforderlich ist. Oft kann dieses Unternehmen ein gesonderter Verantwortlicher oder unser Mitverantwortlicher sein. Die diesbezüglichen Richtlinien der Aufsichtsbehörden legen nicht endgültig fest, welche Rolle die einzelnen Unternehmen bei der Verarbeitung personenbezogener Daten spielen. Erst durch eine detaillierte Analyse und ein Audit der Verbindungen zwischen konkreten Unternehmen wird der Umfang von deren Haftung bei der Verarbeitung bewertet werden können.
E-Commerce ist untrennbar mit der Verarbeitung personenbezogener Daten verbunden. Jeder Onlineshop sollte seine Verfahren eingehend analysieren, und zwar u.a. im Hinblick auf die ihm vorliegende Dokumentation (intern und extern), den Umfang der verarbeiteten Daten und die angewandten Sicherheitsmaßnahmen.
Sind Sie an den Einzelheiten zu diesem Thema oder an einem rechtlich-technologischen Audit interessiert, so stehen Ihnen die Experten von Rödl & Partner aus den Büros in Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau gerne zur Verfügung.
Jarosław Kamiński
Attorney at law (Polen)
Associate Partner
Anfrage senden
Profil
