DSGVO – Neue Datenschutzgrundverordnung ab Mai 2018

25.04.2018 von Aylin Chaaban

Bedeutung der DSGVO für Onlineshops und Webseiten

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Damit werden die Regelungen zur Verarbeitung personenbezogener Daten seitens Unternehmen und Behörden nun europaweit vereinheitlicht. Nachfolgend erhalten Sie Informationen zu folgenden DSGVO-Themengebieten im Bezug auf Onlineshops und Webseiten:

Personenbezogene Daten

Unter personenbezogene Daten fällt alles, was eine Person in irgendeiner Weise (auch indirekt) identifizieren könnte. Dazu gehören Informationen über die physische, physiologische, genetische, mentale, ökonomische, kulturelle oder soziale Identität einer Person. Im Klartext heißt das zum Beispiel: der Name, die Telefonnummer, die E-Mail-Adresse, Fotos, Informationen zum Standort und Finanzdaten. Ein Großteil dieser Daten findet sich in der Regel in Profilen wieder, ob im E-Commerce oder in Blogs, Foren oder auch sozialen Netzwerken. Darüber hinaus sind auch Cookie-Daten und IP-Adressen betroffen.

Bedeutung für Onlinehändler

Betroffen von der DSGVO sind nicht nur Onlinehändler, sondern alle Unternehmen, die einen Sitz in Europa haben oder mit europäischen Einwohnern im Datenaustausch stehen. Die neue Datenschutzgrundverordnung bedeutet also nicht nur für Magento-Nutzer oder die gesamte Onlinehandelbranche eine Veränderung, sondern für so gut wie jedes Unternehmen, welches sich online bewegt und dort im Kundenkontakt/-austausch steht.

Strafe bei Nichteinhaltung

Ab dem 25. Mai 2018 können Unternehmen bei Nichteinhaltung der geltenden Vorgaben bestraft werden. Die Geldstrafen können bis zu 20 Millionen Euro hoch sein oder bis zu 4% des weltweiten Jahresumsatzes entsprechen. Die Entscheidung wird davon abhängig sein, welcher Betrag höher ist.

Magento – DSGVO-konform?

Bisher ist Magento noch nicht DSGVO-konform. Die Magento Inc. arbeitet jedoch momentan daran, das System auf den neuesten Stand zu bringen. Die finalen Änderungen dürften die Magento-Nutzer voraussichtlich um den Zeitraum herum erwarten, wenn die DSGVO in Kraft tritt. Magento legt jedoch „nur“ den Grundstein zur Einhaltung der neuen DSGVO – und das auf technischer Seite. Die Shopbetreiber werden also keineswegs aus der Verantwortung genommen. Drittanbieter und Dienstleister, die mit Magento-Produkten arbeiten, müssen eigenständig angesprochen und auf die Einhaltung der DSGVO überprüft werden. Der Kunde (in diesem Fall der Shopbetreiber) muss sich zu jedem Zeitpunkt sicher sein, wo die Kundendaten aus dem Magento-Onlineshop gespeichert werden.

DSGVO-Zertifizierung

Es gibt bisher leider kein DSGVO-Zertifikat, welches die Konformität bestätigt. Zur Überprüfung bzw. Einhaltung kann Magento nicht von Shopbetreibern hinzugezogen werden, da das Unternehmen keine Rechtsberatung anbietet. Es gilt durch eigene Juristen sicherzustellen, dass die Datenschutzgrundverordnung eingehalten wird.

Datenschutzkonforme Einwilligungen

Viele Magento-Betreiber nutzen Services wie Newsletter, um Kunden über neue Produkte, Highlights und Aktionen zu informieren. Im Hinblick auf die DSGVO sollten diese Einwilligungen unbedingt noch einmal auf Richtigkeit und Rechtskräftigkeit überprüft werden. Andernfalls laufen Unternehmen Gefahr, schon an diesem Schritt mit Abmahnungen und Strafen rechnen zu müssen. Die Dokumentation über die Einwilligung des Nutzers liegt ebenfalls in der Pflicht der Unternehmen.

Löschprozess

Hinsichtlich des Löschprozesses von Daten kommen ebenfalls neue Herausforderungen auf die Shopbetreiber hinzu. Der Kunde (hier: der Onlineshopkunde) kann nicht nur jederzeit Informationen über die Daten einholen, die über ihn gespeichert werden – diese Daten dürfen nur so lange gespeichert werden, wie ein tatsächlicher Bedarf besteht. Dieser tatsächliche Bedarf ist beispielsweise zurückzuführen auf die Gewährleistung oder Garantie. Innerhalb dieser Frist haben der Onlineshopbetreiber wie Onlineshopkunde beide ein Interesse daran, dass die Kundendaten gespeichert werden, falls es zu einem Garantie- oder Gewährleistungsfall kommt. Danach hat das Unternehmen die Anforderung, die Kundendaten zu löschen, dabei aber die gesetzlichen Fristen (etwa Aufbewahrungsfristen von Rechnungen) einzuhalten.

Meldepflicht

Onlinehändler müssen nach der neuen DSGVO Verstöße gegen die Datensicherheit innerhalb von 72 Stunden nach Bekanntmachung bei der zuständigen Aufsichtsbehörde melden. In dieser Meldung muss eine konkrete Beschreibung des Falls, die Abschätzung eventueller Folgen, Kontaktmöglichkeiten zum Datenschutzbeauftragten des Unternehmens sowie Informationen zu bereits ergriffenen Maßnahmen enthalten. Die Prozesse innerhalb von Unternehmen müssen also auf diese schnelle Benachrichtigung und Ergreifung von Maßnahmen angepasst werden.

Bedeutung für SEM

Mit der neuen DSGVO kommen nicht nur für Magento, Betreiber anderer Shopsysteme und alle Unternehmen, die sich online bewegen und dort mit ihren Kunden kommunizieren, Änderungen zu. Auch für das Online Marketing bedeutet die Neuerung ab Mai 2018 jede Menge Bewegung. Data Driven Marketing wird deutlich erschwert und vor große Herausforderungen gestellt. Kunden daran zu erinnern, dass noch Einkäufe in ihrem Warenkorb liegen, Targeting-Maßnahmen, welche ergriffen werden, um Nutzern Inhalte rund um bestimmte Interessen auszuspielen und vieles mehr sind davon betroffen.

Durch die DSGVO liegt die Vermutung nahe, dass alt bewährte Kanäle wie die Suchmaschinenoptimierung und die Suchmaschinenwerbung wieder an Bedeutung gewinnen werden – obwohl diese, wie es in junger Vergangenheit für einige Marketer schien, von neuesten Big Data- und Data Driven Marketing-Kanälen etwas an Bedeutung verloren hatten. Daten zu “sammeln” wird nicht mehr so einfach sein wie in der jetzigen, durch den Staat unregulierten Situation. SEO und SEA werden also wieder – und das völlig zurecht – zu den Kanälen der Wahl, wenn es um die Akquise von Neukunden und die Aufstellung im Internet geht. Der Vorteil des Suchmaschinenmarketings liegt dabei auf der Hand: Es werden ausschließlich anonymisierte Daten gesammelt, die es nicht zulassen, eine Person direkt oder indirekt zu identifizieren.

Bei diesem Beitrag handelt es sich um keine Rechtsberatung oder rechtliche Empfehlung.

Über den/die Autor/in:
Aylin Chaaban
Aylin Chaaban