Regimewechsel im Datenschutz | A-COMMERCE
Schließen

Du möchtest einen kostenlosen Ersttermin vereinbaren?

Daniel Poinstingl ist dein richtiger Ansprechpartner und freut sich
auf deine Kontaktaufnahme:

daniel@a-commerce.at
+43 676 307 79 78

Schließen

Du hast Fragen zu unseren Events und möchtest dir ein Ticket sichern?

Susanne Hüttner ist deine richtige Ansprechpartnerin und freut sich auf deine Kontaktaufnahme:

events@a-commerce.at
+43 680 328 28 50

Schließen

Du hast Fragen rund um die A-COMMERCE Partnerschaft?

Susanne Hüttner ist deine richtige Ansprechpartnerin und freut sich auf deine Kontaktaufnahme:

susanne@a-commerce.at
+43 680 328 28 50

Schließen

Du hast Fragen zur A-COMMERCE Medienpartnerschaft?

Elisabeth ist deine richtige Ansprechpartnerin und freut sich auf deine Kontaktaufnahme:

elisabeth@a-commerce.at
+43 676 755 23 47

Schließen

Du suchst qualifizierte Mitarbeiter für dein Unternehmen und möchtest deine Job-Anzeige auf unserer Website veröffentlichen?

Daniel Poinstingl ist dein richtiger Ansprechpartner und freut sich
auf deine Kontaktaufnahme:

daniel@a-commerce.at
+43 676 307 79 78

Viele Händler haben bereits davon gehört, aber erst wenige haben sich damit wirklich beschäftigt: Am 25.5.2018 tritt die Datenschutz-Grundverordnung („DSGVO“) in Kraft, die das bestehende Datenschutzgesetz ablöst. Neben der Ausweitung der Betroffenenrechte werden insbesondere die Pflichten der Verantwortlichen und Auftragsverarbeiter umfangreich erweitert. Aufgrund des Umfangs und Detaillierungsgrads der Bestimmungen sollten Online-Händler daher spätestens jetzt mit der internen Umsetzung beginnen. Dabei reicht es nicht, sich bloß auf Dritte, wie etwaige Dienstleister, zu verlassen:

 

Selbstverantwortung statt Meldung oder Genehmigung

Im derzeitigen System ist für jede Datenanwendung eine gesonderte Meldung und für jede Datenweitergabe an Empfänger in unsicheren Drittstaaten eine Genehmigung der Datenschutzbehörde vorgesehen. Diese Pflichten entfallen ab 2018. Stattdessen ist eine unternehmensinterne, detaillierte Dokumentation aller Verarbeitungsvorgänge zu führen (Art 30 ff DSGVO). Das ist jedenfalls eine Erleichterung und gleichzeitig wichtige Voraussetzung zur Einhaltung der weiteren Pflichten:

 

Risikoabschätzung und Meldung von Datenschutzverstößen

Die DSGVO sieht eine verpflichtende Datenschutz-Folgenabschätzung vor, sofern eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat (Art 35 ff). Die Prüfung muss laufend aktualisiert und dokumentiert werden und eine systematische Beschreibung der Verarbeitung und Zwecke, sowie insbesondere eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenanwendung enthalten. Zudem sind die dabei aufgedeckten Risiken zu bewerten und geeignete Abwehrmaßnahmen zu etablieren.

Eine saubere Dokumentation aller Anwendungen inklusive der erforderlichen Folgenabschätzung ist somit unverzichtbare Grundvoraussetzung für die Einhaltung der in Art 33 ff DSGVO statuierten Meldepflicht bei Datenschutzverstößen: So ist bei einer Verletzung der Sicherheit, die zur Vernichtung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugten Zugang zu personenbezogenen Daten führt, unverzüglich (spätestens binnen 72 Stunden) eine Meldung an die Datenschutzbehörde – und bei hohem Risiko auch direkt an die Betroffenen – zu erstatten. Dies wird in der Praxis den größten Zeit- und Ressourcenaufwand für die Unternehmen darstellen und ist ohne entsprechende Vorbereitung faktisch gar nicht möglich.

 

Rechtsfolgen

Während die bisherigen Verwaltungsstrafen mit maximal EUR 25.000 gedeckelt waren, sieht die DSGVO nunmehr ein erhöhtes Strafmaß vor (Art 83): So sind Verstöße gegen die mannigfachen Verpflichtungen der Verantwortlichen und Auftragsdatenverarbeiter mit einer Strafe bis zu (i) EUR 10 Mio bzw EUR 20 Mio oder – je nachdem welcher Wert höher ist – (ii) 2% bzw 4% des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahrs bedroht.

 

Keine Abwälzung auf IT-Dienstleister

Online-Händler müssen in der Praxis daher genau prüfen, ob sie sich selbst sowie etwaige eingesetzte Dienstleister an die Vorgaben der DSGVO halten. Vorgelagert muss daher eine sorgfältige Auswahl der Auftragsverarbeiter erfolgen: Besteht ein langjähriges Vertrags- und Vertrauensverhältnis zwischen den beiden Parteien, so wird der Online-Händler wohl auch weiterhin auf seinen zuverlässigen Auftragsverarbeiter vertrauen können. In Zukunft wird die Tendenz jedoch stark in Richtung zertifizierter Auftragsverarbeiter gehen. Dies betrifft wohl vor allem Bereich, in denen ein neues Unternehmen als Vertragspartner ausgewählt wird, das bisher noch nicht für den jeweils Verantwortlichen tätig war.

Jeder Auftragsverarbeiter ist darüber hinaus vertraglich so zu binden, dass er die wesentlichen Parameter der DSGVO tatsächlich einhält und der Verantwortliche dies ist auch nachweisbar kontrollieren kann. Die DSGVO sieht in Art 28 Abs 3 dafür einen verpflichtenden Mindestinhalt für derartige Vereinbarungen vor. Kommt es nun trotz sorgfältiger Auswahl und der passenden Überbindung aller Verpflichtungen zu einem Verstoß gegen die DSGVO durch den Auftragsverarbeiter, haftet dieser dem Betroffenen direkt für den verursachten Schaden. Dies freilich nur dann, wenn er speziell auferlegten Pflichten nicht nachgekommen ist oder rechtmäßig erteilte Anweisungen des Verantwortlichen (zB des Online-Händlers) nicht beachtet bzw diesen zuwiderhandelt. De facto kommt es gemäß Art 82 Abs 4 am Ende des Tages zu einer solidarischen Haftung mit dem Verantwortlichen. Das bedeutet, dass auch der Online-Händler für etwaige Fehler und Versäumnisse der von ihm ausgewählten Dienstleister haftet.

 

Fazit

Sowohl wegen des doch signifikant geänderten Regimes, als auch wegen der schärferen Strafdrohung kommt der datenschutzrechtlichen Compliance nunmehr auch für Online-Händler eine wesentlich größere Bedeutung zu. Gerade in diesem Bereich finden umfassende Datenverarbeitungen, Profiling und Trackingmaßnahmen statt, die im Detail mit den Erfordernissen der DSGVO überprüft werden müssen. Dafür ist es erforderlich, die bestehenden Prozesse kritisch zu hinterfragen, Versäumnisse aus der Vergangenheit zu beheben, bestehende Abläufe an das neue Regime anzupassen und die zusätzlich notwendigen zu implementieren. Dies betrifft insbesondere das Etablieren einer umfangreichen Datenschutz-Folgenabschätzung sowie die Einhaltung der Dokumentations- und Informationspflichten. Daneben ist eine entsprechende Prüfung der eingesetzten Dienstleister durch die Verantwortlichen erforderlich, um Risiken über diese Tangente ebenfalls zu minimieren. Online-Händler müssen hierfür entsprechend rasch Ressourcen schaffen sowie geeignetes rechtliches und technisches Know-How aufbauen.

 

Andreas Seling ist auf E-Commerce, Wettbewerbsrecht und Social Media spezialisierter Rechtsanwalt bei DORDA Rechtsanwälte GmbH und Mitglied im A-COMMERCEm Beirat. andreas.seling@dorda.at

Nino Tlapak ist Rechtsanwaltsanwärter bei DORDA Rechtsanwälte GmbH und insbesondere auf Datenschutzrecht spezialisiert. nino.tlapak@dorda.at