E-Commerce in Zeiten der EU-DSGVO
Schweizer E-Commerce-Anbieter im EU-Binnenmarkt haben neben den schon bisher erforderlichen Anpassungen an die schärferen EU-Verbraucherschutzbestimmungen künftig auch die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen.
Der E-Commerce-Report Schweiz 2017 hält fest, dass die digitale Transformation auch im E-Commerce erst am Anfang steht. Eine Erschöpfung des Wachstums dieses Vertriebskanals sei zurzeit nicht absehbar. Die Dynamik habe eher noch weiter zugenommen, weshalb für die kommenden fünf Jahre keine Trendwende erwartet werde.
Trotz dieser erfreulichen Wachstumsprognosen ist auch im Onlinehandel nicht alles Gold, was glänzt. So unterscheiden sich erfolgreiche Onlineanbieter von den auch in diesem Bereich existierenden traditionellen Anbietern vor allem durch ihre aktive Grundhaltung im Verkauf, bei dem sie sich in erster Linie auf Daten stützen und sich mit ihren Kunden und den Situationen, in denen Käufe ausgelöst werden, auseinandersetzen. Dies mit dem Ziel, stets Anknüpfungspunkte an latente Kundenbedürfnisse zu finden und ihr Angebot an Waren oder Dienstleistungen zu platzieren.
Dies kommt mir irgendwie bekannt vor: Neulich habe ich in einem Webshop ein Werbebanner bestellt und bei der Bestellungsabwicklung zusätzlich auch Kaffeetassen, Kugelschreiber, Sticker und weitere Werbematerialen mit hübsch appliziertem Logo vorgeschlagen erhalten. Längst gewöhnt haben wir uns auch an die Informationen in Onlineshops, welche anderen Produkte mit dem zu erwerbenden Produkt von anderen Kunden angeblich bestellt wurden oder was zum ins Auge gefassten Gasgrill idealerweise passt, von der Grillzange über die Zahnbürste bis zum Fitnessgerät für den übereifrigen Wurstkonsumenten.
Um diese Erfolgstaktik auch im EU-Raum weiterhin anwenden zu können, müssen auch Schweizer Onlineanbieter bald die Anforderungen der EU-DSGVO erfüllen: Die ab dem 25. Mai 2018 in Kraft tretenden neuen Datenschutzbestimmungen tragen der Digitalisierung Rechnung und werden den Umgang von Unternehmen mit Personendaten massgeblich verändern. Betroffen sind unter anderem auch Schweizer Unternehmen, die ihre Produkte oder Dienstleistungen an in der EU ansässigen Personen anbieten und/oder das Verhalten von in der EU ansässigen Personen tracken. Es gehen insbesondere folgende Neuerungen mit der EU-DSGVO einher:
Informations- und Auskunftspflicht (Art. 13-15 DSGVO): aktive Informationspflicht, auch bei nichtsensiblen Personendaten, Transparenz; Information über automatische Einzelfallentscheidungen und über Profiling.
Datenschutzfolgeabschätzung (Art. 35 f. DSGVO): Dem Onlinehandel ist die systematische und umfassende Bewertung persönlicher Aspekte bereits bestehender oder potenzieller Kunden eigen. Dies gilt als Profiling. Bei besonders datengefährdender Verarbeitung von personenbezogenen Daten, wie es das Profiling darstellt, muss daher zwingend eine Datenschutzfolgeabschätzung erstellt werden, um die damit einhergehenden Risiken zu analysieren und die zur Vermeidung dieser Risken erforderlichen Gegenmassnahmen festzulegen. Darüber hinaus ist diese Datenschutzfolgeabschätzung mit der zuständigen EU-Aufsichtsbehörde abzustimmen.
Umsetzung des Datenschutzes durch Technikgestaltung (privacy by design) und datenschutzfreundliche Voreinstellungen (privacy by default; Art. 25 DSGVO): IT-Hard- und Softwaresysteme sind unter Anwendung verschiedener Prinzipien (Minimize, Hide, Separate, Aggregate, Inform, Control, Enforce, Demonstrate etc.) datenschutzfreundlich zu gestalten, während die Nutzer solcher Systeme ihren Willen mit datenschutzfreundlichen Voreinstellungen wie beispielsweise stets erforderlichem Opting-In – bedachter äussern können, als dies durch den bisherigen Regelfall des Opting-Out der Fall war.
Dokumentationspflicht (Art. 30 DSGVO): Die Verantwortlichen müssen die Einhaltung des Gesetzes jederzeit nachweisen können. Fehlt der entsprechende Nachweis, weil eine Dokumentation fehlt oder lückenhaft ist, gilt dies als Rechtsverletzung, die im Sinne der DSGVO sanktioniert wird. So haben Unternehmen beispielsweise ein Verzeichnis der Datenverarbeitungstätigkeiten zu erstellen.
Meldepflichten (Art. 33 f. DSGVO): Datenschutzverstösse mit möglichen Folgen für Betroffene müssen den Aufsichtsbehörden innert 72 Stunden und bei schwerwiegenden Folgen auch den Betroffenen gemeldet werden. Diese Data Breach Notifications gelten nicht nur für Controller, sondern sind neu auch auf den Auftragsverarbeiter (Processor) anwendbar.
Sanktionen (Art. 83 f. DSGVO): Rechtsverletzungen können strenger als bisher bestraft werden, indem die Höhe der Bussen bis maximal 20 Millionen Euro oder 4 Prozent des weltweiten Gesamtumsatzes betragen wird. Zusätzlich können die Aufsichtsbehörden weitere Massnahmen gegen fehlbare Datenverarbeiter vorsehen, beispielsweise eine Gewinnabschöpfung oder Anordnungen zur Beendigung des sanktionierten Verstosses. Zusätzlich zu diesen Sanktionen drohen den Verantwortlichen oder deren Auftragsverarbeitern künftig Schadenersatzforderungen für materielle und neu auch für immaterielle Schäden (Art. 82 DSGVO).
Einwilligung (Art. 7 DSGVO): Die höheren Anforderungen an die Einwilligung in die Datenverarbeitung bestehen darin, dass diese freiwillig (ohne Nachteile bei Nichtzustimmung) sowie informiert und damit durch einen zureichend aufgeklärten Betroffenen erfolgen muss. Diese freiwillige und informierte Zustimmung muss nachgewiesen werden können, weshalb bereits erfolgte Einwilligungen nachzuholen sind, sollten sie per 25. Mai 2018 nicht nachweisbar sein.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Anbieter elektronischer Dienstleistungen müssen eine reibungslose Datenportabilität gewährleisten, um einen leichten Wechsel des Diensteanbieters ermöglichen zu können. Ein solcher Wechsel muss vom Anbieter direkt angeboten werden und – soweit technisch machbar – ohne Umweg mittels Down- und Upload der entsprechenden personenbezogenen Daten umsetzbar sein.
Recht auf Vergessenwerden (Art. 17 DSGVO): Der Betroffene erhält neu einen umfassenden Löschanspruch für personenbezogene Daten, sofern diese nicht mehr notwendig sind. Das verantwortliche Unternehmen (Controller) und dessen Auftragsverarbeiter (Processor) müssen diese Daten bei einem entsprechenden Begehren innert 30 Tagen löschen können.
Benennung eines EU-Vertreters (Art. 27 DSGVO): Ein solcher Unternehmensvertreter ist erforderlich, falls personenbezogene Daten aus der EU verarbeitet werden und das entsprechende Schweizer Unternehmen über keine Niederlassung in einem EU-Staat verfügt. Der Unternehmensvertreter gilt als Anlaufstelle für die EU-Aufsichtsbehörden und bietet eine faktische Zugriffsmöglichkeit.
Benennung eines Datenschutzbeauftragten (Art. 37 ff. DSGVO): Ein solcher (Unternehmens-)Datenschutzbeauftragter kann intern im Unternehmen oder extern angesiedelt sein. Eine solche Benennung ist zwingend, falls die Kernaktivitäten des Unternehmens umfangreiche regelmässige und systematische Überwachung von Betroffenen und/oder die umfangreiche Verarbeitung sensitiver Daten umfasst.
Die von der neuen Datenschutzregulierung erfassten Unternehmen sind gut beraten, die erforderlichen organisatorischen und technischen Anforderungen zeitig in Angriff zu nehmen und umzusetzen, um im Frühling 2018 bereit zu sein. Es wäre schade, wenn sie das Schicksal der Tante-Emma-Läden ereilen würde.
Möchten Sie mehr zum Thema EU-DSGVO wissen? Alle Informationen finden Sie in unserem Online-Dossier.
Wie und warum sich Industriebetriebe vor Cyberangriffen schützen sollten
LG stellt neuen IPS-Diagnosemonitor vor
Schweizer Bevölkerung lässt sich lieber von Chatbots als von Menschen helfen
Tesla entlässt bis zu 10 Prozent seiner Mitarbeitenden
Xiaomi ist Apple dicht auf den Fersen
Update: Interdiscount übernimmt Lernende von Melectronics
Auf den Spuren des Glasgower Dialekts
Tata Consultancy Services wächst deutlich
Jedes zweite IT-KMU überlebt keine fünf Jahre
