Hilfe mit der DSGVO inkl. Checkliste

Kaum eine Verordnung der Europäischen Union (EU) hat für so viel Unruhe gesorgt, wie die Datenschutzgrundverordnung (DSGVO). In den letzten Wochen vor ihrem Inkrafttreten am 25. Mai 2018 begannen Blogger, Online-Händler und viele weitere Webseitenbetreiber verwirrt zu fragen, was sie nun ändern müssten und ob es überhaupt möglich sei, alle Anforderungen zu erfüllen.

Die Medien und Politiker haben einzelne Normen bis ins letzte Detail analysiert, hinterfragt und kritisiert. Trotz oder gerade aufgrund dieser großen Aufmerksamkeit ist vielen Online-Händlern die praktische Wirkung der DSGVO verborgen geblieben. Unbeabsichtigte Gesetzesverstöße sind keine Seltenheit und können zu hohen Bußgeldern und teuren Abmahnungen führen. Damit dir das nicht passiert, hilft der Händlerbund seinen Mitgliedern mit Rechtstexten, Rechtsberatung und vielen hilfreichen Informationen zum Thema. Bereits ab 9,90 Euro* pro Monat erhältst du u.a. folgende Leistungen:

  1. Individuelle Erstellung deiner Datenschutzerklärung durch auf IT-Recht spezialisierte Anwälte
  2. Weitere Rechtstexte wie AGB, Impressum oder Widerrufsbelehrung in der Mitgliedschaft enthalten
  3. Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
  4. Cookie-Consent-Tool inklusive
intro-leistungen-datenschutz

Weitere Leistungen des Händlerbunds

hb-iconset-hilfe-bei-abmahnung
Hilfe bei Abmahnung
Abmahnung wegen fehlerhafter Datenschutzerklärung erhalten? Wir helfen sofort! Nutze unseren Abmahnungsupload und sende uns alle vorhanden Unterlagen zu. Wir vertreten dich auch rückwirkend bei Abmahnung – und das ohne zusätzliche Kosten.
hb-iconset-rechtsberatung
Rechtsberatung
Je nach gebuchtem Paket erhältst du eine Rechtsberatung per E-Mail oder per Telefon. Dabei steht dir während der gesamten Mitgliedschaft ein persönlicher Ansprechpartner zur Seite.
hb-iconset-cookie
Cookie Consent Tool
Website-Betreiber müssen über gesetzte Cookies umfassend informieren und eine Einwilligung über die Verarbeitung personenbezogener Daten von ihren Website-Besuchern einholen. In jedem unserer Mitgliedschaftspakete ist unser Cookie-Consent-Manager als zusätzliche Leistung mit einem Freikontingent an Seitenaufrufen enthalten.

Unsere Mitgliedschaftspakete

  • Abmahnsichere Rechtstexte in 8 Sprachen schon ab 9,90 Euro*
  • Sichere Cookie-Banner-Lösung
  • Rechtsberatung inkl. Produktsicherheitsverordnung (ab Premium)
  • Shop-Tiefenprüfung inkl. GPSR-Check für 5 Produkte (Unlimited und Professional)
  • Soforthilfe bei Abmahnung** (Unlimited und Professional)
Paketberater starten Pakete im Überblick
mitgliedschaftspakete-4er

Was ist die DSGVO und welches Ziel verfolgt sie?

Aufgrund der Vereinheitlichung des Datenschutzes innerhalb der EU hat das Europäische Parlament Anfang 2016 die EU-Datenschutzgrundverordnung (EU-DSGVO) verabschiedet. Die DSGVO der EU trat am 25. Mai 2016 in Kraft und musste während der zweijährigen Übergangsfrist bis zum 25. Mai 2018 umgesetzt werden. Damit hat die Gesetzgebung unter anderem den Handel in die EU-Mitgliedstaaten vereinheitlicht. Ein weiterer Vorteil von Händlern, die internationalen Handel betreiben möchten, ist das "One-Stop-Service-Prinzip". Dies bedeutet, dass du aufgrund derselben Datenverarbeitung nicht parallel mit mehreren Datenschutzbehörden kommunizieren musst, sondern nur mit der Zentrale. Die DSGVO bringt natürlich auch einige Änderungen mit sich, zum Beispiel in Bereich des Newsletterversands, der Informationspflichten, der Auskunftspfilchten, der Auftragsverarbeitung und des Datenschutzes auf Websites.

Warum regelt die EU den Datenschutz?

Der Sinn der DSGVO ist es, den Datenschutz auf dem Gebiet der EU zu vereinheitlichen. Dies ist deshalb sinnvoll, da es, insbesondere im Internet, keine klaren Grenze zwischen den EU-Mitgliedsstaaten gibt. Ein deutscher Online-Händler kann seine Waren in anderen Mitgliedstaaten verkaufen. Ein solcher freier Handel ist nicht nur erlaubt, sondern von der EU ausdrücklich erwünscht. Wenn jedoch in jedem Mitgliedstaat andere Anforderungen an den Datenschutz gestellt werden, ist es kaum möglich alles Gesetze einzuhalten. Dies hemmt den Handel. Die DSGVO löst diese Probleme. Darüber hinaus können sich nun alle EU-Bürger auf ein festgelegtes Datenschutz-Niveau verlassen.

Wann ist die DSGVO in Kraft getreten?

In Kraft getreten ist die DSGVO bereits am 25. Mai 2016. Doch erst seit dem 25. Mai 2018 müssen Unternehmen, und damit auch Onlinehändler, die Vorschriften einhalten. Da es sich um eine Verordnung handelt, musste der deutsche Gesetzgeber nichts weiter tun, damit die DSGVO gilt.

Ersetzt die DSGVO das BDSG?

Das deutsche Bundesdatenschutzgesetz (BDSG) wurde nicht durch die DSGVO ersetzt. Es gibt noch immer das BDSG und seine Vorschriften gelten auch noch. Es wurde allerdings an die DSGVO angepasst und seine Relevanz ist, jedenfalls für Unternehmer, deutlich gesunken. Sollte eine Norm aus dem BDSG der DSGVO in einem bestimmten Fall widersprechen, gilt die DSGVO. EU-Recht geht dem Recht der Mitgliedstaaten immer vor, da ansonsten keine einheitliche Gesetzgebung möglich wäre. Mehr zu Datenschutzgesetzen.

Checkliste zur DSGVO

Stelle deinen Online-Shop auf die Probe!
Prüfe mit der Checkliste zur DSGVO, ob du alle wichtigen Änderungen der DSGVO berücksichtigst hast. Frage dich ganz kritisch, ob folgende Punkte auf dich zutreffen und beantworte diese mit Ja oder Nein. Am Ende kannst du dir eine kostenfreie Auswertung generieren lassen, die dir auch als PDF zur Verfügung gestellt wird.

Jetzt mit der DSGVO-Prüfung starten!

Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
1. Verwendung eines Kontaktformulars
Es muss eine Klausel in der Datenschutzerklärung ergänzt werden.

Keine Maßnahme notwendig.

Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klausel muss unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
2. Verwendung von Kommentarfunktionen und Kundenbewertungen
Es muss eine Klausel in der Datenschutzerklärung ergänzt werden.
Keine Maßnahme notwendig.
 
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klausel muss unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
3. Verwendung von Cookies
Es muss eine Klausel in der Datenschutzerklärung ergänzt werden.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klausel muss seit dem 25.5.2018 ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Hinweis auf die Opt-out-Möglichkeit in den Browsereinstellungen - wahlweise mit Anleitung - vorhanden?
Perfekt!

Der Hinweis muss seit dem 25. Mai 2018 in der Datenschutzerklärung ergänzt werden.

Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
4. Verwendung von Webanalyse- und Tracking-Tools
Es muss eine Klausel in der Datenschutzerklärung ergänzt werden.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Gesonderte Klausel für jedes Tool in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klauseln für die Webanalysetools wie u.a. etracker, Google Analytics oder Matomo (Piwik) müssen unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Nutzung von Google Analytics
Für die Nutzung von Google Analytics gibt es spezielle Vorgaben, die in die Datenschutzerklärung aufgenommen werden müssen. Stellen Sie sicher, dass Sie die Klausel zur Verwendung von Google Analytics verwenden.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Auftragsverarbeitungsvertrag mit Google Analytics vorhanden?
Perfekt!
Die DSGVO verlangt einen schriftlichen Auftragsverarbeitungsvertrag. Bitte fordere diesen bei Google Analytics an.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Automatische Anonymisierung der Besucher-ID gewährleistet?
Perfekt!
In den Einstellungen bei Google Analytics musst du angeben, dass die Besucher-ID’s anonymisiert werden sollen. Erstelle einen neuen Tracking Code und binde diesen auf deiner Website ein. Zu dieser Funktion gibt es hier mehr Detailinfos:
https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Widerspruchsmöglichkeit über Opt-Out-Widget vorhanden?
Perfekt!
Über die Datenschutzerklärung muss ein Link zum Browser-Plugin hinterlegt sein, damit der Betroffene von seinem Widerspruchsrecht Gebrauch machen kann. Der Hinweis muss ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
5. Verwendung von Social-Plug-Ins
Es muss eine Klausel über das von dir eingesetzte Social-Plug-In in der Datenschutzerklärung erfolgen. Nach einem aktuellen Urteil des Landgerichts Düsseldorf (LG Düsseldorf, Urteil vom 09.03.2016, Aktenzeichen 12 O 151/15), ist die Verwendung des sogenannten Facebook Like-Buttons abmahngefährdet. Aus diesem Grund empfehlen wir, auf die Einbindung des Like-Buttons zu verzichten. Zu allen anderen Social-Plugins wie denen von Google+, Twitter & Co. gibt es noch keine Urteile. Online-Shop-Betreiber, die das Plug-In inaktiv geschalten haben, so dass dieses vom Nutzer erst per Doppelklick aktiviert werden muss (sog. 2-Klick-Modell), sind ebenfalls verpflichtet, die Datenschutzerklärung mit entsprechendem Hinweis über die Datenerhebung/ Datenverwendung zu ergänzen.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Gesonderte Klausel für jedes Social-Plug-In in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klauseln inkl. ausführlicher Erläuterungen für die Social-Plug-Ins wie u.a. Facebook, Twitter oder Google+ müssen unverzüglich ergänzt werden. Bitte beachte die oben genannten Hinweise zu den Social-Plug-Ins.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
6. Weitergabe der Daten an externe Anbieter (z.B. Callcenter, Serveranbieter, etc.)
Wenn du personenbezogene Daten deiner Kunden an Drittunternehmen weitergibst, muss ein Hinweis in der Datenschutzerklärung erfolgen.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Hinweis in der Datenschutzerklärung auf Weitergabe der Daten (zum Beispiel bei Nutzung externer Serverkapazitäten, bei Nutzung eines externen Callcenters oder bei Entsorgung von Datenträgern und Akten) vorhanden?
Perfekt!
Ein allgemeiner Hinweis für die Weitergabe der Daten an externe Anbieter soll in der Datenschutzerklärung ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Auftragsverarbeitungsvertrag mit externen Dienstleistern vorhanden?
Perfekt!
Die DSGVO sieht vor, dass du die Weitergabe der Daten deiner Kunden an externe Dienstleister dokumentierst und bei Bedarf nachweisen musst. Stelle eine Übersicht aller externen Dienstleister zusammen und schließe einen Auftragsverarbeitungsvertrag.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
7. Verwendung von Remarketing oder Google Ads Conversion Tracking, o.ä.
Es muss eine Klausel in der Datenschutzerklärung ergänzt werden.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Gesonderte Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klauseln inkl. ausführlicher Erläuterungen müssen unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Widerspruchsmöglichkeit über Opt-out-Widget vorhanden?
Perfekt!
Über die Datenschutzerklärung muss ein Link hinterlegt sein, damit der Betroffene von seinem Widerspruchsrecht Gebrauch machen kann. Der Hinweis muss ergänzt werden. Weiterführende Informationen sowie die Datenschutzerklärung von Google findest du unter: http://www.google.com/policies/technologies/ads/http://www.google.de/policies/privacy/
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
8. Benötigest du einen Datenschutzbeauftragten?
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Mindestens 20 Personen aus dem Unternehmen beschäftigen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten?
Du benötigst einen Datenschutzbeauftragten für dein Unternehmen. Es gibt prinzipiell zwei Arten von Datenschutzbeauftragten. Zum einen der interne Beauftragte, der als Mitarbeiter des Unternehmens die Aufgaben des Datenschutzes bestimmt oder zum anderen externen Datenschutzbeauftragten.
Sie benötigen keinen Datenschutzbeauftragten für Ihr Unternehmen.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Das Hauptgeschäftsfeld des Unternehmens besteht in der Datenverarbeitung (z.B. Anbieter von Datenbanken) und aufgrund ihres Zwecks oder ihres Umfangs ist eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich?
Du benötigst einen Datenschutzbeauftragten für dein Unternehmen. Es gibt prinzipiell zwei Arten von Datenschutzbeauftragten. Zum einen der interne Beauftragte, der als Mitarbeiter des Unternehmens die Aufgaben des Datenschutzes bestimmt oder zum anderen externen Datenschutzbeauftragten.
Sie benötigen keinen Datenschutzbeauftragten für Ihr Unternehmen.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
9. Versand von Newslettern
Es muss eine Klausel in der Datenschutzerklärung erfolgen.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Ist eine Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klausel muss unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Weist du den Adressat auf die Abbestellmöglichkeit in der Datenschutzerklärung hin?
Perfekt!
Der Adressat muss die Möglichkeit haben den Newsletter abzubestellen. Ein entsprechender Hinwies auf die Abbestellmöglichkeit in der Datenschutzerklärung muss bereitgestellt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Erfolgt die Einwilligung in den Newsletter-Erhalt durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig, ohne vorausgewählte Häkchen, sog. Opt-out) über das sog. Double-Opt-In-Verfahren?
Perfekt!
Bitte wende ausschließlich das Double-Opt- In-Verfahren an: Double-Opt- In = Interessent (Abonnent) erhält nach Absenden seiner Newsletter-Bestellung eine Bestätigungs-Mail vom Unternehmer, die eine Aufforderung zum Anklicken eines Links enthält. Erst nach Aktivierung des Links wird die E-Mail- Adresse in den Verteiler aufgenommen.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Wurde die Einwilligung in den Newsletter freiwillig erteilt, ohne Abhängigkeit an die Erfüllung eines Vertrags (z. B. die Bestellaufgabe und Warenlieferung)?
Perfekt!
Die Einwilligung in den Newsletter muss freiwillig erfolgen. Eine Abhängigkeit an die Erfüllung eines Vertrages ist rechtlich nicht zulässig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Kann der für den Newsletter-Versand Verantwortliche die Einwilligung belegen?
Perfekt!
Über den Aktivierungslink beim Opt-In-Verfahren kann nachvollzogen und belegt werden, dass der Adressat die Einwilligung für den Newsletter-Versand gegeben hat. Bitte stelle sicher, dass ein Nachweis zur Newsletter-Anmeldung vorliegt, um rechtlich abgesichert zu sein.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Weist du den Adressat auf die Abbestellmöglichkeit sowohl beim Bestellen als auch bei jedem Versand des Newsletters hin?
Perfekt!
Der Adressat muss die Möglichkeit haben, den Newsletter abzubestellen. Ein entsprechender Link oder sonstige Abbestellmöglichkeiten sowohl beim Bestellen als auch bei jedem Versand des Newsletters müssen bereitgestellt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
10. Verwendung von Zahlarten mit Bonitätsprüfung
Wenn du personenbezogene Daten deiner Kunden an Drittunternehmen weitergibst, muss ein Hinweis in der Datenschutzerklärung erfolgen.
Keine Maßnahme notwendig.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Der Hinweis für die Weitergabe der Daten an externe Anbieter muss in der Datenschutzerklärung ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
11. Kannst du Auskünfte, Berichtigungen, Sperrungen und Löschung von Daten vornehmen?
Die DSGVO sieht vor, dass ein Website-Betreiber bei Anfragen von Kunden jegliche Auskünfte, Berichtigungen, Sperrungen und Löschungen von Daten vornehmen muss. Dies muss unverzüglich und unentgeltlich gewährleitet werden. Außerdem muss eine Klausel in der Datenschutzerklärung ergänzt werden, die auf diese Rechte hinweist.
Die DSGVO sieht vor, dass ein Website-Betreiber bei Anfragen von Kunden jegliche Auskünfte, Berichtigungen, Sperrungen und Löschungen von Daten vornehmen muss. Dies muss unverzüglich und unentgeltlich gewährleitet werden. Außerdem muss eine Klausel in der Datenschutzerklärung erfolgen, die auf diese Rechte hinweisen.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Klausel in der Datenschutzerklärung vorhanden?
Perfekt!
Die Klausel muss unverzüglich ergänzt werden.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
12. Arbeiten 250 oder mehr Mitarbeiter in deinem Unternehmen?
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Führen Sie ein Verarbeitungsverzeichnis?
Perfekt!
Die Pflicht zur Führung eines Verarbeitungsverzeichnisses, welches die Datenverarbeitungsprozesse im Unternehmen katalogisiert, gilt nach der DSGVO für Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen. Ein kostengünstiges Muster zum Download findest du hier: Muster Verzeichnis von Verarbeitungstätigkeiten
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Verkaufst du über eine Online-Apotheke oder einen Erotik-Shop?
Mit der DSGVO gibt es für dich eine Pflicht zur Führung eines Verarbeitungsverzeichnisses, wenn du sensible Gesundheitsdaten verarbeitest oder Daten zum Sexleben oder der sexuellen Orientierung erfässt. Ein Muster findest du hier: Muster Verzeichnis von Verarbeitungstätigkeiten
Prinzipiell bist du nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, allerdings ist die Gesetzgebend aktuell noch etwas undurchlässig. Wir informieren dich sobald die Rechtslage in diesem Fall eindeutiger ist.
Keine Auswahl getroffen.
Icon Häkchen Icon Kreuz Icon Minus Icon Neutral
Findet eine nicht nur „gelegentliche“ Datenverarbeitung (z. B. durch die automatische Hinterlegung, Analyse und Auswertung von Kundeninformationen) statt?
Mit dem deutschen Datenschutzrecht, welches die DSGVO flankiert, besteht die Pflicht zur Führung eines Verarbeitungsverzeichnisses, welches die Datenverarbeitungsprozesse im Unternehmen katalogisiert, gilt nach der DSGVO für Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen. Ein Muster findest du hier: Muster Verzeichnis von Verarbeitungstätigkeiten
Du bist nicht zur Anfertigung eines Verarbeitungsverzeichnisses verpflichtet.
Keine Auswahl getroffen.

Vorteile der Händlerbund-Mitgliedschaft:

  1. Erstellung einer rechtssicheren Datenschutzerklärung
  2. Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
  3. Cookie-Banner-Lösung inklusive
  4. Inklusive weiterer Rechtstexte wie z.B. AGB, Widerrufsbelehrung & Impressum
rechtstexte-impressum-verein-handy

FAQ zur DSGVOwissenswertes

Auf wen findet die DSGVO Anwendung?

Da die DSGVO eine Verordnung der EU ist, wirkt sie in Deutschland wie ein deutsches Gesetz. Das heißt, sie gilt zunächst für jede natürliche und juristische Person. Artikel 2 DSGVO grenzt den sachlichen Anwendungsbereich auf jede nicht rein private Verarbeitung personenbezogener Daten. Wenn du als Online-Händler beispielsweise Kundenkonten anlegst, die Interessen der Besucher deiner Website mit Analyse-Tools wie Google Analytics speichern oder einen Newsletter verschicken, verarbeitest du personenbezogene Daten und musst dich an die Vorgaben der DSGVO halten.

Die DSGVO gilt für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung personenbezogener Daten (z.B. Name, Anschrift, IP-Adresse, E-Mail-Adresse) vornehmen (z. B. Speicherung von Kundendaten in eine Computer-Datenbank).

Mit der interaktiven Checkliste des Händlerbundes findest du im Handumdrehen heraus, inwiefern du von der Datenschutzgrundverordnung betroffen bist: DSGVO-Checkliste.

Bin ich als kleiner Händler auch verpflichtet, die Vorgaben der DSGVO umzusetzen?

Ja, die generelle Anwendbarkeit ist nicht an die Unternehmensgröße oder Umsatzhöhe gekoppelt. Spezielle Hinweise erhalten Einzelunternehmer und kleine Händler in unserem Mini-Guide.

Was regelt die DSGVO?

Die DSGVO regelt unter welchen Voraussetzungen du Daten speichern und verarbeiten darfst. Darüber hinaus enthält sie Normen, die vorgeben, wann Daten gelöscht werden müssen.

Welche Daten werden geschützt?

Die DSGVO schützt nicht jede Art von Daten, sondern nur personenbezogene Daten. Der Begriff ist in Artikel 4 Nummer 1 legaldefiniert. Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Alter, Adresse, aber auch Vorlieben und Klicks auf Internetseiten.

Welche Grundsätze gelten nach der DSGVO für die Datenverarbeitung?

In Artikel 5 DSGVO sind sechs Grundsätze normiert, die bei jeder Datenverarbeitung einzuhalten sind.

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Vertraulichkeit

Wann dürfen Daten gespeichert und verarbeitet werden?

Artikel 6 Absatz 1 DSGVO legt fest, unter welchen Voraussetzungen Daten verarbeitet werden dürfen. Es gibt sechs möglich Gründe. Für Webseitenbetreiber am wichtigsten sind die Varianten a und f. Hiernach brauchst du entweder die Einwilligung der betroffenen Person oder du musst ein berechtigtes Interesse haben. Für Online-Händler sind darüber hinaus die Varianten b und c relevant. Hiernach darfst du Daten auch dann verarbeiten, wenn dies notwendig ist, um einen Vertrag oder eine rechtliche Verpflichtung zu erfüllen.

Wie lange darf man Daten speichern?

Schon der Grundsatz "Datenminimierung" in Artikel 5 DSGVO enthält eine Löschpflicht. Generell darfst du Daten nur so lange speichern, wie dies notwendig ist. Dabei kommt es darauf an, warum du die Daten ursprünglich speichern wolltest und durftest. Darüber hinaus musst du Daten löschen, wenn die betroffene Person dies verlangt und die weiteren Voraussetzungen des Artikel 17 DSGVO erfüllt sind.

Was beinhaltet das Verzeichnis von Verarbeitungstätigkeiten?

Mit der Verordnung 2016/679, der sogenannten Datenschutzgrundverordnung, wurde die Pflicht zum Erstellen eines "Verzeichnis von Verarbeitungstätigkeiten" eingeführt. Ein solches Verzeichnis ist eine durch das europäische Datenschutzrecht vorgeschriebene Auflistung aller Verarbeitungstätigkeiten personenbezogener Daten.

Das klingt erst einmal sehr abstrakt. Im Grunde ist man nun verpflichtet eine Dokumentation und Übersicht über alle Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. Dazu müssen bestimmte Angaben vermerkt sein, wie:

  1. Datenkategorie
  2. der Kreis der betroffenen Personen
  3. der Zweck der Verarbeitung
  4. die Datenempfänger

Um unseren Mitgliedern und allen Interessierten das Leben ein wenig zu erleichtern haben wir eine Mustertabelle zusammengestellt. Sie beinhaltet eine ganze Reihe von Beispieleinträgen, welche für im eCommerce tätige Unternehmen typisch sind. Die kostengünstige Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten gibt es zum Download im HB Marketplace.

Es handelt sich hierbei lediglich um ein Muster, das beispielhaft typische Verarbeitungsvorgänge im eCommerce darstellt. Es dient lediglich als Hilfe zur Erstellung des "Verzeichnis der Verarbeitungstätigkeiten" (VVT) nach Art. 30 I DSGVO. Das Muster kann nicht unmittelbar als VVT verwendet werden. Vielmehr ist es in jedem Fall individuell auf das jeweilige Unternehmen anzupassen.

Welche Rechte haben Betroffene?

Ein wichtiger Teil der DSGVO sind die Betroffenenrechte. So haben betroffene Personen selbst die Möglichkeit aktiv zu werden und müssen nicht auf das Eingreifen einer Datenschutzbehörde warten.

  1. Artikel 15 DSGVO enthält ein Auskunftsrecht. Hiernach darf eine betroffene Person den Verantwortlichen Fragen, ob er sie betreffende Daten verarbeitet. Wenn ja darf sie weitere Auskünfte verlangen.
  2. Nach Artikel 16 DSGVO gibt es ein Recht auf Berichtigung inkorrekter Daten.
  3. Artikel 17 DSGVO gibt ein Recht auf Löschung.
  4. Die Verarbeitung kann nach Artikel 18 DSGVO eingeschränkt werden.
  5. Nach Artikel 20 DSGVO hat jeder Betroffene das Recht darauf, dass seine Daten auf Wunsch bereitgestellt und übertragen werden.

Was droht bei einem Verstoß gegen die DSGVO?

Die EU hat mit der DSGVO nicht nur neue Regeln für den Umgang mit personenbezogenen Daten geschaffen, sondern auch die möglichen Strafen und Bußgelder erhöht. Nun kann eine Datenschutzbehörde Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes verhängen. Auch große, weltweit agierende Unternehmen, können jetzt effektiv bestraft werden. Aufgrund der hohen Bußgelder solltest du Beschwerden von Nutzern und Hinweisen von Datenschutzbehörden immer nachgehen und deinen Umgang mit personenbezogenen Daten rechtskonform gestalten.

Wer darf Verstöße gegen die DSGVO abmahnen?

Eine Abmahnung ist ein Schreiben von einer anderen natürlichen oder juristischen Person, die verlangt, dass du dich von nun an die DSGVO halten. Du kannst beispielsweise abgemahnt werden, weil du auf deiner Website keine Datenschutzerklärung erstellt hast oder diese unvollständig ist. In der Regel sind mit einer Abmahnung Kosten verbunden. Die DSGVO selbst sagt nichts darüber, ob Abmahnungen möglich sind oder nicht. Allerdings haben mehrere Gerichtsurteile Abmahnungen auf Grundlage der DSGVO für rechtmäßig gehalten. Der Grund dafür ist, dass jeder Verstoß gegen die DSGVO einen Wettbewerbsvorteil gegen Konkurrenten darstellt, die sich an die DSGVO halten. Deswegen darf ein Konkurrent dich grundsätzlich abmahnen. Teilweise gibt es Unternehmen oder Anwälte, die sich auf Abmahnungen spezialisiert haben. Ab wann ein solches Geschäftsmodell missbräuchlich ist, ist unklar. Im Zweifel kostet selbst eine unberechtigte Abmahnung Nerven und Geld. Die beste Vorsorge ist ein korrekter Umgang mit personenbezogenen Daten.

* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
** Hilfe bei Abmahnungen ist eine freiwillige solidarische Unterstützungsleistung für Mitglieder des Händlerbund e.V. Die Bedingungen der Abmahnhilfe ergeben sich aus der Rechtsschutzordnung des Händlerbund e.V.