Informationspflichten nach DSGVO
Online-Händler treffen als Website-Betreiber besondere Informationspflichten gegenüber ihren Kunden und Shop-Besuchern. Diese ergeben sich aus der Datenschutz Grundverordnung (DSGVO) der Europäischen Union (EU). Falsche oder fehlende Informationen können zu teuren Abmahnungen und Bußgeldern führen. Damit dir dies nicht passiert, unterstützt dich der Händlerbund dabei, deinen Informationspflichten nachzukommen.
Als Mitglied im Händlerbund erhältst du u.a. folgende Leistungen:
Individuell erstellte Rechtstexte für Händlerbund-Mitglieder
Neben AGB für Onlineshops beraten unsere Rechtsexperten und stellen folgende weitere Rechtstexte zur Verfügung:
AGB (Allgemeine Geschäftsbedingungen)
Rechtssichere AGB für Online-Shops, Websites oder auf Verkaufsplattformen.
Datenschutzerklärung
Für alle, die auf deiner Online-Präsenz Daten erheben, speichern und verarbeiten.
Impressum (Gesetzliche Anbieterkennzeichnung)
Dein Impressum mit allen gesetzlich vorgeschriebenen Pflichtangaben.
Widerrufsbelehrung
Informiere deine Kunden mit der aktuellen Widerrufsbelehrung über das bestehende Widerrufsrecht.
Zahlungs- & Versandbedingungen
Das musst du bzgl. der Zahlungs- und Versandbedingungen beachten.
Wo sind die Informationspflichten nach DSGVO geregelt?
Die Informationspflichten sind in den Artikeln 13 und 14 DSGVO enthalten. Artikel 13 DSGVO regelt den Fall, dass die Daten unmittelbar bei der betroffenen Person gesammelt werden. Das ist der Fall, wenn ein Kunde etwas bei dir bestellt und dafür seine Kontaktdaten in ein Formular eingibt. Artikel 14 DSGVO greift dagegen immer dann, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden sind. Für beide Situationen sieht die EU nahezu identische Informationspflichten vor.
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Wen treffen die Informationspflichten der DSGVO?
Der Zweck der DSGVO ist der Schutz von personenbezogenen Daten. Das sind alle Informationen, die eine natürliche Person betreffen. Dazu gehören beispielsweise die Kontaktdaten, die ein Kunde in das Kontaktformular auf deiner Website eingibt. Darüber hinaus sind jedoch auch Daten gemeint, die der Kunde nicht bewusst preisgibt, beispielsweise die Links, die er anklickt. Es ist unter bestimmten Voraussetzungen legitim, diese Daten zu sammeln. Allerdings wirst du durch das Erheben, Speichern und Verarbeiten der Daten zu einem Verantwortlichen. Den Verantwortlichen treffen verschiedene Pflichten, insbesondere Informationspflichten.
Informationspflichten nach Artikel 13 DSGVO
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
- Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- ggf. die Kontaktdaten des internen oder externen Datenschutzbeauftragten;
- die Zwecke der Datenverarbeitung;
- die Rechtsgrundlage für die Verarbeitung;
- die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie ggf. der Hinweis, dass es sich um ein unsicheres Drittland handelt.
Zusätzlich stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
- Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten;
- das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung;
- das Bestehen eines Widerspruchsrechts gegen die Verarbeitung;
- das Bestehen eines Rechts auf Datenübertragbarkeit;
- das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Informationspflichten nach Artikel 14 DSGVO
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person außerdem Folgendes mit:
- Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie
- die Rechtsgrundlage für die Verarbeitung;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie ggf. der Hinweis, dass es sich um ein unsicheres Drittland handelt.
Zusätzlich zu den vorgenannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten;
- das Bestehen eines Rechts auf Berichtigung oder Löschung;
- das Bestehen eines Rechts auf Einschränkung der Verarbeitung;
- das Bestehen eines Widerspruchsrechts gegen die Verarbeitung;
- das Bestehen eines Rechts auf Datenübertragbarkeit;
- das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen;
- das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist spätestens zum Zeitpunkt der ersten Mitteilung zu belehren.
Vorteile der Händlerbund-Mitgliedschaft:
- Erstellung einer rechtssicheren Datenschutzerklärung
- Kostenloser Update-Service, selbstverständlich inkl. Haftungsübernahme
- Cookie-Banner-Lösung inklusive
- Inklusive weiterer Rechtstexte wie z. B. AGB, Widerrufsbelehrung & Impressum
Wissenswertes zum Thema Informationspflichten nach DSGVO
Wie muss ein Verantwortlicher informieren?
Du bist dazu verpflichtet, deine Shop-Besucher darüber aufzuklären, warum du welche Daten erhebst und wie du sie verarbeitest. Dazu gehören auch die Speicherdauer und die Weitergabe der Daten an Dritte. Wichtig sind darüber hinaus die Kontaktdaten des Verantwortlichen oder des Datenschutzbeauftragten und die Aufklärung über das Widerrufsrecht. Diese Informationen vermittelst du am besten, indem du sie auf einer Unterseite deiner Website klar verständlich verschriftlichen. Von jeder anderen Stelle der Website sollte ein Link zur Datenschutzerklärung führen.
Bedarf es einer aktiven Einwilligung in die Datenschutzerklärung?
Grundsätzlich bedarf die erstellte Datenschutzerklärung keiner Einwilligung, da der Hauptzweck die Weitergabe von Informationen ist. Solltest du jedoch für die Verarbeitung der Daten eine Einwilligung benötigen, musst du diese selbstverständlich unabhängig von der Datenschutzerklärung einholen.
Wie wird die Informationspflicht dokumentiert und warum?
Du bist nicht dazu verpflichtet zu dokumentieren, wie du deinen Informationspflichten nachkommst. Vielmehr müssen die Aufsichtsbehörden dir einen Verstoß nachweisen. Allerdings liegt eine Dokumentation in deinem eigenen Interesse, denn dadurch kannst du unkompliziert darlegen, dass du keinen Fehler begangen hast, und lange Verfahren abkürzen. Für deine Website genügt ein musterhafter Beleg zu einem konkreten Zeitpunkt. Ein weiterer Beleg ist nur notwendig, wenn du deine Datenschutzerklärung änderst.
Wie ist bei einer E-Mail aufzuklären?
Unmittelbar nach der ersten Kontaktaufnahme per E-Mail musst du deine Kunden über die Erhebung und den Umgang mit personenbezogenen Daten aufklären. Bestenfalls platzierst du die Pflichtinformationen deutlich sichtbar in der ersten E-Mail, die du dem Kunden schickst. Ein einfacher Link auf deine Website genügt nicht.
Was ist bzgl. des Widerspruchsrechts im Rahmen der DSGVO zu beachten?
Nach Artikel 21 DSGVO hat der Betroffene das Recht, der Verarbeitung seiner Daten zu widersprechen. Als Verantwortlicher bist du dazu verpflichtet, den Betroffenen über sein Widerspruchsrecht aufzuklären. Dies muss ausdrücklich, verständlich und getrennt von anderen Informationen erfolgen.
Was droht bei Verstößen gegen die Informationspflicht der DSGVO?
Verstöße gegen die DSGVO können die Aufsichtsbehörden mit hohen Bußgeldern in Höhe von bis zu 20 Millionen Euro bzw. maximal 4 Prozent des Jahresumsatzes ahnden. Darüber hinaus ist die Erfüllung der Informationspflichten nachzuholen. Wenn dies nicht möglich ist, müssen die Daten gelöscht werden. Neben Bußgeldern solltest du auch mit teuren Datenschutz-Abmahnungen durch Konkurrenten oder Verbraucherschutzverbänden rechnen.
Die neuen Informationspflichten sprengen schier den Rahmen. Umso wichtiger ist es, dass sich Online-Händler einen fachkundigen Beistand suchen. Als Händlerbund-Mitglied erhältst du alle wichtigen Informationen, Tipps, Tricks und rechtliche Beratung zur Datenschutzgrundverordnung. Auch im Abmahnfall sind wir für dich da.
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.
** Hilfe bei Abmahnungen ist eine freiwillige solidarische Unterstützungsleistung für Mitglieder des Händlerbund e.V. Die Bedingungen der Abmahnhilfe ergeben sich aus der Rechtsschutzordnung des Händlerbund e.V.