Die EU Datenschutz-Grundverordnung (DSGVO)
Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung in der die Verarbeitung von personenbezogenen Daten durch Unternehmen geregelt und vereinheitlicht wird. Dadurch erhöht die Europäische Union den Schutz privater Daten und regelt den freien Datenverkehr innerhalb des Binnenmarktes. Dieser Beitrag umfasst die wichtigsten Maßnahmen, die jeder Betrieb in Bezug auf die eigene Website und Webshops umsetzen sollte. Wie haben auch eine Liste an Links bereitgestellt, die vor allem für die Verordnungen in Österreich und Deutschland Gültigkeit haben.
In der EU Datenschutz-Grundverordnung (DSGVO) werden drei Prinzipien festgelegt, nachdem Daten künftig gehandhabt werden sollen. Diese sind Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz.
Sanktionen und Bußgelder in der Datenschutz-Grundverordnung
Weiteres sieht die Verordnung Sanktionen in Form von Bußgelder vor, sollten Unternehmen wiederholt gegen die Verordnung und deren Grundsätze verstoßen. Die Höhe der Bußgelder ist durchaus beachtlich, was in vielen Kreisen dazu geführt hat, dass das Thema Datenschutz sowohl von kleinen Firmen als auch Großkonzerne gebührend ernst genommen wird. Die Höhe der Bußgelder für Ordnungswidrigkeiten ist in bestimmten Fällen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt.
In Österreich wurde mit dem Datenschutz-Anpassungsgesetz 2018 das „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“ geändert und an die Vorgaben der DSGVO angepasst. Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen, wonach Behörde den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“.
Welche Verpflichtungen aus der Datenschutz-Verordnung ergeben sich für klein- und mittelständische Unternehmen?
Die europaweite Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter gilt auf alle Fälle bei allen öffentlichen Stellen und bei Unternehmen, bei denen ein besonders risikoreiche Datenverarbeitungen erfolgt. Für Kleinunternehmer und kleine Unternehmen besteht daher in der Regel keine Verpflichtung einen Datenschutzbeauftragten zu bestellen, es sei denn, es werden im großen Stil personenbezogene Daten verarbeitet (dazu müssen mind. 10 Personen in einem Betrieb mit der Datenverarbeitung beschäftigt sein).
Auskunftsrecht:
Alle betroffenen Personen haben in Bezug auf Ihre Daten ein Auskunftsrecht bezüglich Ihrer Daten, daher ergibt sich auch für KMUs die Verpflichtung gemäß dem Datenschutz, Betroffene in Bezug auf ihre Daten über Folgendes zu informieren:
- Umfang der gespeicherten Daten
- Herkunft der Daten
- Zweck der Speicherung
- ob und an wen die Informationen übermittelt wurden
Diese Informationen werden üblicherweise in einer Datenschutzerklärung (beispielsweise auf der Unternehmenswebseite) angeführt.
Löschung der Daten:
Betroffene Personen haben auch ein Recht auf Berichtigung, Löschung oder Sperrung ihrer Daten. Daten müssen berichtigt werden, falls diese nicht korrekt gespeichert worden sind. Eine Löschung oder Sperrung muss erfolgen, wenn eine Speicherung nicht zulässig war (beispielsweise ohne Zustimmung der betroffenen Person erfolgt ist.
Datensicherheit:
Ein Unternehmen muss gewährleisten, dass Daten vor dem Zugriff unbefugter Dritter sicher ist, dass die gespeicherten Informationen sicher verwahrt sind und Unbefugte keinen Zugang zu den personenbezogenen Daten erlangen können. Dies ist in jedem möglichen Sinne gemeint, das heißt Daten müssen sowohl physisch als auch in einem digitalen Umfeld sicher sein. Daraus ergibt sich für kleine Unternehmen unter anderem die Verpflichtung, dass Formulardaten oder Bestelldaten in einem Webshop sicher übermittelt werden. Daraus ergibt sich die Notwendigkeit Daten mittels SSL Zertifikate zu verschlüsseln, um Sie vor den Augen Dritter zu schützen.
Transparenz:
Was die Nutzung personenbezogenen Daten betrifft, hat ein Unternehmen gegenüber betroffener Personen auch die Verpflichtung über die Verarbeitung der Daten im Detail Auskunft zu geben. Daraus ergibt sich die Notwendigkeit, auch auf Firmenwebseiten Datenschutzerklärungen bereitzustellen, um Kunden auf die Nutzung Ihrer Daten hinzuweisen. Ein Link zur Datenschutzerklärung sollte auch gut sichtbar auf jeder Seite eingefügt werden. Online-Shops müssen darüber hinaus ihre Webformulare für die Eingabe persönlicher Daten anpassen. Neben der SSL-Verschlüsselung bei der Übertragung der Daten muss der Kunde auch auf die Verarbeitung der Daten hingewiesen werden, für Werbe-Mails muss ausdrücklich die Zustimmung der Kunden eingeholt werden (auch bekannt als Double-Opt-In).
Datenminimierung:
Wichtig ist auch, dass immer nur Daten angefordert werden, die unmittelbar benötigt werden. Jede Datenverarbeitung benötigt eine in der DSGVO genannten Rechtsgrundlagen, es muss also ein berechtigtes Interesse Vorliegen, die Daten zu speichern. Nach Erwägungsgrund 47 der DSGVO kann die Datenverarbeitung zum Zweck der Direktwerbung ein berechtigtes Interesse darstellen. Auch Datenverarbeitungen, die erforderlich sind, damit der Webshop-Betreiber seinen Webshop betreiben kann und dies vom Nutzer ausdrücklich gewünscht wird, können nach § 96 Abs 3 TKG als berechtigtes Interesse gelten.
Weiterführende Informationen und Links zum Thema Datenschutz
Unsere Agentur Hildebrand Communication & Media berät sie gerne und hilft Ihnen in der technischen Umsetzung der Datenschutzverordnung auf Ihrer Unternehmenswebseite oder Ihrem Webshop. Die WKÖ hat zum Thema Datenschutz “Auswirkung auf Websites und Webshops” sehr ausführliche Übersichtsseiten bereitgestellt. Dazu hier weiter unten die Links:
Broschüre zum Thema Cookies, Webshop, Kontaktformular: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html
Checkliste für Cookies und Web-Analyse im Webshop (DSGVO und TKG): https://www.wko.at/service/wirtschaftsrecht-gewerberecht/checkliste-cookies-webanalyse-webshop.html
EU-Datenschutz-Grundverordnung (DSGVO): https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html