DSGVO und Shopware Das müssen Sie jetzt wissen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DSGVO und Shopware Das müssen Sie jetzt wissen
Vorwort
Die eCommerce Branche muss sich ständig neuen Herausforderungen stellen und die-
se meistern. Sowohl Unternehmen als auch Verbraucher und die Politik haben stets
neue Anforderungen an die Branche. Besonders im Bereich Datenschutz wurde der Ruf
nach Verbesserung in den vergangenen Jahren immer lauter. Schließlich wurde die EU
aktiv und hat neue, grenzübergreifende Standards geschaffen.
Am 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) wirk-
sam und löst nationale Regelungen ab. Mit dieser wird die Verarbeitung personenbezo-
gener Daten EU-weit vereinheitlicht. Darüber hinaus gilt sie für alle Unternehmen und
Institutionen, die in der EU tätig sind und mit personenbezogenen Daten wie Namen,
Adressen, Bankdaten, Geburtstagen, Fotos usw. arbeiten.
Personenbezogene Daten sollen durch die DSGVO besser geschützt werden und der
Verbraucher soll den Umgang durch mehr Transparenz in der Verarbeitung besser
nachvollziehen können. Außerdem soll durch die DSGVO der Datenaustausch zwischen
Unternehmen reibungsloser ablaufen.
Solche Veränderungen hören sich für den Verbraucher gut an, setzen sich aber na-
türlich nicht von alleine um - sie beanspruchen Zeit und intensive Bearbeitung.
Unternehmen sollten sich daher rechtzeitig mit der Novellierung befassen.
Besonders im eCommerce sollten Sie deshalb vorbereitet sein und Ihren Shop an das
neue Datenschutzrecht anpassen.
In diesem Kompendium möchten wir Ihnen alles Wissenswerte zur DSGVO näherbrin-
gen: Was hat sich verändert und welche Auswirkungen wird sie auf Ihren Onlineshop
haben? Erhalten Sie Einblicke in die Ansicht von Experten von Trusted Shops und
Protected Shops sowie interessante Praxistipps.
Stefan Heyne
Vorstand,
shopware AG
2
Inhalt
1. Worum geht es bei der Datenschutz-Grundverordnung?
2. Wichtige Änderungen für Unternehmen
3. Selbstcheck: Datenschutzbeauftragter
4. Die nächsten Schritte
5. So ist Shopware auf die DSGVO vorbereitet
6. Anlaufstellen und Zertifizierungen
7. Glossar
8. Checkliste für Unternehmen: Diese Fragen sollten Sie sich jetzt stellen.
9. Kontakte / Touchpoints
3
1. Worum geht es bei der
Datenschutz-Grundverordnung?
Acht Fragen an Legal Expert Rafael Gomez-Lus
Frage 1: Aus welchem Grund wurde die von Verarbeitungstätigkeiten zu führen.
DSGVO aufgesetzt?
Das Hauptziel der Datenschutz- Frage 3: Worin sehen Sie die größten
Grundverordnung ist die Harmonisierung Herausforderungen für betroffene
des europäischen Datenschutzes. Ein Unternehmen?
weiteres Ziel ist, mit einem aktuali- Die größten Herausforderungen für
sierten Datenschutzrecht der rasanten Unternehmen sind, ihre Prozesse, bei
technischen Entwicklung der digitalen denen personenbezogene Daten verarbeitet
Gesellschaft gerecht zu werden, was werden, DSGVO-konform zu gestalten und
die veraltete Richtlinie aus dem Jahr entsprechend zu dokumentieren.
1995 nicht mehr erreichen konnte. Das
Datenschutzrecht wird zudem erheblich Wie viel Aufwand ein Unternehmen
gestärkt, insbesondere durch neue, wirk- tatsächlich benötigt, hängt stark davon ab,
same Sanktionsmechanismen. inwiefern sie bereits das bisherige Recht
eingehalten haben. Bei Unternehmen,
Frage 2: Wer ist von der neuen Datenschutz- die beim Thema Datenschutz bereits gut
Grundverordnung betroffen? aufgestellt sind, ist der Aufwand wesentlich
Alle Unternehmen, die personenbezogene geringer als bei Unternehmen die fast von
Daten verarbeiten, sind von der Datenschutz- Null anfangen.
Grundverordnung betroffen. Auch kleinere
und mittlere Online-Händler müssen Frage 4: Welche Chancen sehen Sie in der
die Anforderungen der Datenschutz- neuen Datenschutz-Grundverordnung?
Grundverordnung einhalten. Unternehmen Der Datenschutz wird nicht zuletzt
mit weniger als 250 Mitarbeitern sind aufgrund der hohen Sanktionen ein neues
normalerweise von der besonders auf- Standing in Unternehmen gewinnen.
wändigen Anforderung zur Führung eines In der Vergangenheit herrschte oft die
Verzeichnisses von Verarbeitungstätigkeiten Meinung, der Datenschutz habe keine
(vormals „Verfahrensverzeichnis“) freigestellt. Zähne. Das hat dazu geführt, dass manche
Ausnahme: Personenbezogene Daten (insbesondere sehr große) Unternehmen
werden nur gelegentlich verarbeitet. Diese lieber eine Sanktion riskiert haben, als
Bedingung ist im Bereich E-Commerce ihre Geschäftspraktiken anzupassen. Dies
allerdings nicht gegeben, weil Kundendaten könnte sich künftig nachhaltig ändern, sodass
regelmäßig verarbeitet werden. Demnach Datenschutz-Compliance als wichtige
sind auch kleinere und mittlere Online- Grundvoraussetzung für geschäftliche
Händler dazu verpflichtet, ein Verzeichnis Tätigkeiten wahrgenommen wird.
4
Frage 5: Wer profitiert am meisten von der Die konkreten Maßnahmen, welche
DSGVO? Unternehmen treffen müssen, sind
Kunden und Nutzer von Diensten im unterschiedlich. Der erste Schritt wird sein,
Internet profitieren von einem besseren sich einen Überblick über die aktuellen
Schutz ihrer persönlichen Daten. Unter den Verfahren innerhalb des Unternehmens,
Gewinnern werden auch Unternehmen sein, bei denen personenbezogene Daten
die effiziente Lösungen für die Einhaltung verarbeitet werden, zu verschaffen. In
der DSGVO anbieten. Anbieter, die beim einem Online-Shop sind dies z. B. Tracking
Thema Datenschutz bereits vorgeleistet Tools, Newsletter-Dienste oder Bonitäts-
haben, werden sich in einer vorteilhaften prüfungen. Diese Verfahren sind in einem
Position sehen. Verzeichnis von Verarbeitungstätigkeiten
zu dokumentieren, welches jederzeit von
Frage 6: Wann ist mit Strafen zu rechnen Datenschutzbehörden im Rahmen von
und wie sehen Sanktionen für Unternehmen Prüfungen angefordert und untersucht
aus? werden kann.
Die Bedingungen für die Verhängung Die Datenschutzerklärung und die
von Geldbußen werden in Art. Einwilligungserklärungen des Online-Shops
83 DSGVO beschrieben. Wenn sind an die Anforderungen der DSGVO
Unternehmen die Anforderungen anzupassen. Die neuen Regelungen der
der DSGVO wie z. B. hinsichtlich der „Betroffenenrechte“ sind zu beachten,
Datenverarbeitungsgrundsätze oder der also die Rechte jedes Einzelnen gegenüber
sog. „Betroffenenrechte“ nicht einhalten, den für die Verarbeitung Verantwortlichen.
riskieren sie Sanktionen. Bei besonders Weiterhin ist einen Reaktionsplan für die
schwerwiegenden Verstößen drohen Meldung von Datenpannen einzuführen
Geldbußen von bis zu 20 Millionen Euro und nicht zuletzt sind alle bestehenden
bzw. 4 % des gesamten weltweit erzielten Verträge zur Auftragsverarbeitung mit
Jahresumsatzes. Unternehmen mit Dienstleistern wie Web-Hostern oder
entsprechender rechtlicher Beratung Anbietern von Tracking-Tools zu prüfen und
verfolgen deshalb voraussichtlich einen in den allermeisten Fällen auch zu erneuen.
risikobasierten Ansatz zu: je höher die mit
einer Datenverarbeitung verbundenen Frage 8: Wann sollten die Unternehmen mit
Risiken sind, desto höher muss auch die der Umsetzung der Maßnahmen beginnen?
Sorgfalt des Unternehmens sein. Die DSGVO gilt ab dem 25. Mai 2018.
Anbieter wie Trusted Shops helfen hierbei
Frage 7: Welche Maßnahmen sollten mit praktischen Lösungen für Online-
Unternehmen treffen, damit sie auf die Händler, damit diese ihren Online-Shop
DSGVO vorbereitet sind? DSGVO-konform gestalten können.
Rafael Gomez-Lus ist Legal Expert Spain und EU der Trusted Shops GmbH
und zugelassener spanischer Rechtsanwalt. Er hat sein Studium der
Rechtswissenschaften an der Universität Zaragoza absolviert und einen Master
in International Business an der Grenoble Ecole de Management in Frankreich
abgeschlossen. Zudem ist er Autor eines spanischen Handbuchs für Onlinehändler
und von Whitepapern zum Verbraucherrecht in Spanien.
5
2. Wichtige Änderungen
für Unternehmen
1. Einwilligung 2. Rechenschaftspflicht
Unternehmen, die personenbezogene (Artikel 5 Absatz 2,24 Absatz 1)
Daten erheben möchten, müssen sich Unternehmen, die personenbezogene
im Voraus eine Einwilligung von den Daten verarbeiten, haben die
betroffenen Personen einholen, in der Rechtsgrundsätze der Datenschutz-
diese ausdrücklich der Verarbeitung ihrer Grundverordnung einzuhalten. Dabei
personenbezogenen Daten zustimmen, handelt es sich um die Rechtmäßigkeit
wenn es keine gesetzliche Erlaubnis für die der Datenverarbeitung, die Verarbeitung
Datenverarbeitung gibt (z. B. weil die Daten der Daten nach Treu und Glauben, das
nicht für die Erfüllung eines Vertrags mit transparente Verarbeiten der Daten, die
einem Kunden erforderlich sind). Zusätzlich Zweckmäßigkeit der Datenverarbeitung, die
ist jeder Einwilligungserklärung ein Hinweis Berücksichtigung der Datenminimierung
beizufügen, der die Betroffenen über bei der Datenerhebung, die Erhebung der
ihre Rechte unterrichtet, die Einwilligung richtigen Daten, die Berücksichtigung der
jederzeit widerrufen zu können. Die Speicherbegrenzung sowie das Einhalten
Einwilligung und die Information der Integrität und Vertraulichkeit bei der
über den Widerruf müssen nach dem Datenverarbeitung. Die Unternehmen
„Simplizitätsgebot“ in einem verständlich müssen die Einhaltung der genannten
formulierten und leicht zugänglichen Text Rechtsgrundsätze nachweisen können
vorhanden sein. Unternehmen müssen („Rechenschaftspflicht“). Dafür bedarf
nachweisen können, dass die betroffenen es der Einführung und Anwendung eines
Personen der Datenverarbeitung Datenschutzmanagements, in dem die
zugestimmt haben. Rollen und Verantwortlichen im Datenschutz
klar definiert und die Arbeitsabläufe in
Unternehmen festgestellt sind, wenn es
um die Verarbeitung personenbezogener
Daten geht.
3. Datenmitnahme
Jeder hat das Recht, die einen selbst
betreffenden Daten, die von einem
Unternehmen erzeugt werden, in einem
elektronischen Format ausgehändigt zu
6
bekommen und diese Informationen einer Datenschutz-Grundverordnung sind
anderen Stelle zu übermitteln, sofern: deutlich erhöht worden. So können Buß-
gelder in Höhe von bis zu 20.000.000,00 €
• Die Verarbeitung auf einer Einwilligung oder bis zu 4% des weltweit erzielten
der Betroffenen Person beruht Jahresumsatzes anfallen. Bei leichteren
Verstößen gegen die Datenschutz-
• Die Verarbeitung mittels automatisierter Grundverordnung können Strafen von
Verfahren geschieht bis zu 10.000.000,00 € oder 2% des
weltweit erzielten Jahresumsatzes anfallen.
Die betroffenen Personen können von Dabei wird die Summe fällig, die für das
Unternehmen ebenfalls verlangen, dass die Unternehmen den höheren Betrag darstellt.
Daten direkt an einen weiteren Empfänger
weitergeleitet werden, wenn dies technisch 6. Einfachere Beschwerdeanträge für
für das die Daten herausgebende Betroffene
Unternehmen möglich ist. Durch die Vereinheitlichung der Daten-
schutzregelungen auf EU-Ebene, ist
4. Recht auf Vergessenwerden es für betroffene Personen, die sich
Betroffene Personen haben das Recht, in ihren Datenschutzrechten verletzt
eine Löschung der von den Unternehmen sehen, einfacher, Beschwerdeanträge
erhobenen Daten zu verlangen. Die einzureichen. Das ist vor allem dadurch
Unternehmen sind verpflichtet, die bedingt, dass Beschwerdeanträge in Zukunft
erhobenen Daten zu dieser Person bei den Datenschutzbehörden des eigenen
umgehend zu löschen, wenn insbesondere: Landes eingereicht werden können. Die
betroffene Person muss nicht mehr ihre
• Der Zweck für die Erhebung der Beschwerde in dem Land einreichen, in dem
personenbezogenen Daten nicht mehr das verantwortliche Unternehmen seinen
erforderlich ist und auch alle Aufbe- Hauptsitz hat.
wahrungsfristen abgelaufen sind, z. B. aus
dem Handels- oder Steuerrecht. 7. Marktortprinzip räumlicher Anwen-
dungsbereich
• Die betroffene Person Widerspruch Das Marktortprinzip besagt, dass nicht
gegen die Datenverarbeitung einlegt und nur in der Europäischen Union ansässige
keine Gründe für die Verarbeitung Unternehmen unter das Datenschutz-
vorliegen. Grundgesetz fallen, sondern auch solche
Unternehmen, dessen Angebot sich an
• Die Verarbeitung der personenbezogenen einen bestimmten nationalen Markt in
Daten nicht rechtmäßig erfolgt ist. der Europäischen Union richtet, oder
die betroffenen Personen, dessen
• Die personenbezogenen Daten sind zu personenbezogene Daten erhoben werden
löschen, weil das Unionsrecht oder das ihren Wohnsitz in der Europäischen Union
Recht der Mitgliedsstaaten das vorgibt. haben. Dadurch sollen für alle Unter-
nehmen, die auf dem Markt der
5. Strafen (Artikel 83 DSGVO) Europäischen Union tätig sind, gleiche
Die Strafen bei Verstößen gegen die Wettbewerbsbedingungen geschaffen werden.
78. Verzeichnis aller Verarbeitungstätig- Datenerhebung mitzuteilen. Unter anderem
keiten (Artikel 30 DSGVO) sind der betroffenen Person folgende
Die in einem Unternehmen für die Informationen mitzuteilen:
Verarbeitung personenbezogener Daten
zuständigen Personen haben ein Verzeichnis • Name und Kontaktdaten der
anzulegen, in das alle vorgenommenen verantwortlichen Person
Verarbeitungstätigkeiten aufzulisten
sind. Dadurch schaffen Unternehmen • Kontaktdaten des Datenschutz-
Transparenz und sichern sich rechtlich beauftragten
ab. Auf Anfrage ist das Verzeichnis der
zuständigen Behörde für Datenschutz • Den Zweck und die Rechtsgrundlage für
offenzulegen. Folgende Informationen die Verarbeitung
sollte das Verzeichnis besitzen:
• Die berechtigten Interessen, die mit der
• Namen und die Kontaktdaten der Datenverarbeitung verfolgt werden
verantwortlichen Personen
10. Datenschutz-Folgenabschätzung
• Den Zweck der Datenverarbeitung (Artikel 35 DSGVO)
Besteht die Vermutung, dass durch die
• Eine Kategoriebeschreibung zu Verarbeitung personenbezogener Daten
den betroffenen Personen und den ein hohes Risiko für die betroffene Person
personenbezogenen Daten entstehen könnte, haben die Unternehmen
vorab eine Datenschutz-Folgenabschätzung
• Kategorien von Empfängern, durchzuführen. Dabei werden im Voraus
die personenbezogene Daten zu mögliche Auswirkungen der Datenerhebung
Verarbeitung erhalten haben für die betroffene Person ermittelt und
aufgrund dessen abgewogen, ob eine
• Nach Möglichkeit vorgesehene Fristen Datenverarbeitung erfolgen soll oder nicht
für die Löschung der unterschiedlichen oder ob zusätzliche Schutzmaßnahmen zu
Datenkategorien treffen sind, mit denen die Risiken reduziert
werden können.
• Eine allgemeine Beschreibung der
technischen und organisatorischen 11. Meldepflicht von Datenschutz-
Maßnahmen verletzungen (Artikel 33 DSGVO)
Kommt es zu einer Verletzung der Daten-
9. Erweiterung der Informationspflichten schutzpflichten, müssen Unternehmen
(Artikel 13, 14 DSGVO) diese unverzüglich und spätestens innerhalb
Unternehmen, die personenbezogene Daten von 72 Stunden nach Bekanntwerden der
erheben oder von Dritten bekommen (z. B. Verletzung der zuständigen Aufsichts-
Scorewerte von einer Auskunftei), haben behörde mitteilen. In der Meldung sind
den betroffenen Personen umfangreiche die Art der Datenschutzverletzung,
Auskünfte über die Datenerhebung zu der Name und die Kontaktdaten
erteilen. Die Informationen sind der des Datenschutzbeauftragten, eine
betroffenen Person zum Zeitpunkt der Beschreibung der mutmaßlichen Folgen die
8aus der Datenschutzverletzung, sowie eine 13. Newsletterversand
Beschreibung der geplanten Maßnahmen Die für den Newsletterversand geltenden
die zur Behebung der Verletzung ergriffen Regelungen bleiben grundsätzlich auch
werden. Hat die Datenschutzverletzung nach Einführung der Datenschutz-
hohe Risiken für die betroffenen Personen, Grundverordnung bestehen. Es ist
sind diese ebenfalls zu informieren, z. B. per erforderlich, dass der eMail-Empfänger dem
eMail oder durch eine Meldung auf der Erhalt von eMails ausdrücklich zustimmt.
Website des eigenen Unternehmens. Für die Einwilligung ist ein Double-opt-
in-Verfahren zu empfehlen, da dieses
12. One-Stop-Shop Prinzip Verfahren auch im Zusammenhang mit der
Mit dem One-Stop-Shop Prinzip räumt die DSGVO als rechtssicher einzustufen ist.
DSGVO europaweit tätigen Unternehmen Dabei ist es wichtig, dass der Empfänger
die Möglichkeit ein, eine zentrale in der Einwilligung genauestens darüber in
Anlaufstelle für die grenzüberschreitende Kenntnis gesetzt wird, worin er einwilligt.
Datenverarbeitung einrichten zu können. Die Einwilligung des Empfängers hat auf
Die „federführende“ Aufsichtsbehörde freiwilliger Basis zu erfolgen und ist von dem
ist am zentralen Verwaltungssitz des Versender aufzubewahren. Eine Einwilligung
Unternehmens in der Europäischen durch Stillschweigen kommt nicht zustande.
Union einzurichten. Vor allem für große
Unternehmen kann das One-Stop-Shop
Prinzip eine wichtige Bedeutung haben.
93. Selbstcheck:
Datenschutzbeauftragter
Sobald bestimmte Anforderungen erfüllt sind, müssen Unternehmen einen Daten-
schutzbeauftragten benennen. Das ist insbesondere der Fall, wenn regelmäßig zehn
oder mehr Personen in Ihrem Unternehmen personenbezogene Daten verarbeitet.
Hier können Sie überprüfen, ob sie einen Datenschutzbeauftragten stellen müssen
oder nicht.
104. Die nächsten Schritte
Viele Online-Händler denken, dass bis zur Umsetzung der DSGVO noch
genügend Zeit sei. Doch die Zeit drängt, denn die Umsetzung einiger
Maßnahmen ist zeitintensiv. Daher sollten Online-Händler rechtzeitig
mit der Anpassung beginnen, denn bei einem Verstoß gegen die DSGVO
drohen empfindliche Bußgelder, die bis zu 20 Millionen Euro oder
bis zu vier Prozent des gesamten Jahresumsatzes betragen können.
In diesem Beitrag haben wir die wichtigsten Maßnahmen, die von Online-
Händlern rechtzeitig umgesetzt werden müssen, zusammengefasst.
Verarbeitungsverzeichnis aktualisieren (z. B. beim Newsletter-Versand) muss
Zunächst empfiehlt es sich, sich in einer der Betroffene künftig informiert
Bestandsaufnahme einen Überblick zu werden, worin er einwilligt und auf eine
verschaffen, welche Daten im Unternehmen Widerrufsmöglichkeit hingewiesen werden.
verarbeitet werden (z. B. Kunden-, Die Einwilligung hat freiwillig und durch
Mitarbeiter-, Unternehmensdaten). eine eindeutige Handlung zu erfolgen (z. B.
Wie bisher ist jedes Verfahren bei dem durch das Setzen eines Häkchens). Einmal
personenbezogene Daten erfasst und erteilte Einwilligungen müssen jederzeit mit
bearbeitet werden, in einem Verzeichnis Wirkung für die Zukunft widerrufen werden
von Verarbeitungstätigkeiten zu können. Neu ist die Vorgabe, dass der
dokumentieren. Ab dem 25.05.2018 Widerruf so einfach erfolgen können muss
können die Datenschutzaufsichtsbehörden wie die Einwilligungserteilung. Achtung:
Unternehmen jederzeit dazu auffordern Bereits eingeholte Einwilligungen behalten
dieses vorzulegen und bei einem ihre Wirksamkeit nur, wenn sie bereits der
Versäumnis Bußgelder verhängen. neuen Rechtslage entsprechend eingeholt
Der Inhalt des „Verzeichnisses für wurden.
Verarbeitungstätigkeiten“ –wie es in der
DSGVO bezeichnet wird- ähnelt dem der Verschärfte Meldepflichten
bisherigen Verfahrensverzeichnisse. Neu Shopbetreiber müssen künftig
ist, dass nicht mehr der Datenschutzbeauf- Datenschutzverstöße, die die Rechte und
tragte, sondern die Unternehmensleitung Freiheiten der Betroffenen beeinträchtigen
für das Führen des Verzeichnisses könnten, spätestens innerhalb von 72 Std.
verantwortlich ist. nach Bekanntwerden der zuständigen
Aufsichtsbehörde melden. Zur Meldung
Rechtskonforme Einwilligung gehören eine konkrete Beschreibung der
Bei jeder Verarbeitung personenbezogener Datenpanne (z. B. Hackerangriff oder
Daten auf Grundlage einer Einwilligung Datendiebstahl), die Abschätzung etwaiger
11Folgen, die Nennung der Kontaktdaten verständlich sein müssen. Künftig ist nicht
des Datenschutzbeauftragten und die nur der Zweck der Datenverarbeitung
Information, welche Maßnahmen bereits zu nennen, sondern auch eine klare
ergriffen wurden. Für Online-Händler Rechtsgrundlage für die Verarbeitung von
bedeutet das erheblich mehr Aufwand. personenbezogenen Daten. Bereits be-
Da die Datenpanne dokumentiert und stehende Datenschutzerklärungen müssen
gemeldet werden muss, sollte im Betrieb daher angepasst werden, falls sie noch nicht
sichergestellt werden, dass die kurze Frist den Vorgaben der DSGVO entsprechen.
auch eingehalten werden kann.
Fazit
Datenschutzerklärung anpassen Der Countdown läuft und Aussitzen
Bereits jetzt sind Online-Händler ist keine Option. Bis zum 25.05.2018
verpflichtet, eine Datenschutzerklärung müssen Shopbetreiber die Vorgaben
auf ihrer Webseite bereitzustellen. Diese der DSGVO umgesetzt haben. Da einige
Pflicht bleibt auch weiterhin bestehen, Maßnahmen zeitintensiv sind und je
aber die Anforderungen an die Information nach Umsetzungsstand im Unternehmen
und Belehrung der betroffenen Personen Handlungsbedarf besteht, sollte bereits
werden durch die DSGVO steigen. Dabei jetzt mit der Umsetzung begonnen werden.
ist darauf zu achten, dass die technischen Bei Nichtbeachtung oder Verstößen drohen
Erläuterungen präzise und zugleich ab dem 25.05.2018 hohe Bußgelder.
In fünf Schritten - mit der Umsetzung dieser Anpassungen
sollten Händler rechtzeitig beginnen:
1. Bestandsaufnahme aller Datenverarbeitungsprozesse als Basis für die Anpassung an die
Vorgaben der DSGVO durchführen.
2. Verarbeitungsverzeichnis aktualisieren und sicherstellen, dass alle Datenschutzverarbeitungs-
prozesse erfasst werden.
3. Einwilligungserklärungen (z. B. bei Newsletterversand) auf Transparenz und Wirksamkeit
überprüfen sowie Widerrufserklärung der Einwilligungserklärung anpassen und nach
neuem Rechtgestalten.
4. Sicherstellen, dass bei Datenpannen 72 Stunden Frist (Meldepflicht) eingehalten werden kann.
5. Datenschutzerklärung anpassen - Rechtsgrundlage für die Verarbeitung von personen-
bezogenen Daten darlegen.
Bernadette Mohme ist Volljuristin und berät bei Protected Shops über die
rechtlichen Entwicklungen in allen für den eCommerce relevanten Bereichen.
Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche
Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur
rechtskonformen Umsetzung im Webshop. Protected Shops stellt ein eigenes
Modul für sichere Rechtstexte zur Verfügung.
125. So ist Shopware auf die
DSGVO vorbereitet
Sebastian Klöpper, shopware AG
Seit geraumer Zeit sind wir bei Shopware um die nötigen Einstellungen vorzunehmen,
damit beschäftigt, in Zusammenarbeit die die Regeln der DSGVO erfordern.
mit den bekannten Zertifizierungsstellen So stellt Shopware etwa bereits in der
sicherzustellen, dass das System den regulären Endbenutzer-Dokumentation alle
Anforderungen der im Mai in Kraft erforderlichen Werkzeuge bereit,
tretenden DSGVO genügt. Dabei hat sich z. B. auch um personenbezogene Daten
herausgestellt, dass Shopware den Shopbe- wieder aus dem System zu entfernen,
treibern bereits heute die notwendigen was eine Kernforderung der neuen
Funktionen bereitstellt, die sie brauchen, Datenschutzverordnung ist.
Wichtig: Shopware liefert nur die technische Basis. Für Einstellungen, Content bzw. Text-
bausteine und die Einhaltung der DSGVO ist der Shop- bzw. Seitenbetreiber selbst ver-
antwortlich.
Hintergrundinformationen erfahren Sie in einem eigenen Wiki-Artikel.
Sebastian Klöpper ist als Director Research & Development für die Shopware
Produkt-Roadmap und deren Umsetzung verantwortlich. Zusätzlich fallen die
Bereiche Support, Qualitätssicherung und Dokumentation aller Shopware-
Produkte in seinen Aufgabenbereich. Sebastian Klöpper ist bereits seit 2007 für
die shopware AG tätig.
136. Anlaufstellen und
Zertifizierungen
Trusted Shops
Händlerbund
Protected Shops
European Commision
Original-Gesetztext
147. Glossar
Anbei findest Du eine Übersicht über wichtige, wieder-
kehrende Begriffe, wenn es um die DSGVO geht.
1. Aufsichtsbehörde Behörden, Einrichtungen oder sonstige
Eine unabhängige staatliche Einrichtung, Stellen, die außer der betroffenen
die in jedem Mitgliedsstaat entspre- Person, den Verantwortlichen, dem Auf-
chend den EU-Richtlinien errichtet wird, tragsverarbeiter und den Personen, die
Unternehmen berät und überwacht, sowie unter der unmittelbaren Verantwor-
Bußgelder und andere Maßnahmen bei tung des Verantwortlichen oder des
Datenschutzverstößen verhängen kann. Auftragsverarbeiters berechtigt sind, per-
sonenbezogene Daten zu verarbeiten.
2. Auftragsverarbeiter
Natürliche oder juristische Personen, 6. Empfänger
Behörden, Einrichtungen oder sonstige Natürliche oder juristische Personen,
Stellen, die von Verantwortlichen dazu Behörden, Einrichtungen oder sonstige
beauftragt wurden, persönliche Daten zu Stellen, denen personenbezogene Daten
verarbeiten. offengelegt werden.
3. Biomerische Daten 7. Einschränkung der Verarbeitung
Personenbezogene Daten zu den phy- Die Kennzeichnung personenbezogener
sischen, physiologischen oder verhaltens- Daten mit dem Ziel, die weitere Ver-
typischen Attributen von natürlichen arbeitung dieser Daten einzuschränken.
Personen, mit denen diese eindeutig
identifiziert werden. (z. B. Gesichtsbilder 8. Einwilligung
oder daktyloskopische Daten) Eine von der betroffenen Person auf einen
speziellen Fall bezogene, freiwillig und
4. Dateisystem eindeutig abgegebene Willensäußerung, die
Jedes Gebilde, in dem personenbezogene bekundet, dass die betroffene Person der
Daten strukturiert gesammelt werden und Verarbeitung seiner personenbezogenen
anhand bestimmter Kriterien verfügbar Daten zustimmt.
sind. Dabei ist es irrelevant ob die Daten
zentral, dezentral oder nach funktionalen 9. Genetische Daten
oder geografischen Aspekten geordnet Alle Daten, die Aufschluss über die vererbten
werden. oder erworbenen genetischen Merkmale
einer natürlichen Person geben, anhand
5. Dritter derer eine Person unmissverständlich
Natürliche oder juristische Personen, zuzuordnen ist.
1510. Gesundheitsdaten 14. Verarbeitung
Alle Daten, die sich auf die körperliche Jeder Vorgang oder jede Vorgangsreihe der/
oder geistige Gesundheit von natürlichen die dazu dient, personenbezogene Daten
Personen beziehen. zu erheben, zu erfassen, zu organisieren,
zu ordnen, zu speichern, anzupassen, zu
11. Profiling verändern, auszulesen, abzufragen, zu
Jede Form der automatisierten verwenden, offenzulegen, einzuschränken,
Verarbeitung persönlicher Daten, die zu löschen oder zu vernichten.
mit dem Ziel erhoben wurde, personen-
bezogene Merkmale zu gewinnen. Vor allem 15. Verletzung des Schutzes personen-
solche wie Arbeitsleistungen, wirtschaft- bezogener Daten
liche Lage, Gesundheit, persönliche Jede beabsichtigte oder unbeabsichtigte
Vorlieben, Interessen, Zuverlässigkeit, Verletzung der Datensicherheit, die
Verhalten, Aufenthaltsorte oder Orts- zum Verlust, zur Veränderung, oder zur
wechsel, die dabei helfen, natürliche unbefugten Offenlegung der Daten an
Personen zu analysieren oder Vorhersagen unberechtigte Dritte führt, die diese dann
über diese zu treffen. verwenden.
12. Pseudonymisierung
Eine Art der Verarbeitung personen-
bezogener Daten, die keine Rückschlüsse
auf einzelne Personen zulässt.
13. Verantwortlicher
Natürliche oder juristische Personen,
Behörden, Einrichtungen oder sonstige
Stellen, die allein oder gemeinsam über den
Vorsatz der Verarbeitung von persönlichen
Daten entscheiden.
168. Checkliste für Unternehmen:
Diese Fragen sollten Sie sich jetzt
stellen.
1. Was wird sich ändern?
2. Bin ich von der Verordnung betroffen und wenn ja, inwieweit?
3. Brauche ich einen Datenschutzbeauftragten? (siehe dazu Kapitel 3)
4. Wieviel Zeit brauche ich für die Umsetzung der Maßnahmen?
5. Welche Strafe erwartet mich, wenn ich den Stichtag nicht einhalte?
6. Wo bekomme ich Hilfe/Beratung bei der Umsetzung?
179. Kontakte / Touchpoints
shopware AG
Ebbinghoff 10
48624 Schöppingen
Fon: +49 (0) 2555 92885-0
Fax: +49 (0) 2555 92885-99
info@shopware.com
Protected Shops GmbH
Theresienhöhe 26
80339 München
Tel.: +49 (0)89 7298905 0
Fax: +49 (0)89 7298905 99
Email: info@protectedshops.de
Trusted Shops GmbH
Colonius Carré
Subbelrather Straße 15c
50823 Köln
Telefon: 0221 – 77 53 66
Fax: 0221 – 77 53 6 89
E-Mail: info@trustedshops.de
18Sie können auch lesen
