Ab dem 25. Mai 2018 muss die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in allen Mitgliedstaaten angewendet werden. Damit endet die zweijährige Übergangsfrist. Zu diesem Stichtag muss jedes Unternehmen, das personenbezogene Daten von Bürgern der Europäischen Union speichert, den Vorgaben entsprechen.
Entgegen vieler (falscher) Behauptungen tritt die DSGVO nicht erst am 25. Mai 2018 in Kraft, denn das ist sie bereits seit dem 25. Mai 2016. Dennoch scheint der 25. Mai 2018 für viele ein Überraschungstermin zu sein. So wohl für Unternehmen als auch Softwarehersteller. Denn laut einer neuen Studie von PAC (CXP Group) waren im April 2018 nur 19 Prozent der europäischen Unternehmen und Behörden vorbereitet oder arbeiteten an der Umsetzung.
Warum gibt es die EU-DSGVO?
Die DSGVO ist nicht geschaffen für mehr Bürokratie oder um Unternehmen noch mehr Arbeit zu machen. Im Gegenteil, sie reguliert endlich das, was in viele Unternehmen sehr schlecht bis gar nicht umgesetzt ist: Den respektvollen Umgang mit persönlichen Daten. Die einheitlichen Regeln geben vor, wie die Verarbeitung, Speicherung und die Weitergabe personenbezogener Daten erfolgen darf. Gemäss Artikel 32 DSGVO haben Verantwortliche und deren Auftragsverarbeiter geeignete technische und organisatorische Massnahmen zu treffen, um ein entsprechendes Schutzniveau personenbezogener Daten zu gewährleisten.
Was sich trocken anhört hat zum Ziel persönliche Daten vor dem Missbrauch durch Organisationen zu schützen. Und, dass das notwendig ist, zeigen die Datenskandale der letzten Wochen und Monate zu genau.
Gilt die EU-DSGVO auch für Schweizer Unternehmern?
Grundsätzlich gilt die DSGVO für alle Unternehmen, die in der EU ansässig sind. Allerdings müssen sich auch aussereuropäische Unternehmen an die neuen Regelungen halten. Das gilt aber nur wenn sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten. Letzteres gilt wohl für die meisten Schweizer Online-Shops.
Dabei sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen beziehungsweise Daten, die auf eine identifizierbare Person zurückschliessen lassen. Daher reicht die Möglichkeit der Identifizierung einer Person aus und kann schon, neben den klassischen Angaben wie Name, Adresse oder Kontonummer, auch die E-Mail-Adresse, Standortdaten, IP-Adressen oder Cookies sein.
Unlängst hat die Neue Zürcher Zeitung getitelt EU-Datenschutzverordnung tangiert auch die Schweiz und kommt zum Schluss Die Regulierung zwingt Firmen, den Datenschutz ernst zu nehmen.
Sofern Du also nicht in die EU lieferst, berührt Dich die Verordnung nicht. Gehörst Du aber zum Grossteil unserer Kunden und versendest Deine Ware in EU-Staaten gelten die folgenden Punkte auch für Dich und Deinen Online-Shop:
Die Grundsätze der DSGVO
Die Datenschutz-Grundverordnung ist ein langes Werk. Doch die Grundsätze und wichtigsten Artikel lassen sich für Shopbetreiber zusammen fassen.
- Verbot mit Erlaubnisvorbehalt
Du darfst Daten nur mit ausdrücklicher Genehmigung speichern. - Datensparsamkeit
Du darfst nur so viele Daten erheben wie Du für den Handel benötigst. - Zweckbindung
Du darfst die Daten nur dafür verwenden, wofür Du sie erhalten hast. - Datensicherheit (Artikel 32 DSGVO)
Verantwortliche und deren Auftragsverarbeiter sind für die Sicherheit der Daten verantwortlich.
Recht auf Vergessenwerden (Recht auf Löschung, Artikel 17 DSGVO)
Bisher vorrangig auf Suchmaschinen bezogen, gilt es jetzt für alle Daten: Der Anspruch, dass die eigenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Dazu reicht es aus, dass Dir Kunden die weitere Nutzung untersagen.
Recht auf Datenübertragbarkeit (Datenportabilität, Artikel 20 DSGVO)
Damit haben Nutzer das Recht ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen weiterzugeben. In wie weit sich das auf Online-Shops auswirkt ist noch unklar.
Die Rechenschaftspflicht (Artikel 5 DSGVO)
Darunter ist zu verstehen, dass Du jederzeit die Einhaltung aller Datenschutzprinzipien nachweisen können musst. Bisher war es umgekehrt: Die Behörden mussten Dir nachweisen, dass Du gegen den Datenschutz verstösst. Nun musst Du beweisen, dass Du es nicht machst.
Einwilligungen einholen
Das ist schon aus der Einwilligung zum Erhalt eines Newsletters bekannt: Benutzer müssen aktiv der Speicherung und Verwendung Ihrer Daten zustimmen. Wichtig dabei ist, dass Du das nachweisen kannst. Also, Dokumentation nicht vergessen!
Einwilligung bei Minderjährigen (Artikel 7 DSVGO)
Ein guter Gedanken, doch wie er sich online umsetzen lässt, muss sich in der Praxis herausstellen. Denn die Datenschutzgrundverordnung regelt jetzt ein einheitliches Mindestalter für die Einwilligung. Das heisst, unter 16 Jahren ist jegliche Einwilligung nur wirksam, wenn die Eltern damit einverstanden sind. Doch, es ist Sache des Shop-Betreibers nachzuweisen, ob und wie die Einwilligung zustande kam.
Koppelungsverbot
Damit untersagt die Verordnung, dass das die Einwilligung zum Speichern der Daten nicht an einer bezahlten Gegenleistung hängen darf. In der Praxis wirkt sich das in einem Online-Shop vor allem auf das Anlegen eines Kundenkontos aus. Du musst Deinen Kunden die Möglichkeit geben eine Bestellung auch dann abzuschließen, wenn er kein Kundenkonto anlegt. Damit bist Du berechtigt die Daten nur für die eine Bestellung zu nutzen. Du darfst die Daten nicht anderweitig verknüpfen und verwenden.
Da sich das Koppelungsverbot nur auf Bezahldienste bezieht ist es weiter erlaubt zum Beispiel eine E-Mail gegen ein kostenloses E-Book „zu tauschen“.
Muss ich meine Rechnungen anonymisieren?
Die Unsicherheit bei vielen Unternehmern ist genau die Frage, welche personenbezogenen Daten am Ende zu löschen sind, wenn der Kunde seine Einwilligung widerruft. Natürlich müssen Rechnungen nicht gelöscht oder anonymisiert werden. Denn neben der Einwilligung durch den Kunden, gelten noch gesetzliche Vorschriften. Wenn ein Gesetz oder eine Verordnung das Unternehmen zur Speicherung der Daten verpflichtet, wie auf einer Rechnung, dann hat diese Vorgabe Vorrang vor dem Recht auf Löschen oder dem Widerspruch zur Speicherung der Daten.
Um genau festzuhalten welche Daten Du weshalb und auf welcher Grundlage erhebst, solltest Du ein sogenanntes Verfahrensverzeichnis führen. Das kann eine Excel-Tabelle oder eine Papierliste sein. Diese Liste ist dann Deine Grundlage für die Auskunftspflicht gegenüber Behörden und Kunden.
Darf ich meinen Kunden noch E-Mail-Werbung schicken?
Wie auch bei Openstream, schicken Unternehmen gerne Newsletter an ihre Kunden. Das darfst Du, zumindest in Deutschland, gerne weiter machen. Denn gemäß §7 UWG darf Werbung, unter Verwendung elektronischer Post, an Bestandskunden versendet werden. Daher benötigst Du kein spezielles Einverständnis dafür, musst aber den Empfänger jederzeit die Möglichkeit geben dem Erhalt der elektronischen Werbung zu widersprechen.
Muss ich meine Datenschutzerklärung anpassen?
Auf jeden Fall! Natürlich nur, wenn Du auch Kunden in der EU belieferst! Zudem ist die Nennung eines Datenschutzbeauftragten bei Online-Shops Pflicht (Artikel 35 DSGVO). Das gilt jedoch erst bei Unternehmen mit mehr als zehn Mitarbeitern, die mit personenbezogenen Daten zu tun haben. Ebenso darf in der Datenschutzerklärung der Grundsatz der Freiwilligkeit nie ausgehebelt und sie muss verständlich formuliert sein. Es darf auch kein wichtiger Passus mehr „im Kleingedruckten“ versteckt sein.
Sind WooCommerce und Magento EU-DSVGO konform?
Zum aktuellen Zeitpunkt (Anfang Mai 2018) können wir klar sagen: nein! Beide Shop-Systeme sind Software die es den Online-Shop-Betreibern ermöglichen sollten das eigene Online-Geschäft EU-DSGVO-konform zu halten. Das fängt schon mit „Kleinigkeiten“ an wie dem Benutzer Zugang zu allen Daten zu geben als auch die Möglichkeit zu schaffen, dass Kunden Ihr Konto selbstständig löschen oder Ihre Daten herunterladen können.
Für uns unverständlich ist es, dass es bis heute keine Lösung von den Shop-Entwicklern gibt, da die EU-DSGVO ja bereits seit dem 21. Mai 2016 in Kraft getreten ist und in wenigen Wochen die Übergangfrist endet.
Unsere Recherchen haben für Magento bisher keinen Termin für ein Update, weder für Version 1.x noch 2.x, geliefert. Zwar ist es aus verschiedenen Kanälen zu hören, dass Magento „rechtzeitig“ Softwareupdates liefert, doch wie sich rechtzeitig definiert – wenn die Verordnung schon seit zwei Jahren in Kraft ist – ist fraglich.
WordPress hingegen gab kürzlich bekannt, dass es das Update 4.9.6 am 15. Mai 2018 erscheinen und WordPress DSGVO konform machen soll. Genaueres dazu ist im Blogbeitrag Roadmap: tools for GDPR compliance zu lesen. WooCommerce lässt sich hingegen bis zum 23. Mai 2018 Zeit um ein passendes Update zu liefern. Wie WooCommerce an der Umsetzung arbeitet beschreibt der Blogartikel How we’re tackling GDPR in WooCommerce core.
Personenbezogenen Daten sind überall!
Auch wenn Du keinen Online-Shop betreibst gehörst Du mit 99%iger Sicherheit zu den Unternehmen, die zur Einhaltung der EU-DSGVO verpflichtet sind. Denn unter personenbezogene Daten fallen auch die gesammelten Daten von Google Analytics, Kontaktformularen, Newsletter-Anmeldungen, IP Adressen aus Server-Statistiken, Facebook Like Button und so weiter.
Auch E-Mails sind betroffen
Am Rand sei erwähnt, dass nicht nur die gespeicherten Daten von Kunden, Lieferanten und Mitarbeitern betroffen sind, sondern auch die E-Mail in den Fokus der EU-DGSVO rückt. Denn auf dem Weg von Server zu Server speichern diese die Nachrichten zwischen. Sind die Texte unverschlüsselt, können Angreifer ihre Inhalte leicht abgreifen und für ihre Zwecke missbrauchen – zum Beispiel, um finanziellen Schaden oder einen Imageverlust anzurichten. Die einzige Lösung kann nur sein E-Mails zu verschlüsseln.
Fazit
Die EU-DGSVO ist das Monster, das wir riefen mit unserer Forderung auf mehr Datenschutz. Dass Unternehmen mit Daten sehr sorglos umgehen – sei es sie nicht zu schützen oder aktiv weiter zu geben – zeigen die vergangenen Ereignisse. Die Verordnung macht in aller Deutlichkeit klar, wo sich überall personenbezogenen Daten befinden. Denn nur so lässt sich schlussfolgern, warum die Umsetzung den Unternehmen dermassen viele Probleme machen. Im Grunde lässt sich sagen, wenn ein Unternehmen schon in der Vergangenheit respektvoll mit den Daten anderer umgegangen ist, hat es kaum Mehraufwand die weiteren notwendigen Punkte der DGSVO umzusetzen. Bleibt nur noch zu hoffen, dass Magento, WordPress und WooCommerce rechtzeitig Updates ausliefern.
(Bilder von Fotolia: Grecaud Paul und vector_master)
Pingback: Keine Angst vor dem digitalen Wandel im E-Commerce – Openstream