EU-Datenschutz-Grundverordnung – Sind E-Commerce Unternehmen bereit für die neuen Vorschriften?

„Millionen-Geldbußen drohen: Unternehmen verschlafen neue Datenschutz-Verordnung“[1], diese und ähnliche Artikel werden nahezu täglich in der deutschen Presse veröffentlicht. Die Übergangsfrist für die ab dem 25.05.2018 geltende Datenschutz-Grundverordnung endet in nur wenigen Monaten.[2] Für E-Commerce Unternehmen bedeutet der Übergang vom deutschen Bundesdatenschutzgesetz hin zur EU-Datenschutz-Grundverordnung, neue Maßnahmen hinsichtlich des Schutzes personenbezogener Daten treffen zu müssen, da ihnen ansonsten Geldbußen in Milliardenhöhe (Vgl. Art. 83 DSGVO) drohen. Doch sind E-Commerce Unternehmen bereit für die neue Datenschutz-Grundverordnung?

Diese Frage soll die „Analyse zum Umgang der ‚Top 20 Onlineshops’ in Deutschland mit den alten und neuen Datenschutzvorschriften am Beispiel der Datenschutzerklärung“ klären. Die Analyse erfolgt mit der Zielsetzung, zu prüfen, welche Datenschutzvorschriften gemäß dem Telemediengesetz (TMG) umgesetzt wurden und ob bereits Vorkehrungen für die neuen Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) getroffen wurden. Dabei ist zu betonen, dass die DSGVO erst ab dem 25.05.2018 gilt und die Unternehmen demnach noch nicht verpflichtet sind, diese einzuhalten. Des Weiteren ist darauf hinzuweisen, dass die Analyse aus Autorensicht erfolgt und kein juristischer Hintergrund vorliegt.

Die Datenschutzerklärung ist ein Beispiel für ein mögliches Analysekriterium der Datenschutzvorschriften, mit dem Vorteil, dass sie unternehmensübergreifend vergleichbar ist.

Rechtliche Grundlagen der Datenschutzerklärung

Heute: Die Pflicht der Datenschutzerklärung auf Webseiten ergibt sich aus dem Telemediengesetz. Gemäß § 13 Abs. 1 TMG muss der Dienstanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form unterrichten. Dabei muss der Inhalt jederzeit abrufbar sein. Eine konkrete Vorgabe der Darstellungsform der Datenschutzerklärung ergibt sich aus dem § 13 TMG nicht.[3]

Ab dem 25.05.2018: Die Informationsübermittlung muss zukünftig die spezifischen Inhalte des Artikels 13 DSGVO (Vgl. ‚Definition der Analysekriterien‘) enthalten. Gemäß Artikel 12 Abs. 1 DSGVO muss der Verantwortliche Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Des Weiteren dürfen gemäß Art. 12 Abs. 7 DSGVO textuelle Informationen in Kombination mit standardisierten Bildsymbolen bereitstellt werden, um einen Überblick über die beabsichtigte Verarbeitung in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form zu vermitteln.

Analyse der Datenschutzerklärung

Die Analyse basiert auf vier Analysenkriterien, die aus dem rechtlichen Hintergrund resultieren.

  • Auffindbarkeit der Datenschutzerklärung: Der Nutzer muss zu Beginn des Nutzungsvorganges unterrichtet werden und der Inhalt der Unterrichtung muss jederzeit abrufbar sein, das heißt, die Datenschutzerklärung muss von jeder Seite erreichbar sein (Vgl. § 13 Abs. 1 TMG).
  • Inhalt der Datenschutzerklärung:
    • Nach TMG: Unterrichtung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung der Daten des Betroffenen (Vgl. § 13 Abs. 1 TMG)
    • Nach DSGVO: Spezifizierte Inhalte gemäß Artikel 13: Name und Kontaktdaten des Verantwortlichen sowie ggf. Vertreter (Vgl. Abs. 1 Buchstabe a DSGVO) , ggf. Kontaktdaten des Datenschutzbeauftragten (Vgl. Abs. 1 Buchstabe b), die Verarbeitungszwecke der personenbezogenen Daten sowie die Rechtsgrundlage für die Verarbeitung (Vgl. Abs. 1 Buchstabe c), Mitteilung über das berechtigte Interesse, wenn die Verarbeitung auf Art. 6 Abs. 1 DSGVO beruht (Vgl. Art. 12 Abs. 1 Buchstabe d), Empfänger oder Kategorien von Empfängern von personenbezogenen Daten (Vgl. Abs. 1 Buchstabe e DSGVO), Information über Dauer oder ggf. Kriterien der Festlegung der Dauer der Speicherung von personenbezogenen Daten (Vgl. Abs. 2 Buchstabe a DSGVO), Informationen über das Bestehen des Rechtes auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruch der Datenübertragbarkeit von personenbezogenen Daten (Vgl. Abs. 2 Buchstabe b), Information über das Widerrufsrecht der Einwilligung (Vgl. Abs. 2 Buchstabe c), Information über das Bestehen des Beschwerderechts bei der Aufsichtsbehörde (Vgl. Abs. 2 Buchstabe d), Information, ob Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für Vertragsabschluss erforderlich und welche Folgen Nichtbereitstellung hätte (Vgl. Abs. 2 Buchstabe e DSGVO). Abs. 1 Buchstabe f und Abs. 3 sind nicht Bestandteil der Analyse, da es bei keiner Weitergabe der Daten an Dritte bzw. keiner Weiterverarbeitung der Daten für einen anderen als den vorgesehenen Zweck zu einer Verfälschung der Ergebnisse kommen würde.
  • Verständlichkeit der Datenschutzerklärung: Allgemein verständliche Form (Vgl. § 13 Abs. 1 Satz 1 TMG) bzw. klare und einfache Sprache (Vgl. Art. 12 DSGVO)
  • Darstellungsform der Datenschutzerklärung:
    • Nach TMG: keine konkrete Vorgabe der Darstellungsform der Datenschutzerklärung, lediglich eine allgemein verständliche Form (Vgl. § 13 TMG)
    • Nach DSGVO: präzise, transparente, verständliche und leicht zugängliche Form sowie ggf. die Verwendung von standardisierten Bildsymbolen gemäß Art. 12 Abs. 7 DSGVO
    • Inhaltlicher Aufbau nach dem Muster des Bundesministeriums der Justiz und für Verbraucherschutz und der von IBM geleiteten Plattform „Verbraucherschutz in der digitalen Welt“
    • Verwendung eines „Onepagers“ („[…] eine einfache, konzentrierte Information über die wesentlichen Datenverarbeitungen. Wichtige Aussagen zur Datenverarbeitung werden in smarten Informationskomplexen zusammengefasst. Nutzer können durch ein ‚Mouseover’ oder mit einem Link weitere Details erfahren.“) zur Schaffung von mehr Transparenz.[4]

Ergebnisse der Analyse

Die Analyse des Umgangs der „Top 20 Onlineshops“ mit den neuen und alten Datenschutzvorschriften am Beispiel der Datenschutzerklärung haben gezeigt, dass die analysierten Unternehmen die alten Datenschutzvorschriften nach dem Telemediengesetz einhalten, in der Umsetzung der DSGVO jedoch Nachholbedarf aufweisen.

Datenschutz-Grundverordnung
Abbildung 1: Eigene Darstellung der Analyseergebnisse

 

Die Ergebnisse der Darstellungsform weisen die größten Unterschiede in der Umsetzung auf:

Die Unternehmen Zalando, notebooksbilliger, bonprix, ALTERNATE, H&M, BAUR, Apple, Thomann, Esprit, myToys, Mindfactory und zooplus verwenden textuelle Datenschutzerklärungen, die zwar mit Zwischenabschnitten getrennt werden, jedoch keine internen Verlinkungen besitzen (Vgl. Abbildung 2). Zalando verwendet einen zusätzlichen „Onepager“ mit Bildsymbolen (Vgl. Abbildung 3).

Datenschutz-Grundverordnung
Abbildung 2: Textuelle Datenschutzerklärung (Quelle: zalando.de, Abgerufen am 11.12.2017)
Datenschutz-Grundverordnung
Abbildung 3: „Onepager” mit Bildsymbolen (Quelle: zalando.de, Abgerufen am 11.12.2017)

Die Unternehmen Amazon, MediaMarkt, Cyberport, Conrad Electronic, Tchibo und Saturn verwenden interne Navigationslinks und daraus resultierede Zwischenabschnitte. Das Unternehmen Tchibo arbeitet zudem mit einer Funktion „Mehr zum Thema“, die weiterführende Informationen zum entsprechenden Thema aufklappt.

Das Unternehmen OTTO geht noch einen Schritt weiter und lehnt die Darstellung ihrer Datenschutzerklärung an einen „Onepager“ an. Es werden Leisten mit einzelnen Fragestellungen und aufklappbaren Antworten verwendet (Vgl. Abbildung 5). Dabei orientiert sich der inhaltliche Aufbau des „Onepagers“ an dem Muster des Bundesministeriums der Justiz und für Verbraucherschutz und der von IBM geleiteten Plattform „Verbraucherschutz in der digitalen Welt“. Zudem werden ergänzende Informationen in einem textuellen Datenschutzhinweis angegeben.

Datenschutz-Grundverordnung
Abbildung 4: „Onepager“ (Quelle: otto.de, Abgerufen am 11.12.2017)

Fazit

Die EU-Datenschutz-Grundverordnung wird die deutschen Onlineshop-Betreiber vor eine große Herausforderung stellen, weil sie trotz vieler Parallelen zum deutschen Bundesdatenschutzgesetz und zum Telemediengesetz, deutlich umfangreicher und spezifischer in ihren Anforderungen ist. Diese Spezifikation lässt den Unternehmen weniger Freiraum in der Umsetzung der Gesetze.

Die Analyse der alten und neuen Datenschutzvorschriften am Beispiel der Datenschutzerklärung hat gezeigt, dass die 20 umsatzstärksten deutschen Onlineshops einen nicht unerheblichen Aufholbedarf haben, um den Anforderungen der Datenschutz-Grundverordnung gerecht zu werden. Dieser Aufholbedarf bezieht sich insbesondere auf die inhaltliche Vollständigkeit und die transparente Darstellung der Datenschutzerklärung.

Literaturverzeichnis

[1] Vgl. Focus Online. (13. 12 2017). Abgerufen am 15. 12 2017 von https://www.focus.de/finanzen/news/unternehmen/gefaehrliche-wissensluecken-millionenschwere-geldbussen-drohen-unternehmen-unterschaetzen-neue-datenschutz-verordnung_id_7695319.html.

[2] Datenschutz-Grundverordnung DSGVO. (2016). Abgerufen am 27. 11 2017 von intersoft consulting: https://dsgvo-gesetz.de.

[3] Vgl. Telemediengesetz. (2007). Abgerufen am 06. 12 2017 von https://www.gesetze-im-internet.de/tmg/

[4] Vgl. Bundesministerium der Justiz und für Verbraucherschutz. (2015). Pressemitteilung. Abgerufen am 03. 12 2017 von https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2015/11192915_Vorstellung_OnePager.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert