PaylobbyGuidesE-Commerce › Expertengespräch zur DSGVO: Worauf es bis 25. Mai 2018 ankommt

Expertengespräch zur DSGVO: Worauf es bis 25. Mai 2018 ankommt

Paylobby hat sich mit der Firma Fresh Compliance über die bevorstehende Datenschutz-Grundverordnung unterhalten und was diese für eCommerce und Onlinehandel bedeutet. Die junge Beratungsfirma aus Berlin berät viele Unternehmen der Digitalwirtschaft im Datenschutz und der Datensicherheit und findet einen praxisnahen Ansatz wichtiger als Panikmache.

Was rät man Kunden im eCommerce für gewöhnlich als Erstes mit Blick auf die neuen Datenschutzanforderungen zur Deadline 25. Mai?

Fresh Compliance: In vielen Fällen müssen wir die Unternehmen erstmal beruhigen, da viel Panikmache in den Medien betrieben wurde. Gerade europäische Onlineshops sind häufig schon ganz gut aufgestellt und haben z.B. ordentliche Datenschutzerklärungen parat und sogar Datenschutzbeauftragte benannt. Es stimmt, am 25. Mai endet die Umsetzungsfrist der Verordnung, diese gilt aber auch für die nationalen Gesetzgeber in der EU. Viele sind Ihren Pflichten nicht nachgekommen, bestimmte Regelungsinhalte zu konkretisieren. Wir glauben, dass die nationalen Aufsichtsbehörden nicht sofort und gnadenlos den Bußgeldhammer schwingen werden. Es gibt ja noch den Grundsatz der Verhältnismäßigkeit.

Bis zum 25. Mai muss also kein perfektes Datenschutzniveau vorherrschen?

Fresh Compliance: Nein, es reicht, wenn man sich in der Umsetzung befindet und an den großen „Baustellen“ arbeitet. Einige Punkte haben natürlich Priorität. Zum Beispiel die Betroffenenrechte, also wenn ein Endkunde meines Onlineshops möchte, dass ich sein Benutzerprofil lösche oder mitteilen soll, welche seiner Daten ich an Logistikpartner und Bonitätsauskunft weitergegeben habe. Das Augenmerk liegt auf den gesteigerten Transparenzpflichten, auch seitens der Kontrollinstanzen. Der Endkunde sollte jederzeit wissen, was mit seinen Daten passiert.

Welche der „Baustellen“ begegnen euch mit Blick auf die DSGVO im eCommerce Umfeld öfter?

Fresh Compliance: Wir erleben es immer wieder, dass man das Thema Auftragsverarbeitung eher nachrangig behandelt hat, also keine Datenschutzverträge abschließt. Gerade im Bereich Payment-Dienstleister kann das ein Problem sein. Wenn ich eine internationale Plattform mit zig White Label Zahlungsmöglichkeiten anbiete, darf ich das einerseits nicht vor dem Kunden verheimlichen, sondern muss das klar kennzeichnen. Andererseits muss ich einen Auftragsverarbeitungsvertrag oder auch Data Processing Agreement mit dem externen Dienstleister abschließen, sofern die personenbezogenen Daten vom Endkunden in meinem Auftrag übermittelt werden.

Man hört immer wieder, dass Einwilligungen mit der DSGVO das Mittel der Wahl sind? Wie sieht es hier mit interessensbasierter Werbung und Tracking aus?

Fresh Compliance: Tatsächlich kann eine Einwilligung ein rechtssicheres Mittel darstellen, sofern meine Checkboxen in einer einfachen und verständlichen Sprache formuliert sind. Aber auch die DSGVO kennt noch andere Legitimationen, allen voran Interessenabwägungen und die, womöglich bestehende, vertragliche Ausgangsbasis mit dem Endkunden. In den Erwägungsgründen (*Erläuterungen vom Gesetzgeber) der DSGVO ist hier sogar explizit Marketing aufgeführt. Werbetracking und Analytics auf der Webseite haben nach wie vor ihre (legale) Daseinsberechtigung. Nochmal: Entscheidend ist, dass ich den Benutzer darüber informiere und ihm eine Opt-Out-Möglichkeit biete, z.B. in der Datenschutzerklärung.

Ihr habt von Panikmache gesprochen, wie beurteilt Ihr die neue ePrivacy Verordnung, die ja auch in den Startlöchern steht und viele Änderungen für augenscheinlich alle Webseitenbetreiber bereithalten dürfte?

Fresh Compliance: Nach aktuellem Stand kommt das neue „Cookie Gesetz“ erst 2019. Hier wird gerade viel Lobbying und Verbandsarbeit betrieben. Im Gegensatz zur DSGVO kennt die ePrivacy Verordnung – zumindest nach aktuellem Stand – tatsächlich primär die ausdrückliche Einwilligung als Mittel der Wahl um z.B. meine zu setzenden Cookies in meinem Onlineshop gegenüber einem Besucher legitimieren. Nachträgliche Opt-Outs wären damit wohl nicht mehr rechtssicher. Wir möchten nicht in die Kristallkugel blicken, aber in einigen Punkten geht die ePrivacy Verordnung der DSGVO diametral entgegen. So oder so: Die ePrivacy Verordnung sollte (noch) nicht mein betrieblicher Anwendungsbereich sein. Das Ziel für die europäischen Unternehmen ist die DSGVO.

Was kommt eurer Meinung nach häufig zu kurz im Datenschutz?

Fresh Compliance: Zunächst die Datensicherheit, also der Kernbereich technischer Schutzmaßnahmen. Unternehmen werden hier durch die DSGVO mit ganz neuen Anforderungen konfrontiert, die man nur kennt, wenn man schon mit ISO 27001, BSI Grundschutz oder PCI-DSS zu tun hatte. Beispielsweise ergeben sich neue Nachweispflichten über die Belastbarkeit von Systemen. Je nachdem wie schutzwürdig meine Kundendaten sind (risikobasierter Ansatz), werde ich mir überlegen müssen, einen Dienstleister für Pentests und Schwachstellenanalysen einzusetzen. Wichtig ist, dass man kontinuierlich nachweisen kann, dass man die Daten schützt. Einmal prüfen und dann nie wieder ist nicht der richtige Weg.

Und Datenschutz-Management! Es ärgert uns, wenn dieser Bereich als Dokumentationsthema abgetan wird. Oft sogar von externen Beratern und selbsternannten Datenschutzexperten. Mit der DSGVO soll es ähnlich eines Informationssicherheits-Managementsystems darum gehen, Datenschutz als Management-Aufgabe zu begreifen und Regelprozesse zu schaffen. Es soll eine Unternehmenskultur geschaffen werden, die Datenschutz eben nicht mehr als leidiges Dokumentationsthema begreift, sondern als risikobasierten Geschäftsprozess, der bei jedem Projekt Anwendung findet. Dieses Bewusstsein schafft man nur zusammen mit dem Management und einem entsprechenden Commitment zum Umgang mit Datenschutzrisiken.

Was sind die beliebtesten Fehler auf dem Weg zur DSGVO?

Fresh Compliance: Wir erleben manchmal, dass der Geschäftsführer oder CTO zum Datenschutzbeauftragten benannt wird. Das ist ein Interessenkonflikt, den auch Aufsichtsbehörden nicht akzeptieren. Ein Missverständnis ist zudem, dass die DSGVO nicht anwendbar ist. Selbst in USA und China kann sie einschlägig sein, wenn EU-Kunden meine Zielgruppe sind. Facebook überlegt nicht umsonst, die DSGVO zum Standard zu machen.

 

Fresh Compliance Logo

Fresh Compliance ist ein junges Beratungsunternehmen aus Berlin mit dem Schwerpunkt Datenschutz und Datensicherheit. Zielsetzung der Gründer ist ein praxisnaher und geschäftsorientierter Beratungsansatz, um die Datenschutzgrundverordnung nicht als Problem sondern als Lösung zu begreifen.

Kostenlos Angebot anfordern?

AGBs

  • Ich akzeptiere die AGBs und Datenschutzerklärung