» » » Informationspflichten der Online-Shop-Betreiber

Informationspflichten der Online-Shop-Betreiber

eingetragen in: Datenschutz, E-Commerce, Startups | 0
Datenschutzgrundverordnung (DSGVO)

Die DSGVO als europäisches Sekundärrecht geht im selben Anwendungsbereich den nationalen Datenschutzregelungen vor. So auch insbesondere im Falle der §§ 11 ff. TMG, die nach geltender Rechtslage für den Online-Bereich das speziellere Datenschutzrecht darstellen und das BDSG insoweit verdrängen.

Ab Mai 2018 werden sich die Informationspflichten des Datenverarbeiters im Online-Bereich nicht mehr aus den § 4 Abs. 3, § 33 BDSG und § 13 Abs. 1 TMG, sondern aus den Art. 13 und 14 DSGVO ergeben.

Danach muss im Online-Bereich der Online-Shop-Betreiber künftig folgende Angaben machen:

– Der Verantwortliche ist mit dem Namen und mit seinen Kotaktdaten anzugeben
– Falls ein DSB bestellt ist, ist auch über dessen Namen und Kontaktdaten zu informieren
– Zu nennen ist der Zweck der Datenverarbeitung
– Anzugeben ist die Rechtsgrundlage, auf die sich die Datenverarbeitung stützt
– Falls sich die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f DSGVO ergibt, ist das berechtigte Interesse darzulegen
– Weiterhin sind Empfänger oder Kategorien von Empfängern von personenbezogenen Daten anzugeben
– Anzugeben ist auch der Datentransfer in Drittstaaten, falls dies beabsichtigt ist. Dazu gehört auch, dass der Verantwortliche angeben muss, auf welche Rechtsgrundlage gem. Art. 44 ff. DSGVO er sich dabei stützt. Außerdem sind ggf. Standardvertragsklauseln oder die BCR zugänglich zu machen.
– Nunmehr muss zudem die Speicherdauer angegeben werden oder die Kriterien, nach denen sich die Speicherdauer bestimmt.
– Ferner sind die Betroffenenrechte (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit zu nennen.
– Sollte ein Profiling oder eine Art von automatisierter Einzelfallentscheidung nach Art. 22 DSGVO beabsichtigt sein, ist hierauf hinzuweisen. Dazu gehört auch, dass aussagekräftig über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert werden muss.
– Auch muss über das Beschwerderecht nach Art. 77 DSGVO informiert werden.
– Und darüber, dass bei wirksamer Einwilligung das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
– Sollten die Daten nicht beim Betroffenen erhoben worden sein, dann ist nach Art. 14 DSGVO auch über die Herkunft der Daten zu informieren. Das heißt, es ist die Datenquelle zu nennen, dies gilt auch dann, wenn es sich um öffentlich zugängliche Daten handelt.

Diese Informationen müssen nach Art. 12 Abs. 7 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden. Der Erwägungsgrund 58 sagt in diesem Zusammenhang, dass diese Informationen im Online-Bereich ebenso in elektronischer Form bereitgestellt werden können, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt sind.

Ähnlich wie bereits in § 13 Abs. 1 S. 1 TMG geregelt, bestimmt Art. 13 Abs. 1 DSGVO, dass die Informationen schon bei der Erhebung der Daten mitzuteilen sind. Dies kann aber weiterhin durch einen Link auf die Datenschutzerklärung erfolgen.

Weitere datenschutzrelevante Änderungen im Wechselspiel zum TMG sind hinsichtlich § 15 Abs. 3 TMG zu verzeichnen. Diese Norm erlaubte die pseudonymisierte Erstellung von Nutzungsprofilen zu Marktforschungszwecken ohne die Einwilligung des Betroffenen einholen zu müssen. In der DSGVO fehlt ein entsprechendes Pendant, so dass sich diese Form der Datenverarbeitung nach den allgemeinen Rechtmäßigkeitsvoraussetzungen der DSGVO richtet.

Zusätzlich wird künftig zu alledem, also nicht nur hinsichtlich der Datenschutzerklärung, sondern auch in Bereichen wie Webtracking oder OTT-Dienste usw. zur der DSGVO die ePrivacy-Verordnung ergänzend und/oder ersetzend heranzuziehen sein, so dass diese noch einige Ansätze vollenden wird. Die genauen Regelungen der ePrivacy-Verordnung sind noch abzuwarten.

Kurzes Update zum aktuellen TMG
  • Das Netzwerkdurchsetzungsgesetz (NetzDG), auch „Facebook-Gesetz“ genannt, gilt für Betreiber sozialer Netzwerke mit mindestens 2 Millionen Mitglieder und regelt u.a., dass die Betreiber offensichtlich rechtswidrige Inhalte grundsätzlich innerhalb von 24 Stunden nach Beschwerdeeingang löschen oder sperren müssen. In Bezug auf das TMG haben sich die §§ 14 und 15 TMG geändert.
  • Das Dritte Gesetz zur Änderung des Telemediengesetzes, auch sog. WLAN-Gesetz, soll das Angebot öffentlicher WLAN-Hotspots (z.B. in Cafés, Hotels) fördern. Die Störerhaftung auf Unterlassung für Internetzugugangsanbieter soll rechtssicher abgeschafft werden, nachdem der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) in ihren Urteilen bis zuletzt an der Störerhaftung festhielten. In Bezug auf das TMG ändern sich die §§ 7 und 8 TMG.