Wer neue Lösungen im Handel sucht, der darf die DSGVO nicht vernachlässigen
Neue Zeiten bringen neue Herausforderungen mit sich. Durch die Ausgangsbeschränkungen, die durch das Coronavirus derzeit den Handel quasi stillgelegt haben, steigen immer mehr Händler auf Alternativen zum Ladenlokal um.
Im heutigen Blog auf Datenschutzberater.NRW soll es daher darum gehen, wie Sie Datenschutz und IT-Sicherheit in Onlineshop, Liefer- und Abholservice umsetzen können.
Der Online-Shop
Wenn der Verkauf über ein Ladenlokal nicht mehr möglich ist, so stellen auch lokale Händler immer mehr auf einen Onlinehandel um. Eine Homepage, wenn nicht bereits vorhanden, und ein entsprechender Shop sind sehr schnell und einfach erstellt. Gerade jetzt wo Corona Dienstleistern und Händlern alles abverlangt, ist dies sicher eine gute und schnelle Alternative, um den Umsatz nicht vollkommen einbrechen zu lassen.
Bei den schnellen Lösungen darf man aber die gesetzlichen Vorgaben im Datenschutz nicht aus den Augen verlieren. Auch wenn jetzt sicher erst einmal für jedes Unternehmen die Rettung der Lebensgrundlage im Vordergrund steht: Um zu einem späteren Zeitpunkt nicht mit Strafen rechnen zu müssen, sollten Unternehmer die Datenschutzgrundverordnung (DS-GVO) und das (neue) Bundesdatenschutzgesetz (BDSG) einhalten.
Um den Datenschutz und die Sicherheit des Unternehmens zu gewährleisten, sollte auch die IT-Sicherheit nicht vernachlässigt werden. Gerade wenn diese Art des Handels aus der Not heraus geboren wurde, ist es für die Verantwortlichen nicht selten Neuland.
Bei der Bestellung und bei deren Bearbeitung werden personenbezogene Daten verarbeitet. Hierbei sollte auf jeden Fall immer die gesetzliche Grundlage für die Daten geprüft werden, welche Sie verarbeiten. Nach DSGVO ist die Erhebung personenbezogener Daten verboten und darf nur erfolgen, wenn eine gesetzliche Vorgabe oder eine vertragliche Grundlage dazu besteht. Ansonsten muss das Einverständnis des Betroffenen vorliegen. Aus diesem Grund sollten Betreiber eines Online-Handels immer sehr genau prüfen, welche Daten wirklich notwendig für die Bestellung sind. Welche Daten müssen in welcher Form gespeichert werden und für welche Daten wird das Einverständnis des Betroffenen benötigt.
Bei der Einrichtung eines Online-Shops, gibt es vieles zu beachten, was die Einhaltung der Datenschutz-Grundverordnung angeht. Daher sollte dabei unbedingt der externe oder interne Datenschutzbeauftragte hinzugezogen werden. Aber auch die IT-Sicherheit sollte bei der Lösung von online Bestellungen nicht vernachlässigt werden – ein IT-Spezialist ist für diese Art des Vertriebs ebenfalls ein wichtiger Ansprechpartner.
Prüfen Sie bestehende Verträge und die Datenschutzangaben auf die neue Situation in Ihrem Unternehmen hin. Was hat sich verändert, was muss angepasst werden? Wie und in welchem Umfang werden durch den Hosting-Dienst Daten erhoben, mit welchen Cookies oder Auswertungs-Tools wird gearbeitet. Wir haben Ihnen das wichtigste im Umgang mit Cookies bereits in einem Blog-Artikel zusammengefasst.
Lieferservice und Abholservice – auch analog den Datenschutz einhalten
Für Liefer- und Abholservice gelten die gleichen Grundlagen wie für den Online-Shop. Wenn der Kunde online bestellen möchte, müssen Sie die Internetseite entsprechend DSGVO-konform einrichten. Prüfen Sie, welche Daten erhoben werden dürfen oder sogar erhoben werden müssen – für welche Daten benötigen Sie eine Einverständniserklärung des Betroffenen.
Wer nicht direkt eine Homepage mit einem Onlineshop einrichten und betreiben möchte, der greift derzeit gerne auf den klassischen Lieferservice (z.B. per Telefon) zurück. Auch hier greift der Datenschutz. Bei der Bestellung werden in der Regel personenbezogene Daten, wie zum Beispiel Name, Adresse oder Telefonnummer, aufgenommen und notiert. Anders, als viele vielleicht denken unterliegen diese Daten ebenfalls dem Datenschutz nach der EU-DSGVO und dem neuen BDSG.
Das bedeutet, dass auch bei einer telefonischen oder persönlichen Bestellung die Betroffenenrechte im Datenschutz eingehalten werden müssen. Das heißt aber auch, dass die Betreiber des Liefer- oder Abholservice dafür Sorge tragen müssen, dass die Daten der Kunden geschützt werden. Gerade bei vermeintlich einfachen Handlungen im Alltag können Fehler im Datenschutz entstehen.
Wenn Bestellungen beispielsweise über mehrere Telefone entgegengenommen werden, sollte sichergestellt sein, dass der Apparat in der Warteschleife auf lautlos gestellt ist, damit der andere Teilnehmer nicht Dinge wie Name oder gar Adresse und Telefonnummer des anderen hören kann. Das gleiche gilt natürlich auch bei der Annahme von Bestellungen am Abholtresen.
Außerdem sollte darauf geachtet werden, dass auch handschriftliche Daten von Kunden nicht einfach für andere zugänglich entsorgt, sondern auch entsprechend vernichtet werden. Worauf Sie bei der Vernichtung von Daten und Dokumenten achten sollten, können Sie in unserem Blog nachlesen.
Ein Lieferservice auch ohne Online-Shop, der sich vor allem für kleinere Gewerbetreibende (z.B. Blumenläden, Buchhandel, Pizzerien, lokale Einzelhändler, Bäckereien und Restaurants im Allgemeinen) anbietet, stellt also auch im Datenschutz durchaus eine Herausforderung dar. Oft reicht es aus, sich durch einen Fachmann (z.B. Datenschutzberater) für dieses Projekt beraten zu lassen.
Anforderungen der DSGVO
Egal wie und wofür Sie personenbezogene Daten erfassen, stellen Sie also sicher, dass Sie den Datenschutz einhalten. Dabei ist es unerheblich, ob Sie die Daten digital oder analog (selbst handschriftlich) erfassen oder verarbeiten. Das bedeutet auch, dass Sie die vertragliche Grundlage prüfen müssen, aufgrund der Sie die Daten erfassen. Grundlegende Fragen dabei sind: Welche Daten darf ich zu welchem Zweck überhaupt erfassen? Ab wann benötige ich die Einverständniserklärung des Betroffenen? Wie kann ich die Betroffenenrechte einhalten?
Das bedeutet ganz konkret, dass der Verantwortliche Verarbeitungsverzeichnisse (VVT) für jeden Vorgang erstellen und dokumentieren muss, bei dem personenbezogene Daten eine Rolle spielen. Außerdem muss sichergestellt und dokumentiert werden, dass die Daten durch technisch-organisatorische Maßnahmen (TOMs) geschützt werden. Dazu gehört die IT-Sicherheit genauso wie das Schließsystem an Türen oder Schränken. Es müssen Löschkonzepte erstellt werden, die sicher stellen, dass die Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist in einer ausreichenden Art und Weise vernichtet werden.
Je nachdem welche Art von Daten Sie verarbeiten, kann es auch nötig sein eine Datenschutzfolgenabschätzung und in diesem Zusammenhang eine Schwellwertanalyse zu erstellen. Hierbei wird grob gesagt das Risiko bewertet, das für die personenbezogenen Daten entstehen kann. Als logische Folge aus dieser Risikobewertung muss dann auch ein entsprechendes Sicherheitskonzept erstellt werden. Wenn Sie bisher keinen Datenschutzbeauftragten berufen mussten, kann sich dies durch die Erfassung von besonderen Arten personenbezogener Daten ändern.
Wenn Sie die Daten von Bestellungen mit einem Tool verarbeiten oder beispielsweise auch bei Kartenzahlungen, sollten Sie auf jeden Fall prüfen, ob ein Vertrag für die Auftragsdatenverarbeitung (ADV-Vertrag) vorliegt. Immer, wenn die personenbezogenen Daten durch einen Dritten verarbeitet werden, sollte hierzu ein ADV-Vertrag abgeschlossen werden.
Nachweispflicht der Verantwortlichen
Nach den Vorgaben der Datenschutzgrundverordnung, sind die Verantwortlichen dafür zuständig, die Einhaltung des Datenschutzes zu dokumentieren. Das bedeutet, dass sämtliche Vorgänge, die in diesem Zusammenhang erstellt werden, auch schriftlich erfasst und auf Nachfrage der zuständigen Aufsichtsbehörde vorgelegt werden müssen. Langfrsitiges Ziel ist es dann ein umfassendes Datenschutzmanagementsystem zu erstellen, dass sich durch Verbesserungsprozesse immer weiterentwickelt, um einen umfassenden Datenschutz zu gewährleisten.
Auch wenn die Einrichtung eines Shops auf Ihrer Internetseite oder einem Abhol-/bzw. Lieferservice momentan nur eine Notlösung ist und auf lange Frist unter Umständen wieder verschwindet: alle Verarbeitungen von personenbezogenen Daten unterliegen diesen Vorgaben.
Datenschutzbeauftragter und der Zuständige für die IT-Sicherheit sollten bei allen neuen Projekten für das Unternehmen, welches personenbezogene Daten betrifft auf jeden Fall dazu gezogen werden. Beachten Sie dabei aber, dass der IT-Spezialist nicht auch gleichzeitig der richtige Ansprechpartner für den Datenschutz sein sollte – nach DSGVO ist dies nicht zulässig. Ein Datenschutzberater sollte aber trotzdem einen gewissen Background im Thema IT haben, um Ihnen bei der entsprechenden Lösung helfen zu können.
Was für Unternehmen gilt, darf auch von Vereinen und anderen Organisationen nicht vergessen werden. Auch wenn in der derzeitigen Lage die Versorgung der Betroffenen und die Aufrechterhaltung eines gewissen Betriebs durchaus im Vordergrund stehen sollte, darf der Datenschutz auf mittelfristige Sicht hin nicht aus den Augen verloren werden. Durch Verletzungen im Datenschutz drohen dann unter Umständen Sanktionen und schmerzhafte Strafen, die das Unternehmen zusätzlich belasten.
Der Datenschutzbeauftragte
Die aktuelle Situation verlangt uns allen derzeit einiges ab und neue Wege müssen gegangen werden. Die Digitalisierung in Deutschland entwickelt sich gerade rasant, aber auch die klassischen Wege, die jetzt durch die Corona-Pandemie eingeschlagen werden müssen, sollten auf mögliche Schwierigkeiten im Datenschutz geprüft werden.
Der externe Datenschutzbeauftragte (DSB) eines Unternehmens ist dafür immer der beste Ansprechpartner. Wenn Sie keinen DSB stellen müssen, dann kann das ein Datenschutzberater übernehmen. Dieser kann Ihnen helfen, die Situation neutral und sicher zu bewerten.
Wir von Datenschutzberater.NRW bieten Ihnen praxisnahe, umsetzbare und individuelle Konzepte für Ihre Projekte an – auch für kurzfristige Lösungen haben wir die richtigen Maßnahmenpakete. Unsere Leistungen umfassen unter anderem: externer Datenschutzbeauftragter (TÜV), Datenschutz-Erstberatung, Datenschutz-Audit, IT-Audit und GoBD-Beratung für Köln, Bonn, Düsseldorf und ganz NRW.
Egal ob Sie eine langfristige und regelmäßige Betreuung benötigen oder projektbezogen eine Einschätzung brauchen, unser Team aus dem Bereich Datenschutz, Buchhaltung und IT berät Sie gerne. Sie erreichen uns über FREECALL, per Mail oder über unser Kontaktformular.
Lesen Sie auch unseren Blog zum Thema „Datenschutz im Einzelhandel“.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.