Worauf vor allem kleine Geschäfte achten sollten
Der Einzelhandel arbeitet nah am Kunden und verarbeitet wohl mehr personenbezogene Daten als manchem bewusst ist. Große Handelsketten müssen in der Regel vom Gesetz her einen Datenschutzbeauftragten stellen und weisen in den meisten Fällen ein recht funktionierendes Datenschutzkonzept vor. Die Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) ist aber für alle Unternehmen, damit auch für alle Geschäfte im Einzelhandel verpflichtend, was gerade bei kleinen Geschäften zu Unsicherheiten und nicht zuletzt zu Problemen in der Praxis führt.
In unserem Blog möchten wir von Datenschutzberater.NRW heute aufzeigen, was Unternehmen in der Einzelhandelsbranche beachten müssen, um personenbezogenen Daten DSGVO-konform zu verarbeiten.
Personenbezogene Daten im Einzelhandel – Was, wo, wie viel ist erlaubt?
Viele sehen den Datenschutz und die DSGVO als notwendiges Übel oder gar als eine Schikane, die es kleinen Unternehmen unnötig schwer macht, sich im Dschungel der Vorschriften auszukennen. Betrachten wir aber den Einzelhandel, so sehen wir hier sehr deutlich, welche wichtige Rolle der Datenschutz spielt. Wir geben freiwillig oder unfreiwillig viele personenbezogene Daten preis und diese müssen entsprechend geschützt werden. Aus Sicht des Verbrauchers ist das eigentlich nur logisch und verständlich. Im Alltag stellen sich aber gerade für kleine Einzelhändler wichtige Fragen in der Umsetzung.
Was darf überhaupt verarbeitet werden? Die EU-DSGVO regelt grob gesagt den Schutz und den Umgang mit personenbezogenen Daten, also jenen Daten, mit denen eine natürliche Person einwandfrei identifiziert werden kann. Grundsätzlich sind die Erfassung und die Speicherung solcher Daten verboten, es sei denn, es gibt eine gesetzlich verpflichtende Grundlage, die dies notwendig macht oder der Betroffene gibt seine Einwilligung dazu.
Genauso wie bei allen anderen Unternehmen gelten auch im Einzelhandel grundlegend die gleichen Pflichten im Datenschutz. Natürlich betreffen die personenbezogenen Daten nicht nur die der Kunden, sondern auch alle weiteren Daten (Mitarbeiter, Interessenten, Lieferanten usw.). Sich auf alle Daten und Grundlagen des Datenschutzes zu beziehen würde jedoch den Rahmen unseres Blogs sprengen. Auch werden wir hier nicht auf die einzelnen gesetzlichen Vorgaben der DSGVO eingehen – dies haben wir bereits in vergangenen Blogs getan. Klar sein muss man sich aber, dass der Datenschutz im Einzelhandel eine besondere Rolle spielt. Nehmen wir allein das Beispiel der Kartenzahlung heraus, so sehen wir, dass im Einzelhandel sehr empfindliche Daten verarbeitet werden. Schon aufgrund von diesen Kartenzahlungen oder der immer populärer werdenden Kundenkarten, muss ein Unternehmen im Einzelhandel Verfahrensverzeichnisse führen. Kommen dann noch Bestellungen der Kunden im Laden dazu, sollte sich jeder Ladenbesitzer genau mit der Frage auseinandersetzen, wie er welche Daten verarbeiten kann bzw. darf. Auch über die Art und Weise der Zustimmung zur Datenerfassung muss sich jeder Händler genaue Gedanken machen.
Seit Mai 2018 muss ein Unternehmen nachweisen, dass es sich an die DSGVO hält. Daraus ergeben sich dann auch verschiedene, recht umfangreiche Dokumentationspflichten.
Analoge und Digitale Sicherheit
Denkt man an die Sicherheit personenbezogener Daten, kommt es meist in den Sinn, dass Daten elektronisch gespeichert und verarbeitet werden. Natürlich muss sich jeder stationäre Händler daher auch Gedanken über eine ausreichende IT-Sicherheit in seinem Unternehmen machen. Eine ausreichende Firewall und dazugehörige Verschlüsselungen sind unumgänglich und sollten von einem IT-Berater geprüft werden.
Datenschutz und IT-Sicherheit gehören untrennbar zusammen.
Was dabei oft übersehen wird: Auch wenn die Daten nur für eine Bestellung auf dem Papier aufgenommen und aufbewahrt werden – der Datenschutz und die Vorgaben der DSGVO müssen hier genauso eingehalten werden. Sind die Daten, die der Unternehmer für die Bestellung abfragt auch wirklich notwendig, welche gesetzlichen Grundlagen gibt es und welche Informationspflichten müssen berücksichtigt werden – das sind nur einige Fragestellungen. Aber sehr wichtig ist hierbei auch: Sind die personenbezogenen Daten frei zugänglich? Liegen die Bestellungen vielleicht an der Kasse? Wie sind die Mitarbeiter, die mit diesen Daten arbeiten, geschult, liegt eine Vertraulichkeitsverpflichtung vor? Werden die Daten nach der entsprechenden Frist vernichtet? Fragen, die sich die wenigsten Ladenbesitzer im Alltag stellen.
Kundendaten müssen zwingend unzugänglich aufbewahrt werden, egal in welchem Umfang und zu welchem Nutzen Sie die Daten erfassen.
Überwachungskameras und die Datenschutzfolgenabschätzung
Fast in jedem Geschäft gibt es sie: die Überwachungskameras. Was für den Unternehmer vor allem Sicherheit bedeuten soll, muss auch im Datenschutz genaue Aufmerksamkeit bekommen. Neben der Kennzeichnung, dass das Geschäft kameraüberwacht wird – es also Bildaufnahmen von den Kunden gibt – muss auch hier eine genaue Dokumentation der Datenerhebung und der Speicherung, sowie der gesetzlichen Grundlage stattfinden.
Noch wichtiger aber: Verwenden Sie Kameras in Ihrem Geschäft, müssen Sie eine Datenschutzfolgenabschätzung durchführen. Die Aufnahmen einer Kamera gelten als sensible Daten und können nicht ohne weitere Folgen erfasst werden. Löschfristen und gesetzliche Vorgaben sind hier noch einmal wesentlich genauer festgelegt.
Werbung, Geburtstagsgrüße und weiterer Service – Datenpannen
Nachdem Sie nun diesen Artikel bis hierher gelesen haben, wird es Ihnen natürlich klar sein, dass Sie für die Speicherung und Nutzung der personenbezogenen Daten unter Umständen eine Einwilligung benötigen, auch wenn Sie Ihrem Kunden eine Freude machen möchten. Senden Sie zum Beispiel Geburtstagsgrüße, besondere Angebote, Gutscheine (also grob gesagt Werbung), müssen Sie schon bei der Aufnahme der Daten prüfen, ob eine ausdrückliche Einwilligung zur Weiterverarbeitung vom Betroffenen eingeholt werden muss. Das Gesetz spricht hier von einer unmissverständlich abgegebenen Willenserklärung. Ebenso sollte das Widerrufsrecht entsprechend geregelt sein.
Auch weitere Services wie Zahlungen mit EC- oder Kreditkarten, aber auch wichtige Bestandteile des Alltags, zum Beispiel Inkasso-Abwicklungen, bei denen man personenbezogene Daten speichert und verarbeitet, müssen entsprechend der Datenschutzgrundverordnung gepüft werden. Wenn die Daten für die Services durch einen anderen Anbieter verarbeitet werden (z.B. bei Werbemailings, o.ä., die durch Serienbriefe direkt bei einem Anbieter gedruckt werden; Kartenzahlungen; Inkassovorgänge usw.), müssen Unternehmer auch im Einzelhandel prüfen, ob ADV-Verträge notwendig werden (ADV-Verträge = Auftragsdatenverarbeitung durch einen Dritten – Definition in unserem Blog).
Beim Versenden von all diesen Dokumenten kann es natürlich auch zu Datenpannen kommen. Irren ist menschlich und jedem kann bei der Arbeit mit personenbezogenen Daten ein Missgeschick passieren. Wichtig ist, dass sich jeder Unternehmer vorab Gedanken dazu machen sollte, was in einem solchen Fall zu tun ist. Erstellen Sie sich einen Notfallplan, den Sie am Besten mit einem Fachmann durchsprechen.
Infomieren und sensibilisieren Sie Ihre Mitarbeiter dafür, wie in einem solchen Fall zu handeln ist.
Handel im Internet – eine ganz andere Hausnummer
Wer seine Waren auch oder ausschließlich im Internet vertreibt, der muss natürlich noch einmal anders auf die Verarbeitung von personenbezogenen Daten blicken. Die Verwendung von Cookies war ja bereits Thema in unserem Blog.
Da hier noch eine weitere Fülle von Daten verarbeitet wird, müssen auch noch weitere Besonderheiten erfasst werden, auf welche wir zu einem späteren Zeitpunkt in einem Blogartikel eingehen werden.
Mit Datenschutzberater.NRW sicher im Umgang mit personenbezogenen Daten
Als Fazit können wir also festhalten: Viele Unternehmen machen sich über diese und weitere Fragen in der Praxis keine oder nur unzureichende Gedanken – mit oft fatalen Folgen, denn unfreiwillig wird im Alltag zu wenig Wert auf den Datenschutz gelegt. Der Einzelhandel muss aber besonders auf Datenschutz achten, weil er nicht darum herum kommt personenbezogene Daten zu verarbeiten. Wir können auch davon ausgehen, dass sich in Zukunft mit der sich ändernden Technologie, der Umgang mit dem Datenschutz noch wichtiger werden wird. Auch eine funktionierende IT-Sicherheit wird im Wandel der Zeit eine noch größere Rolle spielen.
Mit Datenschutzberater.NRW arbeiten Sie zusammen mit einem starken Partner in Datenschutz und IT-Sicherheit für Köln, Düsseldorf, Bonn und NRW.
Wir erarbeiten Ihnen einen Fahrplan zur Einhaltung der DSGVO, der sich praxisnah auch in Ihrem Unternehmen umsetzen lässt.
Wenn Sie mehr über unser Konzept wissen möchten, kontaktieren Sie uns gerne – wir stellen auch einen externen Datenschutzbeauftragten. Mehr zum Datenschutz finden Sie auch in unserem Angebot.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.