Der 25.05.2018 als Stichtag rückt immer näher. Deshalb sorgt die Datenschutz-Grundverordnung (DSGVO) für wachsende Unruhe unter den Onlinehändlern. Viele davon stellen sich die Frage: Benötige ich einen Datenschutzbeauftragten? Im Rahmen einer Serie von Beiträgen möchte die IT-Recht Kanzlei Onlinehändlern komprimiertes Praxiswissen vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Händler eine lösbare Aufgabe ist.
Inhaltsverzeichnis
- Schreckgespenst „Datenschutzbeauftragter“
- Erstes Unterscheidungskriterium: Sind mehr als 9 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt?
- Zwischenergebnis
- Bei maximal 9 mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen meist kein Datenschutzbeauftragter erforderlich
- Für kleinere Onlinehändler besteht im Regelfall also keine Pflicht zum Datenschutzbeauftragten
- Und wenn Sie einen Datenschutzbeauftragten benötigen (oder freiwillig bestellen wollen)
- Fazit
Schreckgespenst „Datenschutzbeauftragter“
Zahlreiche Nachfragen von Händlern bezüglich der Notwendigkeit der Bestellung eines Datenschutzbeauftragten zeugen von erheblicher Unsicherheit der Verkäufer in diesem Bereich.
Viele Werbeangebote für die Stellung eines Datenschutzbeauftragten suggerieren auf den ersten Blick – insbesondere im Zusammenhang mit der nahenden DSGVO – dass jeder Onlinehändler einen Datenschutzbeauftragten benötigen würde.
Die Rechtslage geht eher vom Gegenteil aus: Für die meisten Onlinehändler besteht – auch nach Geltung der DSGVO ab dem 25.05.2018 – keine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Erstes Unterscheidungskriterium: Sind mehr als 9 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt?
Zunächst muss die Anzahl der Personen bestimmt werden, die bei Ihnen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.
Bei der Berechnung der Anzahl der Personen bestimmen Sie bitte die Anzahl der Köpfe. Unerheblich bei der Berechnung ist die Art des Beschäftigungsverhältnisses ( z.B. ob Angestellter, freier Mitarbeiter, Minijob, in Ausbildung) und die Arbeitszeit (Vollzeit/ Teilzeit).
Jeder Kopf zählt als eine Person!
Praxistipp: Wenn bei Ihnen bzw. in Ihrem Unternehmen, welches den Onlinehandel betreibt, mehr als 9 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss von Ihnen immer ein Datenschutzbeauftragter benannt werden.
Eine automatisierte Verarbeitung von personenbezogenen Daten liegt bei Onlinehändlern meist ohne weiteres vor.
Personenbezogene Daten sind etwa die vom Kunden angegebenen Daten zur Bestellabwicklung (wie Name, Anschrift, Email, Telefon).
Automatisiert erfolgt die Verarbeitung der Daten bereits dann, wenn die Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden.
Setzt der Onlinehändler z.B. einen PC mit Mailprogramm oder Textverarbeitung ein, liegt bereits eine automatisierte Datenverarbeitung vor.
Zwischenergebnis
Haben Sie mehr als 9 so tätige Personen beschäftigt, dann muss ein Datenschutzbeauftragter her.
Wenn Sie maximal 9 so tätiger Personen beschäftigen, sind Sie noch nicht raus, sondern: „es kommt darauf an“.
Bei maximal 9 mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen meist kein Datenschutzbeauftragter erforderlich
Wenn bei Ihnen maximal (also bis einschließlich und nicht mehr als) 9 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, benötigen Sie im Regelfall keinen Datenschutzbeauftragten, es sei denn:
- bei Ihnen wird eine Datenverarbeitung vorgenommen, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA) unterliegt. Die üblichen Verarbeitungstätigkeiten eines Onlinehändlers lösen keine DSFA aus. Bei Online-Händlern könnte eine DSFA bei einer automatisierten Bonitätsprüfung in Frage kommen. Im Regelfall wird ein Online-Händler nur dann eine Bonitätsprüfung veranlassen, wenn er selbst in Vorleistung geht. Eine solche Bonitätsprüfung löst aber keine Datenschutz-Folgeabschätzung aus. Die Versagung eines Vertrages bzw. die Verweigerung in Vorleistung zu gehen wegen fehlender Bonität ist keine Beeinträchtigung des Kunden und ist von diesem hinzunehmen. Ebenfalls nicht erfasst von einer DSFA sind personalisierte Werbung und Tracking.
- bei Ihnen werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Dies trifft jedoch auf den typischen Onlinehändler nicht zu, da dessen Haupttätigkeit der Warenvertrieb ist. Hiermit ist die Datenverarbeitung von Auskunfteien, Adresshändlern und Instituten zur Markt- und Meinungsforschung gemeint.
Für kleinere Onlinehändler besteht im Regelfall also keine Pflicht zum Datenschutzbeauftragten
Selbstverständlich können auch Händler, die nicht zu Bestellung eines Datenschutzbeauftragten verpflichtet sind, freiwillig einen solchen bestellen. Da dies meist einen erheblichen Kosten- und Verwaltungsaufwand mit sich bringt, wird dies für kleine Onlinehändler kaum zur Diskussion stehen.
Und wenn Sie einen Datenschutzbeauftragten benötigen (oder freiwillig bestellen wollen)
Die IT-Recht Kanzlei kann Ihnen in Kooperation mit dem "Institut für IT-Recht" der IITR Datenschutz GmbH schon ab 32,5 € monatlich die Stellung eines Datenschutzbeauftragten anbieten.
Nähere Informationen finden Sie hier.
Fazit
Das Thema Datenschutzbeauftragter ist für den durchschnittlichen Onlinehändler, bei dem nicht mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, unbedeutend.
Auch hierzu gilt wiederum: Der „Angreifer“ muss schon Insiderwissen besitzen, um die Anzahl entsprechend beschäftigter überhaupt Personen zu kennen.
Ein besonderes Augenmerk hinsichtlich der DSGVO sollten Onlinehändler aber in jedem Falle auf ihre „Außendarstellung“ legen, also auf all das, was im Rahmen der Internetpräsentation zum Thema Datenschutz nach außen hin erkennbar ist.
Denn: Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitbewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind (z.B. eine veraltete oder lückenhafte Datenschutzerklärung).
Don’t panic – get started!
Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern, Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist.
Nutzen Sie bereits eine DSGVO-konforme Datenschutzerklärung? Die IT-Recht Kanzlei stellt ihren Mandanten bereits seit dieser Woche Datenschutzerklärungen zur Verfügung, die vollumfänglich der DSGVO gerecht werden, um den Mandanten einen Umstieg „auf den letzten Drücker“ zu ersparen.
Profitieren auch Sie von den professionellen Rechtstexten der IT-Recht Kanzlei
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
weitere News
2 Kommentare
Ein kleiner Sanitärbetrieb mit einem 5-Mann Büro, aber 15 Monteuren im Außeneinsatz, die natürlich Adressdaten und erforderliche andere Daten bekommen, um zum Kunden zu fahren. Zählen diese auch zu den mitzuzählenden Leuten?
Hinzu kommt ja der neue Trend, Arbeitsnachweise Am Tablet auszufüllen und sich über Tablets Unterschriften einzuholen.
Oder ein Mitarbeiter, der zwar keinen Zugriff auf individuelle Kundendaten hat, diese aber automatisiert verwendet um bspw mittels eines PDAs zu picken?
Muss die Tätigkeit Haupttätigkeit sein oder genügt es, dass der Mitarbeiter einmal im Monat eine halbe Stunde in einem relevanten Bereich aushilft (Bspw ein Grafikdesigner der mal eben 2-3 Kundenmails beantwortet). Oder sollte man im Zweifelsfall einfach grundsätzlich davon ausgehen, dass jeder, der einen Computer einschalten kann und Zugang zu einem ERP oder vergleichbarem hat bereits betroffen ist? Die DSGVO macht mal so richtig Spaß ;)