Kleinere Online-Händler sind durch die Vorgaben der künftigen Datenschutz-Grundverordnung überfordert

Auch kleine und mittlere Online-Händler haben die umfangreichen Vorgaben der ab 28.5.2018 geltenden Datenschutz-Grundverordnung als sogenannte Verantwortliche zu beachten und sind drakonischen Sanktionsandrohungen bei Nichtbeachtung ausgesetzt. Laut Datenschutz-Grundverordnung sollten eigentlich die Belange von Kleinunternehmen berücksichtigt werden. Ein gutes halbes Jahr vor Geltung der Datenschutzgrundverordnung ist davon nichts zu spüren.

Die künftige Datenschutz-Grundverordnung bürdet Online-Händlern als sogenannten Verantwortlichen eine Unzahl von Pflichten auf, wie beispielsweise (nicht abschließend):

• Sie haben technisch-organisatorische Maßnahmen zu treffen wie bauliche Maßnahmen, Sicherung der Soft- und Hardware. Die umfangreichen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik sind nach dem deutschen Anpassungsgesetz der Verordnung jetzt verpflichtende Vorgaben geworden.
• Sie haben bei der Planung ihrer Datenverarbeitungssysteme auf datenschutzfreundliche Voreinstellungen und Verschlüsselung von personenbezogenen Daten zu achten.
• Sie müssen ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten führen, das u.a. die Zwecke der Verarbeitung, die Beschreibung der betroffenen Personenkategorien und Datenkategorien, die Übermittlung von Daten an ein Drittland (USA), die Fristen für die Löschung der verschiedenen Datenkategorien anführt.
• Sie müssen bei automatisierten Verarbeitungssystemen Verarbeitungsvorgänge wie Erhebung, Veränderung, Abfrage, Übermittlung von Daten, Löschung für die Aufsichtsbehörden protokollieren.
• Sie müssen Einzelanfragen betroffener Nutzern zu ihren personenbezogenen Daten schriftlich oder per E-Mail unentgeltlich beantworten.
• Sie müssen betroffenen Nutzern auf Anfrage in maschinenlesbarer Form unentgeltlich den Datensatz ihrer personenbezogenen Daten zur Verfügung stellen.

Auch kleine Online-Händler haben diese Pflichten vollumfänglich umzusetzen. Bei Nichtbeachtung droht ihnen die Datenschutz-Grundverordnung mit drakonischen Geldbußen, die bis zu 20 Millionen Euro gehen können.

Manche Online-Händler werden in ihrer Not externe (vermutlich teure) Dienstleister als sogenannte Auftragsverarbeiter bemühen müssen, die diese Aufgaben erfüllen. Aber auch dann sind Online-Händler nicht aus der Haftung entlassen. Überdies haben sie bei entsprechenden Verträgen mit externen Dienstleistern eine Unzahl von Auflagen einzuhalten.

Die Datenschutz-Grundverordnung macht an vielen Stellen deutlich, dass insbesondere die Belange von Kleinstunternehmen wie kleine und mittlere Unternehmen berücksichtigt und gefördert werden sollen. Dies soll mit Hilfe genehmigter Verhaltensregeln, Zertifikationsverfahren und Musterverträge geschehen, die insbesondere auf die Belange von Kleinunternehmen zugeschnitten sind.

Hier sind die Aufsichtsbehörden als Genehmigungsbehörden gefordert. Bisher liegen allerdings ein gutes halbes Jahr vor Geltung der Datenschutz-Grundverordung nach Kenntnis der IT-Recht Kanzlei für Deutschland keinerlei derartige genehmigte Regeln, Musterverzeichnisse, Musterverträge u.a. für Verträge mit Dienstleistern sowie Zertifikationsverfahren vor. Es ist nach Wissen der IT-Recht Kanzlei bisher auch nicht geklärt, ob die alten Zertifikationsverfahren und Prüfzeichen für Zwecke der Datenschutz-Grundverordnung als Nachweiserleichterung zur Einhaltung der o.g. Pflichten benutzt werden dürfen.

Hier ist also dringender Handlungsbedarf. Es darf nicht sein, dass eine gutgemeinte verbraucherfreundliche Datenschutz-Verordnung nur zur weiteren Diskriminierung von kleinen Online-Händlern führt, die es bereits jetzt schwer (!) haben, sich gegen die Konkurrenz von global agierenden Online-Unternehmen wie etwa Amazon zu behaupten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.