Kurier: Relevante Änderungen für alle Online-Händler

Online-Händler sind besonders von der neuen EU-DSGVO betroffen, da ihr unternehmerisches Handeln auf personenbezogenen Daten basiert. Schon um den Verkauf abwickeln zu können, braucht es personenbezogene Daten.

Name und Kontaktdaten sowie Adresse und Bankverbindungen von Kunden zählen im Onlinehandel zu den Basisdaten und sie werden gerne für die Anbahnung weiterer Geschäfte genutzt. Zusätzlich ermöglichen es die digitalen Technologien, diese Kunden immer persönlicher, individueller und gezielter anzusprechen und so die passenden Produkte und Services zum richtigen Zeitpunkt anzubieten. Martin Puaschitz, Obmann der Fachgruppe UBIT Wien über die Nutzung von Daten: „Personenbezogene Daten sind für das Kundenerlebnis und die sogenannte Customer Journey von essenziellem Wert. Der Zugriff auf diese Daten wird aufgrund vieler negativer Entwicklungen nun durch die neue EU-DSGVO strenger geregelt, um eine missbräuchliche Verwendung zu verhindern. Das bringt vor allem für Online-Händler viele Herausforderungen, aber auch Chancen mit sich.“

Kundenansprache

Online-Händler müssen ihre Systeme sowie die gesamten Unternehmensprozesse sorgfältig durchleuchten und den Anforderungen anpassen. Bei Missachtung drohen hohe Strafen sowie ein massiver Imageverlust. Die DSGVO stellt dabei vor allem das Marketing vor Herausforderungen. Martin Puaschitz: „Um den Anforderungen zu entsprechen, müssen ab Mai beispielsweise die Kontakte lückenlos dokumentiert werden. Opt-ins, Opt-outs müssen proaktiv eingefordert werden.

Zudem gelten Einwilligungen nur noch für eine bestimmte Laufzeit. Eine Regelung, auf Widerruf‘ ist nicht mehr zulässig. Darüber hinaus hat der Kunde das Recht, auf Wunsch, vergessen‘, also aus der Datenbank gelöscht zu werden.“ Für Targeting, Retargeting und Programmatic Advertising – also die Automatisierung von Targeting — muss ebenfalls die Zustimmung des Users eingeholt werden. Für Kundenansprachen via E-Mails gelten aktuell jedoch noch gesonderte Vorschriften, die im Telekommunikationsgesetz geregelt und von der EU-DSGVO nicht beeinflusst werden. Hier wird es auch zu wesentlichen Änderungen kommen.

In diesem Kontext steht etwa auch die Verwendung von Cookies: Dem aktuellen Entwurf der E-Privacy-Verordnung zufolge soll der Nutzer fast immer sein Einverständnis für die Erhebung und Verarbeitung von Daten geben müssen — auch wenn diese anonym sind. Demnach dürfen beispielsweise Third-Party-Cookies Großteils nicht mehr ohne explizite Einwilligung eingesetzt werden.

Privacy by Design

Privacy by Design heißt „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Werden Unternehmensprozesse und IT-Systeme neu geplant und entwickelt, müssen die Vorgaben des Datenschutzes somit von Anfang an in die Planung einfließen. Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind.

Nach diesem Grundgedanken sollen insbesondere jene Nutzer geschützt werden, die weniger technikaffin sind oder die sich nicht die Mühe machen, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Dahinter steht der Begriff „Privacy Paradox“, wonach Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen. Günter R. Schwarz empfiehlt dabei, mehr als die Technik in den Blick zu nehmen: „Riskant ist es, sich darauf zu verlassen, dass mit den entsprechenden Vorkehrungen und Einstellungen in den Shop-Systemen alle Anforderungen gelöst sind. An vielen Abläufen sind weiterhin Menschen beteiligt, denn nicht alles ist automatisierbar. Schnittstellen zwischen unter- schiedlichen Systemen oder Medienbrüche – wie etwa Ausdrucke für den Postversand oder Dokumentationszwecke sind ebenso zu berücksichtigen.“

Sensible Daten

Mitunter geht es im Online-Handel nicht nur um personenbezogene Daten, sondern auch um besonders sensible Daten. Dies ist etwa der Fall, wenn Drogerien Heilmittel verkaufen, die Rückschlüsse auf den Gesundheitszustand des Kunden ermöglichen, oder in Buchhandlungen Bücher mit bestimmten religiösen oder sexuellen Inhalten bestellt werden. In diesen Fällen sind die Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Die neue Regelung bringt für den Online-Handel aber auch Vorteile. Günter R. Schwarz: „Innerhalb der EU hatten zwar alle 28 Mitgliedstaaten bereits eigene Datenschutzgesetze, aber deren Umsetzung war den Mitgliedstaaten selbst überlassen. Mit der EU-DSGVO wird das Datenschutzrecht innerhalb der EU weitgehend vereinheitlicht. Zwischen den Mitgliedsstaaten wird damit ein einheitlieher Rechtsrahmen geschaffen. Folglich gilt ein hoher Datenschutzstandard für alle 500 Millionen Bürger und gleiches Recht für alle. Zumindest aus dieser Sicht bedeutet die DSGVO für die heimischen Anbieter Beseitigung von Hindernissen, wenn sie in anderen EU-Ländern aktiv sein wollen.“ – Martin Mühl

Die DSVGO bringt den Kunden viele neue Rechte

Die neue EU-DSGVO stärkt den Datenschutz und bringt dabei den betroffenen Personen wieder mehr Kontrolle Ober ihre Daten zurück. Zentrales Recht Ist etwa das Auskunftsrecht: Jeder hat das Recht, auf Wunsch über die gespeicherten und verarbeitenden Daten informiert zu werden. Ein Online-Händler muss auf Wunsch seiner Kunden unverzüglich, spätestens innerhalb eines Monats, Auskunft über die gespeicherten und verwendeten Daten geben können.

Diese Auskunft hat eine Kopie der Daten – das sind unter anderem E-Mails, Briefe, Auszüge aus Datenbanken und dergleichen, die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weiter gegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter) und mehr zu enthalten.

Das Recht auf Löschung sieht bei Fehlen von Notwendig keil, Einwilligung und Rechtmäßigkeit die Löschung der Daten vor. Personenbezogene Daten müssen nach Ablauf auch wieder gelöscht werden – etwa nach Beendigung einer Geschäftsbeziehung – beziehungsweise hat der Nutzer ab Mai das Recht, seine personenbezogenen Daten auf Wunsch löschen zu lassen. Die Umsetzung der definierten Löschfristen für personenbezogene Daten muss abhängig vom Auslösezeitpunkt durchgeführt werden können.

Und das Recht auf Datenübertragung bedeutet, dass Daten zu einer Person auf Verlangen an andere Dienstleister und Serviceanbieter weitergegeben werden müssen. Dies hat automatisiert und in strukturierter Form zu erfolgen.

Diese neuen und gestärkten Rechte kommen bei den Verbrauchern auch gut an: Eine kürzlich veröffentlichte Studie zeigt, dass eine große Mehrheit der europäischen Verbraucher die neuen Rechte auch tatsächlich ausüben möchte.