Informationspflichten von Webshop-Betreibern ab Mai 2018

Ab Mai 2018 werden sich die Informationspflichten des Datenverarbeiters im Online-Bereich nicht mehr wie bislang aus den § 4 Abs. 3, § 33 BDSG und § 13 Abs. 1 TMG, sondern aus den Art. 13 und 14 DSGVO ergeben.

Danach muss der Online-Shop-Betreiber auf seinen Seiten künftig folgende Angaben machen:

  • Der Verantwortliche ist mit dem Namen und mit seinen Kotaktdaten anzugeben;
  • Falls ein Datenschutzbeauftragter bestellt ist, ist auch über dessen Namen und Kontaktdaten zu informieren;
  • Anzugeben ist die Rechtsgrundlage, auf die sich die Datenverarbeitung stützt;
  • Falls sich die Rechtsgrundlage aus Art. 6 Abs. 1 lit. f DSGVO ergibt, ist das berechtigte Interesse darzulegen. Zu nennen ist auch der Zweck der Datenverarbeitung;
  • Anzugeben sind Empfänger oder Kategorien von Empfängern von personenbezogenen Daten anzugeben;
  • Anzugeben ist der Datentransfer in Drittländer, falls dies beabsichtigt ist. Dazu gehört auch, dass der Verantwortliche vermerken muss, auf welche Rechtsgrundlage gem. Art. 44 ff. DSGVO er sich dabei stützt. Außerdem sind ggf. Standardvertragsklauseln oder die Binding Corporate Rules (BCR) zugänglich zu machen;
  • Anzugeben ist zudem die Speicherdauer oder die Kriterien, nach denen sich die Speicherdauer bestimmt;
  • Die Rechte des Betroffenen (Art. 15 bis 21 DSGVO) auf Zugang, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit sind zu nennen.
  • Sollte ein Profiling oder eine Art von automatisierter Einzelfallentscheidung nach Art. 22 DSGVO beabsichtigt sein, ist hierauf hinzuweisen. Dazu zählt auch, dass aussagekräftig über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert werden muss.
  • Es ist über das Beschwerderecht nach Art. 77 DSGVO zu informieren.
  • Es ist zudem darüber zu informieren, dass bei wirksamer Einwilligung ein Recht besteht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
  • Sollten die Daten nicht beim Betroffenen erhoben worden sein, dann ist nach Art. 14 DSGVO auch über die Herkunft der Daten zu informieren. Das bedeutet, es ist die Datenquelle zu nennen. Dies gilt auch dann, wenn es sich um öffentlich zugängliche Daten handelt.

Die vorgenannten Informationen müssen nach Art. 12 Abs. 7 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden. Der Erwägungsgrund 58 sagt in diesem Zusammenhang, dass diese Informationen im Online-Bereich ebenso in elektronischer Form bereitgestellt werden können, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt sind.

Ähnlich wie bereits in § 13 Abs. 1 S. 1 TMG geregelt, bestimmt Art. 13 Abs. 1 DSGVO, dass die genannten Informationen schon bei der Erhebung der Daten mitzuteilen sind. Dies kann aber weiterhin durch einen Link erfolgen.

Sollten Sie zur Umsetzung der DSGVO noch Fragen haben, schreiben Sie uns an: mail@kvlegal.de