1. Inkrafttreten von DSGVO und BDSG-neu
Am 25.5.2018 wird die Datenschutzgrundverordnung (DSGVO) in Kraft treten. Sie ist dann in allen Mitgliedstaaten der EU unmittelbar anwendbares Recht und muss auch von Händlern berücksichtigt werden. Gleichzeitig tritt auch ein vollständig neues Bundesdatenschutzgesetz (BDSG neu) in Kraft, mit dem nationale Spielräume ausgefüllt und notwendige Konkretisierungen der Verordnung vorgenommen werden.
2. Anwendungsbereich und Bedeutung für den Handel
Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz gelten sachlich für die Verarbeitung von personenbezogenen Daten. Beispiele für personenbezogene Daten sind etwa:
- Name, Geburtsdatum und Kontaktdaten (z.B. Adresse, E-Mail-Adresse, Telefonnummer)
- Personaldaten (z.B. Personalnummer, Stammdaten, Zeiterfassungsdaten)
- Informationen zu individuellem Verhalten von Kunden (z.B. Standortdaten, Einkaufsgewohnheiten)
- Zugangsdaten (z.B. User-ID)
- Videoaufnahmen
Personenbezogene Daten werden im Einzelhandel auf sehr vielfältige Weise verarbeitet, z.B.
- im Rahmen der Personalverwaltung (u.a. bei der Lohn- und Gehaltsabrechnung)
- im Kontakt mit Kunden (Kundendateien, Bestellungen, Werbemaßnahmen, Kundenkarten)
- im Zusammenhang mit der Nutzung von IT-Systemen und
- bei der Videoüberwachung und bei Zutrittssystemen.
3. Wichtige Änderungen
In nahezu allen gesetzlichen Anforderungen ergeben sich Änderungen, die sich jedoch vom Umfang her unterscheiden. Beispiele sind:
- Es besteht künftig eine Rechenschaftspflicht für Unternehmen, dass sie die Datenschutzbestimmungen eingehalten haben. Damit steigt der Dokumentationsaufwand erheblich an.
- Der Datenschutzbeauftragte ist künftig nicht mehr für die operative Ausgestaltung, sondern für die Beratung und Überwachung des Datenschutzes im Unternehmen zuständig. Verantwortlich für die Einhaltung
des Datenschutzrechts ist die Unternehmensleitung. - Die Informationspflichten werden sehr stark ausgeweitet. Daher müssen die meisten Mustertexte und -formulare überarbeitet werden.
- Für bestimmte Datenverarbeitungen, z.B. für die Videoüberwachung, wird eine Abschätzung der Folgen der vorgesehenen Datenverarbeitung für den Schutz der personenbezogenen Daten neu eingeführt.
- Verzeichnisse über Verarbeitungstätigkeiten sind zu überarbeiten oder neu zu erstellen.
- Wenn Daten durch Drittunternehmen im Auftrag des Händlers verarbeitet werden, müssen die Verträge an das neue Recht angepasst werden. Beispiele können die Nutzung von Cloud-Anwendungen z.B. für das CRM-System oder für Mailingsysteme sein.
- Das neue Bundesdatenschutzgesetz enthält auch Änderungen im Bereich des Beschäftigtendatenschutzes.
- Der Sanktionsrahmen ist sehr stark erhöht worden. Bußgelder können abhängig von der Art des Verstoßes bis zu 20 Mio. € bzw. 4 Prozent des Jahresumsatzes betragen.
4. Praktische Bedeutung für Unternehmen
Unternehmen müssen alle von ihnen durchgeführten Datenverarbeitungsvorgänge (von der Datenerhebung über die Datennutzung bis hin zur Löschung) identifizieren und diese in jeder Hinsicht auf Rechtmäßigkeit unter dem Maßstab der Datenschutzgrundverordnung überprüfen. Die Praxis der Datenverarbeitung muss an die neuen Vorschriften angepasst werden. Unternehmen riskieren ansonsten nicht
nur Beanstandungen der Datenschutzaufsichtsbehörden, sondern teilweise auch Abmahnungen.
Die Unternehmensleitung sollte sich frühzeitig mit der unternehmensinternen Umsetzung der Datenschutzgrundverordnung beschäftigen. Zur Vorbereitung kann intern ein Team gebildet werden, das aus Mitgliedern aller betroffenen Unternehmensbereiche besteht, oder auch externe Beratung in Anspruch genommen werden.
Der HDE stellt im Mitgliederbereich unter www.einzelhandel.de/dsgvo eine Reihe an Merkblättern zur Verfügung, die bereits einige vertiefende Informationen enthalten. Außerdem sind Links zu Materialien anderer Institutionen (u.a. der Aufsichtsbehörden) angegeben. Die Aufsichtsbehörden haben auch Checklisten/Fragenkataloge veröffentlicht, die sich gut als Einstieg in das Thema eignen und das Abschätzen des Handlungsbedarfs im eigenen Unternehmen erleichtern.