Überall hört man nur eins: Die DS-GVO gilt ab dem 25. Mai 2018! Doch was steckt dahinter? Wir erklären, was sich für Amazon-Händler ändert und was im Hinblick auf die DS-GVO zu beachten ist.
Die Datenschutz-Grundverordnung: Was müssen Amazon-Händler wissen?
Was ist die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union zur Sicherstellung des Schutzes personenbezogener Daten innerhalb der EU und zur Gewährleistung des freien Datenverkehrs innerhalb des Europäischen Binnenmarktes. Die Verordnung bedarf keines Umsetzungsgesetzes, sondern gilt unmittelbar ab dem 25. Mai 2018 in den Mitgliedstaaten. Es gilt der Erlaubnisvorbehalt, nach dem die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn es greift eine Rechtsgrundlage für die Verarbeitung oder der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt (Art. 6 DS-GVO).
Bin ich als Amazon-Händler von der DS-GVO betroffen?
Nach Art. 2 Abs. 1, 3 Abs. 1, 2 DS-GVO unterfällt jeder der DS-GVO, der personenbezogene Daten von in der EU befindlichen Personen verarbeitet. Es ist also unerheblich, ob der Händler in der EU niedergelassen ist oder nicht. Die DS-GVO gilt nicht nur für Unternehmen, die ihren Sitz in der EU haben, ebenso gibt es keine Privilegierung für kleinere Händler. Personenbezogene Daten von juristischen Personen unterfallen nicht dem Schutz der DS-GVO, so dass B2B-Geschäfte zwischen dem Amazon-Händler und Kapitalgesellschaften, eingetragenen Vereinen und Personengesellschaften nicht unter die DS-GVO fallen, wenn nur die juristischen Personen unter ihrer Firmierung und nicht die dahinter stehenden natürlichen Personen adresseiert werden. Einigen sich ein Amazon-Händler und ein Kunde über den Abschluss eines Kaufvertrags, so kommt sowohl Amazon als auch der Amazon-Händler mit den personenbezogenen Daten des Kunden in Berührung. Somit sind auch die Amazon-Händler zur Einhaltung der DS-GVO verpflichtet. Wann konkret eine Datenverarbeitung vorliegt, bestimmt Art. 4 Nr. 2 DS-GVO: unter den Begriff der Datenverarbeitung fallen beispielsweise die Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesung, Abfragung, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung und Vernichtung von personenbezogenen Daten.
Welche Änderungen kommen mit der DS-GVO auf Amazon-Händler zu?
Die folgenden Pflichten für Amazon-Händler existieren bislang schon nach dem Bundesdatenschutzgesetz, durch die DS-GVO kann die Nichteinhaltung dieser Pflichten aber zu schmerzhaften Strafen führen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr.
Dokumentationspflicht
Ein Verarbeiter unterliegt nun der Pflicht, ein Verzeichnis über seine Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 1, 2 DS-GVO). Dokumentiert werden müssen die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und Daten, die Empfänger der verarbeiten Daten, eine ggf. stattfindende Übermittlung der Daten ins Ausland, die Löschungsfristen sowie die zur Datenverarbeitung verwendeten technischen und organisatorischen Maßnahmen. Zudem hat der Verantwortliche eine Datenschutz-Folgenabschätzung zu dokumentieren, sofern diese erforderlich ist nach Art. 35 Abs. 1 S. 1 DS-GVO. Die Pflicht zur Dokumentation entfällt aber nach Art. 30 Abs. 5 DS-GVO, wenn das Unternehmen des Amazon-Händlers weniger als 250 Mitarbeiter hat und es nicht zu einer Verarbeitung besonders sensibler Daten im Sinne des Art. 9 DS-GVO kommt.
Auftragsdatenverarbeitung und Übertragung in Drittländer
Amazon-Händler bedienen sich üblicherweise verschiedener zusätzlicher Tools zur Erleichterung ihres Arbeitsalltags. In der Regel kommt es dadurch zu weiteren Datenverarbeitungen, beispielsweise über den Amazon Marketplace Web Service. Diese weiteren Verarbeitungen stellen möglicherweise Auftragsdatenverarbeitungen dar, bei denen Amazon-Händler nur mit Auftragsverarbeitern arbeiten dürfen, die sich nach Art. 28 DS-GVO richten. Zusätzliche Besonderheiten ergeben sich dann, wenn der Datentransfer in ein nichteuropäisches Land fließt, dass zudem kein sogenanntes „sicheres Drittland“ ist. Das sind die Staaten, die die Europäische Kommission nicht als ein dem europäischen Datenschutz entsprechendes Drittland erklärt hat. Dazu zählen unter anderem auch die USA.
Behördliche Rechenschaftspflicht
Ein Verantwortlicher unterliegt nach Art. 5 Abs. 2 DS-GVO der Pflicht, die Einhaltung aller grundlegenden Datenschutzprinzipien auf behördliche Anforderung nachzuweisen.
Widerrufsmöglichkeit der Einwilligung
Eine weitere Neuerung stellt die zu gewährleistende Widerrufsmöglichkeit von erteilten Einwilligungen durch den Betroffenen nach Art. 7 Abs. 3 S. 4 DS-GVO dar.
Auskunftsrechte Betroffener
Einem Betroffenen, dessen personenbezogene Daten verarbeitet wurden, räumt die DS-GVO einige Auskunftsrechte ein. Dazu gehören ein Recht auf Löschung (Art. 17 DS-GVO), aber auch Auskunftsrechte über die Datenspeicherung und-verarbeitung (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung bei unrichtigen personenbezogenen Daten (Art. 16 DS- GVO). Ein Betroffener kann sich bei Nichteinhaltung dieser Pflichten durch den Händler an die Behörden zur Durchsetzung seiner Rechte wenden, welche wiederrum dann ein Verfahren gegen den Amazon-Händler eröffnet. Nach Art. 12 Abs. 3 DS-GVO verkürzt sich die Frist zur Stellungnahme durch den Verantwortlichen auf einen Monat.
Datenschutzerklärung
Aufgrund des deutlich eingeschränkten Gestaltungs- und Entscheidungsspielraums für Amazon-Händler durch bindende Vorgaben von der Plattform Amazon, wie beispielsweise die Zahlungsmethoden, ist die erforderliche Datenschutzerklärung für Amazon-Händler um einiges weniger umfangreich. Dennoch gilt es, bereits bestehende Datenschutzerklärungen den Anforderungen der DS-GVO anzupassen. Ein Beispiel ist die Verlinkung sämtlicher Schaltflächen auf die aktualisierte Datenschutzerklärung sowie diverse Anpassungen bei Plug-Ins und Social-Media-Buttons. Eine bestätigte Kenntnisnahme der Datenschutzerklärung durch den Kunden wird allerdings nicht gefordert und es reicht ein Hinweis.
Wann muss ein Datenschutzbeauftragten ernannt werden?
Unter bestimmten Voraussetzungen kann ein Amazon-Händler verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Dieser Pflicht unterliegt er gem. Art. 37 DS-GVO, wenn seine Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, also die Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit ist, und eine systematische Überwachung von Personen erforderlich macht (Art. 37 Abs. 1 lit. b DS-GVO) oder die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 37 Abs. 1 lit. c DS-GVO). In erster Linie fällt darunter beispielsweise die Verarbeitung von Gesundheitsdaten im Krankenhaus, so dass Amazon-Händler mit dem vorrangigen Zweck der Vertragsabwicklung, aber auch der Werbung in der Regel nicht von der Pflicht betroffen sind.
Fazit
Auch wenn die ab dem 25. Mai 2018 geltende DS-GVO auch Amazon-Händlern mit bislang geltendem Recht größtenteils übereinstimmt, bringt sie dennoch einige Veränderungen für Online-Händler mit sich, die im Ergebnis zur Stärkung der Betroffenenrechte führen. Zusammenfassend werden Amazon-Händler sich u.a. mit neuen Dokumentationspflichten, behördlichen Rechenschaftspflichten, stärker ausgeprägten Auskunftsrechten von Betroffenen und der Widerrufsmöglichkeit von Einwilligungen durch den Betroffenen auseinander setzen müssen.
