Die IT-Recht Kanzlei München hat sich mit dem Thema befasst, welche Änderungen die EU-Datenschutzgrundverordnung für den Online-Handel mit sich bringen wird. Phil Salewski warnt daher, dass die neue DSGVO mit einer erheblichen Stärkung der Betroffenenrechte einher geht, die auch im Online-Handel zwingend Berücksichtigung finden müssen und weitreichende Handlungspflichten begründen können.

AUSKUNFTSRECHT, ART. 15 DSGVO

Ebenso wie der derzeit geltende § 34 BDSG sieht auch die DSGVO in Art. 15 ein Auskunftsrecht des Betroffenen vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist.
Zukünftig wird der Umfang der mit dem Auskunftsrecht korrespondierenden Auskunftspflicht des Verantwortlichen aber das derzeit geltende Maß bei weitem überschreiten und so den Betroffenen zur Einholung eines ganzen Katalogs an Informationen berechtigen.
Auf Antrag sind dem Betroffenen, dessen Daten erwiesenermaßen erhoben wurden, insofern fortan Auskünfte über folgende Umstände zu erteilen:

• die Verarbeitungszwecke
• die Kategorien personenbezogener Daten, die verarbeitet werden
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
• ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ gemäß Artikel 22 Absatz 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Gleichzeitig wird der Verantwortliche im Falle des Auskunftsverlangens gemäß Art. 15 Abs. 3 DSGVO künftig verpflichtet sein, den Informationen eine Kopie sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung sind, beizustellen, und so die von der Auskunftspflicht umfassten Datenkategorien zu konkretisieren.
Online-Händler werden demnach gehalten sein, digitale Verzeichnisse anzulegen, in denen für jeden Betroffenen die individuell erhobenen Daten hinterlegt sind, damit diese im Falle der Geltendmachung von Auskunftsrechten zielgerichtet übermittelt werden können.
Erfolgt der Antrag – wie im Online-Handel regelmäßig – elektronisch, so sind die Informationen ebenfalls in einem gängigen elektronischen Format (bspw. per Mail) bereitzustellen.

BERICHTIGUNGS- UND LÖSCHUNGSRECHT, ART. 16 f DSGVO

Ebenso wie bereits nach geltendem deutschen Recht (§35 BDSG) wird der Betroffene auch unter Geltung der DSGVO mit Berichtigungs- und Löschungsansprüchen ausgestattet. Allerdings wurden deren Voraussetzungen und die Grundlagen für eine Berechtigung reformiert.
Während eine Berichtigung, zu der ausdrücklich auch die Vervollständigung gezählt wird, nach Art. 16 DSGVO dann verlangt werden kann, wenn die erhobenen Daten unrichtig sind,
muss der Verantwortliche dem Anspruch auf Löschung dann Rechnung tragen, wenn

• der Zweck der Datenverarbeitung erreicht wurde und die personenbezogenen Daten insofern nicht mehr erforderlich sind
• der Betroffene seine Einwilligung widerrufen hat und keine anderweitige (gesetzliche) Rechtsgrundlage für die Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b-f DSGVO eingreift
• der Betroffene gegen die Verarbeitung Widerspruch im Sinne des Art. 21 DSGVO eingelegt hat
• die personenbezogenen Daten unrechtmäßig, also nicht von Art. 6 DSGVO gedeckt, erhoben, verarbeitet oder genutzt wurden
• der Betroffene seine Einwilligung als Minderjähriger gemäß Art. 8 DSGVO abgegeben hat und die Löschung verlangt (*Achtung:* dieses Recht steht dem Betroffenen auch zu, wenn er inzwischen nicht mehr Minderjährig ist, Erwägungsgrund 65)

Wichtig: außer in den Fällen, in denen die Einwilligung durch einen (ehemals) Minderjährigen oder dessen gesetzlichen Vertreter erteilt wurde, ist die Löschung durch den Verantwortlichen auch ohne eine vorherige Geltendmachung des Betroffenen, also eigenständig und von sich aus, zu bewirken!
Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist. Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen (Art. 17 Abs. 2 i.V.m. Art. 19 DSGVO).
Eine Löschung kann trotz Vorliegen eines oben angeführten Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat (Art. 17 Abs. 3 DSGVO). Im Online-Handel kann dies insbesondere der Fall sein, wenn die Verarbeitung oder Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

NEU – RECHT AUF EINSCHRÄNKUNG, ART. 18 DSGVO

Mit der Einführung eines Rechts auf Einschränkung der Verarbeitung, welches im weitesten Sinne dem Recht auf Sperrung anstelle der Löschung nach §35 Abs. 3 BDSG entspricht, wollte der europäische Gesetzgeber Konstellationen Rechnung tragen, in denen eine sofortige Löschung entweder schutzwürdige Interessen der Verantwortlichen an der andauernden Speicherung unbillig beschneiden oder aber den Interessen des Betroffenen selbst zuwiderlaufen würde.
Unter Geltendmachung seines Rechts auf Einschränkung der Verarbeitung kann der Betroffene verlangen, dass sämtliche erhobene personenbezogene Daten fortan nur mit individueller Einwilligung (und zur Geltendmachung und Durchsetzung von Rechtsansprüchen) verarbeitet werden dürfen. Die Berechtigung des Verantwortlichen zur Speicherung wird dadurch allerdings nicht berührt. Ist eine Einschränkung erfolgt, soll er die gespeicherten Daten nur nicht wie bisher verwenden können.
Eine Einschränkung der Verarbeitung ist fortan dann vorzunehmen, wenn der Betroffene es verlangt und

• er die Richtigkeit der personenbezogenen Daten bestreitet, wobei die Einschränkung dann für die Dauer zu bewirken ist, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder
• die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt oder
• der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
• Widerspruch gegen die Verarbeitung gemäß Artikel 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen

Achtung: erwirkt der Betroffene die Einschränkung der Verarbeitung, begründet dies für den Verantwortlichen die Informationspflicht, den Betroffenen vor der Aufhebung der Einschränkung über diese zu unterrichten.
Auch im Falle der Einschränkung ist der Verantwortliche gemäß Art. 19 DSGVO zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist. Verlangt der Betroffene eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen.

NEU – RECHT AUF DATENÜBERTRAGBARKEIT, ART. 20 DSGVO

Im Vergleich zum geltenden deutschen Datenschutzrecht neuartig ist auch die Berechtigung des Betroffenen, vom jeweiligen Verantwortlichen die ungehinderte und uneingeschränkte Übermittlung erhobener personenbezogener Daten an einen Dritten zu verlangen. Diese dient dem Ziel, eine bessere persönliche Überwachung und Kontrolle vor allem bei automatisierten Verarbeitungsvorgängen zu gewähren und die Prozessierung von einmal erhobenen Daten auf einen Dritten zu vereinfachen, ohne dass es einer erneuten Eingabe durch den Betroffenen bedürfte.
Der Betroffene kann insofern entweder nach Art. 20 Abs.1 DSGVO die vom Verantwortlichen die Herausgabe der erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und diese – ohne dass der Verantwortliche dies behindern darf – eigenständig einem anderen übermitteln.
Alternativ kann der Betroffene aber auch direkt vom Verantwortlichen verlangen, die Übermittlung ohne seine eigene Zwischenschaltung unmittelbar an den bestimmungsgemäßen Empfänger zu veranlassen, Art. 20 Abs. 2 DSGVO.
Allerdings ist – um schützenswerte Interessen des herausgabepflichtigen Verantwortlichen zu wahren – die zulässige Ausübung des Rechts auf Datenübertragbarkeit durch den Betroffenen auf die Fälle begrenzt, in denen

• entweder seine Einwilligung in die originäre Verarbeitung erforderlich war oder aber die Daten ohne Einwilligung zur Durchführung eines Vertragsverhältnisses rechtmäßig genutzt werden durften oder
• (wie im Online-Handel regelmäßig) die Datenverarbeitung mithilfe automatisierter Verfahren erfolgt ist

Online-Händler, die personenbezogene Daten erheben und verarbeiten, werden sich in Ansehung des neuen Betroffenenrechts zukünftig Nutzerbegehren fügen müssen, in welchen die Übermittlung von erhobenen Daten an einen Dritten verlangt wird. Gleichzeitig werden sie in der mehr als zweijährigen Übergangsfrist gehalten sein, interoperable Formate zu entwickeln und einzurichten, welche eine reibungslose Datenübertragbarkeit ermöglichen (vgl. auch Erwägungsgrund 68).

WIDERSPRUCHSRECHT BEI EINWILLIGUNGSLOSER VERARBEITUNG, ART. 21 DSGVO

Erfolgt eine Datenverarbeitung durch den Verantwortlichen ohne Einwilligung aufgrund der gesetzesmäßigen Wahrnehmung berechtigter Interessen, so steht dem Betroffenen fortan das Recht zu, dieser Verarbeitung zu widersprechen.
Im Online-Handel dürfte das neue Widerspruchsrecht vor allem dann Bedeutung entfalten, wenn eine Datennutzung zu (berechtigten) Direktmarketingzwecken erfolgt, ohne dass der Betroffene eingewilligt hätte, und der Betroffene unter Verarbeitung seiner Daten mithin mit Werbemaßnahmen konfrontiert wird.
Grundsätzlich ist einem Widerspruch nur stattzugeben, wenn dieser unter Darlegung persönlicher Versagungsgründe erfolgt, welche die berechtigten Interessen des Verantwortlichen überwiegen.
Im Falle der Direktwerbung jedoch ist einem Widerspruch in die werbetechnische Datenverarbeitung auch ohne Angabe von Gründen und ohne Interessenabwägung stets folge zu leisten, Art. 21 Abs. 2 und 3 DSGVO. Der Widerspruch erstreckt sich in diesem Falle auch auf sämtliche Maßnahmen zur Erstellung von Nutzerprofilen, die mit der Werbung in Zusammenhang stehen. Legt der Betroffene gegen die Datenverarbeitung zu Werbezwecken Widerspruch ein, so hat der Verantwortliche unverzüglich sicherzustellen, dass eine diesbezügliche Nutzung der personenbezogenen Daten fortan unterbleibt.
Wie die Widerspruchsoption insbesondere bei automatisierten Datenerhebungsprozessen im Internet technologisch ausgestaltet werden muss, gibt die DSGVO nicht vor, sondern überlässt die Einrichtung von Widerspruchssystemen mithin dem jeweiligen Verantwortlichen.
Zu erwarten ist aber, dass Online-Händler, die von der Möglichkeit einwilligungsloser Datenverarbeitungen zu Werbezwecken Gebrauch machen, künftig gehalten sein werden, entweder elektronische Widerspruchsmechanismen mit eindeutiger Identifizierbarkeit des jeweiligen Betroffenen vorzuhalten oder aber den Widerspruch über gängige Kommunikationsmittel entgegenzunehmen.
In jedem Fall besteht bei der einwilligungslosen Datenverarbeitung zu Werbezwecken eine spezielle Informationspflicht, den Betroffenen auf sein Widerspruchsrecht und die Modalitäten für dessen Ausübung spätestens zu Beginn der ersten Kommunikation hinzuweisen, Art. 21 Abs. 4 DSGVO.

NEU – RECHT AUF UNBETROFFENHEIT, ART. 22 DSGVO

Ein zuvor nicht dagewesenes Betroffenenrecht, das insbesondere im Zusammenhang mit der Erstellung von Nutzerprofilen und der Zusammenarbeit mit Auskunfteien zukünftig eine bedeutende Rolle spielen wird, normiert Art. 22 Abs. 1 DSGVO. Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen mit Betroffenen zu machen, und gewährt diesen insofern das Recht, von derartigen Entscheidungen unberührt zu bleiben.
Erfolgt eine Entscheidung, die auf automatisch erhobenen Daten beruht, dennoch, soll dem Betroffenen ein Anfechtungsrecht zustehen. Mit der Kodifizierung dieses zugegeben abstrakten Rechts sollten Prozesse unterbunden werden, in denen Verantwortliche in Zusammenarbeit mit anderen datenverarbeitenden Institutionen automatisch Informationen über konkrete Betroffene einholen, um auf Basis dieser Informationen sodann über den zukünftigen Umgang mit dem Betroffenen zu entscheiden. Als praxisrelevantestes Beispiel kann hier etwa die Anfrage von Bonitätsnachweisen bei Kreditinstituten oder Auskunfteien wie der Schufa angeführt werden, von deren Ausfall sodann die Begründung schuldrechtlicher Verbindlichkeiten automatisch abhängig gemacht wird.
Zu beachten ist allerdings, dass dieses neuartige Recht die Möglichkeiten von Online-Händlern, Vertragsverhältnisse unter Vorbehalt erfolgreicher Bonitäts- oder Liquiditätsprüfungen für bestimmte Zahlungsarten (etwa Lastschrift, Kreditkarte etc.) zu begründen, weitgehend unberührt lassen wird.
Insofern kann sich der Betroffene auf das oben angeführte Recht gemäß Art.22 Abs. 2 lit. a DSGVO nämlich gerade nicht berufen, sofern die Entscheidung für die Erfüllung eines Vertrages erforderlich ist. Im Bereich der Schufa-Anfragen und Bonitätskontrollen wird man die Erforderlichkeit stets mit Blick auf das Interesse des Händlers an der Vermeidung von Zahlungsausfällen und der Abwendung des vertragspartnerlichen Insolvenzrisikos bejahen können. Liegt die Notwendigkeit der datenbasierten Entscheidung nicht in der Durchführung eines Vertrages begründet, so kann das Anfechtungsrecht des Betroffenen grundsätzlich nur dadurch abgewendet werden, dass der jeweilige Verantwortliche diesen zuvor in die Datenanfrage und die sich daraus ergebende intendierte Rechtsverbindlichkeit einwilligen lässt, Art. 22 Abs. 2 lit. c DSGVO.

ACHTUNG – NEUARTIGE BEARBEITUNGS- UND REAKTIONSFRISTEN, ART. 12 ABS. 3 DSGVO

Während der Verantwortliche auf Basis der geltenden Rechtslage für die Umsetzung von Ansprüchen der Betroffenen und für das Folgeleisten etwaiger Rechte noch an keine zeitlichen Grenzen gebunden ist, führt die DSGVO mit Art. 12 Abs. 3 starre Fristen ein, binnen derer der Verantwortliche zwingend reagieren muss.
Ergreift der Betroffene Maßnahmen zur Durchsetzung seiner oben aufgeführten Rechte aus den Art. 15-22 DSGVO, so hat der Verantwortliche künftig unverzüglich, spätestens aber innerhalb eines Monat nach Eingang des Antrags des Betroffenen, zur beantragten Maßnahme verpflichtend Stellung zu nehmen. Insofern muss spätestens zum Ablauf einer einmonatigen Frist der Antrag so bearbeitet worden sein, dass der Verantwortliche dem Betroffenen

• im Falle der Abhilfe gemäß Art. 12 Abs. 3 DSGVO eine Information über die auf Antrag ergriffenen Maßnahmen (Berichtigung, Löschung, Beschränkung etc.) oder
• im Falle der Nichtabhilfe gemäß Art. 12 Abs. 4 DSGVO eine Unterrichtung über deren Gründe und die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde und der Einlegung eines gerichtlichen Rechtsbehelfs

bereitstellen kann.
Grundsätzlich wird dem Verantwortlichen also eine Handlungsfrist gesetzt, binnen derer er sich mit der geltend gemachten Rechtsverfolgung des Betroffenen auseinandersetzen und dieser entweder nachkommen oder diese begründet ablehnen muss. Stellt die betroffene Person den Antrag elektronisch, so soll nach Möglichkeit auch die Unterrichtung elektronisch erfolgen.
Online-Händler werden, um dem neuartigen Fristerfordernis Rechnung tragen zu können, in Zukunft nicht nur eine lückenlose Dokumentation jedes individualisierten Datenverarbeitungsvorgangs zur Überprüfung der Begründetheit von Anträgen und zur schnellen Sammlung der für die Maßnahmen erforderlichen Informationen gewährleisten, sondern zudem mithilfe technischer Mittel Verfahren einrichten müssen, mit welchen eine Bearbeitung von Anträgen weitgehend automatisch erfolgen kann. Anders ließen sich – gerade im Angesicht einer Vielzahl von Anträgen – die kurz bemessenen Reaktionsfristen, die für jeden Antrag individuell laufen, wohl kaum einhalten.
Allerdings besteht die Möglichkeit, in Härtefällen eine Fristverlängerung um 2 weitere Monate durchzusetzen, sofern dies unter Berücksichtigung der Komplexität und vor allem der Anzahl von Anträgen erforderlich ist. Will der Verantwortliche von dieser Verlängerungsmöglichkeit Gebrauch machen, hat er den Betroffenen innerhalb von einem Monat nach Eingang des Antrags (bei elektronischem Antrag in elektronischer Form) darüber zu informieren, dass die Bearbeitung mehr Zeit in Anspruch nimmt. Dabei sind der abschätzbare Zeitraum der Verzögerung sowie die Gründe für diese anzugeben, Art. 12 Abs. 3 Satz 3 DSGVO.