Was bedeutet die DSGVO für den Onlineauftritt?

Am 25.05.2018 tritt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Was heißt das konkret für den Online-Bereich? Halbwissen ist derzeit im Umlauf. Bei einigen Unternehmern herrscht nach wie vor Verwirrung. Viele Passagen im Gesetz lassen Spielraum. Eine Richtungsweisung wird in einigen Bereichen erst durch die Praxis erlangt werden – vieles steht aber bereits fest. Für all jene, die die Verordnung ignorieren, kann es teuer werden, denn es drohen Strafen bis zu 20 Millionen Euro. Die Behörde holt sich zur Überprüfung Unterstützung und steht in den Startlöchern. Mag. Wolfgang Ehß, Datenschutzexperte und Rechtsanwalt der Grazer Anwaltskanzlei Aspida Rechtsanwälte, steht Rede und Antwort.

Ende Mai 2018 ist es soweit. Die Datenschutzbestimmungen der EU werden verbindlich. Herr Mag. Ehß, was ist Hintergrund der neuen Regelungen?

Wolfgang Ehß: Ziel der europäischen Verordnung ist die Vereinheitlichung der Datenschutzbestimmungen innerhalb der EU. Diese Vereinheitlichung soll dem Datenschutz aber auch dem „freien Verkehr personenbezogener Daten“ dienen. Der Datenschutz soll auch professioneller werden, weswegen allen Unternehmen erhöhte Anforderungen an die Datenschutzdokumentation durch Führung von Verfahrensverzeichnissen und weitreichenderen Nachweis- und Rechenschaftspflichten auferlegt werden. Das sorgt natürlich in den Unternehmen für einen erhöhten Verwaltungsaufwand.

Wen betrifft die Verordnung?

Wolfgang Ehß: Betroffen sind alle Unternehmen, die personenbezogene Daten verarbeiten, also auch EPU und Kleinstunternehmen. Personenbezogene Daten sind all jene Angaben, die sich auf eine zumindest theoretisch identifizierbare Person beziehen. Auch pseudonyme Cookies und IP-Adressen fallen darunter. Eine Verarbeitung liegt praktisch bei allen erdenklichen Verwendungen wie Erheben, Speichern, Offenlegung durch Übermittlung, Löschen, etc. vor.

Viele Unternehmen die einen Websiteauftritt haben, Onlinehandel betreiben bzw. Kundendaten für die Abwicklung Ihrer Geschäftstätigkeit speichern, fürchten die anstehenden Herausforderungen. Kommen bereits bei der herkömmlichen Geschäftsabwicklung neue Herausforderungen auf Unternehmer zu? Ändert sich bei der regulären Geschäftsbeziehung etwas.

Mag. Wolfgang Ehß ist Datenschutzexperte aus Graz

Wolfgang Ehß: Jede natürliche Person hat ein Recht darauf zu wissen, was mit seinen personenbezogenen Daten passiert und wie sie im Unternehmen – auch im EPU oder Kleinstunternehmen – verwendet werden. Darüber ist im Zuge des Geschäftsabschlusses aufzuklären, beispielsweise mittels einer Datenschutzerklärung darauf hinzuweisen. Selbstverständlich ist es auch außerhalb des Onlinehandels erforderlich. Auch dort über die Datenverwendung, ähnlich wie dies über die AGBs passiert, aufzuklären.

Wenn Kunden mittels Newsletter über Neuigkeiten informiert werden und diese in der Vergangenheit ihr Einverständnis erteilt haben, müssen Unternehmen durch die DSGVO erneut ein Einverständnis einholen?

Wolfgang Ehß: Im Rahmen des laut Gesetzeswortlaut vorliegenden berechtigen Interesses sind reguläre Marketingmaßnahmen durchaus gerechtfertigt, gerade dort wo eine ständige Geschäftsbeziehung besteht.

Alle, die bereits Newsletter erhalten und in der Vergangenheit und schon das Einverständnis abgegeben haben, wird man nicht nochmal eine Einwilligungserklärung abverlangen müssen. Eine allgemeine Aussendung zum Thema aktualisierte Datenschutzerklärung wird aber auf jeden Fall Sinn machen.

Stichwort Website: Was müssen Unternehmer im Sinne der DSGVO vor allem beachten?

Wolfgang Ehß: 

  • IP Adressen gelten ab 25.5. als personenbezogene Daten. Eine Pseudonymisierung wird bei der Übermittlung von personenbezogenen Daten im elektronischen Datenverkehr erforderlich. Gerade wenn Daten von der Website an andere Unternehmen bzw. Auftragsverarbeiter (Logistik, Bezahlanbieter, etc.) ausgewertet werden sollen. Die Weiterleitung kann beispielsweise mit SSL-Verschlüsselung vorgenommen werden, wie es bei vielen Webshops und Websites schon Standard ist.
  • Double-Opt-In ist bei Newsletteranmeldung zu empfehlen. Ein Häkchen für „Ich akzeptiere die AGB, die Datenschutzerklärung und bin mit dem Erhalt von Newsletter, Werbung etc. einverstanden“ ist ab 25.05. nicht mehr rechtmäßig. Vielmehr muss für AGBs, Datenschutzerklärung und Newsletter jeweils ein Häkchen vom Kunden gesetzt werden, damit die Einwilligung rechtmäßig ist. Auch bei Kundendateneingabe über ein Kontaktformular auf der Homepage ist vorab auf die Datenschutzerklärung des Unternehmens hinzuweisen und zu empfehlen, dass der Kunde – wie für AGBs und Datenschutzerklärung – ein eigenes Häkchen setzen muss, um der Verarbeitung seiner Daten zuzustimmen.
  • Datenschutzerklärungen von Unternehmen müssen für den Kunden auch vorab einsehbar sein. Diese sollte auf der Website getrennt von AGBs ausgewiesen und per Link direkt abrufbar sein.

Kann man als Unternehmer das Risiko eingehen und den 25. Mai abwarten und erst dann mit der Umsetzung beginnen? Welche Gefahren kommen so auf Unternehmer zu?

Wolfgang Ehß: Vom Zuwarten oder gar von der Nichtumsetzung ist jedenfalls abzuraten, da bei Verstößen mit empfindlich hohen Strafen zu rechnen ist und zu erwarten ist, dass die Behörde mit spezialisierten IT-Unternehmen, die Websites auf Verstöße hin durchforsten werden, zusammenarbeiten wird (der Gewinn hat berichtet).

Mit welchem zeitlichen Aufwand ist für die Umsetzung bei Unternehmen zu rechnen?

Wolfgang Ehß: Dies hängt von der Größe des Unternehmens und der Anzahl der Mitarbeiter ab. Generell gilt: Wenn sich das Unternehmen in der Vergangenheit bereits mit den Themen des Datenschutzes beschäftigt hat, wird es überschaubar sein. Wenn sich ein Unternehmen jedoch noch nie mit den einzelnen Datenströmen auseinandergesetzt hat, wird es im ersten Schritt eine mühsame und sicherlich auch teilweise langwierige Aufgabe sein, diese alle herauszufiltern und nachzuvollziehen, wie z.B. einzelne Mitarbeiter mit den Daten umgehen und welche Mitarbeiter und eventuell auch externe Unternehmen mit den personenbezogenen Daten in Berührung kommen. Diese Unternehmen müssen sich daher zunächst mit folgenden Fragen auseinandersetzen:

  1. Woher kommen welche Daten?
  2. Wo und wie bzw. wie langen werden die Daten verarbeitet und gespeichert?
  3. Wer hat intern und extern Zugriff darauf?
  4. Wohin gehen die Daten bzw. werden die Daten ins EU-Ausland versendet?

In einem nächsten Schritt ist dann zu prüfen, ob die Datenverarbeitung im Unternehmen überhaupt rechtmäßig erfolgt und wem es überhaupt gestattet ist, die personenbezogenen Daten zu verarbeiten. Es muss daher ein gesamtes Datenverarbeitungskonzept mit einem Sicherheitskonzept erstellt werden.

Was umfasst das Sicherheitskonzept?

Wolfgang Ehß: Das Sicherheitskonzept beinhaltet, wie das Unternehmen sicherstellt, dass nur jene Mitarbeiter Zugriff auf die personenbezogenen Daten haben, die auch laut Datenverarbeitungskonzept dazu berechtigt sind. Weiters muss der Zugriff durch unbefugte Dritte verhindert werden. Viele Kleinunternehmen sind in diesem Bereich noch nicht hinreichend sensibilisiert und werden oft die einfachsten Schutzmaßnahmen nicht umgesetzt. Beispielsweise habe ich vor kurzem einen Einzelunternehmer beraten, wobei er seinen PC direkt im Verkaufsraum stehen hat, dies jedoch ohne Passwortschutz. Verlässt er den Arbeitsplatz, bleibt der PC quasi ungeschützt zurück und könnte jeder, der sich im Geschäft befindet, auf die Daten zugreifen.

Kommen die Bestimmungen auch zur Anwendung, wenn die Daten nur in Papierform und nicht elektronisch gespeichert werden?

Wolfgang Ehß: Die DSGVO gilt nicht nur für die rein elektronische bzw. automatisierte, sondern auch für die teil- und nicht automatisierte Verarbeitung von Daten. Wer also noch seine Kundendaten rein analog speichert, muss trotzdem die Bestimmungen beachten.

 

MMPR setzt Lösungen für den Online-Auftritt um, die DSGVO-konform sind. Mag. Wolfgang Ehß ist Rechtsanwalt und Partner der Grazer Anwaltskanzlei Aspida Rechtsanwälte, und erstellt Datenschutz-Audits und Datenschutz-Maßnahmenpakete für Unternehmer. Zu seinen Tätigkeitsschwerpunkten zählt neben dem Datenschutzrecht Wirtschafts- und Unternehmensrecht.

 

 

 

Die Katze am Schwanz packen – Augmented-Reality-App-Lösungen im stationären Handel nutzen

Kaufprozesse verändern sich durch die neuen Technologien. Im Geschäft vor Ort bleibt derweilen noch vieles beim Alten. Unlängst durfte ich in einem Möbelgeschäft über ein Papierformular eine Kundenkarte beantragen. Vorweg bekam ich eine Papierkundenkarte, um den Zeitpunkt bis zum Postversand der Plastikkarte zu überbrücken. Da fragt man sich: Haben wir heute denn nicht mehr zu bieten?

Fangen wir aber von vorne an. In meinem neuen Büro fehlt noch ein passender Papierkorb. Die Anschaffung soll gut überlegt sein. Schließlich soll der Papierkorb zur allgemeinen Einrichtung passen und seinen Zweck optimal erfüllen. Zeit, um sich dem Thema mittels Online-Recherche anzunehmen. Welche Papierkörbe, die in Frage kommen, gibt es? Größe, Volumen, Form, Farbe, Design, Hersteller und Preis werden mit den eigenen Anforderungen verglichen. Einige Modelle springen ins Auge.

Die verschiedenen Onlineshops und –plattformen werden durchforstet. Bietet ein Anbieter möglicherweise das gleiche Produkt mit denselben Features zum günstigeren Preis oder in einem benutzerfreundlicheren Umfeld an? Auch die Kaufbestärkung, die uns früher der geschulte Verkäufer im persönlichen Gespräch zusichern konnte, darf nicht zu kurz kommen. Selbst im Falle des Papierkorbs kann sich ein kurzer Blick auf die Kundenbewertungen lohnen. Und wie wird der Papierkorb sich schlussendlich im Büro machen? Vor Ort im Geschäft sind wir an diesem Punkt gefordert, unsere Vorstellungskraft anhand des realen Objekts spielen zu lassen. Online gestaltet sich die Lage etwas schwieriger.

Zeig mir meine neue Welt bevor ich mich dafür entscheide

Wir wollen uns heute in fast jedem Bereich unseres Lebens sicher sein. Alles soll perfekt sein. Je größer die Veränderung, umso wichtiger ist der vorausgehende Prozess. Die Technik macht möglich, wovon viele geträumt haben. Mittels Smartphone oder Tablet und entsprechender App können wir das Nachher bereits vorher sehen. Virtuelles Probieren ist mit den zur Verfügung stehenden Technologien kein Problem mehr. Ein maßstabsgetreues 3-D-Modell des Papierkorbs und die Kamerasensoren des Smartphones oder Tablets reichen aus. Bei iOS reicht das Augmented-Reality-Kit ab iOS 11 aus. Ikea bietet aktuell mit der App Ikea Place an, Teile der Produktpalette – vom Papierkorb bis zur Couch – im gewünschten Umfeld zu testen.

Online-Probieren mit Augmented-Reality-App-Lösungen. Welche Alternativen gibt es für den Shop samt Center vor Ort?

Im Nu wird der Papierkorb maßstabsgetreu unter dem Schreibtisch platziert und die Passgenauigkeit überprüft. Ein wesentliches Credo bei App-Lösungen: Bequem und einfach zu bedienen müssen sie sein. Amazon hat auch eine App mit AR-Probierfunktionen entwickelt. Diese steht für Deutschland und Österreich derzeit noch nicht bereit. Fakt ist: Solche Apps können den Kaufentschluss von der Couch aus für zahlreiche Produkte beschleunigen. Der Produkt-Auswahlprozess, der vielerorts in realen Geschäften passiert, verlagert sich schrittweise in den virtuellen Raum. 

Funktionierende Shoppingwelten neu denken

Was passiert im Geschäft vor Ort? In Shoppingcentern und Shops per se nimmt die Unterhaltungslust des Kunden zu. Intensives Fühlen, Schmecken, Riechen – es sollen Sinne stimuliert werden, die die digitale Welt noch nicht erreicht – stehen im Mittelpunkt. Modeshows, Late-Night-Shopping-Events, Kinderbetreuung, Live-Acts, Restaurants, Cafès und Bars sind wesentliche Bestandteile von funktionierenden Shoppingwelten, weil reale (Kunden-)Beziehungen im Vordergrund stehen.

Warum nicht „die Katze am Schwanz packen“ und die virtuelle Welt samt Augmented-Reality-App-Lösungen genau für diesen Zweck nutzen? Mit der passenden App schafft der Shopmitarbeiter einen flüssigen Einstieg ins Kundengespräch. Sätze, wie „Kann ich Ihnen helfen“ verschwinden im Idealfall von der Bildfläche. Im Detail ist vieles denkbar. Beispielsweise kann ein virtueller Adventkalender in Geschäften oder Shoppingmalls bestückt werden. Der Kunde wird vor Ort in die virtuelle Welt entführt, hat aber immer die Möglichkeit, beim Shopmitarbeiter rückzufragen oder sich zu informieren. Generell eignet sich das Thema „Geschenkesuche“ hervorragend, um Kunden mit den angebotenen Produkten und einer Marke in Aktion bzw. Interaktion zu bringen und in ein Gespräch zu verwickeln. Wie wäre es denn, den Kunden in einem Geschäft bzw. in einer Filiale, die bloß mit einer Verkaufstheke und einem Tannenbaum bestückt ist, zu bitten, sich ein Geschenk auszusuchen?

Übrigens ist dabei nicht unerwähnt zu lassen: Spielerische Herangehensweisen (u.a. Gamification) eignen sich hervorragend, um Mitarbeitern und Menschen ganz generell digitale Kompetenzen – von Mensch zu Mensch – zu vermitteln. Dazu mehr in einem anderen Artikel.

Martina Sattler ist Inhaberin von der Beratungsagentur MMPR e.U. in Graz und bietet gemeinsam mit dem Softwareentwicklungsunternehmen Schoste.COM GmbH Augmented-Reality-App-Lösungen für den POS (Shops und Shopping-Center) an.

 

Vom Berater zum Coach

Die „richtigen“ Beratungsleistungen spielen gerade für Ein-Personen-Unternehmen eine Rolle – das zeigt eine Online-Erhebung in der Steiermark. Die Berater greifen als Coaches in das Unternehmen ein und sollen unternehmensrelevante betriebswirtschaftliche und steuerliche Themen ganzheitlich überblicken und bei Bedarf Kurskorrekturen vornehmen.    Gründen ist gerade in! Derzeit stellen Ein-Personen-Unternehmen in Österreich über ein Drittel aller marktorientierten Unternehmen dar […]

Werte haben und leben

„Be-greifbare“ Geschichten stärken die Marke

Authentische Geschichten schaffen Vertrauen und Bindung, halten wach und wirken imagesteigernd. Image stärkt die Marke. Wo, wann und wie, welche Geschichten erzählt werden, bestimmt der Marketingplan. Corporate Publishing erfährt neuen Glanz und unterstützt die Markenführung. In Zeiten wo Online- und Offlinewelt immer mehr miteinander verschwimmen, wird plötzlich die Faktoren „Werte haben und leben“, aber auch […]

Marketing im Wandel – aus Storytelling wird Storyscaping

Menschen begeistern bedeutet, diese dort abzuholen, wo sie gerade sind. Das passiert mit den richtigen Geschichten am richtigen Ort – oder noch besser – durch die Schaffung des richtigen Gestaltungsraums, indem Geschichten passieren und vom Publikum erzählt werden. Storyscaping als Tool, aus dem Marketing, vernetzt Menschen mit Marken und bietet Raum für ihre Geschichten. Storytelling im […]

Mut zu Neuem

Die Digitalisierung schreitet unweigerlich voran. Die Grenze zwischen On- und Offlinewelt verschwimmt zusehends. Unser Leben wird sich durch intelligente Vernetzungen von Produkten und Services verändern. Der Zeitgeist bietet für kreative, innovative und mutige Köpfe große Chancen, um mit innovativen Geschäftsmodellen auf Techtrends aufzusetzen.  Die Verbreitung des Internets der Dinge (IoT) schreitet spürbar voran und soll […]

Ohne Geld geht gar nichts!?

Ohne Geld bleibt die beste Geschäftsidee nur ein netter Zeitvertreib am Zeichenbrett. Das neue Alternativfinanzierungsgesetz und die ausgeprägte Förderlandschaft in Österreich helfen Jungunternehmer, trotz des Mangels an verfügbaren Sicherstellungen, Ihre Ideen auf den Markt zu bringen. Die österreichische Förderlandschaft verzeichnet laut Global Entrepreneurship Monitor (GEM) 2014, europaweit einen Aufwärtstrend und steht an der Spitze unter […]