Als große Bremse für die Digitalisierung und für Innovationen skizzierten manche die DSGVO. Doch stimmt das wirklich? Rechtsanwältin Kathrin Schürmann, Expertin für Wettbewerbs- und Datenschutzrecht, erkennt bei Kunden und Handel ein neues Bewusstsein.

Vernetzte Kassen, digitale Preisschilder, maßgeschneiderte und situationsabhängige Werbung. Die Digitalisierung gilt als einer der stärksten Disruptoren der Handelsbranche. Etablierte Geschäftsmodelle werden zunehmend hinterfragt und auf den Kopf gestellt. Besonders dem stationären Handel scheint es jedoch schwer zu fallen, sich auf die Änderungen in diesem Sektor einzulassen.

So waren 2017 immer noch über die Hälfte der deutschen Händler rein stationär aktiv. Abermals reine Online-Händler wie etwa Zalando oder Amazon nehmen hingegen immer mehr auch den Offline-Handel ins Visier und beschleunigen mit ihrer jahrelangen Erfahrung mit datengetriebenen Geschäftsmodellen die digitale Transformation.   Demgegenüber steht seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO), die für beide Handelsbereiche gleichermaßen gilt.
Wie verhält sich die DSGVO zur Digitalisierung des Handels? Begünstigt sie den Einsatz und die Entwicklung innovativer Technologien oder bremst sie diese aus? Kurz: Ist die DSGVO eine Innovationsbremse für die Handelsbranche? 

Erwartungen der Nutzer sind enorm gestiegen

Die Erwartungen der Nutzer an den Handel sind hinsichtlich der Nutzererfahrung in den letzten Jahren stetig gewachsen. Etablierte E-Commerce-Unternehmen haben Möglichkeiten geschaffen, die von Nutzerseite mittlerweile als Standard auch gegenüber anderen Unternehmen vorausgesetzt werden: Den Warenkorb mit Hilfe des Smartphones befüllen, am Laptop den Kauf abschließen und bestenfalls zwei Straßen weiter ohne Umschweife abholen.

Das Prinzip „Click & Collect“ in Kombination mit dem Seamless Shopping, also einem nahtlosen Einkaufserlebnis, ist so einfach wie genial und scheint zu überzeugen. Der Druck auf den stationären Handel wird mit zunehmender Digitalisierung daher stetig größer. Insofern müssen sich auch die stationären Händler verstärkt mit neuen Technologien und der DSGVO auseinandersetzen, wenn sie den Anschluss nicht verlieren möchten.   Grundlegende datenschutzrechtliche Fragen, die sich jeder Händler stellen muss:
  • Welche Rechtsgrundlagen kommen in Betracht?  
  • Sind alle notwendigen Auftragsverarbeitungsverträge (AVV) mit den Dienstleistern geschlossen? 
  • Besteht eine Kooperation mit anderen Händlern, die die Verarbeitung personenbezogener Daten betrifft und über ein reines Auftragsverhältnis hinausgeht? 
  • Erfüllt das Unternehmen seine Informationspflichten und klärt seine Kunden in ausreichendem Maße über die jeweiligen Verarbeitungstätigkeiten auf? 
  • Wurde bereits ein Prozess zur Beantwortung von Betroffenenanfragen etabliert? 

Die DSGVO gilt für alle gleichermaßen!

Ganz gleich, ob stationärer Handel oder E-Commerce: Die Vorgaben der Datenschutz-Grundverordnung müssen von beiden Seiten gleichermaßen beachtet werden. Für die DSGVO kommt es nur darauf an, ob personenbezogene Daten (Name, Anschrift, Bestellverlauf etc.) verarbeitet werden oder nicht.  Ist dies der Fall, müssen verantwortliche Händler insbesondere ihre Kunden umfassend über sämtliche Datenverarbeitungsvorgänge informieren, für adäquate technische und organisatorische Sicherungsvorkehrungen sorgen und gegebenenfalls Einwilligungen ihrer Kunden einholen. 

Rechtsantwältin Kathrin Schürmann – die Expertin für Wettbewerbs- und Datenschutzrecht
© Kathrin Schürmann
Recht Digital

Standortbezogenes Marketing – das ist erlaubt

Macht man sich bewusst, dass sich E-Commerce-Unternehmen aufgrund der umfangreichen Verarbeitung von Kundendaten und dem Anlegen von entsprechenden Profilen seit jeher intensiv mit Datenschutzfragen auseinandersetzen mussten, so ist es nicht verwunderlich, dass diese derzeit auf dem Vormarsch sind. Der Weg aus der Online- in die Offline-Welt erscheint unter diesem Gesichtspunkt zudem einfacher, als vice versa.  

Neue Technologien trotz DSGVO einsetzbar

Von den Gegnern wird die DSGVO als Innovationsbremse dargestellt. Dass dem nicht so ist, zeigt der vielfältige und vor allem bereits stattfindende Einsatz neuer datengetriebener Technologien. Kundenbindungsprogramme zum Beispiel sind eigentlich ein alter Hut in der Branche.

Durch die Digitalisierung nehmen solcherlei Programme jedoch neue Formen und Ausmaße an. Was früher die Plastikkarte war, ist heute die App auf dem Smartphone der Kunden.Auf diese Weise können Rabatte nicht erst ab Erreichen eines bestimmten Warenwerts, sondern mit Hilfe des sog. Geofencing zum Beispiel auch ortsabhängig gewährt werden, um den Kunden so ins eigene Geschäft zu bewegen. 

Aus datenschutzrechtlicher Sicht ist hier eine detaillierte Abbildung der Datenflüsse unabdingbar, um die Pflichten der DSGVO erfüllen zu können. Die Erhebung und Auswertung von Standortdaten der Kunden muss sich zudem auf eine Rechtsgrundlage stützen können.

Anders als gern angenommen, kommen hier auch andere Rechtsgrundlagen als die klassische und jederzeit widerrufbare Einwilligung in Betracht. Auch vernetzte Kassen sind Ausdruck der Digitalisierung und des Effizienzstrebens der Händler.

Die Vorteile für den Händler liegen auf der Hand: Bündelung von Bestell-, Zahlungs- und Logistikprozessen und jederzeitiger Zugriff via Smartphone oder Laptop. Kunden profitieren ebenfalls von einer schnelleren Abwicklung des Kaufprozesses.

Inwiefern diese Technologie vom Datenschutz berührt wird?
Mitarbeiter verfügen regelmäßig über einen Account, um die Kasse zu bedienen. Sämtliche Eingaben werden so zu personenbezogenen Daten, da sie Rückschlüsse auf die Nutzung durch den Mitarbeiter zulassen. Vor dem Hintergrund eines Beschäftigungsverhältnisses wird so neben der DSGVO auch das Bundesdatenschutzgesetz (BDSG) bzw. der Arbeitnehmerdatenschutz relevant.

Hinzu kommt, dass ggf. auch Kundendaten über solcherlei vernetzte Kassen verarbeitet werden, wenn zum Beispiel via App bezahlt wird. Eine Verknüpfung solcher Kassensysteme mit Mobile Payment muss vor allem bei der Erfüllung der umfassenden Informationspflichten nach den Artikeln 13 und 14 der DSGVO berücksichtigt werden. 

Sicherheit der Daten elementar

Die DSGVO fordert von allen Verantwortlichen für angemessene Schutzvorkehrungen zu sorgen. Gemeint sind die technischen und organisatorischen Maßnahmen (TOM) nach Artikel 32 DSGVO. Was als angemessen gilt, richtet sich nach dem jeweiligen Risiko, das sich aus der Art und Weise der Datenverarbeitung sowie der Bedeutung der personenbezogenen Daten ergibt. 

Je sensibler die personenbezogenen Daten (etwa Bank- oder Gesundheitsdaten) und je höher das der Verarbeitung anhaftende Risiko (etwa wegen der Nutzung eines öffentlichen Netzes), desto strengere Schutzmaßnahmen müssen ergriffen werden.  

Hier kommt vor allem auch das Grundprinzip Privacy by Design (Datenschutz durch Technikgestaltung) ins Spiel, denn es lohnt sich datenschutzrechtliche und datensicherheitsspezifische Aspekte bereits bei der Implementierung neuer Technologien zu berücksichtigen.
Auf diese Weise können Kosten niedrig gehalten und Bußgelder sowie Reputationsverluste vermieden werden. 

Vor dem Hintergrund immer häufiger aufgedeckter Datenpannen, können Händler in dieser Hinsicht das Vertrauen ihrer Kunden stärken und so für eine bessere Bindung derselben sorgen. 

Fazit

 
Die DSGVO mit ihren strengen Anforderungen hat nicht nur bei stationären Händlern für Aufsehen gesorgt. Auch und vor allem Kunden haben schon jetzt - ein Jahr nach Anwendbarkeit der DSGVO - ein völlig neues Bewusstsein bezüglich der Preisgabe ihrer personenbezogenen Daten bzw. für den Datenschutz als solchen entwickelt. 

Die DSGVO verhindert im Ergebnis weder den Einsatz noch die Entwicklung neuer Technologien. Vielmehr sorgt sie lediglich dafür, dass sich Unternehmen mehr Gedanken um die Verarbeitung der Daten ihrer Kunden machen müssen. Selbstverständlich bedeutet dies auch einen höheren organisatorischen Aufwand, doch es lohnt sich.
MEHR ZUM THEMA:

Zuerst brachte sie Hysterie und Aufregung, danach sachliche und wichtige Diskussionen: die DSGVO
© Peter Schreiber Media/Fotolia
Datenschutz

Wenn sogar Mark Zuckerberg lobt: Die DSGVO erreicht ihr Ziel


Abmahnungen können Händler in eine Schräglage bringen. Oder sogar das wirtschaftliche Aus bedeuten.
© photoschmidt - fotolia.com
Rechtssichere Website

Vorsicht, Abmahnfalle: Diese Experten-Tipps müssen Händler beachten


Biometrisch Bezahlen
© Mastercard
Onlinepayment

Wie Händler Zahlungen "stark" absichern können