E-Commerce in Zeiten der EU-DSGVO

Der E-Commerce-Report Schweiz 2017 der Fachhochschule Nordwestschweiz hält fest, dass die digitale Transformation auch im E-Commerce erst am Anfang stehe. Eine Erschöpfung des Wachstums dieses Vertriebskanals sei zurzeit nicht absehbar. Die Dynamik habe eher noch weiter zugenommen, weshalb für die kommenden fünf Jahre keine Trendwende erwartet werde. Trotz dieser erfreulichen Wachstumsprognosen ist auch im Onlinehandel nicht alles Gold, was glänzt. So unterscheiden sich erfolgreiche Onlineanbieter von den auch in diesem Bereich existierenden traditionellen Anbietern vor allem durch ihre aktive Grundhaltung im Verkauf, bei dem sie sich in erster Linie auf Daten stützen und sich mit ihren Kunden und den Situationen, in denen Käufe ausgelöst werden, auseinandersetzen. Dies mit dem Ziel, stets Anknüpfungspunkte an latente Kundenbedürfnisse zu finden und ihr Angebot an Waren oder Dienstleistungen zu platzieren.

Dies kommt mir irgendwie bekannt vor: Neulich bestellte ich in einem Webshop ein Werbebanner und bekam bei der Bestellungsabwicklung zusätzlich auch Kaffeetassen, Kugelschreiber, Stickers und weitere Werbematerialen mit hübsch appliziertem Logo vorgeschlagen. Längst gewöhnt haben wir uns auch an die Information von Onlineshops, welche anderen Produkte mit dem zu erwerbenden Produkt von andern Kunden angeblich bestellt wurden oder was zum ins Auge gefassten Gasgrill idealerweise passt, von der Grillzange über die Zahnbürste bis zum Fitnessgerät für den übereifrigen Wurstkonsumenten.

Um diese Erfolgstaktik auch im EU-Raum weiterhin anwenden zu können, müssen auch Schweizer Onlineanbieter bald die Anforderungen der EU-DSGVO erfüllen: Die ab dem 25. Mai 2018 in Kraft tretenden neuen Datenschutzbestimmungen tragen der Digitalisierung Rechnung und werden den Umgang von Unternehmen mit Personendaten massgeblich verändern. Betroffen sind unter anderem auch Schweizer Unternehmen, die ihre Produkte oder Dienstleistungen in der EU ansässigen Personen anbieten und/oder das Verhalten von in der EU ansässigen Personen tracken. Zusätzlich zu den altbekannten Datenschutzgrundsätzen gehen insbesondere folgende Neuerungen mit der EU-DSGVO einher:

• Informations- und Auskunftspflicht (Art. 13-15 DSGVO): aktive Informationspflicht, auch bei nichtsensiblen Personendaten; Transparenz; Information über automatischem Einzelfallentscheidungen und über Profiling

• Datenschutzfolgeabschätzung (Art. 35 f. DSGVO)

• Umsetzung des Datenschutzes durch Technikgestaltung (privacy by design) und datenschutzfreundliche Voreinstellungen (privacy by default; Art. 25 DSGVO)

• Dokumentationspflicht (Art. 30 DSGVO)

• Meldepflichten (Art. 33 f. DSGVO): Datenschutzver­stösse mit möglichen Folgen für Betroffene müssen den Behörden innert 72 Stunden und bei schwerwiegenden Folgen auch den Betroffenen gemeldet werden

• Sanktionen (Art. 83 f. DSGVO): bis 20 Millionen Euro oder 4 Prozent des weltweiten Gesamtumsatzes

• Einwilligung (Art. 7 DSGVO): höhere Anforderungen

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

• Benennung eines EU-Vertreters (Art. 27 DSGVO)

• Benennung eines Datenschutzbeauftragten (Art. 37 ff. DSGVO)

Die von der neuen Datenschutzregulierung erfassten Unternehmen sind gut beraten, die erforderlichen organisatorischen und technischen Anforderungen zeitig in Angriff zu nehmen und umzusetzen, um im kommenden Frühling bereit zu sein. Es wäre schade, wenn sie das Schicksal der Tante Emma-Läden ereilen würde.