Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Vor allem im Online-Handel, wo Händler zur Gewährleistung der Funktionsfähigkeit ihren Internetpräsenz, zur Rationalisierung von Abwicklungsprozessen und zur Erhöhung ihrer Reichweite auf verschiedenste Akteure zurückgreifen, entfalten die durch die DSGVO verschärften Regelungen über die Datenverarbeitung im Auftrag vielmals pflichtbegründende Wirkung. In verschiedensten Konstellationen, in denen sich Händler für Datenverarbeitungen Dritter bedienen, sind so Auftragsverarbeitungsverträge zu schließen, um eine hinreichende Datensicherheit zu gewährleisten. Doch nicht weniger häufig trügt der äußere Schein und lässt Händler von einer AV-Situation dort ausgehen, wo sie tatsächlich nicht besteht. Weil eine Abgrenzung mangels handfester Kriterien in der DSGVO nunmehr für Laien kaum noch zu meistern ist, hat die IT-Recht Kanzlei die wichtigsten Konstellationen von Datendrittverarbeitungen im Online-Shop zusammengetragen und hinsichtlich ihrer AV-Qualität analysiert.
I. FORMEN TATBESTANDLICHER AUFTRAGSVERARBEITUNG
-
Die Inanspruchnahme von Webhostern (Strato, Estugo etc.)
Wird der Online-Shop über einen Dienstleister gehostet, stellt dieser die informationstechnologische Grundlage für den Shopbetrieb dar. Alle Prozesse, auch sämtliche Formen der shopbezogenenen Datenverarbeitungen, werden über den Webhoster abgewickelt, sodass hier eine tatbestandliche Auftragsverarbeitung vorliegt, die zum Abschluss eines AV-Vertrags mit dem Hoster verpflichtet.
-
Die Inanspruchnahme einer Shop-Cloud-Lösung oder eines Zahlungs-Hubs (z.B. „Gambio Cloud“ bzw. „Gambio Payment Hub“)
Sowohl bei Shop-Cloud-Lösungen als auch bei der Nutzung von Zahlabwicklungsangeboten eines Hosters erfolgt jeweils eine Übermittlung von shopbasierten Kundendaten an den Anbieter des Dienstes. Während bei den gängigen Shop-Clouds-Systemen (z.B. Gambio-Cloud) alle Datenbestände des Händler-Shopsystems fremdgehostet und fremdverarbeitet werden, werden bei der Inanspruchnahme von Zahlabwicklungslösungen (z.B. „Gambio Payment Hub“) immerhin Kontakt-, Personen- und Zahlungsdaten von Kunden zur Abwicklung einer Bezahlung an den Hoster übertragen. In beiden Fällen liegt eine Datenverarbeitung im Auftrag vor, die jeweils einer vertraglichen Ausgestaltung bedarf.
-
Die Inanspruchnahme eines IT-Dienstleisters zur Wartung oder Fernwartung
Wird ein IT-Dienstleister mit der IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) beauftragt und besteht für diesen in dem Zusammenhang die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich um eine Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.
Ist ein Datenzugriff durch den IT-Dienstleister hingegen ausgeschlossen, ist nicht von einer Auftragsverarbeitung auszugehen. -
Die Beauftragung von Newsletter-Versanddienstleistern
Bedient sich ein Online-Händler zur Optimierung der Organisation seiner Warenwirtschaft eines Software-Entwicklers und beauftragt diesen mit der Programmierung einer technischen Lösung, so liegt eine Auftragsverarbeitung dann vor, wenn der Entwickler im Zuge des Projekts Zugriff auf Kundendaten erhält, die es zu organisieren und in die Programmabläufe einzuspeisen gilt. Regelmäßig werden Entwicklern von Warenwirtschafts-Software hierbei Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail) und Daten über die Kundenhistorie bereitgestellt, deren Übermittlung den Abschluss eines AV-Vertrages erforderlich macht.
-
Die Inanspruchnahme von Diensten für automatisierte Kundenbewertungsanfragen durch Bewertungsportale via Script
Bieten Online-Bewertungsportale einen Dienst an, der Kunden mittels Einbindung eines Scripts auf der Check-Out-Seite des Online-Shops automatisch um die Erteilung der Einwilligung in den Erhalt einer automatischen Bewertungsanfrage bittet, so werden durch dieses Script regelmäßig gewisse Kundendaten (etwa die IP-Adresse, die Bestell-/Kundennummer und die Mailadresse des Bestellers) an das Bewertungsportal übertragen. Dieses veranlasst im Falle der Einwilligung des Kunden sodann die Speicherung und Einlesung der Daten und verwendet sie, um automatisierte Bewertungsanfragen für den Händler zu versenden.Die Versendung automatisierter Bewertungsanfragen unter Verwendung von Personendaten aus dem Händlerbestand geschieht insofern im Auftrag des Händlers, welcher das Script bei sich implementiert. Hier ist fortan ein ADV-Vertrag mit dem ausgebenden Bewertungsportal zu schließen.
-
Die Inanspruchnahme von Cloud-Hostern
Händler, die beim Betrieb ihres Online-Shops die Dienste eines Cloud-Hosters beanspruchen, übertragen diesem Datensätze entweder in Form von Back-Ups oder wickeln sämtliche netzgebundenen Prozesse direkt über die Cloud ab. In beiden Fällen wird der Cloud-Hoster immerhin bei der Speicherung und Organisation der Datensätze tätig, die vor allem Kundendaten beinhalten. Mithin übernimmt er maßgebliche Verarbeitungstätigkeiten im Sinne der DSGVO auf Geheiß und im Auftrag des Händlers, sodass ein AV-Vertrag zu schließen ist.
-
Die Zusammenarbeit mit externen Call-Centern für Kundenanliegen
Vermehrt bedienen sich Händler für die Beantwortung von Kundenanfragen oder die Behandlung von Kundenanliegen eines externen Call-Centers. Zur Identifizierung des Anrufers und der Zuordnung zu einem bestimmten Betreff erheben die Center telefonisch Kundendaten und leiten diese regelmäßig mit einer Zusammenfassung des Anliegens an den Händler weiter. Gleichzeitig erhält das Center zur effektiven Bearbeitung von Anfragen und zur Sicherstellung einer zufriedenstellenden Auskunftserteilung Zugriff auf Kundendatensätze und/oder Systeme des Händlers. Die Beauftragung von Call-Centern für Kundenanliegen stellt eine Auftragsverarbeitung dar, bei welcher das Center im Auftrag und anstelle des Händlers Personendaten verarbeitet, um den Kundenbegehren Rechnung zu tragen.
-
Der Einsatz von Google Analytics
Wird „Google Analytics“ im Online-Shop zur Analyse des Nutzerverhaltens verwendet, erfolgt die eigentliche Dokumentation und Auswertung nicht durch den Händler selbst, sondern durch Google, den Bereitsteller des Online-Dienstes. Google Analytics erhebt und wertet hierbei eine Fülle von Daten aus, die in gewissem Umfang einen zur Anwendung der DSGVO führenden Personenbezug aufweisen. Aus diesem Grund liegt die rechtliche Konstellation einer Auftragsverarbeitung vor, bei welcher der Shopbetreiber als Auftraggeber fungiert und Google zum Auftragnehmer macht.Weil die DSGVO den Abschluss eines AV-Vertrags erstmals auch auf elektronischem Wege erlaubt, hält Google nunmehr sog. „Datenverarbeitungsbedingungen“, die einem solchen Vertrag entsprechen, im Bereich „Verwaltung“ der Analytics- Kontoeinstellungen zur Zustimmung bereit.
II. Konstellationen ohne AV-Charakter
-
Die Beauftragung von Versanddienstleistern
Zwar sind Versanddienstleister für die ordnungsgemäße Zustellung auf die Bereitstellung von Kundendaten angewiesen. Eine Auftragsverarbeitung liegt aber nicht bei in Anspruch genommenen Tätigkeiten vor, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise anfallende Kontakt mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ darstellt. Die Kerntätigkeit von Versanddienstleistern liegt in der Sendungszustellung und gerade nicht die Verarbeitung von personenbezogenen Daten für Händler.
-
Das Anbieten über Verkaufsplattformen wie eBay, Amazon, etsy oder Dawanda
Beim Anbieten über Verkaufsplattformen ist der Händler zu keinem Zeitpunkt Auftragsverarbeiter einer Handelsplattform, noch ist diese jemals Auftragsverarbeiter des Händlers. Verträge über die Auftragsdatenverarbeitung müssen also nicht geschlossen werden. Die Plattform, auf der Nutzer registriert sind, übermittelt Kundendaten erst nach Vertragsschluss an den Händler. Er ist somit nie Auftragnehmer, weil er die Daten selbst für die Vertragsdurchführung nutzt und nicht nur unselbstständig als Gehilfe der Plattform tätig wird. Er ist aber auch nie Auftraggeber, weil er keine Herrschaft über die Daten hat und erst nach Vertragsschluss auf diese zugreifen kann.
-
Dropshipping-Lösungen
Verkaufen Händler im Wege des sogenannten Dropshippings (auch „Streckengeschäft), wird bei Vertragsschluss mit einem Kunden der Lieferant beauftragt, die Ware direkt an den kaufenden Kunden zu versenden, ohne dass diese zuvor beim Händler eingeht. Hiervor übermittelt der Händler dem Lieferanten zu Lieferungszwecken bestimmte Kundendaten (mindestens Name und Anschrift).
Auch wenn dieser Konstellation der Anschein einer Auftragsverarbeitung stark anlastet, ist deren Tatbestandlichkeit nicht gegebenen, weil es an der hierfür erforderlichen Weisungsgebundenheit des Lieferanten ob der Datenverarbeitung fehlt.
Nach alter Rechtslage fiel die Weitergabe von Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. „Funktionsübertragung“. Diese lag vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen konnte, wie er den Auftrag abwickelt, wenn er also anders als bei der Auftrags(daten)verarbeitung nicht an Weisungen des Auftraggebers gebunden war.
Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) grundsätzlich selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert und auswertet.
Zwar ist aufgrund der weiteren Fassung in Art. 28 Abs. 1 DSGVO nunmehr die herkömmliche Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung wohl entfallen. Auch unter Geltung der DSGVO stellt das Dropshipping aber keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im „Auftrag“ des Händlers. Die Auftragsdatenverarbeitung nach dem BDSG war durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet.
Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Dropshipping, bei dem letztlich eine „echte Datenübertragung“ vorliegt, weil der Lieferant die Kundendaten nach eigenen Maßstäben und in eigener Organisationshoheit mit dem Ziel der Lieferung zu verarbeiten befugt ist. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsdatenverarbeitung. -
Die Zusammenarbeit mit Zahlungsdienstleistern (PayPal, Billbee, Klarna etc.)
Bietet der Händler Zahlungsarten von externen Dienstleistern an, werden zum Zwecke der Zahlungsabwicklung im Check-Out-Prozess automatisch für die jeweilige Zahlart relevante personenbezogene Daten (etwa Name, Anschrift, Mailadresse, Geburtsdatum, Kundennummer, ggf. Bestellhistorie) übertragen. Eine tatbestandliche Auftragsverarbeitung ist bei derlei Übertragungsform mangels Weisungsgebundenheit der Dienstleister ebenso zu verneinen wie beim Dropshipping.
Die Zahlungsdienstleister entscheiden grundsätzlich selbst, über welche vom Kunden hinterlegten Zahlungsmittel die Zahlung vollzogen werden, ob gegebenenfalls unter Weitergabe der Daten eine Bonitätsprüfung erfolgen soll. Sie sind insofern ob der Entscheidung der Reichweite der durch den Kauf angestoßenen Datenverarbeitungsmöglichkeiten völlig frei und entziehen sich der händlerischen Möglichkeit zur Einflussnahme. Weil die Weise und der Umfang der Verwendung der bereitgestellten Daten allein den Zahlungsdienstleistern überlassen bleibt und diese die übertragenen Daten im eigenen Macht- und Organisationsbereich weiterverarbeiten, fehlt es an dem von Art. 29 DSGVO als für die AV maßgeblich proklamierten Kriterium der Weisungsgebundenheit. -
Das Einbinden von Social Plugins
Zwar verarbeiten Social-Plugins eine Vielzahl von Daten, bei denen zumindest einige einen Personenbezug aufweisen, ohne zusätzliche Maßnahmen des Händlers bereits bei Aufruf von Seiten des Online-Shops. Diese Verarbeitungen vollziehen sich aber im alleinigen Verantwortungs- und Organisationsbereich der Plugin-Anbieter und dienen ausschließlich deren (wirtschaftlichen) Interessen, ohne dass der Händler auf den Datenfluss Einfluss nehmen könnte. Mithin fehlt es bereits an einer für die AV erforderlichen Auftragslage, welche voraussetzen würde, dass der Händler von ihm verwaltete Datenbestände an einen Dritten überträgt.
-
Die Weiterleitung von Rechnungen an einen Steuerberater
Rechnungsunterlagen enthalten zwar personenbezogene Kundendaten. Bei der Tätigkeit des Steuerberaters handelt es sich aber nicht um eine Unterstützungshandlung bei der Datenverarbeitung, sondern um eine eigenständige Dienstleistung mit steuerrechtlichem Ziel, die allenfalls punktuell mit Daten in Berührung kommt. Die Annahme einer Auftragsverarbeitung mit dem Erfordernis des Abschlusses eines Verarbeitungsvertrags wäre hier sinnwidrig.
III. FAZIT
Die obigen Ausführungen zeigen die in Online-Shops gängigsten Konstellationen von Datenverarbeitungen durch Dritte auf und kategorisieren sie nach tatbestandlichen Auftragsverarbeitungen im Sinne von Art. 28 DSGVO einerseits und Verarbeitungsverhältnissen, denen der AV-Charakter abzusprechen ist, andererseits.
Freilich können angesichts der Fülle von Shop-Lösungen und teilweise stark einzelfallgeprägten Verarbeitungssituationen immer wieder Grenzfälle auftreten, bei denen das Vorliegen einer Auftragsverarbeitung und die hierdurch gegebenenfalls erforderliche Ausgestaltung eines Verarbeitungsvertrages eingängig geprüft werden müssen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz