Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

DSGVO: In welchen Fällen muss der Online-Händler künftig einen Vertrag über die Auftragsverarbeitung abschließen?

29.03.2018, 11:20 Uhr | Lesezeit: 5 min
DSGVO: In welchen Fällen muss der Online-Händler künftig einen Vertrag über die Auftragsverarbeitung abschließen?

Wenn der Online-Händler einen Dienstleister beauftragt, für ihn personenbezogene Daten zu verarbeiten, dann muss er nach der künftigen Datenschutzgrundverordnung (DS-GVO) mit diesem Dienstleister einen Vertrag abschließen. Dieser Vertrag muss bestimmten Anforderungen genügen. Er muss die Aufsichtsbehörden auf Anforderung über einen solchen Vertrag unterrichten. Auch der Auftragsverarbeiter muss ein Verzeichnis über seine Verarbeitungstätigkeiten führen. Die Auftragsverarbeitung führt also zu einer Vielzahl von Pflichten. Umso wichtiger ist die Frage, in welchen Fällen denn nun eine Auftragsverarbeitung vorliegt. Sind z.B. Transport- und Bezahldienstleister, die die meisten Online-Händler einschalten, sogenannte Auftragsverarbeiter, mit denen der Online-Händler einen Vertrag über die Auftragsverarbeitung schließen muss?

Wenn Sie mehr dazu wissen wollen, in welchen Fällen ein Vertrag über die Auftragsverarbeitung geschlossen werden muss und wie ein solcher Vertrag aussehen muss, dann lesen Sie den folgenden Beitrag, der im Antwort&Frage Format gehalten ist.

1. Wer ist Auftragsverarbeiter nach der künftigen DS-GVO

Frage: Was ist ein Auftragsverarbeiter?

Die DS-GVO gibt dazu in Art. 4 Nr. 8 eine scheinbar einfache Antwort. Demnach ist Auftragsverarbeiter eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Online-Händlers als sogenanntem Verantwortlichen verarbeitet. Mit dieser Definition ist allerdings noch nicht viel gewonnen, da der Online-Händler personenbezogene Daten an viele Stellen weitergibt (Online-Handelsportale, Transportdienstleister, Bezahldienstleister und Werbepartner, die ihm helfen, Werbung zielgruppenorientiert zu schalten). Die einzelnen Fallgruppen müssen daher im Einzelnen untersucht werden. Die folgenden Ausführungen orientieren sich an dem amtlichen Kurzpapier der Datenschutzkonferenz, das für den Online-Händler als verbindliche Referenz anzusehen ist.

Kostenfreies Bewertungssystem SHOPVOTE

1.1 Fallgruppen, bei denen keine Auftragsverarbeitung vorliegt

Frage: Sind Online-Handelsportale, an die der Online-Händler Daten weitergibt, Auftragsverarbeiter?

Nein

Hier fehlt es schon an einem Auftragsverhältnis. Online-Handelsportale verarbeiten keine Daten im Auftrag des Online-Händlers. Sie verstehen sich als Plattformen, über die der Online-Händler seine Produkte vertreiben kann.

Frage: Sind Transportdienstleister und Bezahldienstleister Auftragsverarbeiter des Online-Händlers?

Hier ist eine Antwort nicht so eindeutig. Transport- Bezahldienstleister werden zwar im Auftrag des Online-Händlers tätig und müssen personenbezogene Daten (wie Lieferadresse, Bankverbindung des Kunden) verarbeiten, um ihren Auftrag zu erfüllen.

Solche Dienstleister sind aber nicht als Auftragsverarbeiter einzustufen. Wie im amtlichen Kurzpapier der Datenschutzkonferenz, Anhang B ausgeführt wird , ist die Einschaltung von solchen Dienstleistern, keine Auftragsverarbeitung sondern die Inanspruchnahme fremder Fachdienstleistungen.

Frage: Sind Steuerberater, Rechtsanwälte (wie Anwälte der IT-Recht Kanzlei) Auftragsverarbeiter des Online-Händlers?

Nein

Nach dem zitierten Kurzpapier, Anhang B sind Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte keine Auftragsverarbeiter.

1.2 Fallgruppen, bei denen eine Auftragsverarbeitung vorliegt

Frage: Bei welchen Fallgruppen bejaht die Datenschutzkonferenz eine Auftragsverarbeitung?

Die Datenschutzkonferenz sieht eine Auftragsverarbeitung unter anderem bei folgenden Dienstleistungen vor (Kurzpapier, Anlage A)

  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des CloudBetreibers erforderlich ist,
  • Werbeadressenverarbeitung in einem Lettershop,
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Anmerkung: Das sind aber nur Beispielsfälle. Für den Online-Händler weitere relevante Fallgruppen finden sie im Folgenden.

Frage: Ist die Inanspruchnahme von Webtracking-Tools eine Auftragsverarbeitung

Es kommt darauf an.

Hier sollen die gebräuchlichsten Webtracking-Anbieter vorgestellt werden.

  • Webtracking mit Google ist eine Auftragsdatenverarbeitung. Hier muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden
  • Gleiches gilt bei etracker und Econda.
  • Im Gegensatz zu Google Analytics, etracker und Econda ist Matamo ein Trackingtool, das durch den Online-Händler selbst, d.h. direkt auf dem eigenen Webserver betrieben werden kann. Bei Matamo muss daher kein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Frage: Ist mit dem Erwerb von Software zur Einrichtung von Online-Shops eine Auftrags-verarbeitung verbunden?

Nein

Wenn der Online-Händler eine Software erwirbt, um einen Online-Shop einzurichten, dann führt dies nicht zur Verarbeitung von personenbezogenen Daten durch einen Dritten.

Frage: Ist die Einschaltung von sogenannten Webhostern eine Auftragsverarbeitung?

Es kommt darauf an

Webhoster sind Dienstleister, die Webseiten bereitstellen und auch den Betrieb von Webservern und die Netzwerkanbindung übernehmen. Ist mit solchen Dienstleistungen nur der bloße Internet-Zugangsdienst ohne Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webshoster allerdings auch Aufgaben, die mit der Verarbeitung von personenbezogenen Daten verbunden ist wie z.B. E-Mail-Verwaltung, E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor.

2. Vertrag mit dem Auftragsverarbeiter

Wenn eine Auftragsverarbeitung vorliegt, muss der Online-Händler als Verantwortlicher mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen (Art.28 DS-GVO). Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden. Der Vertrag hat unter anderem zum Gegenstand: Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Pflichten und Rechte des verantwortlichen Online-Händlers sowie dessen Weisungsbefugnis. Ein solcher Vertrag ist also ausgesprochen komplex. Der verantwortliche Online-Händler kann bei Verträgen zur Auftragsverarbeitung, die nicht den Vorgaben der DS-GVO entsprechen, mit Bußgeldern belangt werden. Es wird daher empfohlen, sich bei einem solchen Vertrag an anerkannten Musterverträgen zu orientieren.

Frage: Welche Musterverträge für eine Auftragsdatenverarbeitung gibt es abgesehen von Google Analytics, etracker und Econda?

Hier ist auf das amtliche Muster und die Formulierungshilfe für einen Auftragsverarbeitungsvertrag des bayerischen Landesamtes für Datenschutzaufsicht zu verweisen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Matthias Enter - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

G
G. Kister-Schuler 22.05.2018, 17:14 Uhr
Auftragsverarbeiter?
Hallo Herr Keller, ich habe zwei "Verarbeiter", die ich in Ihrer Liste nicht finde:


meine Steuer macht ein nicht stempelnder Unternehmensberater, der die Daten (meine Konto-Auszüge, Rechnungen an Kunden und von Lieferanten; keine Mailadressen) nur in Papierform erhält. Und eine Kollgein (selbständig, keine Angestellte) vertritt mich gelegentlich bei Urlaub oder Krankheit mit vollem Zugriff auf meine Daten. Ich vermute, daß ich im zweiten Fall einen Vertrag schließen muß, aber wie sieht es mit dem ersten aus?
Vielen Dank schon mal für Ihre Antwort.
H
Helmut Müller 16.05.2018, 23:07 Uhr
Auftragsdatenverarbeitungsvertrag auch bei bloßem selbstgehostetem Blogsystem?
Hallo,

eine Frage welche zurzeit ziemlich viele, vor allem deutsche BloggerInnen beschäftigt. Muß ich bei einem Blog den ich bei einem deutschen Webhoster mit kostenlosem Hostingsangebot selbst hoste mit dem Webhoster einen solchen Auftragsdatenverarbeitungsvertrag abschliessen?


Danke für die Antwort! LG
F
Frank Müller 15.05.2018, 11:03 Uhr
Direktlieferungen
Hallo Herr Keller,
wie sieht es bei einer Direktlieferung der Ware durch den Hersteller aus. Muss hier ein AD Vertrag geschlossen werden oder nicht? Die Daten werden zur kompletten Verarbeitung den den Hersteller des Gegenstandes geschickt.
Grüße
S
S. Mohr 11.04.2018, 12:51 Uhr
Dipl. Des.
Muss ich mit Facebook und Instagram eine Auftragsdatenverarbeitung-Auftrag abschließen, wenn ich dort Werbeanzeigen schalte und das Analytics Tool benutze? Und wenn ja, wo finde ich eine Vorlage dafür?
Muss man auch mit Paypal eine Vertrag über die Auftragsdatenverarbeitung abschließen?
A
A. Hansen 30.03.2018, 12:25 Uhr
Frau
Wenn ich meine Produkte z.B  über Dawanda vertreibe, muss ich dann mit Dawanda einen Auftragsverarbeitungsvertrag abschließen?
I
IT-Recht Kanzlei 29.03.2018, 09:40 Uhr
Korrektur
Sehr geehrter Herr Kleinheisterkamp, danke für den Hinweis. In der Tat war der Beitrag insofern missverständlich formuliert. Wir haben dies korrigiert. Mfg, Ihre IT-Recht Kanzlei

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei