von RA Max-Lion Keller, LL.M. (IT-Recht)

DSGVO: In welchen Fällen muss der Online-Händler künftig einen Vertrag über die Auftragsverarbeitung abschließen?

News vom 29.03.2018, 11:20 Uhr | 8 Kommentare 

Wenn der Online-Händler einen Dienstleister beauftragt, für ihn personenbezogene Daten zu verarbeiten, dann muss er nach der künftigen Datenschutzgrundverordnung (DS-GVO) mit diesem Dienstleister einen Vertrag abschließen. Dieser Vertrag muss bestimmten Anforderungen genügen. Er muss die Aufsichtsbehörden auf Anforderung über einen solchen Vertrag unterrichten. Auch der Auftragsverarbeiter muss ein Verzeichnis über seine Verarbeitungstätigkeiten führen. Die Auftragsverarbeitung führt also zu einer Vielzahl von Pflichten. Umso wichtiger ist die Frage, in welchen Fällen denn nun eine Auftragsverarbeitung vorliegt. Sind z.B. Transport- und Bezahldienstleister, die die meisten Online-Händler einschalten, sogenannte Auftragsverarbeiter, mit denen der Online-Händler einen Vertrag über die Auftragsverarbeitung schließen muss?

Wenn Sie mehr dazu wissen wollen, in welchen Fällen ein Vertrag über die Auftragsverarbeitung geschlossen werden muss und wie ein solcher Vertrag aussehen muss, dann lesen Sie den folgenden Beitrag, der im Antwort&Frage Format gehalten ist.

1. Wer ist Auftragsverarbeiter nach der künftigen DS-GVO

Frage: Was ist ein Auftragsverarbeiter?

Die DS-GVO gibt dazu in Art. 4 Nr. 8 eine scheinbar einfache Antwort. Demnach ist Auftragsverarbeiter eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Online-Händlers als sogenanntem Verantwortlichen verarbeitet. Mit dieser Definition ist allerdings noch nicht viel gewonnen, da der Online-Händler personenbezogene Daten an viele Stellen weitergibt (Online-Handelsportale, Transportdienstleister, Bezahldienstleister und Werbepartner, die ihm helfen, Werbung zielgruppenorientiert zu schalten). Die einzelnen Fallgruppen müssen daher im Einzelnen untersucht werden. Die folgenden Ausführungen orientieren sich an dem amtlichen Kurzpapier der Datenschutzkonferenz, das für den Online-Händler als verbindliche Referenz anzusehen ist.

1.1 Fallgruppen, bei denen keine Auftragsverarbeitung vorliegt

Premiumpaket
Frage: Sind Online-Handelsportale, an die der Online-Händler Daten weitergibt, Auftragsverarbeiter?

Nein

Hier fehlt es schon an einem Auftragsverhältnis. Online-Handelsportale verarbeiten keine Daten im Auftrag des Online-Händlers. Sie verstehen sich als Plattformen, über die der Online-Händler seine Produkte vertreiben kann.

Frage: Sind Transportdienstleister und Bezahldienstleister Auftragsverarbeiter des Online-Händlers?

Hier ist eine Antwort nicht so eindeutig. Transport- Bezahldienstleister werden zwar im Auftrag des Online-Händlers tätig und müssen personenbezogene Daten (wie Lieferadresse, Bankverbindung des Kunden) verarbeiten, um ihren Auftrag zu erfüllen.

Solche Dienstleister sind aber nicht als Auftragsverarbeiter einzustufen. Wie im amtlichen Kurzpapier der Datenschutzkonferenz, Anhang B ausgeführt wird , ist die Einschaltung von solchen Dienstleistern, keine Auftragsverarbeitung sondern die Inanspruchnahme fremder Fachdienstleistungen.

Frage: Sind Steuerberater, Rechtsanwälte (wie Anwälte der IT-Recht Kanzlei) Auftragsverarbeiter des Online-Händlers?

Nein

Nach dem zitierten Kurzpapier, Anhang B sind Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte keine Auftragsverarbeiter.

1.2 Fallgruppen, bei denen eine Auftragsverarbeitung vorliegt

Frage: Bei welchen Fallgruppen bejaht die Datenschutzkonferenz eine Auftragsverarbeitung?

Die Datenschutzkonferenz sieht eine Auftragsverarbeitung unter anderem bei folgenden Dienstleistungen vor (Kurzpapier, Anlage A)

  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des CloudBetreibers erforderlich ist,
  • Werbeadressenverarbeitung in einem Lettershop,
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Anmerkung: Das sind aber nur Beispielsfälle. Für den Online-Händler weitere relevante Fallgruppen finden sie im Folgenden.

Frage: Ist die Inanspruchnahme von Webtracking-Tools eine Auftragsverarbeitung

Es kommt darauf an.

Hier sollen die gebräuchlichsten Webtracking-Anbieter vorgestellt werden.

  • Webtracking mit Google ist eine Auftragsdatenverarbeitung. Hier muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden
  • Gleiches gilt bei etracker und Econda.
  • Im Gegensatz zu Google Analytics, etracker und Econda ist Matamo ein Trackingtool, das durch den Online-Händler selbst, d.h. direkt auf dem eigenen Webserver betrieben werden kann. Bei Matamo muss daher kein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Frage: Ist mit dem Erwerb von Software zur Einrichtung von Online-Shops eine Auftrags-verarbeitung verbunden?

Nein

Wenn der Online-Händler eine Software erwirbt, um einen Online-Shop einzurichten, dann führt dies nicht zur Verarbeitung von personenbezogenen Daten durch einen Dritten.

Frage: Ist die Einschaltung von sogenannten Webhostern eine Auftragsverarbeitung?

Es kommt darauf an

Webhoster sind Dienstleister, die Webseiten bereitstellen und auch den Betrieb von Webservern und die Netzwerkanbindung übernehmen. Ist mit solchen Dienstleistungen nur der bloße Internet-Zugangsdienst ohne Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webshoster allerdings auch Aufgaben, die mit der Verarbeitung von personenbezogenen Daten verbunden ist wie z.B. E-Mail-Verwaltung, E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor.

2. Vertrag mit dem Auftragsverarbeiter

Wenn eine Auftragsverarbeitung vorliegt, muss der Online-Händler als Verantwortlicher mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen (Art.28 DS-GVO). Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden. Der Vertrag hat unter anderem zum Gegenstand: Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Pflichten und Rechte des verantwortlichen Online-Händlers sowie dessen Weisungsbefugnis. Ein solcher Vertrag ist also ausgesprochen komplex. Der verantwortliche Online-Händler kann bei Verträgen zur Auftragsverarbeitung, die nicht den Vorgaben der DS-GVO entsprechen, mit Bußgeldern belangt werden. Es wird daher empfohlen, sich bei einem solchen Vertrag an anerkannten Musterverträgen zu orientieren.

Frage: Bieten Google Analytics, etracker und Econda im Rahmen des Webtracking solche Musterverträge an?

Ja

Google Analytics stellt einen vorformulierten Vertragstext zur Auftragsdatenverarbeitung zur Verfügung.

Auch etracker weist in den AGB auf die Möglichkeit des Abschlusses einer schriftlichen Vereinbarung über eine Auftragsverarbeitung hin (s. Ziffer 6.2 AGB).

Econda weist ebenfalls in den AGB auf die Möglichkeit eines Auftragsverarbeitungsvertrags hin (s. AGB Ziffer 4).

Frage: Welche Musterverträge für eine Auftragsdatenverarbeitung gibt es abgesehen von Google Analytics, etracker und Econda?

Hier ist auf das amtliche Muster und die Formulierungshilfe für einen Auftragsverarbeitungsvertrag des bayerischen Landesamtes für Datenschutzaufsicht zu verweisen.

Bildquelle:
© Matthias Enter - Fotolia.com

Besucherkommentare

Auftragsdatenverarbeitungsvertrag auch bei bloßem selbstgehostetem Blogsystem?

16.05.2018, 23:07 Uhr

Kommentar von Helmut Müller

Hallo, eine Frage welche zurzeit ziemlich viele, vor allem deutsche BloggerInnen beschäftigt. Muß ich bei einem Blog den ich bei einem deutschen Webhoster mit kostenlosem Hostingsangebot selbst...

Direktlieferungen

15.05.2018, 11:03 Uhr

Kommentar von Frank Müller

Hallo Herr Keller, wie sieht es bei einer Direktlieferung der Ware durch den Hersteller aus. Muss hier ein AD Vertrag geschlossen werden oder nicht? Die Daten werden zur kompletten Verarbeitung den...

Dipl. Des.

11.04.2018, 12:51 Uhr

Kommentar von S. Mohr

Muss ich mit Facebook und Instagram eine Auftragsdatenverarbeitung-Auftrag abschließen, wenn ich dort Werbeanzeigen schalte und das Analytics Tool benutze? Und wenn ja, wo finde ich eine Vorlage...

Frau

30.03.2018, 12:25 Uhr

Kommentar von A. Hansen

Wenn ich meine Produkte z.B  über Dawanda vertreibe, muss ich dann mit Dawanda einen Auftragsverarbeitungsvertrag abschließen?

Korrektur

29.03.2018, 09:40 Uhr

Kommentar von IT-Recht Kanzlei

Sehr geehrter Herr Kleinheisterkamp, danke für den Hinweis. In der Tat war der Beitrag insofern missverständlich formuliert. Wir haben dies korrigiert. Mfg, Ihre IT-Recht Kanzlei

Leser

28.03.2018, 23:58 Uhr

Kommentar von Ferdinand Kleinheisterkamp

Sehr geehrter Herr Keller, Verträge über Auftragsverarbeitung müssen doch nicht der Obrigkeit aka Landesdatenschutzbehörden gemeldet werden! Eine Meldepflicht gibt es nur bei Datenreichtum, also...

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller