Outsourcing im Online-Shop: Wann müssen AV-Verträge geschlossen werden?

Verarbeiten externe Dienste im Shop für den Shopbetreiber Daten, liegt schnell eine Auftragsverarbeitung nach DSGVO mit speziellen Pflichten nah. Doch längst nicht jede Datenauslagerung ist auch eine Aufragsverarbeitung. Wir ordnen typische Fallkonstellationen ein.

Pflichten bei Auftragsverarbeitungen

Wer eine ihm obliegende Verarbeitung personenbezogener Daten auf einen Dritten auslagert, betraut diesen mit einer "Auftragsverarbeitung".

Charakteristisch für eine solche ist, dass der eigentlich datenschutzrechtliche Verantwortliche eine ihm obliegende Verarbeitungstätigkeit nicht selbst durchführt, sondern "outsourced" und auf eine andere natürliche oder juristische Person überträgt.

Diese Person führt dann für den Verantwortlichen die Datenverarbeitung nach dessen Anweisungen und Vorgaben durch.

Um die Sicherheit der Verarbeitung im Auftrag zu schützen, verlangt die DSGVO in Art. 28 bei derartigen Auslagerungen den Abschluss eines "Auftragsverarbeitungsvertrags" mit bestimmten Pflichtinhalten, in dem Regelungen unter anderem zu

• den betroffenen Daten
• den übertragenen Tätigkeiten
• den Vertraulichkeits- und Datensicherungsmaßnahmen
• den gegenseitigen Unterstützungspflichten
• den Vorkehrungen zur Datenlöschung nach Auftragsende

enthalten sein müssen.

Der Abschluss eines solchen Auftragsverarbeitungsvertrags ist rechtliche Voraussetzung für die Zulässigkeit der Übertragung einer Verarbeitungstätigkeit und der Vertrag muss auf Anfrage Datenschutzbehörden vorgelegt werden können.

Compliance-Fehler können schnell in Ordnungs- und Bußgeldverfahren münden.

Gerade in Online-Shops, die ohne externe Dienste und Dienstleister kaum auskommen, ist Betreibern aber nicht immer klar, welche An- und Einbindungen tatsächliche Auftragsverarbeitungen nach DSGVO sind und mit welchen Anbietern insofern ein Auftragsverarbeitungsvertrag geschlossen geschlossen werden muss.

Wir stellen die wichtigsten Fallkonstellationen vor.

Formen tatbestandlicher Auftragsverarbeitungen

1. Die Inanspruchnahme von Webhostern (Strato, Hetzner, Hostinger etc.)

Wird der Online-Shop über einen Dienstleister gehostet, stellt dieser die informationstechnologische Grundlage für den Shopbetrieb dar. Alle Prozesse, auch sämtliche Formen der shopbezogenenen Datenverarbeitungen, werden über den Webhoster abgewickelt, sodass hier eine tatbestandliche Auftragsverarbeitung vorliegt, die zum Abschluss eines AV-Vertrags mit dem Hoster verpflichtet.

Viele Hoster bieten einen solchen bereits in vorgefertigter Version auf Anfrage an, s. z.B. für „estugo“ https://www.estugo.de/support/adv-vertrag/

2. Die Inanspruchnahme einer Shop-Cloud-Lösung oder eines Zahlungs-Hubs

Sowohl bei Shop-Cloud-Lösungen als auch bei der Nutzung von Zahlabwicklungsangeboten eines Hosters erfolgt jeweils eine Übermittlung von shopbasierten Kundendaten an den Anbieter des Dienstes. Während bei den gängigen Shop-Clouds-Systemen (z.B. Gambio-Cloud) alle Datenbestände des Händler-Shopsystems fremdgehostet und fremdverarbeitet werden, werden bei der Inanspruchnahme von Zahlabwicklungslösungen (z.B. "Gambio Payment Hub") immerhin Kontakt-, Personen- und Zahlungsdaten von Kunden zur Abwicklung einer Bezahlung an den Hoster übertragen. In beiden Fällen liegt eine Datenverarbeitung im Auftrag vor, die jeweils einer vertraglichen Ausgestaltung bedarf.

3. Die Inanspruchnahme eines IT-Dienstleisters zur Wartung oder Fernwartung

Wird ein IT-Dienstleister mit der IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) beauftragt und besteht für diesen in dem Zusammenhang die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich um eine Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.
Ist ein Datenzugriff durch den IT-Dienstleister hingegen ausgeschlossen, ist nicht von einer Auftragsverarbeitung auszugehen.

4. Die Beauftragung von Software-Entwicklern für Warenwirtschafts-Lösungen

Bedient sich ein Online-Händler zur Optimierung der Organisation seiner Warenwirtschaft eines Software-Entwicklers und beauftragt diesen mit der Programmierung einer technischen Lösung, so liegt eine Auftragsverarbeitung dann vor, wenn der Entwickler im Zuge des Projekts Zugriff auf Kundendaten erhält, die es zu organisieren und in die Programmabläufe einzuspeisen gilt. Regelmäßig werden Entwicklern von Warenwirtschafts-Software hierbei Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail) und Daten über die Kundenhistorie bereitgestellt, deren Übermittlung den Abschluss eines AV-Vertrages erforderlich macht.

5. Die Beauftragung von Newsletter-Versanddiensteistern

Dienstleitern, die Newsletter für und im Namen eines Online-Händlers versenden, werden zum Zwecke der werblichen Ansprache, bestimmte personenbezogene Daten (allen voran die Mail-Adresse von Interessenten, ggf. zusätzlich Name und Geschlecht) zur weisungsgebundenen Verwendung übertragen. Dies ist grundsätzlich eine Auftragsverarbeitung, die den Abschluss eines Verarbeitungsvertrags voraussetzt.

6. Die Inanspruchnahme von Diensten für automatisierte Kundenbewertungsanfragen durch Bewertungsportale via Script

Bieten Online-Bewertungsportale einen Dienst an, der Kunden mittels Einbindung eines Scripts auf der Check-Out-Seite des Online-Shops automatisch um die Erteilung der Einwilligung in den Erhalt einer automatischen Bewertungsanfrage bittet, so werden durch dieses Script regelmäßig gewisse Kundendaten (etwa die IP-Adresse, die Bestell-/Kundennummer und die Mailadresse des Bestellers) an das Bewertungsportal übertragen. Dieses veranlasst im Falle der Einwilligung des Kunden sodann die Speicherung und Einlesung der Daten und verwendet sie, um automatisierte Bewertungsanfragen für den Händler zu versenden.

Die Versendung automatisierter Bewertungsanfragen unter Verwendung von Personendaten aus dem Händlerbestand geschieht insofern im Auftrag des Händlers, welcher das Script bei sich implementiert. Hier ist fortan ein ADV-Vertrag mit dem ausgebenden Bewertungsportal zu schließen.

7. Die Inanspruchnahme von Cloud-Hostern

Händler, die beim Betrieb ihres Online-Shops die Dienste eines Cloud-Hosters beanspruchen, übertragen diesem Datensätze entweder in Form von Back-Ups oder wickeln sämtliche netzgebundenen Prozesse direkt über die Cloud ab. In beiden Fällen wird der Cloud-Hoster immerhin bei der Speicherung und Organisation der Datensätze tätig, die vor allem Kundendaten beinhalten. Mithin übernimmt er maßgebliche Verarbeitungstätigkeiten im Sinne der DSGVO auf Geheiß und im Auftrag des Händlers, sodass ein AV-Vertrag zu schließen ist.

8. Die Zusammenarbeit mit externen Call-Centern für Kundenanliegen

Vermehrt bedienen sich Händler für die Beantwortung von Kundenanfragen oder die Behandlung von Kundenanliegen eines externen Call-Centers. Zur Identifizierung des Anrufers und der Zuordnung zu einem bestimmten Betreff erheben die Center telefonisch Kundendaten und leiten diese regelmäßig mit einer Zusammenfassung des Anliegens an den Händler weiter. Gleichzeitig erhält das Center zur effektiven Bearbeitung von Anfragen und zur Sicherstellung einer zufriedenstellenden Auskunftserteilung Zugriff auf Kundendatensätze und/oder Systeme des Händlers. Die Beauftragung von Call-Centern für Kundenanliegen stellt eine Auftragsverarbeitung dar, bei welcher das Center im Auftrag und anstelle des Händlers Personendaten verarbeitet, um den Kundenbegehren Rechnung zu tragen.

9. Der Einsatz von Cookie-Consent-Tools

Um den Einsatz von technisch nicht erforderlichen Cookies gesetzeskonform von einer vorherigen Nutzereinwilligung abhängig zu machen, kommen Online-Shops ohne ein hinreichendes Cookie-Consent-Tool nicht aus. Dieses blockiert einwilligungspflichtige Cookies solange, wie der Seitenbesucher über das Consent-Interface seine Einwilligung nicht erteilt, und muss für die nutzerindividuelle Cookie-Steuerung regelmäßig gewisse personenbezogene Daten des Nutzers (etwa dessen IP-Adresse) verarbeiten.

Der Einsatz eines Cookie-Consent-Tools im eigenen Shop zur einwilligungsbasierten Cookie-Freigabe stellt, sofern dieses personenbezogene Daten des Nutzers verarbeitet, eine Auftragsverarbeitung dar, bei der die Verarbeitung von Nutzerdaten zur Beachtung von Cookie-Präferenzen auf den Anbieter des Tools ausgelagert wird.

Konstellationen ohne AV-Charakter

1. Die Beauftragung von Versanddienstleistern

Zwar sind Versanddienstleister für die ordnungsgemäße Zustellung auf die Bereitstellung von Kundendaten angewiesen. Eine Auftragsverarbeitung liegt aber nicht bei in Anspruch genommenen Tätigkeiten vor, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise anfallende Kontakt mit personenbezogenen Daten nur ein unvermeidliches "Beiwerk" darstellt. Die Kerntätigkeit von Versanddienstleistern liegt in der Sendungszustellung und gerade nicht die Verarbeitung von personenbezogenen Daten für Händler.

2. Das Anbieten über Verkaufsplattformen wie eBay, Amazon, etsy oder Dawanda

Beim Anbieten über Verkaufsplattformen ist der Händler zu keinem Zeitpunkt Auftragsverarbeiter einer Handelsplattform, noch ist diese jemals Auftragsverarbeiter des Händlers. Verträge über die Auftragsverarbeitung müssen also nicht geschlossen werden.

Die Plattform, auf der Nutzer registriert sind, übermittelt Kundendaten erst nach Vertragsschluss an den Händler. Er ist somit nie Auftragnehmer, weil er die Daten selbst für die Vertragsdurchführung nutzt und nicht nur unselbstständig als Gehilfe der Plattform tätig wird. Er ist aber auch nie Auftraggeber, weil er keine Herrschaft über die Daten hat und erst nach Vertragsschluss auf diese zugreifen kann.

3. Dropshipping-Lösungen

Verkaufen Händler im Wege des sogenannten Dropshippings (auch „Streckengeschäft), wird bei Vertragsschluss mit einem Kunden der Lieferant beauftragt, die Ware direkt an den kaufenden Kunden zu versenden, ohne dass diese zuvor beim Händler eingeht. Hiervor übermittelt der Händler dem Lieferanten zu Lieferungszwecken bestimmte Kundendaten (mindestens Name und Anschrift).

Auch wenn dieser Konstellation der Anschein einer Auftragsverarbeitung stark anlastet, ist deren Tatbestandlichkeit nicht gegebenen, weil es an der hierfür erforderlichen Weisungsgebundenheit des Lieferanten ob der Datenverarbeitung fehlt.

Nach alter Rechtslage fiel die Weitergabe von Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. „Funktionsübertragung“. Diese lag vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen konnte, wie er den Auftrag abwickelt, wenn er also anders als bei der Auftrags(daten)verarbeitung nicht an Weisungen des Auftraggebers gebunden war.

Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) grundsätzlich selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert und auswertet.

Zwar ist aufgrund der weiteren Fassung in Art. 28 Abs. 1 DSGVO nunmehr die herkömmliche Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung wohl entfallen. Auch unter Geltung der DSGVO stellt das Dropshipping aber keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im „Auftrag“ des Händlers. Die Auftragsverarbeitung nach dem BDSG war durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet.

Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Dropshipping, bei dem letztlich eine „echte Datenübertragung“ vorliegt, weil der Lieferant die Kundendaten nach eigenen Maßstäben und in eigener Organisationshoheit mit dem Ziel der Lieferung zu verarbeiten befugt ist. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsverarbeitung.

4. Print-on-Demand

Ähnlich wie beim Dropshipping sind auch Datenweitergaben an Print-on-Demand-Dienstleister, die Bestellungen für einen Verkäufer durch Ausführung und Versand bearbeiten, keine tatbestandlichen Auftragsverarbeitungen.

Auch bei Print-on-Demand-Modellen entscheidet der Dienstleister nämlich grundsätzlich selbst, wie er eingehende Aufträge ausführt und wie er seine dafür notwendigen internen Prozesse einrichtet und ausgestaltet.

Mangels Weisungsgebundenheit von Print-on-Demand-Dienstleistern im Zusammenhang mit der Verarbeitung von übermittelten Bestelldaten fehlt es an einem von Art. 28 DSGVO vorausgesetzten Auftragsverhältnis.

5. Die Zusammenarbeit mit Zahlungsdienstleistern (PayPal, Billbee, Klarna etc.)

Bietet der Händler Zahlungsarten von externen Dienstleistern an, werden zum Zwecke der Zahlungsabwicklung im Check-Out-Prozess automatisch für die jeweilige Zahlart relevante personenbezogene Daten (etwa Name, Anschrift, Mailadresse, Geburtsdatum, Kundennummer, ggf. Bestellhistorie) übertragen. Eine tatbestandliche Auftragsverarbeitung ist bei derlei Übertragungsform mangels Weisungsgebundenheit der Dienstleister ebenso zu verneinen wie beim Dropshipping.

Die Zahlungsdienstleister entscheiden grundsätzlich selbst, über welche vom Kunden hinterlegten Zahlungsmittel die Zahlung vollzogen werden, ob gegebenenfalls unter Weitergabe der Daten eine Bonitätsprüfung erfolgen soll. Sie sind insofern ob der Entscheidung der Reichweite der durch den Kauf angestoßenen Datenverarbeitungsmöglichkeiten völlig frei und entziehen sich der händlerischen Möglichkeit zur Einflussnahme. Weil die Weise und der Umfang der Verwendung der bereitgestellten Daten allein den Zahlungsdienstleistern überlassen bleibt und diese die übertragenen Daten im eigenen Macht- und Organisationsbereich weiterverarbeiten, fehlt es an dem von Art. 29 DSGVO als für die AV maßgeblich proklamierten Kriterium der Weisungsgebundenheit.

6. Das Einbinden von Social Plugins

Zwar verarbeiten Social-Plugins eine Vielzahl von Daten, bei denen zumindest einige einen Personenbezug aufweisen, ohne zusätzliche Maßnahmen des Händlers bereits bei Aufruf von Seiten des Online-Shops. Diese Verarbeitungen vollziehen sich aber im alleinigen Verantwortungs- und Organisationsbereich der Plugin-Anbieter und dienen ausschließlich deren (wirtschaftlichen) Interessen, ohne dass der Händler auf den Datenfluss Einfluss nehmen könnte. Mithin fehlt es bereits an einer für die AV erforderlichen Auftragslage, welche voraussetzen würde, dass der Händler von ihm verwaltete Datenbestände an einen Dritten überträgt.

7. Die Weiterleitung von Rechnungen an einen Steuerberater

Rechnungsunterlagen enthalten zwar personenbezogene Kundendaten. Bei der Tätigkeit des Steuerberaters handelt es sich aber nicht um eine Unterstützungshandlung bei der Datenverarbeitung, sondern um eine eigenständige Dienstleistung mit steuerrechtlichem Ziel, die allenfalls punktuell mit Daten in Berührung kommt. Die Annahme einer Auftragsverarbeitung mit dem Erfordernis des Abschlusses eines Verarbeitungsvertrags wäre hier sinnwidrig.

8. Der Einsatz von Google Analytics

Wird „Google Analytics“ im Online-Shop zur Analyse des Nutzerverhaltens verwendet, erfolgt die eigentliche Dokumentation und Auswertung nicht durch den Händler selbst, sondern durch Google, den Bereitsteller des Online-Dienstes. Google Analytics erhebt und wertet hierbei eine Fülle von Daten aus, die in gewissem Umfang einen zur Anwendung der DSGVO führenden Personenbezug aufweisen.

Während früher in Ansehung dieser Aufgabenverteilung von einem tatbestandlichen Auftragsverarbeitungsverhältnis ausgegangen wurde, sieht die Datenschutzkonferenz des Bundes und der Länder gemäß einem Beschluss vom 12.05.2020 nun eine gemeinsame Verantwortlichkeit zwischen Google einerseits und dem Analytics-Anwender andererseits für begründet.

Eine nähere Erläuterung zu diesen Ausführungen ist bislang unterblieben.

Zwar sind Auffassungen der DSK nicht verbindlich. Als leitendem Datenschutzgremium der Bundesrepublik kommt Stellungsnahmen der DSK aber eine gewisse Indizwirkung zu.

Es sollte daher bis auf Weiteres von einer gemeinsamen Verantwortlichkeit beim Betrieb von Google Analytics ausgegangen werden. An die Stelle des bisher für erforderlich gehaltenen Auftragsverarbeitungsvertrages tritt damit die Notwendigkeit einer "Vereinbarung über die gemeinsame Verantwortlichkeit" gemäß Art. 26 DSGVO.

Fazit

Online-Händler, die Verarbeitungen personenbezogener Daten an weisungsgebundene Dritte auslagern, gehen "Auftragsverarbeitungen" gemäß der DSGVO ein.

Sie sind in diesen Fällen verpflichtet, mit dem/den Dritten einen gesetzeskonformen Auftragsverarbeitungsvertrag abzuschließen und diesen für mögliche behördliche Anforderungen aufzubewahren.

Die obigen Beispiele zeigen die in Online-Shops gängigsten Konstellationen von Datenverarbeitungen durch Dritte auf und kategorisieren sie nach tatbestandlichen Auftragsverarbeitungen im Sinne von Art. 28 DSGVO einerseits und Verarbeitungsverhältnissen, denen der AV-Charakter abzusprechen ist, andererseits.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.