Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

DSGVO für Onlinehändler Teil 4 – don’t panic, get started! Das Verarbeitungsverzeichnis

06.04.2018, 14:49 Uhr | Lesezeit: 8 min
DSGVO für Onlinehändler Teil 4 – don’t panic, get started! Das Verarbeitungsverzeichnis

Der Stichtag 25.05.2018 naht mit großen Schritten. Deshalb sorgt die Datenschutz-Grundverordnung (DSGVO) zunehmend für Unruhe unter den Onlinehändlern. Im Rahmen einer Serie von Beiträgen will die IT-Recht Kanzlei Onlinehändlern komprimiertes Praxiswissen vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Händler eine lösbare Aufgabe ist. In unserem aktuellen Beitrag ist das Verarbeitungsverzeichnis dran.

“Das Verzeichnis” – der Angstmacher

Die Worte „Verzeichnis der Verarbeitungstätigkeiten“, “Verarbeitungsverzeichnis”, und “Verfahrensverzeichnis” stehen synonym für das Grauen vieler Onlinehändler vor dem 25.05.2018.

Dieses „Verzeichnis“ – alle drei Begriffe meinen letztlich dasselbe Dokument- ist nach den Erfahrungen der IT-Recht Kanzlei der Angstmacher schlechthin in puncto DSGVO.

Letztlich zu Unrecht. Wir zeigen Ihnen nachfolgend, warum.

Was ist denn das?

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO (im Folgenden „Verarbeitungsverzeichnis“, häufig auch als „Verfahrensverzeichnis“ bezeichnet) ist ein vom datenschutzrechtlich Verantwortlichen elektronisch oder schriftlich zu führendes Dokument.

Darin sind neben diversen Pflichtangaben generell-abstrakt die Verarbeitungsvorgänge durch den Verantwortlichen aufzuführen.

Es dient damit zu Dokumentationszwecken sowie als Nachweis dafür, dass die Vorgaben der DSGVO durch den Verantwortlichen auch eingehalten werden.

In Bezug auf Onlinehändler bedeutet dies, dass der Händler ein solches Verzeichnis zu erstellen und als – grundsätzlich betriebsinternes Dokument - zu führen hat. Damit kommt er seiner Dokumentationspflicht nach.

Sollte dann nach dem 25.05.2018 tatsächlich eine Aufsichtsbehörde an den Händler herantreten und die Herausgabe des Verarbeitungsverzeichnisses verlangen, so muss der Händler dem Verlangen der Behörde zur Erfüllung seiner Rechenschaftspflicht nachkommen

Welche Inhalte gibt es?

Inhaltlich werden die folgenden Anforderungen an das Verarbeitungsverzeichnis gestellt, so dass dieses Angaben enthalten muss über:

  • Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Die generell-abstrakte Darstellung der Verarbeitungstätigkeiten ist ausreichend

Häufig sind Händler der Ansicht, es müsse in diesem Verzeichnis jeder einzelne Datenverarbeitungsvorgang protokolliert werden. Also z.B.

"- Verarbeitung Email-Adresse Kunde Max Meier
- Verarbeitung Bankdaten Kunde Max Meier
- Verarbeitung Email-Adresse Kunde Mila Muster
- Verarbeitung Bankdaten Kunde Mila Muster"

Das trifft Gott sei Dank nicht zu!

Es sind lediglich abstrakt die generell erfolgenden Verarbeitungsvorgänge zu beschreiben, ohne jeden Bezug zu konkreten Kunden. Das macht die Sache doch gleich unkomplizierter.

Aber, es sind doch nur „die Großen“ betroffen?

Vorweg: Dieses Gerücht hält sich leider hartnäckig, trifft in der Sache jedoch überhaupt nicht zu.

Viele Händler verstehen die – zugegebenermaßen sehr undurchsichtige - gesetzliche Ausnahme von der Pflicht zur Erstellung und Führung eines Verarbeitungsverzeichnisses falsch dahingehend, dass nur große Unternehmen mit mindestens 250 Mitarbeitern ein solches Verarbeitungsverzeichnis erstellen und führen müssen.

Zwar sind Unternehmen mit weniger als 250 Mitarbeitern unter bestimmten weiteren Voraussetzungen von dieser Pflicht befreit.

Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da gerade Onlinehändler aber personenbezogene Daten nahezu permanent – und damit „nicht nur gelegentlich“ verarbeiten (etwa schon beim Einsatz von Analyse- und Trackingtools auf der Webseite bzw. spätestens bei der Vertragsabwicklung), greift das „Kleinbetriebsprivileg“ nicht für Onlinehändler.

Jeder Onlinehändler ist betroffen!

Daraus folgt, dass jeder Onlinehändler spätestens zum 25.05.2018 ein Verarbeitungsverzeichnis erstellt haben und dieses führen muss.

Für Onlinehändler gibt es keine Ausnahmen in Bezug auf Anzahl der Beschäftigten oder bestimmte Umsatz- oder Gewinnschwellen. Insbesondere werden auch Kleinunternehmer im Sinne des § 19 Abs. 1 UStG in die Pflicht genommen.

Auch nicht von Relevanz ist es, ob der Händler einen eigenen Shop betreibt, nur eine Webseite vorhält, ob er nur auf Verkaufsplattformen wie Amazon, DaWanda oder eBay verkauft.

Dieses Thema wird also für jeden Onlinehändler spätestens zum 25.05.2018 relevant!

Praktisch: IT-Recht Kanzlei stellt Mandanten kostenfrei elektronisch konfigurierbares Muster zur Verfügung

Voraussichtlich Ende April stellt die IT-Recht Kanzlei ihren Update-Service-Mandanten kostenlos den Zugang zu einem elektronisch konfigurierbaren Verarbeitungsverzeichnis zur Verfügung.

Dieses wurde von der IT-Recht Kanzlei speziell auf die Bedürfnisse von Onlinehändlern zugeschnitten und erlaubt eine einfache Erstellung eines solchen Verzeichnisses.

Weitere Informationen finden Sie gerne hier.

Kein öffentliches Dokument

Das Dokument des Verarbeitungsverzeichnisses ist nicht öffentlich, sondern betriebsintern.

Dies ist auch gut so, verbergen sich darin doch regelmäßig eine Menge „Betriebsgeheimnisse“, die grundsätzlich externe Personen nichts angehen.

Das Verarbeitungsverzeichnis muss insbesondere weder auf der Webseite veröffentlicht werden noch Kunden in irgendeiner Form zugänglich gemacht werden.
Die IT-Recht Kanzlei rät auch dringend davon ab, dass Dokument öffentlich zugänglich zu machen.

Aufsichtsbehörden: Bereits jetzt viel zu tun…

Wer trotz Verpflichtung ab dem 25.05.2018 kein Verzeichnis führt oder dabei die inhaltlichen Vorgaben nicht erfüllt muss – wohl aber eher in der Theorie – damit rechnen, Ärger mit der Aufsichtsbehörde zu bekommen.

Die Behörde kann an den Onlinehändler herantreten und die Herausgabe des Verarbeitungsverzeichnisses verlangen. Ein Verstoß gegen die Verpflichtung zur Führung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO ist bußgeldbewährt.

In der Praxis werden die chronisch überlasteten Datenschutzbehörden aber wohl Besseres zu tun haben, als systematisch an durchschnittliche Onlinehändler heranzutreten und deren Verarbeitungsverzeichnisse zu prüfen.

Solange es in schöner Regelmäßigkeit große Datenskandale bei Weltkonzernen gibt, sind die Aufsichtsbehörden personell stark gebunden. Erfolgt hier im Zuge der DSGVO keine massive personelle Aufstockung, werden „Verarbeitungsverzeichniskontrollen“ bei kleinen und mittleren Onlinehändlern eher Seltenheitswert haben.

Große Onlineunternehmen, bereits bekannte „Sünder“ oder Händler, über die sich Kunden bei den Behörden beschweren werden allerdings mit „Besuch“ rechnen müssen…

Die gute Nachricht: Wohl kein Einfallstor für Abmahnungen

Wie bereits ausgeführt wurde, muss jeder Onlinehändler ab dem 25.05.2018 ein korrektes Verarbeitungsverzeichnis erstellen und führen.

Unbeschadet der Frage, ob das Fehlen eines Verarbeitungsverzeichnisses, ein unvollständiges bzw. unrichtiges Verarbeitungsverzeichnis oder eine mangelnde „Pflege“ und Aktualisierung überhaupt einen abmahnbaren Rechtsverstoß darstellt: In der Praxis werden Fehler in puncto Verarbeitungsverzeichnis wohl kaum Abmahnungen nach sich ziehen.

Dafür gibt es zwei wesentliche Argumente:

1. Es besteht kein Einsichtsrecht für Mitbewerber oder Abmahnverbände. Wer sich also nicht selbst dazu einlässt, kein bzw. nur ein unrichtiges Verzeichnis erstellt zu haben, hat damit wenig zu befürchten.
2. In Bezug auf die Ausgestaltung des Verarbeitungsverzeichnisses besteht zudem für „Angreifer“ das Problem, die internen Verhältnisse des „Angegriffenen“ nicht (im Detail) zu kennen (welche Verarbeitungsvorgänge finden überhaupt statt?). Von daher dürften – dringt das Dokument nach außen – nur evident unrichtige bzw. unvollständige Verarbeitungsverzeichnisse zu Problemen führen.

Fazit

Auch In Bezug auf das Verarbeitungsverzeichnis dürfte in der Praxis gelten: Es wird nichts so heiß gegessen, wie es gekocht wird!

Ja, die Erstellung und Führung eines solchen Verzeichnisses ist für die meisten Onlinehändler Neuland und verursacht Aufwand.

Es muss aber jedem (!) Onlinehändler (egal ob eigener Shop, Verkauf über Plattformen wie Amazon, DaWanda oder eBay) und zwar unabhängig von Umsatz, Größe und Mitarbeiterzahl unbedingt dazu geraten werden, bis spätestens zum 25.05.2018 ein solches Verarbeitungsverzeichnis zu erstellen.

Praktisch: Mandanten der IT-Recht Kanzlei erhalten (voraussichtlich ab der zweiten Aprilwoche) kostenlos Zugang zu einem elektronisch konfigurierbaren Verarbeitungsverzeichnis. Dieses wurde von der IT-Recht Kanzlei speziell auf die Bedürfnisse von Onlinehändlern zugeschnitten und erlaubt eine einfache Erstellung eines solchen Verzeichnisses.

Anhand dieses Musters können Update-Service-Mandanten der IT-Recht Kanzlei schnell und effektiv ein auf individuelle Bedürfnisse zugeschnittenes Verarbeitungsverzeichnis erstellen und für die Zukunft auch führen, um den neuen gesetzlichen Pflichten nachzukommen.

Wer generell als Onlinehändler ein Verarbeitungsverzeichnis vorhält, ist damit bereits einen großen Schritt weiter. Ob dieses inhaltlich zu 100% allen gesetzlichen Vorgaben entspricht (was selbst für Großkonzerne herausfordernd sein dürfte), wird in der Praxis Nebensache sein.

Da weder Kunden noch Konkurrenten ein Einsichtsrecht haben und die Aufsichtsbehörden vermutlich bereits sehr gut damit ausgelastet sein werden, große Konzerne und bekannte „Sünder“ zu kontrollieren, wird die Prognose zu wagen sein, dass der durchschnittliche Onlinehändler vermutlich während seiner gesamten Laufbahn nicht von eine Behörde zur Vorlage des Verarbeitungsverzeichnisses aufgefordert werden wird.

Ein besonderes Augenmerk hinsichtlich der DSGVO sollten Onlinehändler zudem auf ihre „Außenwirkung“ legen, also auf das, was im Rahmen der Verkaufspräsenzen in Bezug auf den Datenschutz nach außen hin erkennbar ist.

Denn: Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitbewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind (z.B. eine veraltete oder lückenhafte Datenschutzerklärung).

Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern, Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist

In diesem Sinne: don’t panic – get started!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Trueffelpix - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

5 Kommentare

G
Günther 18.11.2018, 14:03 Uhr
Verarbeitungsverzeichnisses
hallo wir sind Kunde bei euch haben allerdings dieses Verarbeitungsverzeichnisses nicht dabei?
M
Michael Wolf - Jockey GmbH 03.05.2018, 06:12 Uhr
Service
Hallo,

wir sind sehr zufrieden mit dem Angebot und dem Service der Kanzeil und kann dies nur jedem Online Händler empfehlen.
S
Silvia Wiegmann 02.05.2018, 09:44 Uhr
?
Bedeutet das, dass ich jetzt zb. jeden Verkauf protokollarisch aufschreiben muss.... was ich ja eh mache..oder wie muss ich das verstehen?
A
Aehrenkranz 01.05.2018, 12:41 Uhr
super, vielen Dank!
Super, vielen Dank! Hatte davon noch nicht mal was gehört, geschweige denn was davon verstanden... Eure Newsletter sind wirklich sehr informativ und hilfrteich! LG
H
Hans Willi Stein 30.04.2018, 18:00 Uhr
Top Service !!!
Super Top Service von Euch. Ich kann das Abo nur jedem Gewerbetreibendem empfehlen.

Rechtssichere Texte, ohne stundenlang im Internet in meist unsicheren Quellen suchen zu müssen. Vielen Dank !

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei