Auftragsverarbeitung: Mit wem müssen Sie Verträge schließen?

20180416_RdW_KW16_de-DE_920x340_1v0001-MKT-1437

Durch die DSGVO rückt das Thema Datenschutz in den Fokus vieler Online-Händler. Dabei stellt sich die Frage: Brauchen Sie nach der DSGVO bei einem „Outsourcing“ von Datenverarbeitungen die Einwilligung Ihrer Kunden? Handelt es sich hierbei um eine Datenweitergabe? Um zu vermeiden, dass für eine Vielzahl von Datenverarbeitungen, die Sie durch Dritte vornehmen lassen, Einwilligungen eingeholt werden müssen, gibt es die sogenannte Auftragsverarbeitung. Auf die Frage, wann Sie diese nutzen können und was das für Sie als Händler bedeutet, möchten wir Ihnen im Folgenden eine erste verständliche und praxisnahe Antwort geben.

Was ist eine Auftragsverarbeitung bzw. ein Auftragsverarbeiter?

Das Thema der Auftragsverarbeitung (AV) ist eigentlich nicht neu und im deutschen Recht bereits in § 11 BDSG geregelt. Dabei geht es um den Fall, dass dritte Personen oder Stellen für den Händler in dessen Auftrag und nach dessen Weisungen personenbezogene Daten erheben oder verarbeiten.

Ab dem 25. Mai wird diese Konstellation in Art. 28 DSGVO geregelt, welcher § 11 BDSG ablösen wird. Dieser enthält eine ganze Palette von Regelungen für den Fall, dass ein Online-Händler (= der Verantwortliche) eine Datenverarbeitung in Auftrag geben möchte.

Was bewirkt eine Auftragsverarbeitung?

Die Weitergabe personenbezogener Daten an einen Dritten bedarf grundsätzlich einer Rechtfertigung, d.h. entweder einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen. Eine Ausnahme bildet die Auftragsverarbeitung: Hier ist das Unternehmen, welches Daten im Auftrag verarbeitet, nicht als Dritter zu werten, da eine Datenverarbeitung ausschließlich nach Weisung des Verantwortlichen vorgenommen wird.

Diese Weisungsgebundenheit ist deswegen ausschlaggebend, weil der Auftragsverarbeiter in diesem Fall als verlängerter Arm des Verantwortlichen im Verkehr auftritt und Letzterer deswegen weiterhin die Verantwortung für den Umgang mit den personenbezogenen Daten trägt - schließlich verbleibt der Umgang in seinem Einflussbereich.

Was gilt für den Online-Händler bei der Auswahl des Auftragsverarbeiters?  

Gemäß Art. 28 Abs. 1 DSGVO darf sich der Verantwortliche nur solcher Auftragsverarbeiter bedienen, die in organisatorischer und technischer Hinsicht hinreichend garantieren können, dass sie die Datenverarbeitung im Einklang mit den Erfordernissen der Verordnung durchführen können.

Wie ist der Auftrag zu erteilen?

Laut Art. 28 Abs. 3 DSGVO muss die Datenverarbeitung durch den Beauftragten grundsätzlich aufgrund eines Vertrages erfolgen. In diesem sollten insbesondere folgende Punkte geregelt werden:

  • Gegenstand und Dauer der Verarbeitung

  • Art und Zweck der Verarbeitung

  • Art der personenbezogenen Daten

  • Kategorien von betroffenen Personen

  • Rechte und Pflichten des Verantwortlichen

Zu den Rechten und Pflichten des Verantwortlichen enthält Art. 28 DSGVO weitere explizite Angaben. Neu ist, dass die Vorschrift abschließende Regelungen zur Weisungsbefugnis und der Beauftragung von Unterauftragnehmern trifft. Anders als noch im BDSG ist so beispielsweise vorgeschrieben, dass der Einsatz von neuen Unterauftragnehmern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig ist.

rechtstipp_blog_banner_dsgvo_schutz5ad45eb232b6e

Übrigens: Anders als das BDSG sieht die DSGVO vor, dass ein AV-Vertrag neben der Schriftform auch in einem „elektronischen Format“ wie z.B. per E-Mail geschlossen werden kann (Art. 28 Abs. 9 DSGVO).

Mit wem muss also einen AV-Vertrag abgeschlossen werden?

In dieser Frage liegt der eigentliche Knackpunkt. Eine Weitergabe personenbezogener Daten kann nicht „einfach so“ erfolgen, sondern bedarf einer Rechtsgrundlage. Wann diese Rechtsgrundlage in einem AV-Vertrag bestehen muss und wann nicht, kann nicht pauschal beantwortet werden.

Wir möchten Ihnen aber ein paar der häufigsten Fälle auflisten:

Webhosting: Mit Hosting-Anbietern, auf deren Servern der Webshop liegt, ist ein AV-Vertrag zu schließen, da diese Zugriff auf die personenbezogenen Daten haben. Dies kann neben externen Servern auch Shopsoftware-Systeme betreffen.

Webdesign: Auch Agenturen werden im Rahmen ihrer Arbeit regelmäßig Zugriff auf Kundendaten haben, sind aber weisungsgebunden und agieren als verlängerter Arm.

Webanalyse-Tools: Auch der Einsatz von Webanalyse-Tools bedarf in aller Regel des Abschlusses eines AV-Vertrages. Dies betrifft insbesondere Google Analytics (übrigens auch schon nach aktueller Rechtslage).

Mailing-Dienstleister, Callcenter:Werden Ihre Newsletter über einen externen Dienstleister versendet oder wird auf ein externes Callcenter zurückgegriffen, handelt es sich in aller Regel um eine Datenverarbeitung im Auftrag, sofern hier keine wesentlichen Entscheidungsspielräume beim Dienstleister liegen.

[UPDATE 28.05.2018] Unser Tipp: Eine Auflistung der meisten Anbieter finden Sie hier: https://www.blogmojo.de/av-vertraege/

Was ist mit Versanddienstleistern?

In den Fällen, in denen die Weitergabe der Daten zur Vertragserfüllung erforderlich oder von der ursprünglichen Einwilligung des Betroffenen gedeckt ist (Art. 6 Abs. 1 S. 1 lit. a bis c DSGVO), bedarf es keines zusätzlichen AV-Vertrages. Dies ist z.B. im Online-Handel der Fall, wo die Lieferung des gekauften Artikels eine Weitergabe von Namen und Anschrift bedarf. Hier dürfen personenbezogene Daten an den Versanddienstleister weitergegeben werden, damit der Vertrag überhaupt erfüllt werden kann. Auch beim Dropshipping handelt es sich um eine Datenweitergabe zur Vertragserfüllung.

Bei Zahlungsdienstleistern ist abzugrenzen, ob sie die Dienstleistung für und auf Weisung des Online-Händlers ausführen (AV-Vertrag erforderlich) oder eine eigenständige Vereinbarung mit den Kunden treffen (z.B. PayPal – Kunde zahlt an Dienstleister, Dienstleister zahlt an Händler = AV-Vertrag nicht erforderlich).

Wann werden Daten vom Dritten in dessen eigener Verantwortung verarbeitet?     

Es existieren auch viele Fälle, in denen der Dritte die Daten weisungsunabhängig verarbeitet, also im eigenen Tätigkeits- und Einflussbereich handelt. Zum einen gilt das für die Betreiber von Online-Marktplätzen wie eBay oder Amazon, die selbständig die Daten der Kunden verarbeiten und mit diesen eigene Verträge schließen. Zum anderen aber auch für in Anspruch genommene fremde Fachleistungen, die eine bestimmte Datenweitergabe erfordern, wie diejenigen eines Rechtsanwalts oder eines Steuerberaters (Berufsgeheimnisträger) sowie eines Bankinstitutes für Geldtransfers. Hier ist ebenfalls kein AV-Vertrag erforderlich.

Unser Tipp

Das Thema Auftragsverarbeitung ist nicht neu, durch die DSGVO aber in den Fokus vieler Händler gerückt. Die Frage, mit wem ein Vertrag zur Auftragsverarbeitung geschlossen werden muss, lässt sich nicht immer pauschal beantworten. Werfen Sie daher einen Blick auf die von Ihnen eingesetzten Dienstleister und identifizieren Sie Unternehmen, welche Daten im Auftrag verarbeiten. Erfahrungsgemäß stellen große Dienstleister eigene AV-Verträge zur Verfügung. Wenn Sie schon AV-Verträge mit Dienstleistern geschlossen haben, achten Sie darauf, dass diese den Vorgaben der DSGVO genügen.

Über die Autorin


Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Aber ein Mustervertrag wäre nicht schlecht (auch ohne dass ich das EUR 40/Monat-Abo buche).
Schade

Von Henning Gamlich | 30.04.2018 11:26

Hallo Herr Gamlich, wir stellen unsere Rechtstipps kostenfrei zur Verfügung und bieten eine Möglichkeit, aktuelle Rechtstexte kostenlos zu erstellen. Ich muss Sie daher um Verständnis bitten, dass wir nicht sämtliches Know How als free content zur Vefügung stellen können. Viele Grüße, Madeleine Pilous

Von Madeleine Pilous | 13.07.2018 16:24

Danke für den Artikel nur eines finde ich nicht so 100% eindeutig, wenn man bei dem Thema davon überhauptsprechen kann.

"Webdesign: Auch Agenturen werden im Rahmen ihrer Arbeit regelmäßig Zugriff auf Kundendaten haben, sind aber weisungsgebunden und agieren als verlängerter Arm."

heisst das ABER im Text jetzt "nein, man muss keinen schliessen". Eine Web-Agentur, in welcher Form auch immer, hat ja idr. einen FTP-Zugang und Backend-Zugänge. Aber verarbeitet ja nicht direkt.

In allen Texten wird nicht wirklich unterschieden, zwischen tatsächlicher Verarbeitung und Zugänglichkeit.

Hier wäre mal eine eindeutige Formulierung schön und da wären Ihnen viele Agenturen sehr dankbar.

Von M. Wolf | 30.04.2018 11:31

Hallo M. Wolf, danke für Ihren Kommentar. Das „aber“ dient der Betonung, dass dies keine selbständige Tätigkeit ist, sondern dass die Webagenturen (ggf. trotz anderweitigen Verständnisses) dabei in aller Regel weisungsgebunden sind und deswegen mit ihnen ein Auftragsverarbeitungsvertrag abzuschließen ist. Auch wenn die Webagenturen nicht im umgangsprachlichen Sinne Daten "verarbeiten", so sieht das die DSGVO anders. Sie definiert die Datenverarbeitung als jeden automatisierten oder nicht automatisierten Vorgang (oder Vorgangsreihe) im Zusammenhang mit personenbezogenen Daten, den u.a. auch das bloße Auslesen von Daten (welches bei bestehendem Zugriff auf die Daten kaum ausschließbar ist) und/oder die Offenlegung von Daten durch Übermittlung oder sonstige Bereitstellung darstellen (Art. 4 Nr. 2 DSGVO). Viele Grüße Madeleine Pilous

Von Madeleine Pilous | 13.07.2018 16:29

Muss ich dann mit (m)einem Steuerberater keinen AV-Vertrag abschließen, da er Aufgrund seiner (beruflichen) Tätigkeit eh eine Ausnahme bildet?

Mit freundlichen Grüßen

Thorsten D.

Von Der Himmlische Höllein | 30.04.2018 15:01

Hallo Thorsten D., Steuerberater verarbeiten Daten weisungsunabhängig und in eigener Verantwortung und sind zudem berufsrechtlich zur Geheimhaltung verpflichtet. Mit ihnen muss also grundsätzlich kein AV-Vertrag abgeschlossen werden. Viele Grüße Madeleine Pilous

Von Madeleine Pilous | 13.07.2018 16:30

Grundsätzlich interessant und informativ. Nur wäre doch mal eine Beleuchtung der Datenverarbeitung zwischen Shop und TrustedShops interessant. Ich habe bis heute noch keinen AVV von TrustedShops gesehen. Z. B. für Shops die das Bewertungssystem mit nutzen oder was ist mit der Versicherung der Käufe?

Von M. Niewerth | 02.05.2018 16:48

Vielen Dank für Ihr Interesse an der Datenverarbeitung bei Trusted Shops. Trusted Shops schließt AV-Verträge mit sämtlichen Mitgliedern ab, die jedoch nur bestimmte Aspekte der Verarbeitung betreffen. In der Regel arbeitet Trusted Shops selbst als Controller. Sämtliche Details hierzu finden Sie in unserer Datenschutzerklärung (https://www.trustedshops.de/impressum/) und auf unserer Info-Seite zur DSGVO (https://support.trustedshops.com/de/lp/dsgvo) . Viele Grüße, Madeleine Pilous

Von Madeleine Pilous | 17.07.2018 16:37

Gut aus dem Amtsdeutschen übersetzt und sehr übersichtlich dargestellt. Keine offenen Fragen nach dieser Lektüre. Danke.

Von Marieluise Ritter | 14.06.2018 20:06

Beitrag teilen

Abmahncheck DMEXCO

Passende Artikel

  • DSGVO-Schutz
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat