Pflicht zur Bereithaltung eines Verfahrensverzeichnisses nach BDSG im Online-Handel
Als Reaktion auf die sich stets erweiternden Datenerhebungs- und Verarbeitungsmöglichkeiten wurden in den letzten Jahrzehnten umfangreiche datenschutzrechtliche Aufklärungspflichten für Unternehmen geschaffen, die zur Transparenz der Verarbeitungssysteme beitragen sollen. Neben einer Datenschutzerklärung kann so im Falle der direkten Datennutzung auch ein Verfahrensverzeichnis erforderlich sein. Gerade im Online-Handel jedoch, wo die Erhebung personenbezogener Daten für die Geschäftsabwicklung unabdingbar ist, wird dieses vielfach außer Acht gelassen. Voraussetzungen, Umfang und Umsetzung der Pflicht zur Bereithaltung eines Verfahrensverzeichnisses sind Gegenstand des folgenden Beitrags.
I. Das Verfahrensverzeichnis nach §4g Abs. 2 BDSG
Wer als verantwortliche Stelle im Anwendungsbereich des Bundesdatenschutzgesetzes personenbezogene Daten verarbeitet, ist nach §4g Abs. 2 BDSG zur betrieblichen Dokumentation verpflichtet und muss so dafür Sorge tragen, dass alle im Einsatz befindlichen Datenverarbeitungsverfahren als Sammlung von Verfahrensbeschreibungen aufgezeichnet werden.
Diese Aufzeichnung wird im allgemeinen Sprachgebrauch als „Verfahrensverzeichnis“ definiert, auch wenn das Gesetz diesen Terminus selbst nicht verwendet. §4g Abs. 2 BDSG setzt Art.18 der EU-Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 um.
Zu beachten ist in dem Zusammenhang, dass diese Pflichten zwar schon dem Wortlaut und der systematischen Stellung nach grundsätzlich allein dem für eine verantwortliche Stelle bestellten Datenschutzbeauftragten obliegen, sodass zu erwägen wäre, eine Befreiung vom Dokumentierungserfordernis dann anzunehmen, wenn ein Datenschutzbeauftragter für das jeweilige Unternehmen nicht gem. §4f BDSG zu bestellen ist. Allerdings stellt §4g Abs.2a BDSG fest, dass in diesen Fällen die Pflicht nicht entfällt, sondern lediglich auf den Leiter der verantwortlichen (nichtöffentlichen) Stelle (bei einem Unternehmen mithin der Geschäftsführer) übergeht.
Grundsätzlich gilt es, zwischen zwei Arten von Verfahrensverzeichnissen zu unterscheiden, die sowohl in ihrem inhaltlichen Umfang als auch in ihrem Publizitätserfordernis variieren.
Nach §4g Abs. 2 BDSG müssen von der verantwortlichen Stelle insofern ein internes Verzeichnis nach Satz 1 und ein öffentliches Verzeichnis nach Satz 2 geführt und bereitgehalten werden.
1.) Pflicht zur Bereithaltung des internen Verfahrensverzeichnisses nach §4g Abs. 2 Satz 1 BDSG
Nach §4g Abs.2 Satz 1 BDSG sind dem für eine verantwortliche Stelle bestellten Datenschutzbeauftragten umfangreiche Informationen über die systeminterne Datenerhebung und Datenverarbeitung zur Verfügung zu stellen, die gleichzeitig um eine Liste aller zugriffsberechtigten Personen innerhalb der Stelle ergänzt werden müssen. Dabei müssen die Informationen Ausführungen zu allen nach §4e Satz 1 BDGS aufgeführten Angaben enthalten.
Diese extensive Dokumentationspflicht dient der datenschutzrechtlichen innerbetrieblichen Selbstkontrolle und Verwaltung mit Blick auf den Umfang der Datenerhebung und -verarbeitung, soll also bewirken, dass sich die verantwortlichen Stellen durch das bloße Ausmaß der erforderlichen Aufzeichnungen den Umfang ihrer Datenverarbeitung ins Bewusstsein rufen. Dies soll einen selbstregulierenden Effekt generieren und gleichzeitig sicherstellen, dass die permanente Gewissheit des Nutzungsumfangs die betroffene Stelle dazu veranlasst, alle relevanten Datenschutzbestimmungen einzuhalten.
Aus dem soeben benannten Zweck der internen Aufzeichnungspflicht ergibt sich auch, dass auf die Dokumentation nicht etwa verzichtet werden kann, wenn ein Datenschutzbeauftragter nach §4 BDSG nicht zu bestellen ist. Vielmehr erübrigt sich in diesem Fall nur die Obliegenheit, das interne Verfahrensverzeichnis an einen solchen zu übermitteln. Dennoch muss es unternehmensintern erstellt und geführt werden.
2.) Pflicht zur Bereithaltung des öffentlichen Verfahrensverzeichnisses nach §4g Abs.2 Satz 2 BDSG
Während das interne Verfahrensverzeichnis lediglich betriebsintern einsehbar sein muss und mithin genauen Aufschluss darüber geben soll, wie, wann, wo und in welchem Umfang personenbezogene Nutzerdaten erhoben und verwertet werden, ist ein abgeändertes Verfahrensverzeichnis nach §4g Abs.2 Satz 2 jedermann öffentlich zur Verfügung zu stellen.
a) Sinn und Zweck der Bereithaltungspflicht
Dient das interne Verfahrensverzeichnis der betrieblichen Selbstkontrolle, so wird mit der Pflicht zur Bereithaltung des öffentlichen Verzeichnisses der Zweck verfolgt, Art und Umfang der Datenerhebung und –verarbeitung gegenüber der Öffentlichkeit und vor allem den betroffenen Nutzern gegenüber transparent zu gestalten. Jedermann soll insofern Kenntnis darüber erlangen können, in welchem Umfang personenbezogenen Daten erhoben werden und inwiefern diese unternehmensintern oder gar an Dritte weitergegeben werden.
Das Publizitätserfordernis generiert so einen mittelbaren Öffentlichkeitsdruck auf die pflichtgebundene Stelle, mit den erhobenen Daten in verantwortlichem und verhältnismäßigem Maße mit den erhobenen Daten zu verfahren, und soll insbesondere unterbinden, dass unter Ausschluss der Öffentlichkeit der Wirtschaftswert von Personendaten in unlauterer Weise für Geschäftszwecke instrumentalisiert wird.
b) Inhalt des öffentlichen Verfahrensverzeichnisses
Um hierbei die Wettbewerbsfähigkeit und betriebliche Organisation nicht durch die Pflicht zur Preisgabe sensibler Unternehmensdaten zu gefährden, stellt der Gesetzgeber an das öffentliche Verzeichnis nach §4g Abs.2 Satz 2 BDSG ob der Informationsfülle allerdings geringere Anforderungen. Insofern hat dieses nur Ausführungen zu den in §4e Satz 1 Nr. 1-8 genannten Angaben zu machen und muss insbesondere keine Informationen über wettbewerbsrelevante Betriebsinterna in Form von allgemeinen Beschreibungen der eingesetzten Datenerhebungsverfahren nach §4e Satz 1 Nr. 9 BDSG bereitstellen.
Das öffentliche Verfahrensverzeichnis muss mithin eine Übersicht zu folgenden Angaben enthalten:
- Name oder Firma der verantwortlichen Stelle, welche personenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
- Anschrift der verantwortlichen Stelle
- Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung; diese muss vorher bestimmt und schriftlich dokumentiert werden (Beispiel „Personalverwaltung“). Tritt eine Änderung des Zwecks ein, so muss auch dies dokumentiert werden.
- eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien; Zweck ist insoweit eine Abgrenzung hinsichtlich „sensibler Daten“ (§ 3 Abs. 9 BDSG) .
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
- Regelfristen für die Löschung der Daten; diese hat die verantwortliche Stelle bei der Festlegung der Verarbeitungszwecke zu treffen.
- ggf. eine geplante Datenübermittlung in Drittstaaten
c) Übermittlungspflicht nur auf Antrag!
Zu beachten ist allerdings, dass die verantwortlichen Stellen die öffentlichen Verfahrensverzeichnisse nicht generell, sondern nur auf individuelle Anträge hin gegenüber den Antragsstellenden verfügbar machen müssen. Insofern ist eine Bereithaltung auf der Website nicht erforderlich. Vielmehr genügt eine dem Antrag folgende „Verfügbarmachung in geeigneter Weise“, §4g Abs. 2 Satz 2 BDSG.
Wird das öffentliche Verfahrensverzeichnis beantragt, empfiehlt sich als rechtssicherster Weg die Übermittlung in Schriftform entweder auf dem Postwege oder aber per e-Mail.
Achtung: das öffentliche Verzeichnis ist gegenüber jedermann auf Antrag verfügbar zu machen. Eine spezielle Antragsbefugnis oder ein berechtigtes Interesse des Antragstellers sind nicht erforderlich.
d) Kontinuierliche Pflege
Auch wenn sich das Verfahrensverzeichnis inhaltlich in vielen relevanten Punkten, die vor allem die Identität der verantwortlichen Stelle betreffen, nicht ändern wird, so darf dessen Erstellung keinesfalls als einmaliger Prozess verstanden werden. Vielmehr ist das Verzeichnis kontinuierlich an die unternehmerischen Standards anzupassen und so pflegen, dass Veränderungen der betrieblichen Datenverarbeitungsmaßnahmen oder die Umsetzung neuer gesetzlicher Vorgaben mit laufendem Aktualitätsbezug dokumentiert werden.
II. Der Online-Handel in der Pflicht?
Die Pflicht zur Führung eines internen und zur antragsbedingten Übermittlung eines öffentlichen Verfahrensverzeichnisses nach §4g Abs. 2 BDSG gilt dem Wortlaut nach nur für „verantwortliche Stellen“ im Sinne des BDSG, sodass zu erwägen wäre, die Dokumentationserfordernisse nur für besondere Rechtsträger anzunehmen und gegenüber einfachen Unternehmen auszuschließen.
1.) Öffentliche und nichtöffentliche Stellen
Allerdings differenziert das BDSG in seinem Regelungsbereich zwischen datenschutzrelevanten Tätigkeiten von Hoheitsträgern und solchen von privaten grundsätzlich nicht, sodass es nach §1 Abs. 2 sowohl gegenüber öffentlichen als auch gegenüber nichtöffentlichen Stellen Wirkung entfaltet. Nichtöffentliche Stellen sind nach §2 Abs. 4 BDSG wiederum alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts.
Einzige Voraussetzung für die Geltung des BDSG gegenüber Privaten ist nach §1 Abs. 2 Nr. 3 BDSG insofern, dass
- sie Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben und
- die Erhebung, Verarbeitung oder Nutzung der Daten nicht ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt
Mithin sind nichtöffentliche Stellen im Sinne des BDSG alle Unternehmen, Einzelunternehmer und Freiberufler, die personenbezogene Daten im Rahmen ihrer gewerblichen Tätigkeit und nicht nur zu rein privaten Zwecken erheben, verarbeiten oder nutzen!
2.) Online-Händler als nichtöffentliche Stellen
Gelten natürliche oder juristische Personen des Privatrechts als nichtöffentliche und mithin nach §4g Abs. 2 BDSG verantwortliche Stellen, sofern die personenbezogene Daten in unternehmerischem Zusammenhang erheben, nutzen oder verarbeiten, ergibt sich daraus in logischer Konsequenz, dass jeder im elektronischen Geschäftsverkehr tätige Unternehmer zwangsweise als nichtöffentliche Stelle zu qualifizieren ist.
Bereits das auf Fernkommunikation basierende Geschäftsmodell des E-Commerce macht es in Ermangelung eines direkten Kontakts zwischen Anbieter und Abnehmer nämlich erforderlich, dass gewisse personenbezogene Abnehmerdaten in Form von Identitäts- und Kontaktinformationen erhoben und zur Geschäftsabwicklung auch verarbeitet werden. Anderenfalls wäre dem Online-Händler nämlich eine Erfüllung seiner vertraglichen Pflichten verwehrt.
3.) Online-Händler als verantwortliche Stellen nach §4g Abs. 2 BDSG
Grundsätzlich hätte diese Klassifizierung zur Folge, dass Online-Händler als nichtöffentliche Stellen gleichzeitig als Verantwortliche nach §4g Abs.2 BDGS und mithin als Adressaten der Verfahrensverzeichnispflicht zu gelten hätten.
Dem könnte allerdings entgegenstehen, dass die Verfahrensverzeichnisse inhaltlich auf den §4e BDSG Bezug nehmen, der wiederum als gesetzlicher Teil der datenschutzrechtlichen Meldepflicht ausgestaltet ist. Nach §4d Abs. 3 BDSG entfällt die Meldepflicht jedoch, wenn die Erhebung, Verarbeitung oder Nutzung von Daten – wie im Online-Handel regelmäßig der Fall – für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Ein Entfallen der Meldepflicht im Online-Handel wirkt sich indes auf die Verzeichnisführungsobliegenheit nicht aus. Diese gilt dem Wortlaut des §4g Abs. 2 BDSG nach vielmehr uneingeschränkt für die bezeichneten verantwortlichen Stellen. Dass auf Angaben Bezug genommen wird, die auch bei der Meldepflicht relevant werden, ist dem Umstand geschuldet, dass das behördliche und das öffentliche Transparenzinteresse in weiten Teilen kongruieren, wirkt sich allerdings keinesfalls auf die Adressatenstellung von Unternehmen aus.
Sämtliche Online-Händler sind somit als nichtöffentliche Stellen „Verantwortliche“ im Sinne des §4g Abs. 2 BDSG und zur Führung von internen und öffentlichen Verfahrensverzeichnissen gehalten.
Dass aufgrund der Größe des jeweiligen Gewerbes unter Umständen die Bestellung eines Datenschutzbeauftragten, in dessen Pflichtenkreis die Verzeichnisverwaltung grundsätzlich fällt, nach §4f BDSG ausgeschlossen ist, ist unschädlich. Muss ein Datenschutzbeauftragter nicht bestellt werden, so trifft die Pflicht zur Verzeichnisführung nach §4g Abs.2a nämlich den Geschäftsführer des jeweiligen Unternehmens und mithin im Zweifel den Online-Händler selbst.
III. Konsequenzen bei Verstößen
Grundsätzlich haben die zuständigen Datenschutzbehörden nach §38 Abs. 4 BDSG einen Anspruch auf Einsicht der Verfahrensverzeichnisse, sodass bei einer betrieblichen Prüfung regelmäßig sowohl das interne als auch das öffentliche Verzeichnis vorzulegen sind.
Probleme für Unternehmen können insbesondere dann entstehen, wenn einem Antrag auf Übermittlung des öffentlichen Verfahrensverzeichnisses nicht binnen angemessener Zeit nachgekommen wird, weil dann nicht auszuschließen ist, dass der Antragssteller die Aufsichtsbehörden über den Pflichtverstoß in Kenntnis setzt.
Können gegenüber den Aufsichtsbehörden die Verzeichnisse nicht in ordnungsgemäßer Fassung vorgelegt werden, drohen empfindliche Bußgelder, zumal die Behörden in derlei Fällen befugt sind, ohne Vorankündigung die Geschäftsräume zu betreten und die Datenschutzmaßnahmen des Unternehmens vor Ort zu überprüfen.
Wettbewerbsrechtliche Ansprüche von Mitbewerbern scheiden indes aus, da es sich bei den Bestimmungen des BDSG nach überwiegender Auffassung – mit teilweise bestätigter Ausnahme des §28 Abs. 3 BDSG – nicht um Marktverhaltensregelungen nach §4 Nr. 11 UWG handelt.
IV. Verhältnis zur Datenschutzerklärung nach §13 TMG
Auffällig ist, dass Art und Inhalt des öffentlichen Verfahrensverzeichnisses teilweise Überschneidungen mit der nach §13 TMG im Online-Handel erforderlichen Datenschutzerklärung bergen. So könnte zu überlegen sein, mit Bereitstellung einer Datenschutzerklärung auch die Pflicht zur öffentlichen Verzeichnisführung als erfüllt anzusehen oder umgekehrt.
Allerdings können sich Datenschutzerklärung und öffentliches Verfahrensverzeichnis in keinem Fall ersetzen oder ergänzen!
Die Datenschutzerklärung nach §13 TMG obliegt denjenigen Anbietern, die Telemedien zur Nutzung bereithalten, und zielt so darauf ab, die Nutzer derartiger Medien vollumfänglich über den Umfang der ihnen gegenüber erhobenen Daten zu informieren.
Demgegenüber trifft die Pflicht zur Verzeichnisführung einen weitaus größeren Adressatenkreis und gilt nicht nur gegenüber privaten Unternehmern, sondern auch für öffentliche Stellen.
Dass beide Pflichten im Online-Handel zusammenfallen können, ist nur dem Umstand geschuldet, dass der Online-Händler als Betreiber eines Webshops gleichzeitig „Anbieter“ im Sinne des TMG als auch „Verantwortlicher“ nach dem BDSG ist.
Auch unterscheiden sich die beiden Pflichten hinsichtlich der Bereitstellung der erforderlichen Informationen. Während die Datenschutzerklärung nach §13 TMG zwingend in das jeweilige Telemedium – im Online-Handel also in den Web-Shop selbst – zu integrieren ist, muss das öffentliche Verfahrensverzeichnis nicht generell öffentlich zugänglich gemacht werden. Vielmehr ist dieses nur auf Antrag individuell zu übermitteln.
Im Online-Handel können die Pflicht zur Datenschutzerklärung und diejenige zur Führung des internen und öffentlichen Verfahrensverzeichnisses mithin nebeneinander treten.
V. Fazit
Online-Händler erheben bereits aufgrund der Natur des gewählten Geschäftsmodells stets personenbezogene Kundendaten und müssen sich mithin als nichtöffentliche Stellen im Sinne des Bundesdatenschutzgesetzes behandeln lassen. Von vielen unbeachtet erwächst daraus die Pflicht, als Verantwortliche nach §4g Abs. 2 BDSG sowohl interne als auch öffentliche Verfahrensverzeichnisse zu führen, welche Art und Umfang der Datenerhebung und -verarbeitung dokumentieren und Aufschluss über die unternehmerische Datenschutzpolitik geben müssen. Die Pflicht gilt unabhängig davon, ob für das jeweilige Unternehmen ein Datenschutzbeauftragter bestellt werden muss oder nicht.
Während das interne Verzeichnis hierbei nur für die innerbetriebliche Verwaltung und Kontrolle ausgelegt ist, muss das öffentliche auf entsprechenden Antrag hin jedermann binnen einer angemessenen Frist übermittelt werden.
Für Online-Händler, die regelmäßig weder über das zur ordnungsgemäßen Aufzeichnung erforderliche technische Know-How noch über die notwendigen informationstechnologischen Mechanismen zur Auswertung der Datennutzung verfügen, kann die Verzeichnisführungspflicht im Einzelfall zu unverhältnismäßigen Belastungen führen. Nicht nur gehen die Erstellung und die kontinuierliche Pflege der Verzeichnisse mit einem hohen organisatorischen und zeitlichen Aufwand einher. Vielmehr können Verstöße gegen den §4g Abs. 2 BDSG wirksam sanktioniert werden. Zwar drohen hierbei keine wettbewerbsrechtlichen Ansprüche von Mitbewerben oder Verbraucherzentralen. Allerdings können Mängel oder das Nichtvorhandensein der erforderlichen Verzeichnisse bei einem entsprechenden Auskunftsverlangen der Aufsichtsbehörden hohe Bußgelder und gegebenenfalls betriebliche Durchsuchungen nach sich ziehen.
Sämtlichen Online-Händlern ist mithin einerseits zu raten, im Rahmen ihrer Möglichkeiten ein internes Verfahrensverzeichnis zu unterhalten und zu pflegen. Anderseits sollte jedoch auf jeden Fall das weniger detaillierte und arbeitsaufwändige öffentliche Verzeichnis angelegt und bereitgehalten werden, um auf etwaige Auskunftsanfragen Dritter zeitnah reagieren zu können.
Bei weiteren Fragen zu den Verfahrensverzeichnissen oder zum Bundesdatenschutzgesetz steht Ihnen die IT-Recht Kanzlei gerne auch einzelfallbezogen persönlich zur Verfügung.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© nmann77 - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare