DSGVO: In welchen Fällen muss der Online-Händler künftig einen Vertrag über die Auftragsverarbeitung abschließen?

DSGVO: In welchen Fällen muss der Online-Händler künftig einen Vertrag über die Auftragsverarbeitung abschließen?
5 min 9
Beitrag vom: 27.03.2018

Wenn der Online-Händler einen Dienstleister beauftragt, für ihn personenbezogene Daten zu verarbeiten, dann muss er nach der künftigen Datenschutzgrundverordnung (DS-GVO) mit diesem Dienstleister einen Vertrag abschließen. Dieser Vertrag muss bestimmten Anforderungen genügen. Er muss die Aufsichtsbehörden auf Anforderung über einen solchen Vertrag unterrichten. Auch der Auftragsverarbeiter muss ein Verzeichnis über seine Verarbeitungstätigkeiten führen. Die Auftragsverarbeitung führt also zu einer Vielzahl von Pflichten. Umso wichtiger ist die Frage, in welchen Fällen denn nun eine Auftragsverarbeitung vorliegt. Sind z.B. Transport- und Bezahldienstleister, die die meisten Online-Händler einschalten, sogenannte Auftragsverarbeiter, mit denen der Online-Händler einen Vertrag über die Auftragsverarbeitung schließen muss?

Wenn Sie mehr dazu wissen wollen, in welchen Fällen ein Vertrag über die Auftragsverarbeitung geschlossen werden muss und wie ein solcher Vertrag aussehen muss, dann lesen Sie den folgenden Beitrag, der im Antwort&Frage Format gehalten ist.

1. Wer ist Auftragsverarbeiter nach der künftigen DS-GVO

Frage: Was ist ein Auftragsverarbeiter?

Die DS-GVO gibt dazu in Art. 4 Nr. 8 eine scheinbar einfache Antwort. Demnach ist Auftragsverarbeiter eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Online-Händlers als sogenanntem Verantwortlichen verarbeitet. Mit dieser Definition ist allerdings noch nicht viel gewonnen, da der Online-Händler personenbezogene Daten an viele Stellen weitergibt (Online-Handelsportale, Transportdienstleister, Bezahldienstleister und Werbepartner, die ihm helfen, Werbung zielgruppenorientiert zu schalten). Die einzelnen Fallgruppen müssen daher im Einzelnen untersucht werden. Die folgenden Ausführungen orientieren sich an dem amtlichen Kurzpapier der Datenschutzkonferenz, das für den Online-Händler als verbindliche Referenz anzusehen ist.

Banner Premium Paket

1.1 Fallgruppen, bei denen keine Auftragsverarbeitung vorliegt

Frage: Sind Online-Handelsportale, an die der Online-Händler Daten weitergibt, Auftragsverarbeiter?

Nein

Hier fehlt es schon an einem Auftragsverhältnis. Online-Handelsportale verarbeiten keine Daten im Auftrag des Online-Händlers. Sie verstehen sich als Plattformen, über die der Online-Händler seine Produkte vertreiben kann.

Frage: Sind Transportdienstleister und Bezahldienstleister Auftragsverarbeiter des Online-Händlers?

Hier ist eine Antwort nicht so eindeutig. Transport- Bezahldienstleister werden zwar im Auftrag des Online-Händlers tätig und müssen personenbezogene Daten (wie Lieferadresse, Bankverbindung des Kunden) verarbeiten, um ihren Auftrag zu erfüllen.

Solche Dienstleister sind aber nicht als Auftragsverarbeiter einzustufen. Wie im amtlichen Kurzpapier der Datenschutzkonferenz, Anhang B ausgeführt wird , ist die Einschaltung von solchen Dienstleistern, keine Auftragsverarbeitung sondern die Inanspruchnahme fremder Fachdienstleistungen.

Frage: Sind Steuerberater, Rechtsanwälte (wie Anwälte der IT-Recht Kanzlei) Auftragsverarbeiter des Online-Händlers?

Nein

Nach dem zitierten Kurzpapier, Anhang B sind Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte keine Auftragsverarbeiter.

1.2 Fallgruppen, bei denen eine Auftragsverarbeitung vorliegt

Frage: Bei welchen Fallgruppen bejaht die Datenschutzkonferenz eine Auftragsverarbeitung?

Die Datenschutzkonferenz sieht eine Auftragsverarbeitung unter anderem bei folgenden Dienstleistungen vor (Kurzpapier, Anlage A)

  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des CloudBetreibers erforderlich ist,
  • Werbeadressenverarbeitung in einem Lettershop,
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Anmerkung: Das sind aber nur Beispielsfälle. Für den Online-Händler weitere relevante Fallgruppen finden sie im Folgenden.

Frage: Ist die Inanspruchnahme von Webtracking-Tools eine Auftragsverarbeitung

Es kommt darauf an.

Hier sollen die gebräuchlichsten Webtracking-Anbieter vorgestellt werden.

  • Webtracking mit Google ist eine Auftragsdatenverarbeitung. Hier muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden
  • Gleiches gilt bei etracker und Econda.
  • Im Gegensatz zu Google Analytics, etracker und Econda ist Matamo ein Trackingtool, das durch den Online-Händler selbst, d.h. direkt auf dem eigenen Webserver betrieben werden kann. Bei Matamo muss daher kein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Frage: Ist mit dem Erwerb von Software zur Einrichtung von Online-Shops eine Auftrags-verarbeitung verbunden?

Nein

Wenn der Online-Händler eine Software erwirbt, um einen Online-Shop einzurichten, dann führt dies nicht zur Verarbeitung von personenbezogenen Daten durch einen Dritten.

Frage: Ist die Einschaltung von sogenannten Webhostern eine Auftragsverarbeitung?

Es kommt darauf an

Webhoster sind Dienstleister, die Webseiten bereitstellen und auch den Betrieb von Webservern und die Netzwerkanbindung übernehmen. Ist mit solchen Dienstleistungen nur der bloße Internet-Zugangsdienst ohne Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webshoster allerdings auch Aufgaben, die mit der Verarbeitung von personenbezogenen Daten verbunden ist wie z.B. E-Mail-Verwaltung, E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor.

2. Vertrag mit dem Auftragsverarbeiter

Wenn eine Auftragsverarbeitung vorliegt, muss der Online-Händler als Verantwortlicher mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen (Art.28 DS-GVO). Der Vertrag kann schriftlich oder elektronisch abgeschlossen werden. Der Vertrag hat unter anderem zum Gegenstand: Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Pflichten und Rechte des verantwortlichen Online-Händlers sowie dessen Weisungsbefugnis. Ein solcher Vertrag ist also ausgesprochen komplex. Der verantwortliche Online-Händler kann bei Verträgen zur Auftragsverarbeitung, die nicht den Vorgaben der DS-GVO entsprechen, mit Bußgeldern belangt werden. Es wird daher empfohlen, sich bei einem solchen Vertrag an anerkannten Musterverträgen zu orientieren.

Frage: Welche Musterverträge für eine Auftragsdatenverarbeitung gibt es abgesehen von Google Analytics, etracker und Econda?

Hier ist auf das amtliche Muster und die Formulierungshilfe für einen Auftragsverarbeitungsvertrag des bayerischen Landesamtes für Datenschutzaufsicht zu verweisen.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © Matthias Enter - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

9 Kommentare

G
G. Kister-Schuler 22.05.2018, 17:14 Uhr
Auftragsverarbeiter?
Hallo Herr Keller, ich habe zwei "Verarbeiter", die ich in Ihrer Liste nicht finde:


meine Steuer macht ein nicht stempelnder Unternehmensberater, der die Daten (meine Konto-Auszüge, Rechnungen an Kunden und von Lieferanten; keine Mailadressen) nur in Papierform erhält. Und eine Kollgein (selbständig, keine Angestellte) vertritt mich gelegentlich bei Urlaub oder Krankheit mit vollem Zugriff auf meine Daten. Ich vermute, daß ich im zweiten Fall einen Vertrag schließen muß, aber wie sieht es mit dem ersten aus?
Vielen Dank schon mal für Ihre Antwort.
H
Helmut Müller 16.05.2018, 23:07 Uhr
Auftragsdatenverarbeitungsvertrag auch bei bloßem selbstgehostetem Blogsystem?
Hallo,

eine Frage welche zurzeit ziemlich viele, vor allem deutsche BloggerInnen beschäftigt. Muß ich bei einem Blog den ich bei einem deutschen Webhoster mit kostenlosem Hostingsangebot selbst hoste mit dem Webhoster einen solchen Auftragsdatenverarbeitungsvertrag abschliessen?


Danke für die Antwort! LG
F
Frank Müller 15.05.2018, 11:03 Uhr
Direktlieferungen
Hallo Herr Keller,
wie sieht es bei einer Direktlieferung der Ware durch den Hersteller aus. Muss hier ein AD Vertrag geschlossen werden oder nicht? Die Daten werden zur kompletten Verarbeitung den den Hersteller des Gegenstandes geschickt.
Grüße
S
S. Mohr 11.04.2018, 12:51 Uhr
Dipl. Des.
Muss ich mit Facebook und Instagram eine Auftragsdatenverarbeitung-Auftrag abschließen, wenn ich dort Werbeanzeigen schalte und das Analytics Tool benutze? Und wenn ja, wo finde ich eine Vorlage dafür?
Muss man auch mit Paypal eine Vertrag über die Auftragsdatenverarbeitung abschließen?
A
A. Hansen 30.03.2018, 12:25 Uhr
Frau
Wenn ich meine Produkte z.B  über Dawanda vertreibe, muss ich dann mit Dawanda einen Auftragsverarbeitungsvertrag abschließen?
I
IT-Recht Kanzlei 29.03.2018, 09:40 Uhr
Korrektur
Sehr geehrter Herr Kleinheisterkamp, danke für den Hinweis. In der Tat war der Beitrag insofern missverständlich formuliert. Wir haben dies korrigiert. Mfg, Ihre IT-Recht Kanzlei
F
Ferdinand Kleinheisterkamp 28.03.2018, 23:58 Uhr
Leser
Sehr geehrter Herr Keller,


Verträge über Auftragsverarbeitung müssen doch nicht der Obrigkeit aka Landesdatenschutzbehörden gemeldet werden! Eine Meldepflicht gibt es nur bei Datenreichtum, also wenn personenbezogene Daten in die falschen Hände geraten sind.

MFG F. Kleinheisterkamp
I
IT-Recht-Kanzlei 28.03.2018, 13:00 Uhr
Matamo..
Stimmt, danke für den Hinweis :)
T
Tracker 28.03.2018, 11:20 Uhr
Piwik heißt jetzt Matomo
Piwik heißt jetzt übrigens Matomo - muss ich mich auch noch dran gewöhnen ;)

Beiträge zum Thema

Müssen Online-Marktplätze Gastbestellungen ermöglichen?
(23.04.2025, 12:15 Uhr)
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
(21.03.2025, 07:55 Uhr)
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
(25.02.2025, 14:18 Uhr)
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
(20.01.2025, 10:43 Uhr)
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei