AV, wann genau? Typische Datendrittverarbeitungen im Online-Shop im Lichte der Auftragsverarbeitung

AV, wann genau? Typische Datendrittverarbeitungen im Online-Shop im Lichte der Auftragsverarbeitung
20.06.2018 | Lesezeit: 10 min

Vor allem im Online-Handel, wo Händler zur Gewährleistung der Funktionsfähigkeit ihren Internetpräsenz, zur Rationalisierung von Abwicklungsprozessen und zur Erhöhung ihrer Reichweite auf verschiedenste Akteure zurückgreifen, entfalten die durch die DSGVO verschärften Regelungen über die Datenverarbeitung im Auftrag vielmals pflichtbegründende Wirkung. In verschiedensten Konstellationen, in denen sich Händler für Datenverarbeitungen Dritter bedienen, sind so Auftragsverarbeitungsverträge zu schließen, um eine hinreichende Datensicherheit zu gewährleisten. Doch nicht weniger häufig trügt der äußere Schein und lässt Händler von einer AV-Situation dort ausgehen, wo sie tatsächlich nicht besteht. Weil eine Abgrenzung mangels handfester Kriterien in der DSGVO nunmehr für Laien kaum noch zu meistern ist, hat die IT-Recht Kanzlei die wichtigsten Konstellationen von Datendrittverarbeitungen im Online-Shop zusammengetragen und hinsichtlich ihrer AV-Qualität analysiert.

I. Formen tatbestandlicher Auftragsverarbeitungen

1.) Die Inanspruchnahme von Webhostern (Strato, Estugo etc.)

Wird der Online-Shop über einen Dienstleister gehostet, stellt dieser die informationstechnologische Grundlage für den Shopbetrieb dar. Alle Prozesse, auch sämtliche Formen der shopbezogenenen Datenverarbeitungen, werden über den Webhoster abgewickelt, sodass hier eine tatbestandliche Auftragsverarbeitung vorliegt, die zum Abschluss eines AV-Vertrags mit dem Hoster verpflichtet.

Viele Hoster bieten einen solchen bereits in vorgefertigter Version auf Anfrage an, s. z.B. für „estugo“ https://www.estugo.de/support/adv-vertrag/

2.) Die Inanspruchnahme einer Shop-Cloud-Lösung oder eines Zahlungs-Hubs (z.B. „Gambio Cloud“ bzw. „Gambio Payment Hub“)

Sowohl bei Shop-Cloud-Lösungen als auch bei der Nutzung von Zahlabwicklungsangeboten eines Hosters erfolgt jeweils eine Übermittlung von shopbasierten Kundendaten an den Anbieter des Dienstes. Während bei den gängigen Shop-Clouds-Systemen (z.B. Gambio-Cloud) alle Datenbestände des Händler-Shopsystems fremdgehostet und fremdverarbeitet werden, werden bei der Inanspruchnahme von Zahlabwicklungslösungen (z.B. "Gambio Payment Hub") immerhin Kontakt-, Personen- und Zahlungsdaten von Kunden zur Abwicklung einer Bezahlung an den Hoster übertragen. In beiden Fällen liegt eine Datenverarbeitung im Auftrag vor, die jeweils einer vertraglichen Ausgestaltung bedarf.

3.) Die Inanspruchnahme eines IT-Dienstleisters zur Wartung oder Fernwartung

Wird ein IT-Dienstleister mit der IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) beauftragt und besteht für diesen in dem Zusammenhang die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich um eine Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.
Ist ein Datenzugriff durch den IT-Dienstleister hingegen ausgeschlossen, ist nicht von einer Auftragsverarbeitung auszugehen.

Banner Premium Paket

4.) Die Beauftragung von Software-Entwicklern für Warenwirtschafts-Lösungen

Bedient sich ein Online-Händler zur Optimierung der Organisation seiner Warenwirtschaft eines Software-Entwicklers und beauftragt diesen mit der Programmierung einer technischen Lösung, so liegt eine Auftragsverarbeitung dann vor, wenn der Entwickler im Zuge des Projekts Zugriff auf Kundendaten erhält, die es zu organisieren und in die Programmabläufe einzuspeisen gilt. Regelmäßig werden Entwicklern von Warenwirtschafts-Software hierbei Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail) und Daten über die Kundenhistorie bereitgestellt, deren Übermittlung den Abschluss eines AV-Vertrages erforderlich macht.

5.) Die Beauftragung von Newsletter-Versanddiensteistern

Dienstleitern, die Newsletter für und im Namen eines Online-Händlers versenden, werden zum Zwecke der werblichen Ansprache, bestimmte personenbezogene Daten (allen voran die Mail-Adresse von Interessenten, ggf. zusätzlich Name und Geschlecht) zur weisungsgebundenen Verwendung übertragen. Dies ist grundsätzlich eine Auftragsverarbeitung, die den Abschluss eines Verarbeitungsvertrags voraussetzt.

6.) Die Inanspruchnahme von Diensten für automatisierte Kundenbewertungsanfragen durch Bewertungsportale via Script

Bieten Online-Bewertungsportale einen Dienst an, der Kunden mittels Einbindung eines Scripts auf der Check-Out-Seite des Online-Shops automatisch um die Erteilung der Einwilligung in den Erhalt einer automatischen Bewertungsanfrage bittet, so werden durch dieses Script regelmäßig gewisse Kundendaten (etwa die IP-Adresse, die Bestell-/Kundennummer und die Mailadresse des Bestellers) an das Bewertungsportal übertragen. Dieses veranlasst im Falle der Einwilligung des Kunden sodann die Speicherung und Einlesung der Daten und verwendet sie, um automatisierte Bewertungsanfragen für den Händler zu versenden.

Die Versendung automatisierter Bewertungsanfragen unter Verwendung von Personendaten aus dem Händlerbestand geschieht insofern im Auftrag des Händlers, welcher das Script bei sich implementiert. Hier ist fortan ein ADV-Vertrag mit dem ausgebenden Bewertungsportal zu schließen.

7.) Die Inanspruchnahme von Cloud-Hostern

Händler, die beim Betrieb ihres Online-Shops die Dienste eines Cloud-Hosters beanspruchen, übertragen diesem Datensätze entweder in Form von Back-Ups oder wickeln sämtliche netzgebundenen Prozesse direkt über die Cloud ab. In beiden Fällen wird der Cloud-Hoster immerhin bei der Speicherung und Organisation der Datensätze tätig, die vor allem Kundendaten beinhalten. Mithin übernimmt er maßgebliche Verarbeitungstätigkeiten im Sinne der DSGVO auf Geheiß und im Auftrag des Händlers, sodass ein AV-Vertrag zu schließen ist.

8.) Die Zusammenarbeit mit externen Call-Centern für Kundenanliegen

Vermehrt bedienen sich Händler für die Beantwortung von Kundenanfragen oder die Behandlung von Kundenanliegen eines externen Call-Centers. Zur Identifizierung des Anrufers und der Zuordnung zu einem bestimmten Betreff erheben die Center telefonisch Kundendaten und leiten diese regelmäßig mit einer Zusammenfassung des Anliegens an den Händler weiter. Gleichzeitig erhält das Center zur effektiven Bearbeitung von Anfragen und zur Sicherstellung einer zufriedenstellenden Auskunftserteilung Zugriff auf Kundendatensätze und/oder Systeme des Händlers. Die Beauftragung von Call-Centern für Kundenanliegen stellt eine Auftragsverarbeitung dar, bei welcher das Center im Auftrag und anstelle des Händlers Personendaten verarbeitet, um den Kundenbegehren Rechnung zu tragen.

II. Konstellationen ohne AV-Charakter

1.) Die Beauftragung von Versanddienstleistern

Zwar sind Versanddienstleister für die ordnungsgemäße Zustellung auf die Bereitstellung von Kundendaten angewiesen. Eine Auftragsverarbeitung liegt aber nicht bei in Anspruch genommenen Tätigkeiten vor, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise anfallende Kontakt mit personenbezogenen Daten nur ein unvermeidliches "Beiwerk" darstellt. Die Kerntätigkeit von Versanddienstleistern liegt in der Sendungszustellung und gerade nicht die Verarbeitung von personenbezogenen Daten für Händler.

2.) Das Anbieten über Verkaufsplattformen wie eBay, Amazon, etsy oder Dawanda

Beim Anbieten über Verkaufsplattformen ist der Händler zu keinem Zeitpunkt Auftragsverarbeiter einer Handelsplattform, noch ist diese jemals Auftragsverarbeiter des Händlers. Verträge über die Auftragsdatenverarbeitung müssen also nicht geschlossen werden.

Die Plattform, auf der Nutzer registriert sind, übermittelt Kundendaten erst nach Vertragsschluss an den Händler. Er ist somit nie Auftragnehmer, weil er die Daten selbst für die Vertragsdurchführung nutzt und nicht nur unselbstständig als Gehilfe der Plattform tätig wird. Er ist aber auch nie Auftraggeber, weil er keine Herrschaft über die Daten hat und erst nach Vertragsschluss auf diese zugreifen kann.

3.) Dropshipping-Lösungen

Verkaufen Händler im Wege des sogenannten Dropshippings (auch „Streckengeschäft), wird bei Vertragsschluss mit einem Kunden der Lieferant beauftragt, die Ware direkt an den kaufenden Kunden zu versenden, ohne dass diese zuvor beim Händler eingeht. Hiervor übermittelt der Händler dem Lieferanten zu Lieferungszwecken bestimmte Kundendaten (mindestens Name und Anschrift).

Auch wenn dieser Konstellation der Anschein einer Auftragsverarbeitung stark anlastet, ist deren Tatbestandlichkeit nicht gegebenen, weil es an der hierfür erforderlichen Weisungsgebundenheit des Lieferanten ob der Datenverarbeitung fehlt.

Nach alter Rechtslage fiel die Weitergabe von Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. „Funktionsübertragung“. Diese lag vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen konnte, wie er den Auftrag abwickelt, wenn er also anders als bei der Auftrags(daten)verarbeitung nicht an Weisungen des Auftraggebers gebunden war.

Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) grundsätzlich selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert und auswertet.

Zwar ist aufgrund der weiteren Fassung in Art. 28 Abs. 1 DSGVO nunmehr die herkömmliche Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung wohl entfallen. Auch unter Geltung der DSGVO stellt das Dropshipping aber keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im „Auftrag“ des Händlers. Die Auftragsdatenverarbeitung nach dem BDSG war durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet.

Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Dropshipping, bei dem letztlich eine „echte Datenübertragung“ vorliegt, weil der Lieferant die Kundendaten nach eigenen Maßstäben und in eigener Organisationshoheit mit dem Ziel der Lieferung zu verarbeiten befugt ist. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsdatenverarbeitung.

4.) Print-on-Demand

Ähnlich wie beim Dropshipping sind auch Datenweitergaben an Print-on-Demand-Dienstleister, die Bestellungen für einen Verkäufer durch Ausführung und Versand bearbeiten, keine tatbestandlichen Auftragsverarbeitungen.

Auch bei Print-on-Demand-Modellen entscheidet der Dienstleister nämlich grundsätzlich selbst, wie er eingehende Aufträge ausführt und wie er seine dafür notwendigen internen Prozesse einrichtet und ausgestaltet.

Mangels Weisungsgebundenheit von Print-on-Demand-Dienstleistern im Zusammenhang mit der Verarbeitung von übermittelten Bestelldaten fehlt es an einem von Art. 28 DSGVO vorausgesetzten Auftragsverhältnis.

5.) Die Zusammenarbeit mit Zahlungsdienstleistern (PayPal, Billbee, Klarna etc.)

Bietet der Händler Zahlungsarten von externen Dienstleistern an, werden zum Zwecke der Zahlungsabwicklung im Check-Out-Prozess automatisch für die jeweilige Zahlart relevante personenbezogene Daten (etwa Name, Anschrift, Mailadresse, Geburtsdatum, Kundennummer, ggf. Bestellhistorie) übertragen. Eine tatbestandliche Auftragsverarbeitung ist bei derlei Übertragungsform mangels Weisungsgebundenheit der Dienstleister ebenso zu verneinen wie beim Dropshipping.

Die Zahlungsdienstleister entscheiden grundsätzlich selbst, über welche vom Kunden hinterlegten Zahlungsmittel die Zahlung vollzogen werden, ob gegebenenfalls unter Weitergabe der Daten eine Bonitätsprüfung erfolgen soll. Sie sind insofern ob der Entscheidung der Reichweite der durch den Kauf angestoßenen Datenverarbeitungsmöglichkeiten völlig frei und entziehen sich der händlerischen Möglichkeit zur Einflussnahme. Weil die Weise und der Umfang der Verwendung der bereitgestellten Daten allein den Zahlungsdienstleistern überlassen bleibt und diese die übertragenen Daten im eigenen Macht- und Organisationsbereich weiterverarbeiten, fehlt es an dem von Art. 29 DSGVO als für die AV maßgeblich proklamierten Kriterium der Weisungsgebundenheit.

6.) Das Einbinden von Social Plugins

Zwar verarbeiten Social-Plugins eine Vielzahl von Daten, bei denen zumindest einige einen Personenbezug aufweisen, ohne zusätzliche Maßnahmen des Händlers bereits bei Aufruf von Seiten des Online-Shops. Diese Verarbeitungen vollziehen sich aber im alleinigen Verantwortungs- und Organisationsbereich der Plugin-Anbieter und dienen ausschließlich deren (wirtschaftlichen) Interessen, ohne dass der Händler auf den Datenfluss Einfluss nehmen könnte. Mithin fehlt es bereits an einer für die AV erforderlichen Auftragslage, welche voraussetzen würde, dass der Händler von ihm verwaltete Datenbestände an einen Dritten überträgt.

7.) Die Weiterleitung von Rechnungen an einen Steuerberater

Rechnungsunterlagen enthalten zwar personenbezogene Kundendaten. Bei der Tätigkeit des Steuerberaters handelt es sich aber nicht um eine Unterstützungshandlung bei der Datenverarbeitung, sondern um eine eigenständige Dienstleistung mit steuerrechtlichem Ziel, die allenfalls punktuell mit Daten in Berührung kommt. Die Annahme einer Auftragsverarbeitung mit dem Erfordernis des Abschlusses eines Verarbeitungsvertrags wäre hier sinnwidrig.

8.) Der Einsatz von Google Analytics

Wird „Google Analytics“ im Online-Shop zur Analyse des Nutzerverhaltens verwendet, erfolgt die eigentliche Dokumentation und Auswertung nicht durch den Händler selbst, sondern durch Google, den Bereitsteller des Online-Dienstes. Google Analytics erhebt und wertet hierbei eine Fülle von Daten aus, die in gewissem Umfang einen zur Anwendung der DSGVO führenden Personenbezug aufweisen.

Während früher in Ansehung dieser Aufgabenverteilung von einem tatbestandlichen Auftragsverarbeitungsverhältnis ausgegangen wurde, sieht die Datenschutzkonferenz des Bundes und der Länder gemäß einem Beschluss vom 12.05.2020 nun eine gemeinsame Verantwortlichkeit zwischen Google einerseits und dem Analytics-Anwender andererseits für begründet.

Eine nähere Erläuterung zu diesen Ausführungen ist bislang unterblieben.

Zwar sind Auffassungen der DSK nicht verbindlich. Als leitendem Datenschutzgremium der Bundesrepublik kommt Stellungsnahmen der DSK aber eine gewisse Indizwirkung zu.

Es sollte daher bis auf Weiteres von einer gemeinsamen Verantwortlichkeit beim Betrieb von Google Analytics ausgegangen werden. An die Stelle des bisher für erforderlich gehaltenen Auftragsverarbeitungsvertrages tritt damit die Notwendigkeit einer "Vereinbarung über die gemeinsame Verantwortlichkeit" gemäß Art. 26 DSGVO.

III. Fazit

Die obigen Ausführungen zeigen die in Online-Shops gängigsten Konstellationen von Datenverarbeitungen durch Dritte auf und kategorisieren sie nach tatbestandlichen Auftragsverarbeitungen im Sinne von Art. 28 DSGVO einerseits und Verarbeitungsverhältnissen, denen der AV-Charakter abzusprechen ist, andererseits.

Freilich können angesichts der Fülle von Shop-Lösungen und teilweise stark einzelfallgeprägten Verarbeitungssituationen immer wieder Grenzfälle auftreten, bei denen das Vorliegen einer Auftragsverarbeitung und die hierdurch gegebenenfalls erforderliche Ausgestaltung eines Verarbeitungsvertrages eingängig geprüft werden müssen.

Aus diesem Grund bietet die IT-Recht Kanzlei ab sofort umfangreiche Dienste rund um das Thema „Auftragsverarbeitung“ an.

Diese beinhalten insbesondere

  • die einzelfallbezogene Prüfung des Vorliegens von Auftragsverarbeitungsverhältnissen bei Drittkooperationen oder der Beanspruchung externer Dienste
  • die Ausformulierung rechtssicherer, konstellationsspezifischer und interessengerechter Auftragsverarbeitungsverträge
  • die Durchsicht, Prüfung und gegebenenfalls Überarbeitung bestehender Auftragsverarbeitungsverträge zur Gewährleistung der DSGVO-Konformität

Gerne unterbreiten wir Ihnen für Ihren Bedarf ein individuelles Angebot und freuen uns auf Ihre Kontaktaufnahme.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle:
© Daniel Berkmann - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

6 Kommentare

t
torsten doppler 03.08.2021, 17:07 Uhr
ebay und co
Die von Ihnen getroffene Aussage zu der Erklärung eBay kann ich nicht so wirklich nachvollziehen. Liegt hier nicht ein Vertragsverhältnis der gemeinsamen Verantwortlichkeiten vor Artikel 28 DSGVO?

Wie verhält es sich u.a. wenn ich über z.B. ebay Kleinanzeigen Mitarbeiter akquiriere. Logisch finde ich Ihre Aussage hier nicht wirklich oder ich habe einen Gedankenfehler?
S
Stefan Schau 14.04.2021, 09:33 Uhr
Google Analytics als AV
Ich sehe so einige Punkte in diesem Artikel als "diskutabel" an. Allerdings glaube ich nicht, dass noch länger über den Punkt gestritten werden muss, ob Google Analytics eine Auftragsverarbeitung darstellt. Dies hat die DSK im Mai 2020 als fehlerhaft festgestellt. Es handelt sich um eine gemeinsame Datenverantwortung. Der Artikel bedarf dahingehend einer Anpassung.
R
Rolf Müller 17.12.2020, 13:08 Uhr
Warum bietet STRIPE dann eine AV an?
Hallo,
wenn Zahlungsdienstleister keine AV sind, warum bietet dann STRIPE soetwas an?
VG, Rolf Müller
J
Joost Schloemer 15.12.2020, 14:33 Uhr
GF
Hallo und Grüß Gott,
was sich mir nicht erschließt ist die Frage, ob zwischen Online-Händler (Web-Shop) und Händler (B2B-Kunden) im Sinne eines Weiterverkäufers auch eine AV-Vertrag obligatorisch ist, insofern ja Rechnungs- und Kontaktdaten verarbeitet werden.
Danke und beste Grüße
Joost Schloemer
J
Jezzbelle 03.07.2018, 14:20 Uhr
Wie sieht es mit dem Google Drive aus?
Wie verhält es sich mit Google Drive, wenn darüber Abfragen, bzw. Bestellformulare von Gewerbetreibenden genutzt werden und die Kunden/Teilnehmer dort ihre persönlichen Daten eintragen.


In meinen Augen ist Google Drive auch ein Cloud Dienst, oder irre ich mich?
M
Matthias Hanft 02.07.2018, 18:29 Uhr
AV bei Root-Server?
Was im Artikel meiner Meinung nach nicht konkret angesprochen wurde: Liegt eine Auftragsdatenverarbeitung vor, wenn sich der Web-Shop eines Online-Händlers zwar bei einem Web-Hoster befindet, es sich dabei jedoch um einen komplett selbst verwalteten Root-Server handelt, auf dessen Festplatte bzw. Daten der Web-Hoster überhaupt keinen Zugriff hat? Die Zeitschrift c't (und mein eigenes Bauchgefühl) meint dazu "nein". Vielleicht könnte man das hier noch klarstellen...

Weitere News

DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
© 2004-2024 · IT-Recht Kanzlei