DSGVO für Onlinehändler leicht gemacht – Teil 5: Der datenschutzrechtlich Verantwortliche

Die Datenschutz-Grundverordnung (DSGVO) treibt aktuell Sorgenfalten in die Gesichter etlicher Onlinehändler. Derzeit mehren sich Nachfragen, wer denn im Onlinehandel überhaupt datenschutzrechtlich der Verantwortliche ist. Die IT-Recht Kanzlei möchte im Rahmen einer News-Serie Onlinehändlern komprimiertes Praxiswissen zu den wichtigsten für die DSGVO relevanten Vorgängen des Tagesgeschäfts vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Verkäufer eine lösbare Herausforderung ist

Erster Adressat der DSGVO – der datenschutzrechtlich Verantwortliche

Die wesentlichen Pflichten der DSGVO sind in erster Linie an den „Verantwortlichen“ (zum Begriff vgl. Art. 4 Nr. 7 DSGVO) adressiert.

Der Verantwortliche im Sinne der DSGVO ist für die Einhaltung der datenschutzrechtlichen Vorgaben, welche von der DSGVO getroffen werden, verantwortlich. Ihm obliegt es damit, dafür Sorge zu tragen, dass die in seiner Verantwortung erfolgenden Verarbeitungen von personenbezogenen Daten auch rechtmäßig erfolgen. .

Kurzum: Der datenschutzrechtlich Verantwortliche muss in Bezug auf den Datenschutz dann den „Kopf hinhalten“.

Ja, wer ist das denn?

Datenschutzrechtlich Verantwortlicher ist grundsätzlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der die wesentliche Entscheidungsbefugnis für die Verarbeitung von personenbezogenen Daten zukommt.

Ob dies ein Mensch als natürliche Person oder ein rechtsfähiges Unternehmen ist, ist damit egal.

Betrachten wir einen Onlinehändler als „Datenverarbeiter“, ist typischerweise der Händler selbst als Anbieter des Internetverkaufsauftritts, in dessen Rahmen die Datenverarbeitung erfolgt (z.B. des eigenen Onlineshops oder des Amazon- oder eBay-Auftritts) auch der datenschutzrechtlich Verantwortliche. Dies gilt insbesondere dann, wenn es als Unternehmer nur den Händler selbst gibt, er also Einzelunternehmer ist.

Führt der Händler ein Unternehmen mit eigener Rechtspersönlichkeit (z.B. GmbH, UG (haftungsbeschränkt), neuerdings auch GbR), so kann er sich aussuchen, ob nur er selbst, nur das Unternehmen oder beide nebeneinander datenschutzrechtlich Verantwortliche(r) sein soll(en).

Natürliche Person oder Firma denkbar

Anders als etwa der inhaltlich Verantwortliche für journalistisch-redaktionelle Inhalte im Sinne des § 55 Abs. 2 RStV (als solcher darf immer nur eine natürliche Person benannt werden), kann der datenschutzrechtlich Verantwortliche im Sinne der DSGVO sowohl eine natürliche Person (z.B. Einzelunternehmer) also auch ein rechtsfähiges Unternehmen sein (z.B. GmbH als juristische Person).

Eingeschränktes Wahlrecht besteht

Der Onlinehändler, der für seinen Onlinehandel also ein rechtsfähiges Unternehmen nutzt, kann also zwischen sich selbst oder dem Unternehmern als Verantwortlichem auswählen.

Besteht eine Haftungsbeschränkung des Unternehmens (z.B. bei einer GmbH), erscheint es vorzugswürdig, ausschließlich das Unternehmen selbst als Verantwortlichen auszuwählen.

Verantwortlicher hat nichts mit dem Datenschutzbeauftragten zu tun

Nicht zu verwechseln ist der datenschutzrechtlich Verantwortliche mit dem Datenschutzbeauftragten. Die DSGVO unterscheidet diese Begrifflichkeiten und Funktionen klar voneinander.

Durch den datenschutzrechtlich Verantwortlichen ist zusätzlich ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen und wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind oder wenn die Kerntätigkeit in der Verarbeitung von besonders sensitiven Daten besteht.

Dies ist beim klassischen Onlinehandel regelmäßig nicht der Fall.

Über die Hintergründe und die Notwendigkeit der Bestellung eines Datenschutzbeauftragten werden wir im Rahmen eines gesonderten Teils dieser Serie informieren.

Händler-Mitarbeiter als Verantwortlicher?

Verantwortlicher im Sinne der DSGVO kann nur derjenige sein, dem die wesentliche Entscheidungsbefugnis für die Verarbeitung von personenbezogenen Daten zukommt.

Dies ist aber nicht deswegen ein Mitarbeiter des Onlinehändlers , nur weil dieser intern mit der Datenverarbeitung befasst ist. Mitarbeiter sind weisungsgebunden, so dass die wesentliche Entscheidungsbefugnis beim „Chef“ verbleibt.

Ein „Abschieben“ der Pflichten auf Mitarbeiter ist damit in aller Regel nicht möglich.

Informationspflicht – der Verantwortliche muss sich outen

Die Besucher der Webseiten des Onlinehändlers müssen über Identität und Kontaktdaten des/ der datenschutzrechtlich Verantwortlichen informiert werden.

Dies kann z.B. im Rahmen einer an die DSGVO angepassten Datenschutzerklärung – wie sie Update-Service-Mandanten von der IT-Recht Kanzlei erhalten – erfolgen.

Zudem muss/müssen der/die Verantwortliche(n) mitsamt Kontaktdaten auch im Rahmen des Verarbeitungsverzeichnisses angegeben werden. Informationen zum Verarbeitungsverzeichnis finden Sie gerne hier.

Aktuelle, an die DSGVO angepasste Rechtstexte daher wichtig

Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitbewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind.

Wer als Onlinehändler ab dem 25.05.2018 z.B. eine veraltete Datenschutzerklärung ohne Benennung des datenschutzrechtlich Verantwortlichen vorhält, kommt ganz offensichtlich und für Dritte leicht nachvollziehbar nicht den Vorgaben der DSGVO nach.

Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern (etwa für die Erstellung eines Verarbeitungsverzeichnisses), Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist.

Fazit

Halb so wild.

Die Verantwortlichkeit in Bezug auf den Datenschutz ist bei einem klassischen Onlinehändler schnell geklärt.

Im Falle eines klassischen „one-man-show“-Onlinehandels (Einzelunternehmer) bleibt nur der Händler selbst als natürliche Person, um den Verantwortlichen „zu machen“.

Wer ein rechtsfähiges Unternehmen zum Zwecke des Onlinehandels betreibt, kann dagegen grundsätzlich auswählen, ob er selbst als dessen Geschäftsführer oder Gesellschafter, das Unternehmen selbst oder beide gemeinsam verantwortlich sein sollen.

Wer dazu eine in der Haftung beschränkte Firma führt, sollte erwägen, ob es aufgrund der Haftungsbeschränkung nicht sinnvoll erscheint, ausschließlich das Unternehmen selbst als Verantwortlichen auszuwählen.

Wer professionelle und aktuelle Rechtstexte der IT-Recht Kanzlei nutzt, erledigt damit zugleich seine Informationspflicht in Bezug auf den datenschutzrechtlich Verantwortlichen. Selbstverständlich kann im Rahmen der Konfiguration der DGSVO-tauglichen Datenschutzerklärung der IT-Recht Kanzlei der oder die datenschutzrechtlich Verantwortliche(n) entsprechend benannt werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .