{"id":42104,"date":"2018-12-10T06:04:32","date_gmt":"2018-12-10T05:04:32","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=42104"},"modified":"2018-12-10T05:05:21","modified_gmt":"2018-12-10T04:05:21","slug":"dsgvo-wann-liegt-eine-auftragsdatenverarbeitung-im-onlinehandel-vor","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/dsgvo-wann-liegt-eine-auftragsdatenverarbeitung-im-onlinehandel-vor\/","title":{"rendered":"DSGVO: Wann liegt eine Auftragsdatenverarbeitung im Onlinehandel vor?"},"content":{"rendered":"
\"Auftragsverarbeitung
\u00a9 DOC RABE Media – fotolia.com<\/figcaption><\/figure>\n

Auch \u00fcber ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung<\/a> (DSGVO) sind noch nicht alle Fragen (gerichtlich) gekl\u00e4rt. <\/i><\/p>\n

Aus diesem Grund ver\u00f6ffentlichen Landesdatenschutzbeh\u00f6rden Kurzmitteilungen, in denen sie eine (politische) Orientierung bei der Beantwortung dringender Fragen geben. So auch das bayerische Landesamt f\u00fcr Datenschutzaufsicht zu der Frage, wann eine Auftragsverarbeitung vorlieg<\/a>t.<\/i><\/p>\n

Was ist eine Auftrags(daten)verarbeitung?<\/b><\/h2>\n

Die Regelung des Art. 28 DSGVO<\/a> wirft besonders im Onlinehandel die entscheidende Frage auf, wann eine Auftragsverarbeitung vorliegt und wann nicht. Von Bedeutung ist diese Vorschrift f\u00fcr die Verantwortlichkeit und Haftung bei Datenschutzverst\u00f6\u00dfen<\/a>, weil gerade im Onlinehandel eine Vielzahl von personenbezogenen Daten<\/a> erhoben und verarbeitet wird.\u00a0<\/span><\/p>\n

Voraussetzung f\u00fcr eine Auftragsverarbeitung<\/a> ist grunds\u00e4tzlich ein entsprechender Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter, vgl. Art. 28 Abs. 3 DSGVO<\/a>. Das bayerische Landesamt f\u00fcr Datenschutzaufsicht hat sich nunmehr dazu ge\u00e4u\u00dfert, wann ein solcher Vertrag – wenn auch nicht ausdr\u00fccklich geschlossen – vorliegt.<\/p>\n

Zun\u00e4chst stellt das bayerische Landesamt klar, dass eine Auftragsverarbeitung im Sinne der DSGVO vorliegt, wenn ein Vertragspartner dem anderen im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist im Umkehrschluss bei Dienstleistungen<\/a> dann nicht der Fall, bei denen die Datenverarbeitung nicht einen wichtigen (Kern-)Bestandteil ausmacht.<\/p>\n

Dies ist keine Auftrags(daten)verarbeitung<\/b><\/h2>\n

Das vorausgeschickt, nimmt das bayerische Landesamt an, dass keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO<\/a> bei Postdiensten f\u00fcr den Brief- und Pakettransport vorliegt. Eine Verantwortlichkeit der Onlineh\u00e4ndler besteht daher nicht.<\/p>\n

Und auch bei der beauftragten Warenzusendung liegt keine Auftragsverarbeitung vor. Der Onlineh\u00e4ndler selbst liefert die bestellte Ware n\u00e4mlich nicht aus, sondern ein von ihm beauftragter Dritter. Konkret geht es nach Ansicht des bayerischen Landesamts um Hersteller und Gro\u00dfh\u00e4ndler, die vom Einzelh\u00e4ndler zum Zwecke der Vertragserf\u00fcllung (Direktlieferung an den Kunden) die Endkundenadressen erhalten. Als praktisches Beispiel kann man hier die Onlineplattform Amazon anf\u00fchren.<\/p>\n

Hier werden Daten im Auftrag verarbeitet<\/b><\/h2>\n

Im Alltag treffen wir besonders beim Outsourcing von Arbeitsprozessen auf eine Auftragsverarbeitung gem\u00e4\u00df Art. 28 DSGVO<\/a>. Beispiele f\u00fcr Auftragsverarbeiter sind etwa ein externes Lohnbuchhaltungsb\u00fcro und Callcenter zur Kundenbetreuung.<\/p>\n

Gerade im Online-Marketing f\u00e4llt hierunter auch Google Analytics zur Auswertung und Analyse von Webseiten und die Benutzung von MailChimp<\/a> zum Versenden von Newslettern. Keine Auftragsverarbeitung liegt dagegen bei E-Mail-Providern vor, die nur die E-Mail-\u00dcbermittlung sicherstellen und selbst keine weiteren Funktionen, die der Datenverarbeitung bed\u00fcrfen, anbieten.<\/p>\n

Genaue Differenzierung ist gefragt<\/b><\/h2>\n

Schwierig und noch umstritten ist die Beurteilung der Frage nach einer Auftragsdatenverarbeitung bei Dienstleistern, die lediglich Wartungsarbeiten an einem Programm durchf\u00fchren und dabei den Zugriff auf personenbezogene Daten des Auftraggebers an sich gar nicht ben\u00f6tigen. W\u00e4hrend die Bef\u00fcrworter darauf abstellen, dass der Dienstleister schon die M\u00f6glichkeit erh\u00e4lt, auf personenbezogene Daten zuzugreifen, verneinen die Gegner eine Auftragsverarbeitung nach Art. 28 DSGVO<\/a>. Zur Begr\u00fcndung wird der Wortlaut des Art. 4 Nr. 2 DSGVO<\/a> angef\u00fchrt. Letztendlich ist es nur konsequent, sich wie die letztgenannte Ansicht, auf die Vorschriften der DSGVO zu st\u00fctzen, denn mit der Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen zielt der Dienstleister gerade nicht auf eine Datenverarbeitung ab. Die M\u00f6glichkeit der Kenntnisnahme der Daten reicht schon dem Wortlaut nach nicht aus.\u00a0<\/span><\/p>\n

Zur Beantwortung der Frage, ob nun eine Auftragsdatenverarbeitung vorliegt oder nicht, ist bei der konkreten Dienstleistung stets zu pr\u00fcfen, ob eine Inanspruchnahme von fremden Fachleistungen vorliegt. Im Zweifel sollten Sie sich jedoch absichern und einen entsprechenden Vertrag mit dem Vertragspartner und Leistungserbringer abschlie\u00dfen.\u00a0<\/span><\/p>\n

\n

Lesen Sie hier alle wichtigen Beitr\u00e4ge zur DSGVO:<\/h3>\n