DSGVO: Wann liegt eine Auftragsdatenverarbeitung im Onlinehandel vor?
Ihr Ansprechpartner
Auch über ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind noch nicht alle Fragen (gerichtlich) geklärt.
Aus diesem Grund veröffentlichen Landesdatenschutzbehörden Kurzmitteilungen, in denen sie eine (politische) Orientierung bei der Beantwortung dringender Fragen geben. So auch das bayerische Landesamt für Datenschutzaufsicht zu der Frage, wann eine Auftragsverarbeitung vorliegt.
Was ist eine Auftrags(daten)verarbeitung?
Die Regelung des Art. 28 DSGVO wirft besonders im Onlinehandel die entscheidende Frage auf, wann eine Auftragsverarbeitung vorliegt und wann nicht. Von Bedeutung ist diese Vorschrift für die Verantwortlichkeit und Haftung bei Datenschutzverstößen, weil gerade im Onlinehandel eine Vielzahl von personenbezogenen Daten erhoben und verarbeitet wird.
Voraussetzung für eine Auftragsverarbeitung ist grundsätzlich ein entsprechender Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter, vgl. Art. 28 Abs. 3 DSGVO. Das bayerische Landesamt für Datenschutzaufsicht hat sich nunmehr dazu geäußert, wann ein solcher Vertrag – wenn auch nicht ausdrücklich geschlossen – vorliegt.
Zunächst stellt das bayerische Landesamt klar, dass eine Auftragsverarbeitung im Sinne der DSGVO vorliegt, wenn ein Vertragspartner dem anderen im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt. Dies ist im Umkehrschluss bei Dienstleistungen dann nicht der Fall, bei denen die Datenverarbeitung nicht einen wichtigen (Kern-)Bestandteil ausmacht.
Dies ist keine Auftrags(daten)verarbeitung
Das vorausgeschickt, nimmt das bayerische Landesamt an, dass keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO bei Postdiensten für den Brief- und Pakettransport vorliegt. Eine Verantwortlichkeit der Onlinehändler besteht daher nicht.
Und auch bei der beauftragten Warenzusendung liegt keine Auftragsverarbeitung vor. Der Onlinehändler selbst liefert die bestellte Ware nämlich nicht aus, sondern ein von ihm beauftragter Dritter. Konkret geht es nach Ansicht des bayerischen Landesamts um Hersteller und Großhändler, die vom Einzelhändler zum Zwecke der Vertragserfüllung (Direktlieferung an den Kunden) die Endkundenadressen erhalten. Als praktisches Beispiel kann man hier die Onlineplattform Amazon anführen.
Hier werden Daten im Auftrag verarbeitet
Im Alltag treffen wir besonders beim Outsourcing von Arbeitsprozessen auf eine Auftragsverarbeitung gemäß Art. 28 DSGVO. Beispiele für Auftragsverarbeiter sind etwa ein externes Lohnbuchhaltungsbüro und Callcenter zur Kundenbetreuung.
Gerade im Online-Marketing fällt hierunter auch Google Analytics zur Auswertung und Analyse von Webseiten und die Benutzung von MailChimp zum Versenden von Newslettern. Keine Auftragsverarbeitung liegt dagegen bei E-Mail-Providern vor, die nur die E-Mail-Übermittlung sicherstellen und selbst keine weiteren Funktionen, die der Datenverarbeitung bedürfen, anbieten.
Genaue Differenzierung ist gefragt
Schwierig und noch umstritten ist die Beurteilung der Frage nach einer Auftragsdatenverarbeitung bei Dienstleistern, die lediglich Wartungsarbeiten an einem Programm durchführen und dabei den Zugriff auf personenbezogene Daten des Auftraggebers an sich gar nicht benötigen. Während die Befürworter darauf abstellen, dass der Dienstleister schon die Möglichkeit erhält, auf personenbezogene Daten zuzugreifen, verneinen die Gegner eine Auftragsverarbeitung nach Art. 28 DSGVO. Zur Begründung wird der Wortlaut des Art. 4 Nr. 2 DSGVO angeführt. Letztendlich ist es nur konsequent, sich wie die letztgenannte Ansicht, auf die Vorschriften der DSGVO zu stützen, denn mit der Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen zielt der Dienstleister gerade nicht auf eine Datenverarbeitung ab. Die Möglichkeit der Kenntnisnahme der Daten reicht schon dem Wortlaut nach nicht aus.
Zur Beantwortung der Frage, ob nun eine Auftragsdatenverarbeitung vorliegt oder nicht, ist bei der konkreten Dienstleistung stets zu prüfen, ob eine Inanspruchnahme von fremden Fachleistungen vorliegt. Im Zweifel sollten Sie sich jedoch absichern und einen entsprechenden Vertrag mit dem Vertragspartner und Leistungserbringer abschließen.
Lesen Sie hier alle wichtigen Beiträge zur DSGVO:
- Abgeordneter warnt: “Es wird bei der EU-DSVGO kein Pardon geben!”
- DSGVO: Der Datenschutz und die Fotografie
- DSGVO: Google kündigt neue Spielregeln für Werbetreibende an
- DSGVO: Wann benötigen Unternehmen einen Datenschutzbeauftragten?
- DSGVO: Die E-Mail am Arbeitsplatz und der Datenschutz
- Service gegen Daten: Nach dem Kopplungsverbot der DSGVO nun nicht mehr erlaubt?
- DSGVO: Der Datenschutz und die Fotografie
- 3 Dinge, die man zur DSGVO-Abmahnwelle wissen muss
- OLG Köln gibt Entwarnung für Fotografen: KUG gilt auch nach der DSGVO weiter
- Rechtsanwältin Rosenbaum in der WDR-Servicezeit zum Thema “DSGVO – ändert sich für Fotografen?”
- DSGVO-Abmahnungen: LG Würzburg erlässt erste einstweilige Verfügung gegen Rechtsanwältin
- DSGVO-Abmahnungen: LG Bochum weist Antrag auf einstweilige Verfügung zurück
- DSGVO: Muss die Wiener Hausverwaltung 220.000 Klingelschilder entfernen?
- DSGVO-Abmahnungen: EU-Kommission hält die Rechtsbehelfe Betroffener für abschließend geregelt
- DSGVO-Abmahnungen eingeschränkt möglich: OLG Hamburg vertritt vermittelnde Ansicht
- DSGVO-Abmahnungen: LG Wiesbaden sagt Nein zu “Abmahnbarkeit”
- DSGVO-Abmahnungen: 50 € Schmerzensgeld pro Spam-EMail?
- Erstes Bußgeld wegen DSGVO-Verstoß: 20.000 € gegen die Chatplattform knuddels.de
- 7 Dinge, die man zum EU-Vertreter nach Art. 27 DSGVO wissen muss
- Haare schneiden ist keine Kunst – DSGVO/KUG Urteil zur Veröffentlichung von Werbevideos
Ähnliche Artikel
Mehrfach ausgezeichnet.
