Vor allem im Online-Handel, wo Händler zur Gewährleistung der Funktionsfähigkeit ihren Internetpräsenz, zur Rationalisierung von Abwicklungsprozessen und zur Erhöhung ihrer Reichweite auf verschiedenste Akteure zurückgreifen, entfalten die durch die DSGVO verschärften Regelungen über die Datenverarbeitung im Auftrag vielmals pflichtbegründende Wirkung. In verschiedensten Konstellationen, in denen sich Händler für Datenverarbeitungen Dritter bedienen, sind so Auftragsverarbeitungsverträge zu schließen, um eine hinreichende Datensicherheit zu gewährleisten. Doch nicht weniger häufig trügt der äußere Schein und lässt Händler von einer AV-Situation dort ausgehen, wo sie tatsächlich nicht besteht. Weil eine Abgrenzung mangels handfester Kriterien in der DSGVO nunmehr für Laien kaum noch zu meistern ist, hat die IT-Recht Kanzlei die wichtigsten Konstellationen von Datendrittverarbeitungen im Online-Shop zusammengetragen und hinsichtlich ihrer AV-Qualität analysiert.
I. FORMEN TATBESTANDLICHER AUFTRAGSVERARBEITUNG
-
Die Inanspruchnahme von Webhostern (Strato, Estugo etc.)
Wird der Online-Shop über einen Dienstleister gehostet, stellt dieser die informationstechnologische Grundlage für den Shopbetrieb dar. Alle Prozesse, auch sämtliche Formen der shopbezogenenen Datenverarbeitungen, werden über den Webhoster abgewickelt, sodass hier eine tatbestandliche Auftragsverarbeitung vorliegt, die zum Abschluss eines AV-Vertrags mit dem Hoster verpflichtet.
-
Die Inanspruchnahme einer Shop-Cloud-Lösung oder eines Zahlungs-Hubs (z.B. „Gambio Cloud“ bzw. „Gambio Payment Hub“)
Sowohl bei Shop-Cloud-Lösungen als auch bei der Nutzung von Zahlabwicklungsangeboten eines Hosters erfolgt jeweils eine Übermittlung von shopbasierten Kundendaten an den Anbieter des Dienstes. Während bei den gängigen Shop-Clouds-Systemen (z.B. Gambio-Cloud) alle Datenbestände des Händler-Shopsystems fremdgehostet und fremdverarbeitet werden, werden bei der Inanspruchnahme von Zahlabwicklungslösungen (z.B. „Gambio Payment Hub“) immerhin Kontakt-, Personen- und Zahlungsdaten von Kunden zur Abwicklung einer Bezahlung an den Hoster übertragen. In beiden Fällen liegt eine Datenverarbeitung im Auftrag vor, die jeweils einer vertraglichen Ausgestaltung bedarf.
-
Die Inanspruchnahme eines IT-Dienstleisters zur Wartung oder Fernwartung
Wird ein IT-Dienstleister mit der IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) beauftragt und besteht für diesen in dem Zusammenhang die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich um eine Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.
Ist ein Datenzugriff durch den IT-Dienstleister hingegen ausgeschlossen, ist nicht von einer Auftragsverarbeitung auszugehen. -
Die Beauftragung von Newsletter-Versanddienstleistern
Bedient sich ein Online-Händler zur Optimierung der Organisation seiner Warenwirtschaft eines Software-Entwicklers und beauftragt diesen mit der Programmierung einer technischen Lösung, so liegt eine Auftragsverarbeitung dann vor, wenn der Entwickler im Zuge des Projekts Zugriff auf Kundendaten erhält, die es zu organisieren und in die Programmabläufe einzuspeisen gilt. Regelmäßig werden Entwicklern von Warenwirtschafts-Software hierbei Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail) und Daten über die Kundenhistorie bereitgestellt, deren Übermittlung den Abschluss eines AV-Vertrages erforderlich macht.
-
Die Inanspruchnahme von Diensten für automatisierte Kundenbewertungsanfragen durch Bewertungsportale via Script
Bieten Online-Bewertungsportale einen Dienst an, der Kunden mittels Einbindung eines Scripts auf der Check-Out-Seite des Online-Shops automatisch um die Erteilung der Einwilligung in den Erhalt einer automatischen Bewertungsanfrage bittet, so werden durch dieses Script regelmäßig gewisse Kundendaten (etwa die IP-Adresse, die Bestell-/Kundennummer und die Mailadresse des Bestellers) an das Bewertungsportal übertragen. Dieses veranlasst im Falle der Einwilligung des Kunden sodann die Speicherung und Einlesung der Daten und verwendet sie, um automatisierte Bewertungsanfragen für den Händler zu versenden.Die Versendung automatisierter Bewertungsanfragen unter Verwendung von Personendaten aus dem Händlerbestand geschieht insofern im Auftrag des Händlers, welcher das Script bei sich implementiert. Hier ist fortan ein ADV-Vertrag mit dem ausgebenden Bewertungsportal zu schließen.
-
Die Inanspruchnahme von Cloud-Hostern
Händler, die beim Betrieb ihres Online-Shops die Dienste eines Cloud-Hosters beanspruchen, übertragen diesem Datensätze entweder in Form von Back-Ups oder wickeln sämtliche netzgebundenen Prozesse direkt über die Cloud ab. In beiden Fällen wird der Cloud-Hoster immerhin bei der Speicherung und Organisation der Datensätze tätig, die vor allem Kundendaten beinhalten. Mithin übernimmt er maßgebliche Verarbeitungstätigkeiten im Sinne der DSGVO auf Geheiß und im Auftrag des Händlers, sodass ein AV-Vertrag zu schließen ist.
-
Die Zusammenarbeit mit externen Call-Centern für Kundenanliegen
Vermehrt bedienen sich Händler für die Beantwortung von Kundenanfragen oder die Behandlung von Kundenanliegen eines externen Call-Centers. Zur Identifizierung des Anrufers und der Zuordnung zu einem bestimmten Betreff erheben die Center telefonisch Kundendaten und leiten diese regelmäßig mit einer Zusammenfassung des Anliegens an den Händler weiter. Gleichzeitig erhält das Center zur effektiven Bearbeitung von Anfragen und zur Sicherstellung einer zufriedenstellenden Auskunftserteilung Zugriff auf Kundendatensätze und/oder Systeme des Händlers. Die Beauftragung von Call-Centern für Kundenanliegen stellt eine Auftragsverarbeitung dar, bei welcher das Center im Auftrag und anstelle des Händlers Personendaten verarbeitet, um den Kundenbegehren Rechnung zu tragen.
-
Der Einsatz von Google Analytics
Wird „Google Analytics“ im Online-Shop zur Analyse des Nutzerverhaltens verwendet, erfolgt die eigentliche Dokumentation und Auswertung nicht durch den Händler selbst, sondern durch Google, den Bereitsteller des Online-Dienstes. Google Analytics erhebt und wertet hierbei eine Fülle von Daten aus, die in gewissem Umfang einen zur Anwendung der DSGVO führenden Personenbezug aufweisen. Aus diesem Grund liegt die rechtliche Konstellation einer Auftragsverarbeitung vor, bei welcher der Shopbetreiber als Auftraggeber fungiert und Google zum Auftragnehmer macht.Weil die DSGVO den Abschluss eines AV-Vertrags erstmals auch auf elektronischem Wege erlaubt, hält Google nunmehr sog. „Datenverarbeitungsbedingungen“, die einem solchen Vertrag entsprechen, im Bereich „Verwaltung“ der Analytics- Kontoeinstellungen zur Zustimmung bereit.
II. Konstellationen ohne AV-Charakter
-
Die Beauftragung von Versanddienstleistern
Zwar sind Versanddienstleister für die ordnungsgemäße Zustellung auf die Bereitstellung von Kundendaten angewiesen. Eine Auftragsverarbeitung liegt aber nicht bei in Anspruch genommenen Tätigkeiten vor, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern in denen andere Dienstleistungsschwerpunkte im Vordergrund stehen und der dabei notwendigerweise anfallende Kontakt mit personenbezogenen Daten nur ein unvermeidliches „Beiwerk“ darstellt. Die Kerntätigkeit von Versanddienstleistern liegt in der Sendungszustellung und gerade nicht die Verarbeitung von personenbezogenen Daten für Händler.
-
Das Anbieten über Verkaufsplattformen wie eBay, Amazon, etsy oder Dawanda
Beim Anbieten über Verkaufsplattformen ist der Händler zu keinem Zeitpunkt Auftragsverarbeiter einer Handelsplattform, noch ist diese jemals Auftragsverarbeiter des Händlers. Verträge über die Auftragsdatenverarbeitung müssen also nicht geschlossen werden. Die Plattform, auf der Nutzer registriert sind, übermittelt Kundendaten erst nach Vertragsschluss an den Händler. Er ist somit nie Auftragnehmer, weil er die Daten selbst für die Vertragsdurchführung nutzt und nicht nur unselbstständig als Gehilfe der Plattform tätig wird. Er ist aber auch nie Auftraggeber, weil er keine Herrschaft über die Daten hat und erst nach Vertragsschluss auf diese zugreifen kann.
-
Dropshipping-Lösungen
Verkaufen Händler im Wege des sogenannten Dropshippings (auch „Streckengeschäft), wird bei Vertragsschluss mit einem Kunden der Lieferant beauftragt, die Ware direkt an den kaufenden Kunden zu versenden, ohne dass diese zuvor beim Händler eingeht. Hiervor übermittelt der Händler dem Lieferanten zu Lieferungszwecken bestimmte Kundendaten (mindestens Name und Anschrift).
Auch wenn dieser Konstellation der Anschein einer Auftragsverarbeitung stark anlastet, ist deren Tatbestandlichkeit nicht gegebenen, weil es an der hierfür erforderlichen Weisungsgebundenheit des Lieferanten ob der Datenverarbeitung fehlt.
Nach alter Rechtslage fiel die Weitergabe von Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. „Funktionsübertragung“. Diese lag vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen konnte, wie er den Auftrag abwickelt, wenn er also anders als bei der Auftrags(daten)verarbeitung nicht an Weisungen des Auftraggebers gebunden war.
Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) grundsätzlich selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert und auswertet.
Zwar ist aufgrund der weiteren Fassung in Art. 28 Abs. 1 DSGVO nunmehr die herkömmliche Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung wohl entfallen. Auch unter Geltung der DSGVO stellt das Dropshipping aber keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im „Auftrag“ des Händlers. Die Auftragsdatenverarbeitung nach dem BDSG war durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet.
Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Dropshipping, bei dem letztlich eine „echte Datenübertragung“ vorliegt, weil der Lieferant die Kundendaten nach eigenen Maßstäben und in eigener Organisationshoheit mit dem Ziel der Lieferung zu verarbeiten befugt ist. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsdatenverarbeitung. -
Die Zusammenarbeit mit Zahlungsdienstleistern (PayPal, Billbee, Klarna etc.)
Bietet der Händler Zahlungsarten von externen Dienstleistern an, werden zum Zwecke der Zahlungsabwicklung im Check-Out-Prozess automatisch für die jeweilige Zahlart relevante personenbezogene Daten (etwa Name, Anschrift, Mailadresse, Geburtsdatum, Kundennummer, ggf. Bestellhistorie) übertragen. Eine tatbestandliche Auftragsverarbeitung ist bei derlei Übertragungsform mangels Weisungsgebundenheit der Dienstleister ebenso zu verneinen wie beim Dropshipping.
Die Zahlungsdienstleister entscheiden grundsätzlich selbst, über welche vom Kunden hinterlegten Zahlungsmittel die Zahlung vollzogen werden, ob gegebenenfalls unter Weitergabe der Daten eine Bonitätsprüfung erfolgen soll. Sie sind insofern ob der Entscheidung der Reichweite der durch den Kauf angestoßenen Datenverarbeitungsmöglichkeiten völlig frei und entziehen sich der händlerischen Möglichkeit zur Einflussnahme. Weil die Weise und der Umfang der Verwendung der bereitgestellten Daten allein den Zahlungsdienstleistern überlassen bleibt und diese die übertragenen Daten im eigenen Macht- und Organisationsbereich weiterverarbeiten, fehlt es an dem von Art. 29 DSGVO als für die AV maßgeblich proklamierten Kriterium der Weisungsgebundenheit. -
Das Einbinden von Social Plugins
Zwar verarbeiten Social-Plugins eine Vielzahl von Daten, bei denen zumindest einige einen Personenbezug aufweisen, ohne zusätzliche Maßnahmen des Händlers bereits bei Aufruf von Seiten des Online-Shops. Diese Verarbeitungen vollziehen sich aber im alleinigen Verantwortungs- und Organisationsbereich der Plugin-Anbieter und dienen ausschließlich deren (wirtschaftlichen) Interessen, ohne dass der Händler auf den Datenfluss Einfluss nehmen könnte. Mithin fehlt es bereits an einer für die AV erforderlichen Auftragslage, welche voraussetzen würde, dass der Händler von ihm verwaltete Datenbestände an einen Dritten überträgt.
-
Die Weiterleitung von Rechnungen an einen Steuerberater
Rechnungsunterlagen enthalten zwar personenbezogene Kundendaten. Bei der Tätigkeit des Steuerberaters handelt es sich aber nicht um eine Unterstützungshandlung bei der Datenverarbeitung, sondern um eine eigenständige Dienstleistung mit steuerrechtlichem Ziel, die allenfalls punktuell mit Daten in Berührung kommt. Die Annahme einer Auftragsverarbeitung mit dem Erfordernis des Abschlusses eines Verarbeitungsvertrags wäre hier sinnwidrig.
III. FAZIT
Die obigen Ausführungen zeigen die in Online-Shops gängigsten Konstellationen von Datenverarbeitungen durch Dritte auf und kategorisieren sie nach tatbestandlichen Auftragsverarbeitungen im Sinne von Art. 28 DSGVO einerseits und Verarbeitungsverhältnissen, denen der AV-Charakter abzusprechen ist, andererseits.
Freilich können angesichts der Fülle von Shop-Lösungen und teilweise stark einzelfallgeprägten Verarbeitungssituationen immer wieder Grenzfälle auftreten, bei denen das Vorliegen einer Auftragsverarbeitung und die hierdurch gegebenenfalls erforderliche Ausgestaltung eines Verarbeitungsvertrages eingängig geprüft werden müssen.