Die seit 25. Mai 2018 anzuwendende DSGVO, welche die Regeln zur Verarbeitung personenbezogener Daten vereinheitlicht, stellt bis heute noch viele Online-Händler vor offene Fragen. Was genau sind personenbezogene Daten? Wann darf ich diese verarbeiten? Und wie muss ich meine Endkunden darüber informieren?
Besonders relevant wird das für Händler insbesondere dann, wenn sie die Daten ihrer Kunden (z.B. Name, E-Mail, Adresse) an einen Dienstleister weitergeben. Am Beispiel eines Shipping Service Providers also z.B. dann, wenn dieser für seine Kunden aus dem Online-Handel die Versandlabel und somit Adress- und Kontaktdaten mittels seiner Software erstellt und verarbeitet. Auch wenn die Versandplattform kein einziges Paket selbst in die Hand nimmt, so verarbeitet sie dennoch die Kundendaten im Zuge der Labelerstellung, des Trackings und der Retouren – und damit im Auftrag der Online-Händler. Grund genug für eine Vereinbarung zur Auftragsverarbeitung?
Wann gilt ein Dienstleister also als Auftragsverarbeiter? Hierzu hat die Bitkom einen hilfreichen Leitfaden zur Auftragsverarbeitung verfasst. Das wichtigste nachfolgend in Kürze.
Als Auftragsverarbeitung im Sinne der DSGVO gilt jede “Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.”
Kauft ein Kunde im Online-Shop eines Händlers ein, hat er nur ein Vertragsverhältnis mit dem Händler abgeschlossen. Nutzt ein Online-Händler nun eine Versandsoftware, so besteht wiederum ein Vertragsverhältnis zwischen dem Händler und der Versandsoftware. Der sogenannte Shipping Service Provider verarbeitet dabei die Kundendaten im Auftrag des Online-Händlers und damit im Auftrag des für die Daten seiner Kunden Verantwortlichen.
Aus diesem Grund muss nach Art. 28 DSGVO ein AV-Vertrag geschlossen werden.
Dieser AV-Vertrag regelt dann die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Dienstleister im Auftrag des Verantwortlichen. Dazu zählt unter anderem auch, dass “der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen”. Somit sichern Sie sich als Händler vertraglich ab, dass in Anspruch genommene Dienstleister die übermittelten Daten nicht zu anderem Zwecke verarbeiten oder nutzen.
Achten Sie bei Ihrer Dienstleisterauswahl also stets darauf, dass eine Vereinbarung zur Auftragsverarbeitung zur Verfügung gestellt und geschlossen wird. Im schlechtesten Falle drohen sonst empfindliche Strafen.