E-Mail-Marketing, Serverhosting oder Google Analytics: Gerade kleine oder mittelständische Onlineshops haben häufig nicht die Kapazitäten um alle - insbesondere technischen - Leistungen für die eigenen Bedürfnisse selbst zu erbringen. Die Lösung ist die Auslagerung auf Dienstleister. Dabei werden nicht selten personenbezogene Daten an den jeweiligen Anbieter übertragen. Was hierbei im Rahmen der Datenschutzgrundverordnung zu berücksichtigen ist, erfahren Sie hier.
Bereits heute erfolgt die Weitergabe bestimmter Aufgaben an entsprechende Dienstleister vielfach im Onlinehandel. Gerade im Bereich des Marketings gibt es viele Anbieter von Tools, die Analysen und gezielte Ansprache erleichtern.
Bei der Verarbeitung personenbezogener Daten im Rahmen dieser Zusammenarbeit, bei der der Dienstleister im Auftrag des Onlineshops handelt, ist § 11 Bundesdatenschutzgesetz (BDSG) zu beachten.
Die Vorschrift sieht vor, dass der Onlineshop als Auftraggeber den Dienstleister (Auftragnehmer) unter Berücksichtigung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten bei diesem sorgfältig auswählt.
Ist eine Auswahl getroffen und erfolgt eine Beauftragung, muss neben den vertraglichen Übereinkünften zur Dienstleistung selbst auch eine Vereinbarung zum Schutz der zu verarbeitenden personenbezogenen Daten getroffen werden.
Diese Vereinbarung zur Auftragsdatenverarbeitung (ADV) ist nach § 11 Abs. 2 Satz 2 BDSG schriftlich zu schließen. Dies bedeutet, dass ein beidseitig unterzeichnetes Original vorliegen muss - ein mündlicher Abschluss oder eine Übereinkunft per E-Mail ist nicht ausreichend.
Inhaltlich ist eine einfache Verschwiegenheitsklausel bei weitem nicht ausreichend. § 11 Abs. 2 Satz 2 BDSG listet einige Punkte auf, die zwingend in der Vereinbarung zum Datenschutz enthalten sein müssen.
So müssen sich Auftraggeber und -nehmer vorab zum Beispiel über den Umfang der Weisungsbefugnisse des Auftraggebers ebenso einigen wie über die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Außerdem sind die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen konkret festzulegen. Eine pauschale Aufzählung der in der Anlage zu § 9 BDSG genannten Kategorien genügt dieser Anforderung nicht.
Die heutige Rechtslage beinhaltet daneben einen erheblichen Vorteil: Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Auftragnehmer im Rahmen einer ADV zählt nicht als Erhebung, Verarbeitung oder Nutzung durch einen Dritten.
Dies legt § 3 Abs. 8 Satz 3 BDSG fest. Diese Privilegierung führt dazu, dass bei Erfüllung einer ausgelagerten Aufgabe durch einen entsprechenden Dienstleister keine weitere Verarbeitung von Daten erfolgt, sodass eine neue Rechtsgrundlage oder Einwilligung nicht erforderlich ist. Verantwortlich bleibt immer die verantwortliche Stelle.
Auch nach dem Start der DSGVO ist eine Vereinbarung zwischen Auftraggeber und Auftragnehmer, die dann Verantwortlicher und Auftragsverarbeiter genannt werden, gesetzlich vorgeschrieben. Art. 28 DSGVO regelt die Anforderungen an dieses Vertragsverhältnis, welches künftig als Auftragsverarbeitung bezeichnet wird.
Der Vertrag zur Auftragsdatenverarbeitung ist schriftlich abzuschließen, was auch ein elektronisches Format umfasst.
Weiterhin ist der Verantwortliche in der Pflicht, den Auftragsverarbeiter sorgfältig auszuwählen. Nach Art. 28 Abs. 1 DSGVO muss der vorgesehene Auftragsverarbeiter
"hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Wie bereits § 11 BDSG sieht auch die Datenschutzgrundverordnung bestimmte Pflichtinhalte der Vereinbarung zur Auftragsverarbeitung vor. Im Einzelnen ist insbesondere über folgende Punkte eine Regelung zu treffen:
Zu den Pflichten und Rechten des Verantwortlichen enthält Art. 28 DSGVO weitere explizite Angaben. Neu ist, dass die Vorschrift abschließende Regelungen zur Weisungsbefugnis und der Beauftragung von Unterauftragnehmern trifft. Anders als noch im BDSG ist so beispielsweise vorgeschrieben, dass der Einsatz von neuen Unterauftragnehmern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig ist.
Ob die Datenschutzgrundverordnung daneben eine weitere Neuerung im Hinblick auf die Auftragsdatenverarbeitung mit sich bringt, wird derzeit diskutiert. Konkret geht es um die Frage, ob die im BDSG verankerte Privilegierung des Auftragnehmers als Nicht-Dritter auch in der DSGVO enthalten ist.
Zwar schließt auch die Definition des Begriffs "Dritter" in Art. 4 Nr. 10 DSGVO den Auftragsverarbeiter ausdrücklich aus. Da der genaue Wortlaut des BDSG jedoch trotz entsprechender Anregungen im Rahmen der Verhandlungen zur DSGVO nicht übernommen wurde, vertritt ein Teil der Literatur (zum Beispiel Härting in seinem Praxishandbuch zur DSGVO) die Auffassung, die Privilegierung sei entfallen. Dies würde bedeuten, dass die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter wie jede andere Übermittlung und damit neue Verarbeitung zunächst über eine der in Art. 6 DSGVO aufgeführten Rechtsgrundlagen rechtfertigt werden müsste.
Dieser Ansicht wird jedoch überwiegend widersprochen (zum Beispiel durch Gola, DSGVO, Art. 4 Rn. 57). Hierbei wird unter anderem angeführt, dass die DSGVO weiterhin eine strenge Weisungsgebundenheit des Auftragsverarbeiters an den Verantwortlichen vorsieht und ihm auch ansonsten weitergehende Pflichten im Hinblick auf Datenschutz auferlegt, als das BDSG. Dies spreche eher für eine fortbestehende Privilegierungswirkung.
Zum heutigen Zeitpunkt sprechen die besseren Argumente nach hiesiger Auffassung für eine Privilegierung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter auch unter der Datenschutzgrundverordnung. Nichtsdestotrotz sind die gesteigerten Verantwortlichkeiten des Auftragsverarbeiters zu beachten. So sieht Art. 82 Abs. 4 DSGVO zum Beispiel eine gesamtschuldnerische Haftung von Verantwortlichem und Auftragsverarbeiter vor - eine vergleichbare Regelung gibt es bei heutiger Rechtslage nicht.
Im Ergebnis ändert sich aus Sicht des Onlineshops als Auftraggeber, bzw. Verantwortlichem im Rahmen einer Auftragsverarbeitung nicht allzu viel: Nach wie vor sind bei der Auswahl von Unterauftragnehmern bestimmte Kriterien zu beachten und eine Vereinbarung mit dem Dienstleister zu treffen. Im Detail ergeben sich einige Neuerungen, die in der Vereinbarung selbst dann zu beachten sind.
Unser Tipp: Überprüfen Sie schon jetzt alle Vereinbarungen zur Auftragsdatenvereinbarung, die Sie mit Dienstleistern geschlossen haben - erfüllen diese auch im Detail die Anforderungen des Art. 28 DSGVO? Falls nicht, sollte hier rechtzeitig nachverhandelt werden.
Bildnachweis: Bloomicon/shutterstock.com