Die DSGVO ist in ihrer amtlichen Version satte 88 pdf-Seiten lang und besteht neben 173 Erwägungsgründen aus 99 Artikeln. Doch viel hilft nicht immer viel, denn Händler können mit der umfangreichen neuen Verordnung wenig anfangen. In unserem kostenlosen Webinar wurden die Teilnehmer fit für die Vorbereitung gemacht.
Mehr unter: Die DSGVO betrifft jeden! – wir machen Sie in nur 15 Minuten fit
Unser Webinar Die DSGVO betrifft jeden – wir machen sie in nur 15 Minuten fit letzte Woche schlug alle Erwartungen um Längen. 400 Anmeldungen, 275 Teilnehmern und eine anschließende Fragerunde die wir nach 60 Minuten aus Zeitgründen abbrechen mussten, sprechen eine deutliche Sprache: Die DSGVO, in wenigen Wochen in Kraft tritt, brennt den Online-Händlern unter den Nägeln. Interessanterweise handelten die häufigsten Fragen von den teilnehmenden Online-Händlern davon, was hinsichtlich der Zusammenarbeit mit Logistikpartnern, wie DHL oder Hermes, Payment-Dienstleistern und allen anderen Partnern zu beachten ist. Wir haben die wichtigsten Fragestellungen dazu zusammengefasst und unseren Co-Moderator Martin Hahn, Datenschutzbeauftragter der Händlerbund AG, nochmals gebeten diese zu beantworten.
Letzte Woche startete unser neues Webinarformat „15 minutes“. In diesem 14-tägigen Format haben Experten genau 15 Minuten Zeit ein Thema, einen Praxistipp oder was auch immer vorzustellen. Dafür gibt es nur zwei Bedingungen: Der vorgestellte Tipp oder Handlungsempfehlung muss von jedem Online-Händler, möglichst umaufwendig umsetzbar sein. Und der Vortrag muss absolut werbeneutral sein. Schließlich ist Kompetenzbeweis, immer noch die beste Werbung.
Auch unser nächstes Webinar Marktrecherche mit Amazon – In nur 15 Minuten wissen Sie alles über ein Produkt am 11. April erlebt einen sensationellen Ansturm. Und ich verspreche sicherlich nicht zu viel, wenn ich behaupte: „Dieses Webinar ist randvoll mit wichtigen Tipps, wie Online-Händler mehr Umsatz und Gewinn erzielen können. Dies werden vermutlich die wertvollsten Minuten des Monats April für jeden Teilnehmer!“ Und natürlich ist auch dieses Webinar wieder kostenlos für alle Teilnehmer. Am 25.04. teilt dann Stefan Grimm, Geschäftsführer von Restposten.de, sein Wissen über Kasse machen mit Aktionsware – wie Händler lukrative Restposten source (Anmeldeinformationen folgen).
Doch zurück zum Thema DSGVO: Wen das Webinar letzte Woche interessiert, findet die Aufzeichnung in unserem neuen Youtube-Kanal. Hier werden wir künftig übrigens jedes Webinar der Nachwelt erhalten. Wichtig ist nur zu wissen, dass wir ausschließlich den Vortrag aufzeichnen, nicht jedoch die Fragerunde. Dabei ist diese doch in der Regel der wertvollste Part. Schließlich, wissen die teilnehmenden Händler am Besten welche Fragen wichtig für des Online-Händlers Geschäft sind. Daher empfehle wir dringend, bei den Webinaren live dabei zu sein.
Wann ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden muss
Bei der Fragerunde um die kommende DSGVO ging es häufig darum, in welchen Fällen man die Verträge mit Dienstleistern aktualisieren muss. Da diese Situation scheinbar für viele Händler noch ein großes, schwarzes Loch darstellt, haben wir Martin Hahn (vielen Dank an Martin an dieser Stelle für seinen tollen und informativen Vortrag, sowie die geduldige Beantwortung der vielen Fragen!) gebeten, uns hierzu nochmal ein paar Fragen zu beantworten.
Martin, wann muss ich als Online-Händler mit Dienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen?
Bei der Auftragsverarbeitung übernimmt ein Dritter die Verarbeitung ihrer (des Online-Händlers) Daten in ihrem Auftrag ausschließlich nach ihrer Weisung. Dabei bleibt der Online-Händler verantwortlich für den rechtmäßigen Umgang mit den Daten. Klassische Anwendungsfälle sind bspw. Dienstleister, die den Versand von Newslettern oder das Webhosting übernehmen.
Erforderlich ist dabei stets der Abschluss eines Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister nach § 11 Bundesdatenschutzgesetz (BDSG) bzw. ab 25.05.2018 gem. Art. 28 Datenschutzgrundverordnung (DSGVO). In diesem ist detailliert zu regeln welche Daten übermittelt werden und wie diese verarbeitet werden. Zusätzlich sind Vereinbarungen zu den so genannten technisch-organisatorischen Maßnahmen zum Schutz der Daten zu treffen.
Mit Wirksamwerden der DSGVO im Mai müssen Online-Händler ihre Kunden über diese Auftragsverarbeitung innerhalb ihrer Datenschutzerklärung informieren.
Wo ist der Vertrag außerdem notwendig?
- Weddesigner, Web-Support
- Nutzung externer Serverkapazitäten
- Externe Callcenter
- Warenwirtschaftssysteme
- Backup-Sicherheitsspeicherung und andere Archivierungen,
- Mailing-Dienstleister
- Nutzung von Google Analytics
- Datenträgerentsorgung
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
Muss ich einen solchen Vertrag also auch mit meinen Versandpartnern (bspw. DHL oder Hermes) oder Payment-Dienstleistern (bspw. Wirecard oder KLARNA) abschließen?
Grundsätzlich bedarf die Weitergabe personenbezogener Daten einer rechtlichen Grundlage, welche die Weitergabe erlaubt. Dies kann die Einwilligung des Betroffenen sein oder wenn die Weitergabe der Daten für die Erfüllung eines Vertrages erforderlich ist. Die Daten dürfen mithin an das Transportunternehmen weitergegeben werden, da dies zur Erfüllung des Kaufvertrages notwendig ist.
Dabei muss der Umfang der übermittelten Daten auf ein Mindestmaß beschränkt werden. Das bedeutet ausschließlich der Name sowie die postalische Anschrift darf an das Transportunternehmen übermittelt werden.
Wird darüber hinaus beispielsweise die E-Mail-Adresse des Kunden für die Sendungsverfolgung weitergegeben, bedarf es hierfür bereits wieder einer Einwilligung.
Bei den Zahlungsdienstleistern muss im Einzelfall geprüft werden, wie die Abläufe sind und ob eine Aufragsverarbeitung vorliegt. Es kommt dabei vor allem darauf an, ob die Dienstleister für den Online-Händler tätig werden und die Zahlung für diese abwickeln oder wie bspw. bei PayPal der Fall, ein eigenständiges Vertragsverhältnis mit dem Endkunden besteht und dieser direkt an PayPal zahlt.
Wie sieht es aus, wenn ich über Marktplätze wie Amazon oder eBay die Ware verkaufe und der Versand über Amazon FBA oder einem Logistik Fulfillmenter erfolgt?
Bei den Marktplätzen ist der Abschluss eines Vertrages zur Auftragsverarbeitung nicht erforderlich. Die Marktplätze (ver)arbeiten selbstständig ohne Weisung seitens der Händler. Zudem besteht ein gesondertes Vertragsverhältnis zwischen Marktplatz und Endkunde.
Für Fullfillment-Dienstleister ist, wie beim Dropshipping (Streckengeschäft), kein Vertrag zur Auftragsverarbeitung erforderlich. Hier ist die Datenweitergabe zur Erfüllung des Vertrages erforderlich und damit zulässig.
Benötige ich einen AV wenn ich ein Miet-Shopsystem, wie etsy und Shopify, einsetze oder eine Cloud-Lösung, wie plentymarkets, Afterbuy oder JTL einsetze? – also alles Anbieter bei denen die Daten auf deren Server liegen.
In diesen Fällen ist stets ein Vertrag zur Auftragsverarbeitung abzuschließen, sobald personenbezogene Daten verarbeitet werden. Wenn also die Warenwirtschaft nicht ausschließlich Daten zu den Produkten verarbeitet, weil sie bspw. auch Rechnungen erstellt, ist ein solcher Vertrag abszuschließen. Das selbe gilt auch für Hosting-Anbieter auf deren Servern der Webshop liegt.
Und wie ist es dann bei Analyse-Tools, wie Google Analytics?
Bei Google Analytics ist auf jeden Fall ein solcher Vertrag zu schließen. Darauf hatten sich Google und die zuständige Aufsichtsbehörde bereits vor einigen Jahren verständigt. Google stellt diesen Vertrag hier zur Verfügung.
Bei den anderen Analyse-Tools ist es umstritten, ob ein Vertrag zur Auftragsverarbeitung erforderlich ist. Im Zweifel sollte ein solcher geschlossen werden um größtmögliche Rechtssicherheit zu erzielen.
Vielen Dank für das ergiebige Gespräch!
Der Händlerbund hilft!
(Werbeeinblendung): Der Händlerbund steht Ihnen bei juristischen Fragen als kompetenter Partner zur Seite. Wenn Sie sich als Kunde von Shopanbieter jetzt für die umfangreichen Rechtsdienstleistungen des Händlerbundes entscheiden, erhalten Sie mit dem Rabattcode Shopanbieter25 einen Nachlass von 3 Monaten auf das Mitgliedschaftspaket Ihrer Wahl:Jetzt informieren!