DSGVO - Warum ein AV-Vertrag für Händler nötig ist

DSGVO-AV-Vertrag-860x325

Die seit 25. Mai 2018 anzuwendende DSGVO, welche die Regeln zur Verarbeitung personenbezogener Daten vereinheitlicht, stellt bis heute noch viele Online-Händler vor offene Fragen.

Was genau sind personenbezogene Daten? Wann darf ich diese verarbeiten? Und wie muss ich meine Endkunden darüber informieren? Unser Partner Shipcloud gibt in folgendem Gastartikel Antworten auf diese Fragen. 

Besonders relevant wird die Thematik für Händler insbesondere dann, wenn sie die Daten ihrer Kunden (z.B. Name, E-Mail, Adresse) an einen Dienstleister weitergeben. Am Beispiel eines Shipping Service Providers erklären wir Dir die Thematik genauer.

Was ist ein Shipping Service Provider? 

Ein Shipping Service Provider bietet eine technische Anbindung zu verschiedenen Versandlogistiker wie zum Beispiel DHL, DPD, Hermes, UPS, GLS. Statt also jeden einzelen Versandlogistiker separat zu integrieren, brauchst Du nur noch auf einen Shipping Service Provider zurückgreifen, um automatisiert Versandetiketten direkt aus dem Shop- oder ERP System zu erstellen. 

Der Shipping Service Provider bietet Kunden aus dem Online-Handel die Versandlabel an, erstellt und verarbeitet somit Adress- und Kontaktdaten mittels der Software. Auch wenn die Versandplattform kein einziges Paket selbst in die Hand nimmt, so verarbeitet sie dennoch die Kundendaten im Zuge der Labelerstellung, des Trackings und der Retouren - und damit im Auftrag der Online-Händler. Grund genug für eine Vereinbarung zur Auftragsverarbeitung?

Wann gilt ein Dienstleister also als Auftragsverarbeiter?

Hierzu hat die Bitkom einen hilfreichen Leitfaden zur Auftragsverarbeitung verfasst. Das wichtigste nachfolgend in Kürze.

Als Auftragsverarbeitung im Sinne der DSGVO gilt jede “Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.” Kauft ein Kunde im Online-Shop eines Händlers ein, hat er nur ein Vertragsverhältnis mit dem Händler abgeschlossen. Nutzt ein Online-Händler nun eine Versandsoftware, so besteht wiederum ein Vertragsverhältnis zwischen dem Händler und der Versandsoftware. Der sogenannte Shipping Service Provider verarbeitet dabei die Kundendaten im Auftrag des Online-Händlers und damit im Auftrag des für die Daten seiner Kunden Verantwortlichen.

Aus diesem Grund muss nach Art. 28 DSGVO ein AV-Vertrag geschlossen werden.

Dieser AV-Vertrag regelt dann die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Dienstleister im Auftrag des Verantwortlichen. Dazu zählt unter anderem auch, dass “der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen”. Somit sicherst Du dich als Händler vertraglich ab, dass in Anspruch genommene Dienstleister die übermittelten Daten nicht zu anderem Zwecke verarbeiten oder nutzen.

Achte bei Deiner Dienstleisterauswahl also stets darauf, dass eine Vereinbarung zur Auftragsverarbeitung zur Verfügung gestellt und geschlossen wird. Im schlechtesten Falle drohen sonst empfindliche Strafen.

Weitere Artikel zum Thema

Artikel 13 und das neue Urheberrecht: Das müssen Shopbetreiber jetzt wissen

Geoblocking-Verordnung: Eine Chance für Shopbetreiber

Rechtssicherer Bestellabschluss - Amazon und die "Button-Lösung"