Was bedeutet das im Detail für den Shopbetreiber? Bei einer Auftragsdatenverarbeitung handelt es sich um eine schriftliche Vereinbarung, die zwischen Auftraggeber und Auftragnehmer geschlossen wird. In dieser ADV, eine Abkürzung für Auftragsdatenverarbeitung (laut Gesetz: “§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag“), werden unter anderem der Zweck, die Art der Daten, die Art der Vernichtung, sowie die technisch und organisatorischen Maßnahmen beim Auftragnehmer beschrieben. Diese ADV wird separat vom eigentlichen Vertrag geschlossen. In der ADV ist lediglich die datenschutzrechtliche Sichtweise vertreten.
Wer muss nun als Shopbetreiber eine ADV mit wem schließen? Sie muss mit jedem Auftragnehmer geschlossen werden, der personenbezogene Daten für den Auftraggeber (Shopbetreiber) erhebt. Wobei der Gesetzgeber mit erheben vereinfacht erklärt die Verarbeitung meint. Wer also Arbeiten ausgliedert, beispielsweise den Shop bei einem Shop-Provider, einen Callcenter für die Bestellabwicklung beauftragt, einen Anbieter für die Zahlungsabwicklung, oder ein Logistikunternehmen, welches die Waren versendet, sollte dieses Thema unbedingt vorab klären. Die Erfahrung hat gezeigt, dass wenn zuerst ein Vertrag geschlossen wird, und im zweiten Schritt die ADV geschlossen werden soll, es schwierig wird, diese zu erhalten.
In der Praxis tun sich einige Auftragnehmer schwer, eine ADV mit dem Auftraggeber abzuschließen. Sei es, weil Sie eine andere Meinung zur Erhebung der peronenbezogenen Daten haben, oder weil sie möglicherweise keinen Datenschutzbeauftragten zur Verfügung haben, der Ihnen bei dieser Angelegenheit beratend zu Seite steht. Es kann aber auch sein, dass sich die Rechenzentren der Shop-Provider oder der Cloudanbieter nicht auf deutschem Boden befinden. Dadurch können für den Auftragnehmer Gesetze gelten, die nicht dem deutschen Bundesdatenschutzgesetz entsprechen.
Hier entsteht nun die Möglichkeit, einen Lieferanten, der personenbezogene Daten im Namen des Shopbetreibers erhebt, nach seinen datenschutzrechtlichen Auffassungen zu klassifizieren. Ist also beispielsweise der Shop-Provider, oder der Cloudanbieter nicht bereit, eine ADV mit dem Shopbetreiber zu schließen, obwohl personenbezogene Daten verarbeitet werden, sollte der Shopbetreiber Rückfragen stellen: Warum kann keine ADV vereinbart werden? Wer ist der Datenschutzbeauftragte des Auftragnehmers? Wie sind die technisch und organisatorischen Maßnahmen des Auftragnehmers dokumentiert und realisiert?
Möchte man jedoch für sich und seine Kunden Transparenz schaffen, und beispielsweise bei Auskunftsersuchen seiner Kunden mitteilen können, wo welche Daten verarbeitet werden, empfiehlt es sich, eine ADV abzuschließen.
Leider ist das Schließen einer ADV zwischen Auftraggeber und Auftragnehmer, bei denen personenbezogene Daten im Auftrag verarbeitet werden kein Wunsch des Gesetzgebers oder eine Option, sondern eine Pflicht, deren Verletzung Strafen von bis zu 50.000,- EUR nach sich ziehen kann. Wobei die 50.000,- EUR nur die Spitze des Eisberges sind. Bei Datenschutzskandalen werden nicht nur Strafen verhängt. Es werden hier immer wieder die Rechte der Betroffenen verletzt. Ob Kreditkarten-Informationen geklaut werden, oder Adressen verkauft werden – der Shopbetreiber sollte sich vorab erkundigen, mit welchen Anbietern er zusammenarbeiten möchte.
Haben Sie Fragen zu diesem Thema oder benötigen Sie eine Datenschutzberatung als Shopbetreiber?
Der Autor Peter Suhling ist Fachexperte für Datenschutz und IT Sicherheit. Weitere Informationen erhalten Sie unter https://suhling.biz.