Ist der Google Consent Mode datenschutzkonform?
In diesem Rechtstipp geht es um den Google Consent Mode V2. Ist das Tracking ohne Cookies mit dem Google Consent Mode wirklich datenschutzkonform?
Durch die DSGVO rückt das Thema Datenschutz in den Fokus vieler Online-Händler. Dabei stellt sich die Frage: Brauchen Sie nach der DSGVO bei einem „Outsourcing“ von Datenverarbeitungen die Einwilligung Ihrer Kunden? Handelt es sich hierbei um eine Datenweitergabe? Um zu vermeiden, dass für eine Vielzahl von Datenverarbeitungen, die Sie durch Dritte vornehmen lassen, Einwilligungen eingeholt werden müssen, gibt es die sogenannte Auftragsverarbeitung. Auf die Frage, wann Sie diese nutzen können und was das für Sie als Händler bedeutet, möchten wir Ihnen im Folgenden eine erste verständliche und praxisnahe Antwort geben.
Was ist eine Auftragsverarbeitung bzw. ein Auftragsverarbeiter?
Das Thema der Auftragsverarbeitung (AV) ist eigentlich nicht neu und im deutschen Recht bereits in § 11 BDSG geregelt. Dabei geht es um den Fall, dass dritte Personen oder Stellen für den Händler in dessen Auftrag und nach dessen Weisungen personenbezogene Daten erheben oder verarbeiten.
Ab dem 25. Mai wird diese Konstellation in Art. 28 DSGVO geregelt, welcher § 11 BDSG ablösen wird. Dieser enthält eine ganze Palette von Regelungen für den Fall, dass ein Online-Händler (= der Verantwortliche) eine Datenverarbeitung in Auftrag geben möchte.
Was bewirkt eine Auftragsverarbeitung?
Die Weitergabe personenbezogener Daten an einen Dritten bedarf grundsätzlich einer Rechtfertigung, d.h. entweder einer gesetzlichen Grundlage oder einer Einwilligung des Betroffenen. Eine Ausnahme bildet die Auftragsverarbeitung: Hier ist das Unternehmen, welches Daten im Auftrag verarbeitet, nicht als Dritter zu werten, da eine Datenverarbeitung ausschließlich nach Weisung des Verantwortlichen vorgenommen wird.
Diese Weisungsgebundenheit ist deswegen ausschlaggebend, weil der Auftragsverarbeiter in diesem Fall als verlängerter Arm des Verantwortlichen im Verkehr auftritt und Letzterer deswegen weiterhin die Verantwortung für den Umgang mit den personenbezogenen Daten trägt - schließlich verbleibt der Umgang in seinem Einflussbereich.
Was gilt für den Online-Händler bei der Auswahl des Auftragsverarbeiters?
Gemäß Art. 28 Abs. 1 DSGVO darf sich der Verantwortliche nur solcher Auftragsverarbeiter bedienen, die in organisatorischer und technischer Hinsicht hinreichend garantieren können, dass sie die Datenverarbeitung im Einklang mit den Erfordernissen der Verordnung durchführen können.
Wie ist der Auftrag zu erteilen?
Laut Art. 28 Abs. 3 DSGVO muss die Datenverarbeitung durch den Beauftragten grundsätzlich aufgrund eines Vertrages erfolgen. In diesem sollten insbesondere folgende Punkte geregelt werden:
-
Gegenstand und Dauer der Verarbeitung
-
Art und Zweck der Verarbeitung
-
Art der personenbezogenen Daten
-
Kategorien von betroffenen Personen
-
Rechte und Pflichten des Verantwortlichen
Zu den Rechten und Pflichten des Verantwortlichen enthält Art. 28 DSGVO weitere explizite Angaben. Neu ist, dass die Vorschrift abschließende Regelungen zur Weisungsbefugnis und der Beauftragung von Unterauftragnehmern trifft. Anders als noch im BDSG ist so beispielsweise vorgeschrieben, dass der Einsatz von neuen Unterauftragnehmern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig ist.
Übrigens: Anders als das BDSG sieht die DSGVO vor, dass ein AV-Vertrag neben der Schriftform auch in einem „elektronischen Format“ wie z.B. per E-Mail geschlossen werden kann (Art. 28 Abs. 9 DSGVO).
Mit wem muss also einen AV-Vertrag abgeschlossen werden?
In dieser Frage liegt der eigentliche Knackpunkt. Eine Weitergabe personenbezogener Daten kann nicht „einfach so“ erfolgen, sondern bedarf einer Rechtsgrundlage. Wann diese Rechtsgrundlage in einem AV-Vertrag bestehen muss und wann nicht, kann nicht pauschal beantwortet werden.
Wir möchten Ihnen aber ein paar der häufigsten Fälle auflisten:
Webhosting: Mit Hosting-Anbietern, auf deren Servern der Webshop liegt, ist ein AV-Vertrag zu schließen, da diese Zugriff auf die personenbezogenen Daten haben. Dies kann neben externen Servern auch Shopsoftware-Systeme betreffen.
Webdesign: Auch Agenturen werden im Rahmen ihrer Arbeit regelmäßig Zugriff auf Kundendaten haben, sind aber weisungsgebunden und agieren als verlängerter Arm.
Webanalyse-Tools: Auch der Einsatz von Webanalyse-Tools bedarf in aller Regel des Abschlusses eines AV-Vertrages. Dies betrifft insbesondere Google Analytics (übrigens auch schon nach aktueller Rechtslage).
Mailing-Dienstleister, Callcenter:Werden Ihre Newsletter über einen externen Dienstleister versendet oder wird auf ein externes Callcenter zurückgegriffen, handelt es sich in aller Regel um eine Datenverarbeitung im Auftrag, sofern hier keine wesentlichen Entscheidungsspielräume beim Dienstleister liegen.
[UPDATE 28.05.2018] Unser Tipp: Eine Auflistung der meisten Anbieter finden Sie hier: https://www.blogmojo.de/av-vertraege/
Was ist mit Versanddienstleistern?
In den Fällen, in denen die Weitergabe der Daten zur Vertragserfüllung erforderlich oder von der ursprünglichen Einwilligung des Betroffenen gedeckt ist (Art. 6 Abs. 1 S. 1 lit. a bis c DSGVO), bedarf es keines zusätzlichen AV-Vertrages. Dies ist z.B. im Online-Handel der Fall, wo die Lieferung des gekauften Artikels eine Weitergabe von Namen und Anschrift bedarf. Hier dürfen personenbezogene Daten an den Versanddienstleister weitergegeben werden, damit der Vertrag überhaupt erfüllt werden kann. Auch beim Dropshipping handelt es sich um eine Datenweitergabe zur Vertragserfüllung.
Bei Zahlungsdienstleistern ist abzugrenzen, ob sie die Dienstleistung für und auf Weisung des Online-Händlers ausführen (AV-Vertrag erforderlich) oder eine eigenständige Vereinbarung mit den Kunden treffen (z.B. PayPal – Kunde zahlt an Dienstleister, Dienstleister zahlt an Händler = AV-Vertrag nicht erforderlich).
Wann werden Daten vom Dritten in dessen eigener Verantwortung verarbeitet?
Es existieren auch viele Fälle, in denen der Dritte die Daten weisungsunabhängig verarbeitet, also im eigenen Tätigkeits- und Einflussbereich handelt. Zum einen gilt das für die Betreiber von Online-Marktplätzen wie eBay oder Amazon, die selbständig die Daten der Kunden verarbeiten und mit diesen eigene Verträge schließen. Zum anderen aber auch für in Anspruch genommene fremde Fachleistungen, die eine bestimmte Datenweitergabe erfordern, wie diejenigen eines Rechtsanwalts oder eines Steuerberaters (Berufsgeheimnisträger) sowie eines Bankinstitutes für Geldtransfers. Hier ist ebenfalls kein AV-Vertrag erforderlich.
Unser Tipp
Das Thema Auftragsverarbeitung ist nicht neu, durch die DSGVO aber in den Fokus vieler Händler gerückt. Die Frage, mit wem ein Vertrag zur Auftragsverarbeitung geschlossen werden muss, lässt sich nicht immer pauschal beantworten. Werfen Sie daher einen Blick auf die von Ihnen eingesetzten Dienstleister und identifizieren Sie Unternehmen, welche Daten im Auftrag verarbeiten. Erfahrungsgemäß stellen große Dienstleister eigene AV-Verträge zur Verfügung. Wenn Sie schon AV-Verträge mit Dienstleistern geschlossen haben, achten Sie darauf, dass diese den Vorgaben der DSGVO genügen.
Über die Autorin
Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.
