Gewährleistung: Reparieren oder ersetzen – wer entscheidet?
Online-Händler*innen kennen es: Eine Reklamation trudelt ein – und plötzlich stellt sich die Frage: Muss ich reparieren oder ein neues Produkt liefern?
Die DSGVO schreibt dem Online-Händler zahlreiche Pflichten gegenüber seinen Kunden vor, deren Daten er erhebt und verarbeitet/verarbeiten lässt. Damit die Einhaltung dieser Pflichten für den Händler nachweisbar und für die zuständigen Aufsichtsbehörden überprüfbar ist, wird in der DSGVO die Führung eines Verzeichnisses der Verarbeitungstätigkeiten vorgesehen (Art. 30 DSGVO).
Was ist das Verzeichnis genau?
Die DSGVO stellt keine konkrete Anforderung an die Form und die Struktur des Verzeichnisses. Dieses muss lediglich gem. Art. 30 Abs. 3 DSGVO schriftlich oder in elektronischer Form geführt werden.
Auf jeden Fall soll dem Verzeichnis unmissverständlich zu entnehmen sein, welche Verarbeitungstätigkeiten der Händler in Bezug auf die personenbezogenen Daten seiner Kunden selbst oder mittels eines weisungsgebundenen Auftragsverarbeiters ausführt. Diese Verarbeitungstätigkeiten können z.B. in der Erhebung und (Übertragung zur) Bearbeitung der Daten zu Werbungszwecken, deren Auswertung zur Webanalyse, der Übertragung an Newsletter-Dienstleister usw. bestehen. Im Verzeichnis muss also ab der Erhebung jeder Umgang mit personenbezogenen Daten vermerkt und verfolgbar sein.
Es dient letztendlich der Überprüfbarkeit der Einhaltung der Datenschutzgrundsätze gemäß DSGVO im eigenen Unternehmen (für die datenschutzrechtlichen Grundsätze, siehe https://shop.trustedshops.com/de/blog/detail/sCategory/17/blogArticle/266).
Wer muss ein solches Verzeichnis führen?
Die DSGVO bezweckt eine ausnahmslose Durchsetzbarkeit der Auskunftsrechte und versucht deswegen, alle möglichen Lücken, die das verhindern können, zu schließen. So wird die Pflicht zur Verzeichnisführung laut Art. 30 DSGVO nicht nur dem Online-Händler (dem Verantwortlichen) und ggf. dessen Vertreter, sondern auch dem Auftragsverarbeiter und ggf. dessen Vertreter auferlegt. Jeder hat also eigenverantwortlich ein Verzeichnis zu führen.
Das Verzeichnis ist nicht nur für einen Online-Shop zu erstellen. Betreiben Sie mehrere Online-Shops bzw. verkaufen Sie zusätzlich noch auf weiteren Verkaufsplattformen? Dann ist auch nicht für jeden einzelnen Online-Shop oder Verkaufsplattform ein Verzeichnis anzulegen. Es ist ein Verzeichnis für die Gesamtheit aller Verarbeitungstätigkeiten im Unternehmen zu führen (z.B. Für Verarbeitungsprozesse in der Buchhaltung, Personalabteilung, usw.)
Was muss das Verzeichnis enthalten?
Die Angaben, die das Verzeichnis enthalten muss, unterscheiden sich leicht zwischen Verantwortlichem und Auftragsverarbeiter. Im vorliegenden Beitrag behandeln wir das ausführlichere und für Sie als Online-Händler relevantere Verzeichnis des Verantwortlichen.
Art. 30 Abs. 1 DSGVO bestimmt, dass das durch den Verantwortlichen oder dessen Vertreter geführte Verzeichnis folgende Angaben enthalten muss:
- Namen und Kontaktdaten des/der Verantwortlichen, seines/ihres Vertreters und ggf. eines etwaigen Datenschutzbeauftragten: Dies dient der Identifizierung des Verantwortlichen bzw. seines Ansprechpartners.
- den Verarbeitungszweck: Wofür werden personenbezogene Daten erhoben und verarbeitet? Die Auflistung ermöglicht eine Überprüfung, ob der jeweilige Verarbeitungsvorgang auch rechtmäßig, d.h. auf einer Rechtsgrundlage beruht (z.B. Einwilligung). Beispielsweise zählt dazu die Verarbeitung von personenbezogenen Daten zum Zwecke der Werbung, Statistik, Webanalyse etc.
- eine Beschreibung der Kategorien betroffener Personen und personenbezogener Daten: Betroffene Personen sind z.B. Kunden oder Mitarbeiter. Personenbezogene Daten sind im Unternehmen z.B. die Kontaktdaten der Kunden). Eine abstrakte Beschreibung der Kategorien ist dabei ausreichend.
- die Kategorien von Empfängern der Daten im In- und Ausland sowie in internationalen Organisationen: Für wen sind die erhobenen Daten bestimmt und wo befindet sich diese Person? Darunter fallen z.B. Dienstleister im Rahmen einer Auftragsverarbeitung.
- ggf. Datenübermittlungen an ein Drittland oder eine internationale Organisation unter Angabe des Landes/der Organisation sowie Dokumentierung geeigneter Garantien bei Datenübermittlungen gem. Art. 49 Abs. 1 Unterabsatz. 2 DSGVO:
Wird das Drittland benannt, in das personenbezogene Daten übermittelt werden? Werden etwaige Garantien angegeben, die ein angemessenes Datenschutzniveau gewährleisten, sofern kein Angemessenheitsbeschlusses der Europäischen Kommission vorliegt? Weitere Einzelheiten dazu finden Sie hier.
- die vorgesehenen Löschungsfristen der Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Verarbeitungssicherheit gem. Art. 32 Abs. 1 DSGVO:
Werden Löschfristen genannt? Als Löschfristen zählen z.B. „Nach Widerruf der Einwilligung“ oder „Nach Ende der Nutzung und Zweckfortfall“. Werden für die jeweiligen Verarbeitungstätigkeiten die technisch organisatorischen Maßnahmen (TOM) aufgelistet? Darunter fallen u.a. die verwendete Verschlüsselungssoftware, die Verarbeitung von pseudonymisierten und/oder anonymisierten Daten sowie Verträge zur Auftragsdatenverarbeitung.
Der Begriff der Verarbeitungstätigkeit ist in der DSGVO nicht näher bestimmt. Lediglich in Art. 4 Nr. 2 DSGVO wird der Begriff Verarbeitung definiert. Danach versteht man unter […]
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Die Verarbeitungstätigkeit kann daher als eine Bündelung von einzelnen Verarbeitungsschritten verstanden werden, die den gleichen Zweck verfolgen.
Die einzelnen Verarbeitungsprozesse sollten bei der Erstellung eines Verzeichnisses nicht wahllos ohne Zusammenhang aufgeführt werden. Es empfiehlt sich, die Verarbeitungsschritte transparent und übersichtlich für die einzelnen Abteilungen/Bereiche des Unternehmens zusammenzufassen.
Halten Sie das Verzeichnis außerdem "Up to Date": Kommen neue Verarbeitungsprozesse im Unternehmen hinzu, ist das Verzeichnis zu aktualisieren. Dabei sollte bei Änderungen immer eine Sicherungskopie des vorherigen Verzeichnisstands vorgenommen werden.
Wem muss das Verzeichnis vorgelegt werden?
Die DSGVO sieht nicht vor, dass das Verzeichnis selbst dem Betroffenen vorgelegt wird.
Eine Verpflichtung zur Darstellung im Online-Shop (z.B. innerhalb der Datenschutzerklärung) oder der Gewährung von Einsicht gegenüber Dritten (z.B. Kunden, Mitbewerber) besteht nicht.
Art. 30 Abs. 4 DSGVO verpflichtet den Verantwortlichen allerdings, das Verzeichnis der Aufsichtsbehörde auf ihre Anfrage hin zur Verfügung zu stellen, also genau wie es geführt wird. Dies dient der einfacheren und schnelleren Kontrolle der Verarbeitungstätigkeiten durch die Aufsichtsbehörde und somit schließlich der effektiven Durchsetzbarkeit der DSGVO.
Gibt es Ausnahmen von der Verzeichnispflicht?
Art. 30 Abs. 5 DSGVO befreit kleinere Unternehmen und Einrichtungen (mit weniger als 250 Mitarbeitern) grundsätzlich von der Verzeichnisführungspflicht bei der Datenerhebung- und Verarbeitung. Dies gilt jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nicht nur gelegentlich (sondern regelmäßig) erfolgt oder es sich um eine Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) oder personenbezogener Daten über Verurteilungen und Straftaten (Art. 10 DSGVO) handelt. In einem Online-Shop dürften letztere zwei Fälle seltener vorkommen (wenn auch nicht komplett auszuschließen). Stattdessen wird üblicherweise eine regelmäßige Datenverarbeitung von Kundendaten stattfinden, die zudem häufig ein starkes Eingriffspotenzial in Bezug auf Rechte und Freiheiten der Betroffenen birgt (Offenlegung von Namen, Anschriften, Telefonnummern usw.). Im Endeffekt trifft die Verzeichnispflicht also auch die kleinen Online-Händler, die Kundendaten verarbeiten (lassen).
Unser Tipp
Überprüfen Sie bereits im Vorfeld, welche (oder ob alle) der vorgeschriebenen Angaben in ihrem Verzeichnis enthalten sein müssen und sammeln Sie die entsprechenden Informationen. Anhand dieser können Sie sodann ein Verzeichnis erstellen. Unser DSGVO Manager bietet Ihnen den technischen Rahmen, in übersichtlicher und transparenter Weise das Verzeichnis anzulegen. Bereits vorausgefüllte Muster für Verarbeitungstätigkeiten (z.B. Newsletterversand, Tracking-Tools) runden das Ganze ab. Anhand dieser können Sie bereits jetzt ein Verzeichnis erstellen und schon im Voraus anfangen zu führen. So ersparen Sie sich den Stress, dies in aller Eile erst nach dem Inkrafttreten der DSGVO tun zu müssen.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
10.05.18
