Datenschutz (DSGVO) und Shopware Dienstleister - Was Du wissen musst

Wir sind Shopware Partner und Full Service Agentur, bieten individuelle Shop-, Online Marketing Lösungen, Plugins und Themes etc. an. Letztere zwei Punkte kann man im Shopware Store erwerben und den Support gibts meist dazu.

Wenn ein Shopbetreiber dann mal nicht weiter weiß, ein Problem mit dem Plugin/Theme hat oder etwas schief läuft, stehen wir mit Rat und Tat zur Seite.

(keine Sorge, das soll hier keine Dauerwerbesendung werden)

Um aber helfen zu können, brauchen wir zu 98 % die Zugangsdaten vom Shopware Shop, FTP Server und/oder den SSH Zugang.

Und da tun sich seit Mai 2018 einfach ein paar Kunden schwer, nennen wir das Kind beim Namen.

Und das kann ich auch vollkommen verstehen, denn die DSGVO (Datenschutzgrundverodnung) hat viele verunsichert, darunter auch viele Onlineshopbetreiber.

Oft bekommen wir die Antwort “Ich möchte Ihnen wegen dem Datenschutz nur sehr ungern die Zugangsdaten zu meinem Shop geben”, wenn wir nach diesen fragen, um einen Bug zu fixen oder unseren Kunden zu helfen. Aber damit ist keinem geholfen.

Für uns als Dienstleister ist es dann oft nicht leicht unseren Kunden das Gefühl von Sicherheit zu geben, was sie gerne hätten. Zu groß ist die Angst davor etwas falsch zu machen, eine Abstrafung zu bekommen und im schlimmsten Fall sogar… sein Geschäft deswegen sogar aufzugeben. Unwissenheit und Informationsüberfluss sorgen eher für Nebel, statt für Klarheit.

Das möchte ich aber mit Hilfe dieses Blogartikels gern ändern und quasi den Nebelscheinwerfer anschmeißen. Ist die Lage denn wirklich so prekär?

(...)

Was ich an dieser Stelle aber zuerst erwähnen möchte, weil ich es für sehr wichtig halte und weil ich glaube, dass es vielen nicht bewusst ist, ist,

dass es laut Datenschutzgrundverordnung NICHT verboten ist, die Zugangsdaten zu seinem System einem IT-Dienstleister zu geben, auch wenn dort personenbezogene Daten gespeichert sind.

Denn wie schon oben zitiert, sieht es sehr oft so aus, als hätten viele Shopbetreiber genau davor angst. Unbegründet.

So - da das nun geklärt ist, machen wir einmal weiter…:

Wie das BSDG die Auftragsverarbeitung bisher behandelte

“Damals” stand im § 11 BDSG, dass der Auftraggeber mit dem Auftragnehmer, der in seinem Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt, eine Vereinbarung zur Auftragsverarbeitung abzuschließen ist. Diese wurde auch ADV genannt.

Nach § 11 Absatz 5 BDSG galt dies auch für die Fälle, in denen der Dienstleister lediglich mit der Prüfung/Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wie z. B. Servern, beauftragt wurde und dabei Zugriff auf pers. bez. Daten nicht ausgeschlossen werden konnten.

Auch wenn der Dienstleister meist kein Interesse an den pers. bez. Daten hatte, weil er diese gar nicht brauchte (was heute nicht anders ist), war ein ADV abzuschließen.

Am 25.05.2018 wurde das BDSG dann durch die DSGVO abgelöst

Und wie sieht es jetzt aus? Der Vertrag zur Auftragsverarbeitung kommt zum Tragen. Aber wann braucht man den?
Nun, die Frage ist tatsächlich noch umstritten und die Rechtslage noch nicht eindeutig - auch, wenn schon knapp ein Jahr vergangen ist. 

Fakt ist jedoch: Die DSGVO enthält im Gegensatz zum BDSG keine Sonderregelung für die Wartung oder Prüfung von automatischen Verfahren.

Klartext: In der DSGVO gibts keinen Paragraphen, der eine eindeutige Rechtsprechung zu diesem Thema enthält. Es gibt lediglich Paragraphen die das Thema “umschreiben”.

Der Unterschied zum BDSG ist trotzdem klar, denn im Gegensatz zur DSGVO war hier schon für das Vorliegen einer ADV ausreichend, wenn die reine Möglichkeit der Kenntnisnahme personenbezogener Daten vorlag.

Was seit dem 25.05.2018 nicht mehr so ist - jetzt muss abgewogen werden, ob eine Datenverarbeitung vorliegt oder nicht.

Was sind personenbezogene Daten?

Klären wir vielleicht an dieser Stelle nochmal die Frage, was eine Verarbeitung pers. bez. Daten eigentlich ist.

Nach Artikel 4 Nr. 2 der DSGVO ist eine Verarbeitung von pers. bez. Daten:

“... ein mit oder ohne Hilfe automatisiertes Verfahren, ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

• das Erheben,
• das Erfassen,
• die Organisation,
• das Ordnen,
• die Speicherung,
• die Anpassung oder Veränderung,
• das Auslesen,
• das Abfragen,
• die Verwendung,
• die Offenlegung durch Übermittlung,
• Verbreitung oder eine andere Form der Bereitstellung,
• den Abgleich oder die Verknüpfung,
• die Einschränkung,
• das Löschen oder die Vernichtung.”

Wenn diese von einem Dritten, wie einem IT-Dienstleister, aktiv verarbeitet werden, dann ist ein Vertrag zur Auftragsverarbeitung von Nöten.

Definition: Vertrag zur Auftragsverarbeitung

“Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt.”, sagt die activeMind.AG. Korrekt.

Und…

Wann werden personenbezogene Daten verarbeitet?

Die Meinungen spalten sich.

So sagt die Datenschutzkonferenz der unabhängigen Datenschutzbehörten des Bundes und der Länder in ihrem Kurzpapier Nr. 13 zur Auftragsverarbeitung nach Artikel 28 DSGVO:

“Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

Der Branchenverband der deutschen Informations- und Telekommunikationsbranche, Bitkom, sagt aber das Gegenteil:

“Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt. Es kann zwar nicht ausgeschlossen werden, dass durch die Systemprüfung auch personenbezogene Daten durch den IT-Dienstleister zur Kenntnis genommen werden, nach DS-GVO müssen aber deswegen keine den ADV-Vorgaben entsprechende Regelungen wie nach § 11 Abs. 5 BDSG geschlossen werden. Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 festgelegten Pflichten des Verantwortlichen angemessen geschützt sind. Vorsorglich sollte in solchen Konstellationen ggf. eine Verschwiegenheitsverpflichtung vereinbart werden …
Im Rahmen der Dienstleistungserbringung muss darauf geachtet werden, dass der Rahmen der Tätigkeiten Wartung oder Prüfung nicht verlassen wird.”

Mh.

Ich sehe es so wie Lissner im Tagungsband der Herbstakademie der DSRI 2014, 401 (414):
“... Die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen zielt nicht auf eine “Datenverarbeitung” ab - die Möglichkeit, Daten zur Kenntnis zu nehmen, ist vielmehr nur ein - nicht auszuschließendes - “Beiwerk” ...”

Denn seien wir doch mal ehrlich: Wäre es noch wie zu BDSG Zeiten, wäre der Punkt/Paragraph doch gleich geblieben und hätte in die DSGVO übernommen werden können.

Ist er aber nicht. Die Zeile wurde, wie man so schön sagt, freigelassen. Warum? Weil jeder Fall, jedes Anliegen des Kunden so vielfältig und unterschiedlich ist, wie der Fingerabdruck jedes einzelnen Menschen.

Es gibt keine einheitliche Lösung dafür! Es gibt Fälle, da braucht man einen Vertrag zur Auftragsverarbeitung und es gibt Fälle, da braucht man ihn nicht.

(...)

Und nun?

Ich finde, dass es Sascha Kremer, Fachanwalt für IT Recht in seinem Webinar zum Thema am 16.04.2018 sehr gut beschrieben hat!

Wir behandelten die Frage: “Was muss man als IT-Dienstleister machen, wenn man Kundenshops pflegt oder muss sich der Shopbetreiber um alles kümmern?”

Seine Antwort: “Es kommt darauf an.”

Ja, wirklich. “Es kommt darauf an.” - Wie kann das jetzt eine gute Antwort sein? Worauf kommt es denn an?

Ja, moment. Ich erkläre es: Auf den Fall und Sachverhalt kommt es an. Was gemacht wird, was der Dienstleister machen soll.
Ja, es stimmt: Leider gibt es keinen heiligen Gral was das angeht, keinen roten Faden und keinen Masterkey. Man muss wirklich Fall für Fall abwägen. Aber grundsätzlich kann man folgendes sagen:

Normalerweise ist der Shopbetreiber im Datenschutz für alles verantwortlich, weil er derjenige ist, der die Datenverarbeitung beherrscht.

Der IT-Dienstleister ist dafür da, dass der Shop technisch funktioniert. Er könnte höchstens mal über pers. bez. Daten, wie Kundendaten, “stolpern”. Was nicht heißt, dass er sie verarbeitet, ganz im Gegenteil.
Daher ist er selbst eigentlich nur dafür verantwortlich, dass er keine Kundendaten bei seiner technischen Arbeit am Shop löscht und sorgsam mit dem System des Kunden umgeht, hat aber im übrigen keine Pflichten.

HIER der Link zum Video des Webinars mit Sascha Kremer und hier entlang zu DSGVO und Shopware - Das Wichtigste im Überblick.

Was wir daraus schließen - Vertrag zur Auftragsverarbeitung ja oder nein

So, wie wir sehen: Sehen wir eigentlich nichts. Es gibt hier (noch) kein konkretes richtig oder falsch, kein schwarz oder weiß.

Fakt ist, ein Vertrag zur Auftragsverarbeitung ist eigentlich nicht von Nöten, wenn man sich an den Support wendet - sagen die einen (auch wir), die anderen sagen: Man braucht einen. Es ist bisher noch ein ziemliches hickhack.

Wenn wir uns z. B. um die technische Funktionalität eines Plugins in Eurem Onlineshop kümmern, verarbeiten wir keine personenbezogenen Daten → Hier erstellen wir dann auch keinen AV-Vertrag.

Was Ihr aber auch wissen solltet: Wenn ein Kunde einen Vertrag zur Auftragsverarbeitung anfordert, einfach um sich besser und sicherer zu fühlen, händigen wir diesen selbstverständlich gerne aus.

Aber bitte lasst Euch durch die DSGVO nicht so arg verunsichern. Versteht mich nicht falsch: Ich habe auch vor dem Ganzen sehr, sehr, sehr viel Respekt!
Aber ganz ehrlich: Es hat sich kaum was verändert, viele Dinge die erst mit der DSGVO bekannt(er) wurden, waren schon vorher vom Gesetz her Pflicht.

Was viele verunsichert ist der Satz:

“...Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.”

und wahrscheinlich die ganze Panikmache, dass sich die Anwälte schon die Finger leckten, voller Vorfreude auf die Abmahnwelle, die einen ab dem 25.05.2018 wegspülen sollte, wie ein Tsunami (ist übrigens nichts passiert, habt ihr das gemerkt?).

Macht Euch nicht verrückt - nehmt das Thema ernst, haltet Euch ans Gesetz und Euch kann nichts passieren.