Gemeinsame Empfehlung der Verbände von Möbelindustrie und -handel zur DSGVO: BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND unterstützen im Schulterschluss ihre Mitgliedsunternehmen

Seit dem 25. Mai 2018 gilt in der Bundesrepublik die EU-Datenschutzgrundverordnung (DSGVO) unmittelbar gegenüber allen Unternehmen aus Industrie und Handel. Die Umsetzung dieser DSGVO insbesondere im Verhältnis zu Zulieferern und Kunden hat bei einer Reihe von Unternehmen zu erheblichen Irritationen geführt. Um den beteiligten Unternehmen aus Industrie und Handel eine gesetzeskonforme Umsetzung der DSGVO zu erleichtern, möchten BVDM, die Möbelverbände Herford, VDM und DER MITTELSTANDSVERBUND – ZGV mit einem gemeinsamen Rundschreiben einige grundsätzliche Hinweise zur Umsetzung der DSGVO durch Industrie und Handel geben.

Berlin, 23.07.2018 – Seit dem 25. Mai 2018 gilt in der Bundesrepublik die EU-Datenschutzgrundverordnung (DSGVO) unmittelbar gegenüber allen Unternehmen aus Industrie und Handel. Die Umsetzung dieser DSGVO insbesondere im Verhältnis zu Zulieferern und Kunden hat bei einer Reihe von Unternehmen zu erheblichen Irritationen geführt. Die Verbände von Industrie und Handel sehen sich daher zurzeit mit einer Vielzahl von Rückfragen zu Einzelfragen konfrontiert.

Um den beteiligten Unternehmen aus Industrie und Handel eine gesetzeskonforme Umsetzung der DSGVO zu erleichtern, möchten BVDM, die Möbelverbände Herford, VDM und DER MITTELSTANDSVERBUND – ZGV mit einem gemeinsamen Rundschreiben einige grundsätzliche Hinweise zur Umsetzung der DSGVO durch Industrie und Handel geben. Um den beteiligten Unternehmen aus Industrie und Handel eine gesetzeskonforme Umsetzung der DSGVO zu erleichtern, möchten BVDM, die Möbelverbände Herford, VDM und DER MITTELSTANDSVERBUND – ZGV mit einem gemeinsamen Rundschreiben einige grundsätzliche Hinweise zur Umsetzung der DSGVO durch Industrie und Handel geben.   

Die DSGVO differenziert auf der Ebene der datenschutzrechtlich Verpflichteten zwischen Verantwortlichen (d.h. Stellen, die über die Mittel und Zwecke einer Datenverarbeitung bestimmen), Auftragsverarbeitern (d.h. Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen, d.h. also rein weisungsgebunden verarbeiten) und gemeinsam Verantwortlichen (d.h. Stellen, die gemeinsam mit anderen Verantwortlichen über die Mittel und Zwecke einer Datenverarbeitung entscheiden). Insbesondere die Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern ist in der Praxis von großer Relevanz, da die DSGVO für diese beiden Funktionen unterschiedliche Rechte und Pflichten und damit auch unterschiedliche Haftungsrisiken vorsieht.

Im Einzelnen:

I.

In der unternehmerischen Praxis der Möbelbranche sind zwei Fälle von Dreiecksbeziehungen praktisch relevant, die sich datenschutzrechtlich wie folgt darstellen:

1. Der „Empfänger“ im Sinne der DSGVO, der personenbezogene Daten (Name, Adresse, E-Mail, Telefonnummer, Kundennummer etc.) erhält, wird für den Verantwortlichen nicht weisungsabhängig tätig, sondern erfüllt die ihm obliegenden Aufgaben selbständig, weisungsungebunden und eigenverantwortlich (insbes. mit Blick auf die Zwecke und einzusetzenden Mittel der Verarbeitung personenbezogener Daten). In diesem Fall ist der Empfänger für die Zulässigkeit der Verarbeitung personenbezogener Daten durch ihn selbst verantwortlich und muss den natürlichen Personen, deren personenbezogenen Daten er erhält, bestimmte datenschutzrechtliche Informationen bereitstellen.

Beispiele:

  • Einkaufsverband übermittelt Mitgliederliste an Hersteller/ Lieferantenpartner (Empfänger)
  • Einkaufsverband übermittelt Lieferantenliste an Mitglieder (Empfänger)
  • Händler/Einkaufsverband übermittelt Endkundendaten an Hersteller/ Lieferantenpartner (Empfänger)
2. Wird der Empfänger, dem personenbezogene Daten offengelegt werden,          aufgrund einer vertraglichen Vereinbarung mit dem Verantwortlichen                  weisungsabhängig („verlängerte Werkbank“) für den anderen tätig, liegt ein      Fall der Auftragsvereinbarung vor mit der Konsequenz, dass zur                        datenschutzkonformen Ausgestaltung dieses Rechtsverhältnisses eine sog.      Auftragsverarbeitungsvereinbarung (AVV) nach den Anforderungen des Art.      28 DSGVO zwischen den Beteiligten abzuschließen ist.

II.

In der unternehmerischen Praxis gibt es eine Reihe von Fällen, die klassische Formen der Auftragsverarbeitung sind und bei denen daher eine sogenannte AVV abzuschließen ist:

  • Ein solcher Fall liegt z.B. vor, wenn der Hersteller die Lagerhaltung einschließlich des Aufbringens der Ware zum Versand an einen Dienstleister ohne eigene Entscheidungskompetenzen hinsichtlich der Mittel und Zwecke der Datenverarbeitung auslagert. Dabei ist nicht maßgeblich, ob der Dienstleister die Ware an den Händler versendet oder direkt an den Endkunden.
  • Ebenfalls eine Auftragsverarbeitung liegt vor, wenn ein Händler einen Dienstleister mit dem Versand eines Kundenmailings oder der Administration einer Website beauftragt.

In diesen Fällen sind sich die Vertragsparteien einig, dass der Dritte weisungsgebunden tätig wird; daher liegt ein Fall der Auftragsverarbeitung vor. Die Überlassung personenbezogener Daten im Rahmen dieser Auftragsverarbeitung muss daher per AV-Vereinbarung geregelt werden.

Zum Inhalt der AV-Vereinbarung übersenden BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND – ZGV ein Muster.

Die AV-Vereinbarung stellt sicher, dass auch der Dritte, angewiesen durch den Auftraggeber, die Bestimmungen der DSGVO einhält.

In der Beziehung zwischen Industrie und Handel sind eine Reihe von anderen Fällen praktisch relevant, in denen in der Regel keine Auftragsverarbeitung liegen wird. Die aus der Sicht von BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND – ZGV wichtigsten Fälle werden nachfolgend im Einzelnen darstellen:

  1. ZR-Abwicklung

Im Bereich des Warengeschäfts von Einkaufsverbänden/Verbandgruppen z.B. im Zentralregulierungs- und Delkrederegeschäft oder im Zentralfakturierungsgeschäft wird in der Regel keine Auftragsverarbeitung liegen. Einkaufsverband bzw. Zentralregulierer werden insoweit nicht weisungsabhängig allein im Auftrag der Händler bzw. Vertragslieferanten tätig, sondern im Rahmen einer eigenen Zuständigkeit, die in dem im Dreiecksverhältnis Industrie- Handel- Zentralregulierer abgeschlossenen Zentralregulierungsvertrag geregelt ist. Der Einkaufsverband bzw. der Zentralregulierer haben ein eigenes Prüfungsrecht hinsichtlich der Voraussetzungen der Zentralregulierung und ihrer Umsetzung. Bei Übergabe von personenbezogenen Daten an den Einkaufsverband bzw. an den Zentralregulierer zur Abwicklung des Zentralregulierungs- und Delkrederegeschäfts ist daher keine AV-Vereinbarung notwendig; ausreichend ist eine Pflichtinformation, zu der wir im Abschluss dieses Schreibens Stellung nehmen werden.

Auch die Übermittlung von Mitgliederlisten an die Vertragslieferanten bzw. von Lieferantenlisten an die Mitglieder eines Einkaufsverbands (so diese überhaupt personenbezogene Daten enthalten) ändert an diesem Ergebnis nichts. Die Vertragslieferanten (bei einer Übermittlung der Mitgliederlisten durch den Einkaufsverband) bzw. die Mitglieder des Einkaufsverbands (bei einer Übermittlung der Lieferantenlisten durch den Einkaufsverband) werden nicht weisungsgebunden im Auftrag der Verbundgruppe tätig, sondern arbeiten für ihren ureigensten Zweck der Vertragserfüllung. Dies ist nach Auffassung von BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND – ZGV keine Auftragsverarbeitung im Sinne des Datenschutzrechts.

  1. Reklamationserledigung

Im Falle von Reklamationen durch den Endkunden gibt der Händler regelmäßig personenbezogene Daten an den Hersteller weiter mit der Aufforderung, die Reklamation zu erledigen. Auch hierhin liegt keine Auftragsverarbeitung, wenn der Hersteller die Voraussetzungen der Reklamation, also deren Berechtigung, im Einzelfall außerhalb eines Weisungsverhältnisses selbst überprüft und eigenständig entscheidet. Wenn der Hersteller z.B. die Reklamation für nicht berechtigt hält, ist er befugt, diese zurückzuweisen. Daher liegt auch in diesem Fall keine Auftragsverarbeitung vor, sodass auch hier keine AV-Vereinbarung notwendig ist, sondern lediglich die Verpflichtung besteht, den Endkunden, dessen personenbezogene Daten der Händler dem Hersteller übergeben hat, über die datenschutzrechtliche Behandlung seiner Daten zu informieren.

  1. Direktlieferung der Waren durch den Hersteller an den Endkunden

In einigen wenigen Fällen erfolgt die Versendung der Waren durch den Hersteller direkt an den Endkunden und nicht an den Händler. Auch in diesen Fällen liegt kein Fall von Weisungsgebundenheit und damit der Notwendigkeit einer Auftragsverarbeitung vor. Vielmehr ist der Hersteller berechtigt, auf der Grundlage der Vereinbarungen zwischen ihm und dem Händler Zeitpunkt, Ort und Modalitäten der Direktbelieferung des Endkunden eigenständig zu prüfen. Daher gilt auch hier das unter obigen Ziffern 1 und 2 Gesagte entsprechend. Auch hier liegt kein Fall der Auftragsverarbeitung vor. Vielmehr ist eine Pflichtinformation durch den Hersteller an den Endkunden über die datenschutzrechtliche Behandlung der ihm (dem Hersteller) durch den Händler übergebenen personenbezogenen Daten des Endkunden ausreichend.

In den vorgenannten Fällen ist, wie ausgeführt, eine Pflichtinformation erforderlich. Diese Pflichtinformation muss eine Reihe von zwingenden Bestandteilen beinhalten. Über die Inhalte einer solchen Pflichtinformation übersenden BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND – ZGV ein Muster mit entsprechenden Erläuterungen.

Die Erläuterungen geben Auskunft darüber, wie die betreffenden Bestandteile der Pflichtinformation auszufüllen sind.

Insgesamt kommen BVDM, Herforder Verbände, VDM und DER MITTELSTANDSVERBUND – ZGV übereinstimmend zu dem Ergebnis, dass im Verhältnis zwischen Industrie und Handel in aller Regel Fälle der Auftragsverarbeitung nicht gegeben sind. Der Grund liegt darin, dass weder Hersteller, noch Einkaufsverband oder Händler weisungsabhängig tätig werden, sondern vielmehr selbständig und autonom im Rahmen einer Eigenzuständigkeit, die in der Lieferbeziehung zwischen Industrie und Händler juristisch geregelt ist. Daher ist in all diesen Fällen eine Pflichtinformation durch den jeweils Verantwortlichen (Möbelhersteller, Einkaufsverband, Händler) ausreichend.

Für Rückfragen stehen wir jederzeit zur Verfügung.

Seite drucken

Zurück zur Übersicht