Datenschutz nach DSGVO für Amazon und eBay Verkäufer (auch FBA)

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Datenschutz ist normalerweise für Amazon oder eBay Verkäufer nicht wirklich ein Thema. Viele Verkäufer wollen schnell ihr Produkt auf den Markt bringen und möglichst lean arbeiten. Bisher konnte man sich als Amazon FBA Verkäufer oder auch wenn man selber versendet noch gut damit herausreden, dass die Bußgelder und damit das finanzielle Risiko eher gering ist. Dies hat sich mit der DSGVO geändert, denn dort sind Bußgelder vorgesehen, die jedem Unternehmer weh tun können.

Wer ist für den Datenschutz zuständig, Amazon oder der Verkäufer?

Diese Frage ist relativ schnell zu beantworten, in dem man ins Gesetz schaut (Art. 4 Nr. 1, 2, 7 DSGVO). Grob gesagt ist jeder nach DSGVO bzw. Neuem BDSG zum Datenschutz (und den damit einhergehenden Dokumentationspflichten verpflichtet, der regelmäßig personenbezogene Daten verarbeitet.

Da wohl jeder Amazon Verkäufer regelmäßig mit personenbezogenen Daten in Kontakt kommt (z.B. über Amazon Systemmails) und diese im Sinne des Gesetzes verarbeitet, ist die Sachlage klar. Beide sind verantwortlich und beide müssen die strengen Regeln der DSGVO einhalten. Selbiges gilt dann auch für Plattformen wie Hood, eBay oder ähnliche.

Einen ausführlichen Überblick darüber, ob eine Verarbeitung vorliegt, finden Sie hier.

Was sich für alle Amazon Verkäufer mit der DSGVO ändert

Grundsätzlich ändern sich vier Hauptpfeiler für Amazon Seller durch die DSGVO. Diese gab es natürlich schon vorher nach altem BDSG in der ein oder anderen Form, jedoch ist nun jedem Amazon Verkäufer geraten diese besser einzuhalten.

Dokumentationspflichten

Es ist nun von jedem Verarbeiter ein Verzeichnis von Verarbeitungstätigkeiten zu führen und aktuell zu halten. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen dokumentiert werden. Außerdem muss dokumentiert werden, ob eine Datenschutz-Folgenabschätzung notwendig ist und wenn nötig, muss diese auch durchgeführt werden. Diese Unterlagen müssen bereit liegen und bei Bedarf an die Behörden überspielbar sein. Die oft angeführte Beschränkung für Unternehmen mit weniger als 250 Mitarbeiter gilt nur, wenn personenbezogene Daten gelegentlich verarbeitet werden, was bei Amazon Verkäufern regelmäßig nicht der Fall sein wird. Darüber hinaus muss ein Datenschutzkonzept nachweisbar sein, also ein systematischer Ansatz nachgewiesen werden, wie Datenschutz im Unternehmen durchgeführt wird.

Auftragsdatenverarbeitung und Übertragung in Drittländer

Als Nutzer der Amazon Plattform als Seller wird man verschiedene Tools nutzen, die den Arbeitsalltag eines FBAlers erleichtern sollen. Von Buchhaltungssoftware bis hin zu Marketingtools. Was diese alle gemeinsam haben ist, dass Sie Daten der Kunden verarbeiten, sei es über die Amazon MWS Schnittstelle oder über einfache Exporte. Zum Teil werden dann auch Daten in ein sog. nicht sicheres Drittland übertragen, was eine weitere Besonderheit darstellt.

Für all diese Übertragungen muss idealerweise eine schriftliche Dokumentation (Auftragsverarbeitung), am besten ein Vertrag oder eine Garantie, ausgearbeitet werden, welcher ein gewisses Datenschutzniveau gewährleistet und die rechte betroffener würdigt.

Außerdem muss der Kunde darüber informiert werden, was mit seinen Daten geschieht und wohin sie abfließen. Insbesondere, wenn Sie in ein Drittland abfließen.

Kafeetasse vor Laptop.

Auskunftsrechte Betroffener

Betroffene sind alle Personen, deren Daten verarbeitet werden. Diese haben umfangreiche Rechte zur Löschung (“Right to be forgotten”) und Auskunftsrechte über die Speicherung und Verarbeitung von Daten. Kann ein Seller diesen Ersuchen nicht vollumfänglich nachkommen, kann die Behörde eingeschaltet werden, welche dann ein Verfahren eröffnen kann.

Sie sollten deswegen jedes Auskunftsersuchen zur Chefsache machen und klare Prozesse einrichten, die garantieren, dass die Anfrage beantwortet wird.

Hohe Bußgelder bei Verstößen

Die DSGVO sieht enorme Bußgelder bei Verstößen vor. Die maximale Geldbuße beträgt bis zu 20 Mio Euro oder bis zu 4% des gesamten weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr.

Natürlich ist nicht damit zu rechnen, dass dieses Maß direkt am Anfang ausgeschöpft wird, aber die Möglichkeit alleine kann beunruhigend wirken.

Wie es zur Verarbeitung persönlicher Daten beim Amazon Business kommt

Hier sollen einige Beispiele genannt werden, mit denen es schnell klar wird, wo personenbezogene Daten verarbeitet werden, selbst wenn man die Bestellungen nicht selber komplett abwickelt (z.B. bei Fulfillment by Amazon).

Amazon Helfer wie Amalytix, Marketplace Analytics oder andere, geben dem Amazon Verkäufer detaillierte Informationen, um sein Business besser zu verstehen. Dabei wird z.B. die MWS Schnittstelle aktiviert. Dabei wird dem Tool ein grundsätzlicher Vollzugang auf alle Daten gewährt, inkl. personenbezogenen Daten. Hier muss eine ADV abgeschlossen werden und diese Verarbeitung muss in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Diese Services sitzen in Deutschland, dort erfolgt also zumindest kein Export ins Ausland.

Andere Helfer, wie JungleScout oder Fetcher sind da schon problematischer. Diese verarbeiten Daten in den USA, die als nicht sicheres Drittland gelten. Dort müssen also besondere Verträge, sog. Standardvertragsklauseln abgeschlossen werden und Kunden müssen ggf. über den Abfluss ins Ausland informiert werden.

Darüber hinaus lagern viele Amazon Seller ihren Customer Support an externe Firmen aus. Auch hier werden persönliche Daten verarbeitet und es muss ein AV-Vertrag abgeschlossen werden.

Alle anderen Verarbeitungen, wie Finanzbuchhaltung, Cloud Services oder Rechnungserstellung (Amainvoice) stellen auch Datenschutzrelevante Vorgänge dar und müssen dokumentiert werden.

Es ist also klar: als Amazon Verkäufer verarbeitet man viele Daten. Diese Vorgänge müssen alle in einem Verfahrensverzeichnis dokumentiert werden. Darüber hinaus sind Sie dafür zuständig dem Recht auf Löschung auch bei den externen Dienstleistern nachzukommen.

Die gute Nachricht: viele Amazon Händler haben nicht viele Prozesse, haben also nicht viel zu dokumentieren

Der große Vorteil beim Handel über Amazon besteht darin, simple Prozesse zu haben. Dies kommt auch dem Datenschutz zu gute. Es müssen also nur wenige Prozesse dokumentiert werden und es ist relativ schnell zu ermitteln, wo von wem verarbeitet wird. Als Seller muss man nur wissen, wie ein Verzeichnis von Verarbeitungstätigkeiten auszusehen hat und wie man die TOM dokumentiert. Dazu gibt es viele Anleitungen im Internet. Wer das nicht will, hat zwei Optionen:

Fazit: auch als Amazon Verkäufer sollten Sie handeln!

Könnten Sie einer Behörde ein Verfahrensverzeichnis vorlegen oder darauf antworten, welche technischen und organisatorischen Maßnahmen sie zum Schutz der Daten Ihrer Betroffenen ergriffen haben? Haben Sie Auftragsdatenverarbeitungsvereinbarungen mit all Ihren Dienstleistern abgeschlossen? Können Sie einem Auskunftsersuchen eines Käufers nachkommen, wenn dieser wissen möchte, wohin seine Daten übertragen wurden, können Sie diese im Anschluss löschen?

Wenn Sie diese Fragen nicht mit “Ja” beantworten konnten, sollten Sie tätig werden und zumindest die Minimaldokumentation durchführen. Die Bußgelder sind hoch und die Verfahren können langwierig und teuer werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen:

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/art-6-dsgvo/

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-44-dsgvo/