Datenschutz nach DSGVO für Amazon und eBay Verkäufer (auch FBA)

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Datenschutz ist normalerweise für Amazon oder eBay Verkäufer nicht wirklich ein Thema. Viele Verkäufer wollen schnell ihr Produkt auf den Markt bringen und möglichst lean arbeiten. Bisher konnte man sich als Amazon FBA Verkäufer oder auch wenn man selber versendet noch gut damit herausreden, dass die Bußgelder und damit das finanzielle Risiko eher gering ist. Dies hat sich mit der DSGVO geändert, denn dort sind Bußgelder vorgesehen, die jedem Unternehmer weh tun können.

Wer ist für den Datenschutz zuständig, Amazon oder der Verkäufer?

Diese Frage ist relativ schnell zu beantworten, in dem man ins Gesetz schaut (Art. 4 Nr. 1, 2, 7 DSGVO). Grob gesagt ist jeder nach Datenschutz-Grundverordnung bzw. Neuem BDSG zum Datenschutz (und den damit einhergehenden Dokumentationspflichten verpflichtet, der regelmäßig personenbezogene Daten verarbeitet.

Da wohl jeder Amazon Verkäufer regelmäßig mit personenbezogenen Daten in Kontakt kommt (z.B. über Amazon Systemmails) und diese im Sinne des Gesetzes verarbeitet, ist die Sachlage klar. Beide sind verantwortlich und beide müssen die strengen Regeln der Datenschutzgesetzgebung einhalten. Selbiges gilt dann auch für Plattformen wie Hood, eBay oder ähnliche.

Einen ausführlichen Überblick darüber, ob eine Verarbeitung vorliegt, finden Sie hier.

Was sich für alle Amazon Verkäufer mit der DSGVO ändert

Grundsätzlich ändern sich vier Hauptpfeiler für Amazon Seller durch die EU-DSGVO. Diese gab es natürlich schon vorher nach altem BDSG in der ein oder anderen Form, jedoch ist nun jedem Amazon Verkäufer geraten diese besser einzuhalten.

Dokumentationspflichten

Es ist nun von jedem Verarbeiter ein Verzeichnis von Verarbeitungstätigkeiten zu führen und aktuell zu halten. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen dokumentiert werden. Außerdem muss dokumentiert werden, ob eine Datenschutz-Folgenabschätzung notwendig ist und wenn nötig, muss diese auch durchgeführt werden. Diese Unterlagen müssen bereit liegen und bei Bedarf an die Behörden überspielbar sein. Die oft angeführte Beschränkung für Unternehmen mit weniger als 250 Mitarbeiter gilt nur, wenn personenbezogene Daten gelegentlich verarbeitet werden, was bei Amazon Verkäufern regelmäßig nicht der Fall sein wird. Darüber hinaus muss ein Datenschutzkonzept nachweisbar sein, also ein systematischer Ansatz nachgewiesen werden, wie Datenschutz im Unternehmen durchgeführt wird.

Auftragsverarbeitung und Übertragung in Drittländer

Als Nutzer der Amazon Plattform als Seller wird man verschiedene Tools nutzen, die den Arbeitsalltag eines FBAlers erleichtern sollen. Von Buchhaltungssoftware bis hin zu Marketingtools. Was diese alle gemeinsam haben ist, dass Sie Daten der Kunden verarbeiten, sei es über die Amazon MWS Schnittstelle oder über einfache Exporte. Zum Teil werden dann auch Daten in ein sog. nicht sicheres Drittland übertragen, was eine weitere Besonderheit darstellt.

Für all diese Übertragungen muss idealerweise eine schriftliche Dokumentation (Auftragsverarbeitung), am besten ein Vertrag oder eine Garantie, ausgearbeitet werden, welcher ein gewisses Datenschutzniveau gewährleistet und die rechte Betroffener würdigt.

Außerdem muss der Kunde darüber informiert werden, was mit seinen Daten geschieht und wohin sie abfließen. Insbesondere, wenn Sie in ein Drittland abfließen.

Für Deutsche Händler stellt sich die Frage, ob es überhaupt rechtlich möglich ist, Daten z.B. in die USA zu übertragen.

Kafeetasse vor Laptop.

Auskunftsrechte Betroffener

Betroffene sind alle Personen, deren Daten verarbeitet werden. Diese haben umfangreiche Rechte zur Löschung (“Right to be forgotten”) und Auskunftsrechte über die Speicherung und Verarbeitung von Daten. Kann ein Seller diesen Ersuchen nicht vollumfänglich nachkommen, kann die Behörde eingeschaltet werden, welche dann ein Verfahren eröffnen kann.

Sie sollten deswegen jedes Auskunftsersuchen zur Chefsache machen und klare Prozesse einrichten, die garantieren, dass die Anfrage beantwortet wird.

Hohe Bußgelder bei Verstößen

Die DSGVO sieht enorme Bußgelder bei Verstößen vor. Die maximale Geldbuße beträgt bis zu 20 Mio Euro oder bis zu 4% des gesamten weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr.

Natürlich ist nicht damit zu rechnen, dass dieses Maß direkt am Anfang ausgeschöpft wird, aber die Möglichkeit alleine kann beunruhigend wirken.

Wie es zur Verarbeitung persönlicher Daten beim Amazon Business kommt

Hier sollen einige Beispiele genannt werden, mit denen es schnell klar wird, wo personenbezogene Daten verarbeitet werden, selbst wenn man die Bestellungen nicht selber komplett abwickelt (z.B. bei Fulfillment by Amazon).

Amazon Helfer wie Amalytix, Marketplace Analytics oder andere, geben dem Amazon Verkäufer detaillierte Informationen, um sein Business besser zu verstehen. Dabei wird z.B. die MWS Schnittstelle aktiviert. Dabei wird dem Tool ein grundsätzlicher Vollzugang auf alle Daten gewährt, inkl. personenbezogenen Daten. Hier muss eine ADV abgeschlossen werden und diese Verarbeitung muss in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Diese Services sitzen in Deutschland, dort erfolgt also zumindest kein Export ins Ausland.

Andere Helfer, wie JungleScout oder Fetcher sind da schon problematischer. Diese verarbeiten Daten in den USA, die als nicht sicheres Drittland gelten. Dort müssen also besondere Verträge, sog. Standardvertragsklauseln abgeschlossen werden und Kunden müssen ggf. über den Abfluss ins Ausland informiert werden.

Darüber hinaus lagern viele Amazon Seller ihren Customer Support an externe Firmen aus. Auch hier werden persönliche Daten verarbeitet und es muss ein AV-Vertrag abgeschlossen werden.

Alle anderen Verarbeitungen, wie Finanzbuchhaltung, Cloud Services oder Rechnungserstellung (Amainvoice) stellen auch Datenschutzrelevante Vorgänge dar und müssen dokumentiert werden.

Es ist also klar: als Amazon Verkäufer verarbeitet man viele Daten. Diese Vorgänge müssen alle in einem Verfahrensverzeichnis dokumentiert werden. Darüber hinaus sind Sie dafür zuständig dem Recht auf Löschung auch bei den externen Dienstleistern nachzukommen.

Die gute Nachricht: viele Amazon Händler haben nicht viele Prozesse, haben also nicht viel zu dokumentieren

Der große Vorteil beim Handel über Amazon besteht darin, simple Prozesse zu haben. Dies kommt auch dem Datenschutz zu gute. Es müssen also nur wenige Prozesse dokumentiert werden und es ist relativ schnell zu ermitteln, wo von wem verarbeitet wird. Als Seller muss man nur wissen, wie ein Verzeichnis von Verarbeitungstätigkeiten auszusehen hat und wie man die TOM dokumentiert. Dazu gibt es viele Anleitungen im Internet. Wer das nicht will, hat zwei Optionen:

Fazit: auch als Amazon Verkäufer sollten Sie handeln!

Könnten Sie einer Behörde ein Verfahrensverzeichnis vorlegen oder darauf antworten, welche technischen und organisatorischen Maßnahmen sie zum Schutz der Daten Ihrer Betroffenen ergriffen haben? Haben Sie Auftragsdatenverarbeitungsvereinbarungen mit all Ihren Dienstleistern abgeschlossen? Können Sie einem Auskunftsersuchen eines Käufers nachkommen, wenn dieser wissen möchte, wohin seine Daten übertragen wurden, können Sie diese im Anschluss löschen?

Wenn Sie diese Fragen nicht mit “Ja” beantworten konnten, sollten Sie tätig werden und zumindest die Minimaldokumentation durchführen. Die Bußgelder sind hoch und die Verfahren können langwierig und teuer werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen:

https://dsgvo-gesetz.de/art-4-dsgvo/

https://dsgvo-gesetz.de/art-6-dsgvo/

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-44-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto