Handelsvertreter: Ist ein Vertrag zur Auftragsverarbeitung erforderlich?

Fachbeitrag

Die Datenschutz-Grundverordnung (DSGVO) löst bei Unternehmen zahlreiche Verpflichtungen aus und führt zur Überprüfung und Anpassung derzeitiger Prozesse und Dokumente. Dabei sind einige neu wie Privacy by Design, andere sind „alte Bekannte“ wie die Auftragsverarbeitung. Ist ein solcher Vertrag bei Handelsvertretern erforderlich?

Auftragsverarbeiter im Überblick

Oft ist es nicht einfach, im Unternehmen einen Überblick über diejenigen Dienstleister zu haben, die Zugriffsmöglichkeit auf personenbezogene Daten haben. Hierfür empfiehlt es sich, auch aus dem Gesichtspunkt der Rechenschaftspflicht, zunächst, eine Übersicht dieser Dienstleister zu erstellen. Die Übersicht dient dabei dem Zweck, mögliche Lücken zu Erfassen, also mit welchen Dienstleistern noch kein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen wurde.

Gilt dies auch bei Handelsvertretern?

Arbeiten Unternehmen im Rahmen des Vertriebs und damit einhergehender Vertriebsstrukturen auch mit Handelsvertretern zusammen, stellt sich unter Umständen die Frage, ob mit diesen ebenfalls eine Vereinbarung zur Auftragsverarbeitung abzuschließen ist. Handelsvertreter erhalten und verarbeiten in der Regel vom Unternehmen Kundendaten und damit personenbezogene Daten. Zugleich erhält das Unternehmen vom Handelsvertreter Kundendaten.

Handelsvertreter sind selbständige Gewerbetreibende und für andere Unternehmen tätig. Dabei schließen oder vermitteln sie in dessen Namen für dessen Rechnung Geschäfte (§§ 84ff HGB). Damit dieser im Sinne des Unternehmens Verträge abschließen kann, ist ein gewisser Austausch personenbezogener Daten unvermeidlich. Gerade wenn zu dessen vertraglichen Aufgaben auch eine dem Vertragsabschluss nachfolgende Betreuung der Kunden erfolgen soll.

Was sagt das Gesetz?

Ein „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Diese recht weite Auslegung wird durch die Stellungnahme Art. 29-Datenschutzgruppe ergänzt, wonach es für die Einstufung als Auftragsverarbeiter darauf ankomme, dass die Organisation in Bezug auf den Verantwortlichen rechtlich eigenständig sei und dass die Verarbeitung nur in dessen Auftrag erfolge. Dies wird vor allem durch die Weisungsgebundenheit des Auftragnehmers zum Ausdruck gebracht. Liegt ein solches Verhältnis vor, genügt eine solche Vereinbarung, da es sich datenschutzrechtlich nicht um eine Übermittlung handelt.

Kennzeichnend für die Auftragsverarbeitung ist die weisungsgebundene, unterstützende Tätigkeit des Unternehmens als Auftragnehmer. Hier kollidieren die Eigenschaften und Anforderungen der Auftragsverarbeitung mit der selbstständigen Tätigkeit des Handelsvertreters. Denn insbesondere für die Kundenbetreuung, beispielsweise die Bearbeitung eingehender Kundenanfragen zu Produkten oder Einzelheiten des Vertrages, ist eine eigenverantwortliche Verarbeitung personenbezogener Daten erforderlich. Die Folge ist, dass nicht von einer Auftragsverarbeitung ausgegangen werden kann.

Verbot mit Erlaubnisvorbehalt

Im Datenschutz gilt der Grundsatz des Verbots mit Erlaubnisvorbehalts. Danach bedarf es für eine zulässige Datenverarbeitung stets einer Rechtsgrundlage. Für eine Übermittlung der Daten an den Handelsvertreter kommt hier vor allem Art. 6 Abs. 1 Satz 1 lit. f) in Betracht. Danach ist die Verarbeitung personenbezogener Daten dann rechtmäßig, wenn sie zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die datenschutzbezogenen Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Im Rahmen der durchzuführenden Interessensabwägung wird man zu dem Ergebnis kommen können, dass keine überwiegenden Interessen/ Grundrechte/ Grundfreiheiten der betroffenen Person, entgegenstehen.

Auswirkungen auf die technischen und organisatorischen Maßnahmen

Da es sich bei dem Handelsvertreter um einen „Dritten“ handelt, dieser also nicht dem Verantwortlichen zuzurechnen ist, hat dies auch Auswirkungen bezüglich der zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Während bei einer Auftragsverarbeitung der Verantwortliche für die Gewährleistung auch beim Dienstleister verantwortlich ist, ist hier der Handelsvertreter selbst Verantwortlicher und muss daher selbst für die Einhaltung der Vorgaben der DSGVO sorgen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. Das sehe ich anders. Der Handelsvertreter erhebt und verarbeitet Daten in meinem Namen und auf meine Weisung hin. Daher binde ich ihn natürlich an mich mit einem ADV-Vertrag.

    • Mit Sicherheit kann es im Einzelfall möglich sein, das Vertragsverhältnis zwischen dem Auftraggeber und dem Handelsvertreter so auszugestalten, dass dieser nur weisungsgebunden personenbezogene Daten des Auftraggebers verarbeitet. In der Regel dürfte dies aber nicht der Fall sein und, wie im Beitrag beschrieben im Falle einer Kundenbetreuung, auch nicht gewollt. Wenn der Handelsvertreter also eigenverantwortlich Verträge vermittelt, ist das in aller Regel keine Auftragsverarbeitung, da es an der erforderlichen Weisungsgebundenheit fehlt.

  2. oder geht beides: Handelsvertreter, die mit vorgegebenem Adressmaterial arbeiten, sind ADV’er – nicht dagegen Handelsvertreter, die ganz frei Aufträge vermitteln und deren Daten übermitteln?

    Andererseits, auch nicht schön, wenn man dem freien Handelsvertreter datenschutzrechtlich seinen Adresspool löschen darf …

  3. Bitte nicht vergessen, dass der Auftraggeber seiner Informationspflicht gegenüber dem Betroffenen nachkommen muss, wenn er personenbezogene Daten an (s)einen Handelsvertreter übermitteln will.

  4. Hallo, wie ist die Situation in einem Reisebüro?
    Wir buchen für die Kunden in unzähligen, verschiedenen Hotels. Teils in solchen, bei denen wir schon für Kunden gebucht haben, aber natürlich auch in solchen, mit denen wir noch nie eine Kundenbeziehung hatten.
    1. Muss ich mit jedem Hotel einen ADV-Vertrag machen? Und wie funktioniert das in der zeitlichen Abfolge (darf die Buchung vor dem ADV-Vertrag erfolgen bzw. was wenn das Hotel dem dann nicht nachkommt..?)
    2. Wenn ja, was beachte ich bei Hotels im Drittland?
    3. Muss ich bei jedem Kunden, bei jeder Buchung, ihm die Information geben, an welches Hotel (als ADV) die Daten gehen?
    Schon vorab ein großes Dankeschön für die Beantwortung!!
    LG

    • Vielen Dank für Ihre interessanten Fragen. Diese lassen sich leider in diesem Umfang und auch nur auf den konkreten Einzelfall bezogen beantworten. Eine Antwort ist im Rahmen unserer Kommentarfunktion leider nicht möglich.

      • OK. vielen Dank, dann als Bsp. ein Einzelfall:
        Der Kunde möchte eine Reise buchen, wir suchen gemeinsam ein Hotel (mit dem wir als Reisebüro noch keine Geschäftsbeziehung hatten) aus.
        Müssen wir nun bei der Informationspflicht das Hotel explizit angeben (oder reicht die Info, dass es an ein Hotel weitergegeben wird) und einen ADV-Vertrag machen?
        LG

  5. Guten Tag!

    Wie verhält es sich bei einem Unternehmen aus einem Drittland, welches in der EU durch einen Handelsvertreter vertreten wird. Darf der Handelvertreter ohne Zustimmung des Kunden Daten weitergeben? Wer steht in der Pflicht?

    Mit freundlichem Gruß

    • Die DSGVO mit Ihren Anforderungen findet u.a. Anwendung, soweit die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiters, wenn die Datenverarbeitung im Zusammenhang damit steht oder soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Details zum räumlichen Anwendungsbereich finden Sie hier: “Wo gilt die DSGVO?“)
      Entsprechend den hier im Beitrag aufgeführten Konstellationen zur Weisungsgebundenheit ist zu differenzieren, ob es sich datenschutzrechtlich um eine Übermittlung handelt. Jedenfalls bei Bejahung einer Auftragsverarbeitung ist das Unternehmen aus dem Drittland Verantwortlicher und damit auch, ob personenbezogene Daten in rechtlich zulässiger Weise weitergegeben werden dürfen (Verbot mit Erlaubnisvorbehalt).

  6. Hej, brauche ich auch einen AV-Vertrag mit meinem freien Handelsvertreter, wenn er von mir keinerlei Adressdaten übermittelt bekommt, und stattdessen selbst für die Beschaffung potenzieller Kunden verantwortlich ist ?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.