✉ Kontakt
Capital 6/2021 beste Anwaltskanzleien: Advocatio Rechtsanwälte in München

Datenschutz von Unternehmer und Handelsvertreter

Bei der Durchführung einer Handelsvertretung kommt es regelmäßig zu einem gegenseitigen Austausch von Daten zwischen Unternehmer, Handelsvertreter und Kunden. Der Handelsvertreter leitet Kundendaten an den Unternehmer weiter, damit dieser Bestellungen bestätigen bzw. Verträge mit den vermittelten Kunden abschließen und liefern kann. Zudem kann der Handelsvertreter vom Unternehmer Informationen über den Abschluss von Verträgen mit den Kunden verlangen.

Das wichtigste in Kürze

Mit dem Austausch von Kundendaten sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO) betroffen, die Datenschutz-Verpflichtungen für Unternehmer und Handelsvertreter auslösen. Im Verhältnis zwischen Handelsvertreter und Unternehmer muss geklärt werden, ob Daten im Auftrag des Unternehmers als „Verantwortlicher“ verarbeitet werden oder gar eine gemeinschaftliche Verantwortung für die Verarbeitung personenbezogener Daten vorliegen kann. Datenschutz-Verpflichtungen sind von allen Beteiligten sorgfältig zu prüfen und zu erfüllen.

Was ist unter Datenverarbeitung zu verstehen?

„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • die Verbreitung oder eine andere Form der Bereitstellung,
  • der Abgleich oder die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder
  • die Vernichtung.

Benötigen Unternehmer und/oder Handelsvertreter für den Austausch von Daten eine Einwilligung des Kunden?

Für eine rechtmäßige Datenverarbeitung ist nach den Datenschutzgesetzen stets eine Rechtsgrundlage erforderlich.

Als Rechtsgrundlage für die Übermittlung der Daten an den Handelsvertreter ist regelmäßig Art. 6 Abs. (1) f) DSGVO einschlägig.

Denn danach ist die Verarbeitung personenbezogener Daten zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (z.B. Kunde), die den Schutz personenbezogener Daten erfordern, überwiegen.

Ausgehend von der regulären Handelsvertretertätigkeit ist die Nutzung/Verarbeitung von Kundendaten regelmäßig erforderlich, um die Aufgabe der Vermittlung des Geschäfts zwischen Kunde und Unternehmen zu erfüllen.

Insofern haben Unternehmer und Handelsvertreter berechtigte Interessen an der Datenverarbeitung, die regelmäßig auch von dem (bestellenden) Kunden gewollt ist, so dass von dieser Seite keine Interessen dagegenstehen.

Wer ist Verantwortlicher für die Datenverarbeitung?

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Ein Angestellter des Unternehmers im Außendienst wird als weisungsgebunden dem Unternehmer zugerechnet. Der Unternehmer/Arbeitgeber ist damit datenschutzrechtlich allein „Verantwortlicher“.

Der Handelsvertreter ist hingegen „Dritter“ im Verhältnis zum Unternehmer und im Sinne der Rechtsgrundlage des Art. 6 Absatz (1) f) DSGVO für die Datenverarbeitung. Er wird damit nicht dem Unternehmer als alleinigem Verantwortlichen zugerechnet.

Insoweit ist der Handelsvertreter insbesondere gegenüber den vermittelten Kunden selbst „Verantwortlicher“ und daher verpflichtet, durch geeignete technische und organisatorische Maßnahmen den Schutz von personenbezogenen Daten der Kunden zu gewährleisten.

Verarbeitet der Handelsvertreter Daten im Auftrag des Unternehmers?

Handelsvertreter erhalten und verarbeiten in der Regel vom Unternehmen Kundendaten und damit personenbezogene Daten. Zugleich erhält das Unternehmen vom Handelsvertreter Kundendaten.

Insoweit stellt sich die Frage, wer für die Datenverarbeitung verantwortlich ist und ob der Handelsvertreter im Auftrag des Unternehmers Daten verarbeitet.

Ein Auftragsverarbeiter ist u.a. eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines sogenannten „Verantwortlichen“ verarbeitet, Art. 4 Nr. 8 DSGVO.

Ob der Handelsvertreter als Auftragsverarbeiter des Unternehmers einzustufen ist, hängt davon ab, ob dieser für den Unternehmer weisungsgebundene, unterstützende Tätigkeit leistet.

Zwar ist der Handelsvertreter auch im gewissen Rahmen weisungsgebunden, im Kern jedoch selbstständig. Insbesondere Kundenanfragen und die Kundenbetreuung werden selbstständig und ohne Weisungen des Unternehmers durchgeführt. Insoweit kommt es zur eigenverantwortlichen Verarbeitung personenbezogener Daten durch den Handelsvertreter.

Unter diesen Voraussetzungen verarbeitet der Handelsvertreter keine Daten im Auftrag des Unternehmers.

Muss zwischen Unternehmer und Handelsvertreter ein Vertrag über Auftragsverarbeitung gemäß § 28 DSGVO geschlossen werden?

Grundsätzlich nein, wenn und soweit der Handelsvertreter nicht ausdrücklich beauftragt ist, für den Unternehmer personenbezogene Daten z.B. von Kunden zu verarbeiten.

Wann sind Unternehmer und Handelsvertreter für die Datenvereinbarung gemeinsam Verantwortliche im Sinne Art. 26 DSGVO? Welche Folgen hat das?

Legen Handelsvertreter und Unternehmer gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.

Das kann im Umgang mit den Daten von Kunden, Herstellern und Lieferanten sowohl durch den Handelsvertreter, als auch durch den Unternehmer der Fall sein.

Dabei ist es auch möglich, dass die Beteiligung von Unternehmer und Handelsvertreter an gemeinsamen Entscheidungen verschieden und nicht gleichmäßig verteilt sind.

Auch kann der Grad der Entscheidungsgewalt variieren.

Regelmäßig fragt der Handelsvertreter vor Ort Kundendaten ab, und gibt diese an den Unternehmer weiter. Nicht selten entscheidet der Unternehmer bestimmte Prozesse der Verarbeitung durch Verwendung des hauseigenen CRM-Systems.

Erst nach diesen Ersterhebungen durch den Handelsvertreter werden regelmäßig vom Unternehmer Angebote erstellt und hierbei die Daten erneut verarbeitet. Das geschieht zudem mit der weiterführenden Korrespondenz über den Handelsvertreter und/ oder den Unternehmer, der mit der Abwicklung befasst wird. Daher werden die relevanten personenbezogenen Daten von beiden Vertragsparteien mehrfach ausgetauscht und verarbeitet.

Unternehmer und Handelsvertreter haben bei der gemeinsamen Festlegung der Zwecke und der Mittel der Verarbeitung in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person (regelmäßig Kunde) angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DSGVO nachkommt.

Bestimmt werden muss in diesem Fall, wer mit welchen Daten, welchen Mitteln der Verarbeitung und zu welchem Zweck vorrangig umzugehen hat, um hier auch Zuständigkeiten festlegen zu können.

Die Mittel der Verarbeitung beziehen sich unter anderem auf technische und organisatorische Gegebenheiten bei der Verarbeitung personenbezogener Daten sowie die Festlegung des Umfangs der Verarbeitung, einschließlich der betroffenen Personen/ Kundenkategorien, der zu erhebenden Datenkategorien, der Gewährung des Zugangs für Dritte, etc.

Soweit möglich, sollte eine Abgrenzung zur getrennten Verantwortlichkeit im Umgang mit personenbezogenen Daten vorgenommen werden.

Mit einer Zusatzvereinbarung Handelsvertretervertrag wird die Zuordnung von bestimmten Zuständigkeiten neben der Sensibilisierung für die Verantwortlichkeit zum Datenschutz vorgenommen.

Die klare Zuweisung von Verantwortlichkeiten sollte auch nach außen erkennbar sein, gegebenenfalls durch Hinweise auf der Website, Visitenkarte, Geschäftsbriefen, etc.

Nach Art. 26 Abs. 1 S. 2 DSGVO ist die Festlegung der Vertragsinhalte, vor allem der jeweiligen Zuständigkeiten in transparenter Form verpflichtend. D. h. die Festlegungen müssen in jedem Fall eindeutig und nachvollziehbar sein

In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.

Benötigen Sie einen Datenschutzbeauftragten?

Gemäß Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Ungeachtet der Beschäftigtenzahl im Vertriebsunternehmen ist die Benennung eines Datenschutzbeauftragten auch dann erforderlich, wenn die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters nach Art und Umfang oder den Zwecken eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Auch wird die Benennung eines Datenschutzbeauftragten erforderlich, wenn die Kerntätigkeit des Unternehmens oder des Auftragsverarbeiters In der Verarbeitung besonders sensibler Daten, z.B. Gesundheitsdaten, liegt.

Die Voraussetzungen hierfür sind regelmäßig im Einzelfall zu klären.

Muss ein Verzeichnis von Verarbeitungstätigkeiten angelegt werden?

Bei regelmäßiger Datenverarbeitung müssen Unternehmer und Handelsvertreter ein Verarbeitungsverzeichnis gemäß Art. 30 DSGVO führen. Hier sind die wesentlichen personenbezogenen Prozesse anzugeben. Folgende Angaben sind erforderlich:

  1. Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. Zwecke der Verarbeitung;
  3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den Art. 49 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. Ggf. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.

Was wir für Sie tun können

Wir beraten und unterstützen Sie zu Ihren Pflichten im Zusammenhang mit dem Austausch und der Verarbeitung von personenbezogenen Daten im Handelsvertreterverhältnis und Vertragshändlerverhältnis.

Sofern Sie im Rahmen der Vereinbarung eine gemeinsame Verantwortlichkeit haben, entwickeln und gestalten wir die hierfür erforderliche Vereinbarung.

Capital 6/2021 beste Anwaltskanzleien: Advocatio Rechtsanwälte in München
Erfahrungen & Bewertungen zu Advocatio - Erbrecht & Vertriebsrecht München