Persönliche Erfahrungen
Ausführlicher Vergleich
Im Online-Shop arbeiten fast immer mehrere Dienstleister mit personenbezogenen Daten: Hosting, Shopsoftware, Newsletter, Payment, Versand, Tracking, Support oder CRM. Datenschutzrechtlich ist deshalb entscheidend, wer Verantwortlicher ist und wer als Auftragsverarbeiter handelt. An dieser Rollenfrage hängen Verträge, Informationspflichten, Weisungsrechte, Betroffenenanfragen und nicht zuletzt die Frage, wer für welche Verarbeitung datenschutzrechtlich einstehen muss.
Für Shop-Betreiber lässt sich die Kernfrage einfach beantworten: Wer den Shop betreibt und festlegt, wofür Kundendaten genutzt werden, ist regelmäßig Verantwortlicher. Externe Anbieter sind nur dann Auftragsverarbeiter, wenn sie diese Daten wirklich nur weisungsgebunden für den Shop verarbeiten und nicht für eigene Zwecke einsetzen.
Verantwortlicher ist nach der DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Praktisch heißt das: Wer bestimmt, warum Daten verarbeitet werden und die wesentlichen Leitplanken der Verarbeitung festlegt, ist regelmäßig Verantwortlicher.
Im Online-Shop ist das typischerweise das Unternehmen, das den Shop betreibt und Daten für Verkauf, Versand, Kundenkonto, Support, Buchhaltung, Marketing oder Betrugsprävention nutzt. Der Verantwortliche muss insbesondere die Rechtsgrundlagen prüfen, Informationspflichten erfüllen, Betroffenenrechte organisieren und geeignete technische und organisatorische Maßnahmen veranlassen.
Auftragsverarbeiter ist nach der DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er verarbeitet die Daten grundsätzlich nicht für eigene Zwecke, sondern im Rahmen dokumentierter Weisungen des Verantwortlichen.
Typische Auftragsverarbeiter im E-Commerce können Hosting-Anbieter, Helpdesk-Systeme, Newsletter-Dienstleister oder bestimmte SaaS-Tools sein, wenn sie die Daten nur zur Leistungserbringung für den Shop verarbeiten. Der Auftragsverarbeiter hat eigene DSGVO-Pflichten, etwa zu Sicherheit, Vertraulichkeit, Unterauftragsverhältnissen und Unterstützung des Verantwortlichen. Er ersetzt aber regelmäßig nicht den Verantwortlichen als primären Ansprechpartner für Betroffene.
Eine praxistaugliche Faustregel lautet: Wer den Zweck vorgibt, ist typischerweise Verantwortlicher. Wer nur technisch oder organisatorisch umsetzt, kann Auftragsverarbeiter sein. Diese Faustregel ist hilfreich, aber nicht immer ausreichend. Gerade moderne Cloud-, Analyse- oder Zahlungsdienste verfolgen häufig auch eigene Zwecke oder treffen selbständige Entscheidungen, die über eine reine Weisungsausführung hinausgehen.
| Kriterium | Verantwortlicher | Auftragsverarbeiter | Praxisfrage für Shops |
|---|---|---|---|
| Zweck der Verarbeitung | Legt fest, warum verarbeitet wird | Verarbeitet nur für die Zwecke des Verantwortlichen | Wer entscheidet, ob Daten für Verkauf, Analyse oder Marketing genutzt werden? |
| Wesentliche Mittel | Bestimmt zentrale Mittel und Rahmen | Entscheidet nur über untergeordnete technische Details | Wer bestimmt Empfänger, Kategorien und Verarbeitungslogik? |
| Weisungsbindung | Erteilt Weisungen und kontrolliert | Handelt nach dokumentierten Weisungen | Kann der Shop realistisch Weisungen geben und deren Einhaltung prüfen? |
| Eigene Zwecke | Ja, für den eigenen Geschäftsbetrieb | Grundsätzlich nein | Nutzt der Dienstleister die Daten auch für eigene Sicherheit, Produktentwicklung oder Abrechnung? |
| Typischer Vertrag | Vertragsbeziehung zum Kunden | AVV nach Art. 28 DSGVO | Ist wirklich Auftragsverarbeitung gemeint oder eher eine eigenständige Leistung? |
Die Einordnung hängt also nicht allein am Etikett „Processor“ oder „Auftragsverarbeiter“ in den AGB. Maßgeblich bleibt, was der Anbieter tatsächlich tut und wofür die Daten real verwendet werden.
Ein häufiger Praxisfehler ist die Annahme, jeder externe Dienstleister mit Datenkontakt sei automatisch Auftragsverarbeiter. Genau das stimmt oft nicht. Manche Empfänger erhalten Daten, um eine eigene Leistung mit eigenem Zweck zu erbringen. In solchen Fällen handelt es sich eher um eigenständige Verantwortliche als um weisungsgebundene Auftragsverarbeiter.
Für Online-Shops ist diese Unterscheidung besonders wichtig, weil sonst schnell der falsche Vertragstyp gewählt wird oder Datenschutzhinweise die Rollenlage falsch darstellen.
| Dienstleister oder Tool | Typische Rolle | Warum diese Einordnung häufig naheliegt | Worauf Händler achten sollten |
|---|---|---|---|
| Hosting oder Managed Server | Häufig Auftragsverarbeiter | Datenverarbeitung dient meist dem technischen Betrieb im Auftrag | AVV, Unterauftragsverarbeiter und Speicherorte prüfen |
| Shopsoftware als SaaS | Häufig Auftragsverarbeiter, aber einzelfallabhängig | Bereitstellung des Systems im Auftrag des Shops | Zusatzfunktionen für eigene Analysen des Anbieters gesondert prüfen |
| Newsletter-Tool oder CRM im Auftrag | Häufig Auftragsverarbeiter | Listen- und Kampagnenverarbeitung folgt typischerweise den Zwecken des Shops | AVV, Tracking-Funktionen und eigene Nutzungen des Anbieters prüfen |
| Payment-Dienstleister | Häufig eigenständiger Verantwortlicher | Zahlungsabwicklung, Geldwäsche- und Betrugsprüfung erfolgen regelmäßig eigenständig | Nicht vorschnell als reinen Auftragsverarbeiter behandeln |
| Versanddienstleister | Häufig eigenständiger Verantwortlicher | Zustellung und eigene operative Prozesse sprechen oft gegen reine Weisungsgebundenheit | Datenschutzerklärung und Empfängerangaben passend formulieren |
| Tracking- und Werbenetzwerke | Häufig eigenständig oder gemeinsam verantwortlich | Eigene Zwecke, Reichweitenmessung oder Werbelogik des Anbieters | Rollen, Consent und Datenflüsse besonders sorgfältig prüfen |
| Helpdesk- oder Support-Tool | Häufig Auftragsverarbeiter | Bearbeitet Kundenvorgänge im Auftrag des Shops | AVV und Speicherlogik kontrollieren |
Diese Einordnung ist immer eine Orientierung. Gerade White-Label-Modelle, Zusatzfunktionen und AGB-Klauseln zu eigenen Zwecken können die Bewertung im Einzelfall verschieben.
Neben Verantwortlichem und Auftragsverarbeiter gibt es die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Sie kann vorliegen, wenn zwei oder mehr Parteien gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden oder ihre Entscheidungen so eng verflochten sind, dass die Verarbeitung praktisch gemeinsam gesteuert wird.
Für Online-Shops ist das besonders relevant bei datengetriebenen Plattform- oder Marketing-Setups. In solchen Konstellationen reicht ein klassischer AVV oft nicht aus. Dann braucht es eine Art.-26-Vereinbarung, die Zuständigkeiten und Pflichten zwischen den Beteiligten regelt. Außerdem muss die wesentliche Logik dieser Rollenverteilung gegenüber betroffenen Personen transparent gemacht werden.
Wenn ein Dienstleister tatsächlich als Auftragsverarbeiter handelt, ist ein Vertrag nach Art. 28 DSGVO regelmäßig erforderlich. Dieser Vertrag wird in der Praxis meist AVV genannt. Er ist kein bloßes Formalpapier, sondern soll sicherstellen, dass Weisungen, Sicherheitsmaßnahmen, Unterauftragsverhältnisse und Unterstützungsleistungen sauber geregelt sind.
Ohne passenden AVV wird echte Auftragsverarbeitung schnell problematisch, weil dann die rechtliche Grundlage der Zusammenarbeit lückenhaft ist oder Kontrollrechte des Verantwortlichen fehlen.
| Baustein im AVV | Worum es geht | Praxisnutzen für Shops |
|---|---|---|
| Gegenstand und Dauer | Welche Leistung und wie lange | Hilft, den Verarbeitungsrahmen klar zu beschreiben |
| Art und Zweck der Verarbeitung | Welche Daten wofür verarbeitet werden | Wichtig für Rollenprüfung und Verzeichnis der Verarbeitungstätigkeiten |
| Datenarten und Betroffenenkategorien | Welche Daten und von wem | Schafft Klarheit bei Kunden-, Newsletter- oder Supportdaten |
| Weisungsrecht | Wie der Verantwortliche steuern kann | Zentral für die Abgrenzung zur eigenen Verantwortlichkeit |
| TOMs und Vertraulichkeit | Sicherheits- und Schutzmaßnahmen | Wichtig für technische Prüfung des Dienstleisters |
| Unterauftragsverarbeiter | Weitere eingesetzte Dienstleister | Besonders wichtig bei Cloud- und SaaS-Strukturen |
| Löschung oder Rückgabe | Was nach Vertragsende mit Daten passiert | Verhindert offene Datenreste nach Tool-Wechseln |
Die Rollenfrage ist nicht nur ein Vertragsthema. Sie beeinflusst, wer Betroffenenanfragen beantwortet, wer Informationen in der Datenschutzerklärung bereitstellt, wer auf Aufsichtsbehörden reagiert und welche Einwilligungs- oder Rechtsgrundlagenlogik im Shop überhaupt passt.
Fehlt die klare Rollenbestimmung, entstehen typische Folgefehler: falscher Vertragstyp, unklare Zuständigkeiten bei Löschanfragen, widersprüchliche Datenschutzhinweise oder der Irrtum, ein Tracking-Anbieter sei bloß technischer Helfer, obwohl er Daten für eigene Zwecke nutzt. Für Online-Shops bedeutet das: Datenschutzrollen sollten nicht nur juristisch, sondern zusammen mit IT, Marketing und Tool-Management betrachtet werden.
Das ist einer der häufigsten Fehler. Payment, Versand oder Werbenetzwerke sind oft gerade keine reinen Auftragsverarbeiter.
Auch das greift zu kurz. Ein AVV ist wichtig, entscheidet aber nicht alleine über die Rolle. Maßgeblich bleibt die tatsächliche Verarbeitung.
Die Vertragsbezeichnung ist nur ein Indiz. Wenn der Anbieter in Wahrheit eigene Zwecke verfolgt, kann die tatsächliche Rolle anders ausfallen.
Nicht unbedingt. Gerade bei Plattformen, Marketing-Ökosystemen oder eng verzahnten Tools kann dieser Fall praktisch relevant werden.
Ein Händler betreibt einen Shopify-Shop und nutzt zusätzlich einen Newsletter-Dienst, einen Zahlungsanbieter, ein Ticketsystem und ein Retargeting-Tool. Für den Newsletter-Dienst liegt ein AVV vor, das Ticketsystem verarbeitet Anfragen im Auftrag und wird ebenfalls als Auftragsverarbeiter behandelt. Den Zahlungsanbieter stuft der Händler jedoch ebenfalls pauschal als Auftragsverarbeiter ein, obwohl dieser Zahlungen, Risikoprüfung und regulatorische Pflichten eigenständig organisiert. Gleichzeitig wird das Retargeting-Tool ohne klare Rollenprüfung als „technischer Dienstleister“ beschrieben.
Das Problem liegt hier nicht in fehlender Datenschutzdokumentation insgesamt, sondern in der falschen Vereinheitlichung sehr unterschiedlicher Rollen. Genau das passiert in Shops besonders häufig, wenn neue Tools schnell eingebunden werden und Datenschutz nur als Vertragsanhang mitläuft.
Für die Verarbeitung von Kundendaten im Rahmen des eigenen Shopbetriebs ist der Shop-Betreiber regelmäßig Verantwortlicher. Einzelne Dienstleister können daneben eigenständige Verantwortliche oder Auftragsverarbeiter sein. Das hängt von der konkreten Verarbeitung ab.
Nein. Die Vertragsbezeichnung ist ein wichtiger Hinweis, aber nicht allein entscheidend. Maßgeblich ist, ob der Anbieter tatsächlich nur nach Weisung handelt oder eigene Zwecke verfolgt.
Typischerweise dann, wenn ein Dienstleister personenbezogene Daten im Auftrag des Shops verarbeitet und keine eigenen Zwecke verfolgt. Häufig betrifft das Hosting, Helpdesk, Newsletter-Tools oder bestimmte SaaS-Dienste.
Ja, das kann je nach Verarbeitungsvorgang vorkommen. Ein Anbieter kann für eine technische Kernleistung im Auftrag handeln, daneben aber für eigene Abrechnungs-, Sicherheits- oder Compliance-Zwecke selbst verantwortlich sein.
Sie wird relevant, wenn zwei Parteien gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden oder deren Entscheidungen untrennbar zusammenwirken. Im Shop kann das insbesondere bei Plattform- und Marketing-Konstellationen eine Rolle spielen.
Regelmäßig ist der Verantwortliche der primäre Ansprechpartner für Betroffene. Ein Auftragsverarbeiter muss ihn dabei typischerweise unterstützen.
Praktisch sinnvoll ist ein zentrales Tool- und Dienstleisterinventar mit Rollenentscheidung, Zweckbeschreibung, Datenarten, Empfängern, Speicherorten und den zugehörigen Verträgen. So bleibt die Rollenlogik auch bei Tool-Wechseln nachvollziehbar.
Hinweis: Dieser Beitrag dient der allgemeinen Information für Online-Shop-Betreiber in Deutschland und ersetzt keine Rechtsberatung im Einzelfall.
Die Inhalte auf rechtstexte-onlineshops.de verbinden redaktionelle Recherche, Praxisbeobachtung und die Auswertung einschlägiger Quellen. Ziel ist eine realistische Orientierung für Shop-Betreiber, keine Einzelfallberatung.
Transparenz: Die Inhalte werden redaktionell erstellt und überprüft. Maßgeblich sind dabei rechtliche Quellen, praktische Erfahrungen aus Shop-Projekten und die Frage, welche Informationen für Shop-Betreiber im Alltag tatsächlich hilfreich sind.