th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Datenschutz, DSGVO - FAQs für Handelsagenten

Antworten auf die wichtigsten Fragen

Umsetzung der Datenschutzgrund-Verordnung, Pflichten, Verantwortlichkeiten und Beispiele: Hier finden Sie Antworten. 

Welche datenschutzrechtliche Position hat ein Handelsagent gegenüber seinen Kunden bzw. gegenüber den Prinzipalen? Ist er Verantwortlicher oder Auftragsverarbeiter? Könnte er gegenüber Kunden mit den Prinzipalen „gemeinsam verantwortlich“ im Sinne des Art. 26 DSGVO sein?

Nach derzeitigem Meinungsstand sind Handelsagenten in aller Regel keine Auftragsverarbeiter, sondern Verantwortliche. Sie sind zwar „ständig mit Vermittlungen beauftragt“ (Legaldefinition eines Handelsagenten gemäß § 1 HVertrG); schon nach dem Meinungsstand zum bisherigen Datenschutzrecht steht Ihnen dennoch eine gewisse Eigenständigkeit bzw. ein Ermessen darüber zu, welche Daten erhoben werden und auch darüber, ob überhaupt (ist der Kunde z.B. von vornherein gänzlich "ungeeignet", "schwierig"? Fühlt sich der Agent mit anderen Projekten ohnehin ausgelastet? etc).

Der Handelsagent entscheidet ja selbst, ob er eine Geschäftsbeziehung überhaupt verfolgt oder nicht, d.h. er kann auch ablehnen. Das gilt auch dann, wenn der Erstkontakt zum Hersteller erfolgt und dieser die Daten an den Handelsagenten weitergibt. Der Handelsagent übernimmt den Interessenten dann zur Bearbeitung und hat genau dasselbe Ermessen wie wenn er selbst den Erstkontakt herstellt. Die "Richtung" des Erstkontakts ist daher nicht relevant.

Nachdem der Handelsagent datenschutzrechtlich Verantwortlicher ist, muss, wie sonst auch, ein Erlaubnistatbestand gegeben sein (z.B. vorvertragliche Maßnahmen bzw. Vertragserfüllung). Dass das Vertragsverhältnis mit dem Geschäftsherrn zustande kommt und nicht mit dem (selbstständigen) Handelsagenten, ist datenschutzrechtlich nicht relevant; der Agent ist vom Geschäftsherrn eingeschaltet worden, um eben einen Vertrag zu vermitteln.

Der Handelsagent hat also seinerseits die DSGVO zu beachten, den Informationspflichten nachzukommen, ein Verarbeitungsverzeichnis zu führen, angemessene Maßnahmen zur Datensicherheit einzuhalten etc. (vgl. die Checkliste zur DSGVO für Handelsagenten).

Eine gemeinsame Verantwortung läge nur dann vor, wenn über die Mittel und Zwecke gemeinsam mit dem Prinzipal entschieden würde. Das ist z.B. beim gemeinsamen Betrieb einer Internet-Plattform der Fall, nicht aber im Rahmen der herkömmlichen Zusammenarbeit mit einem Handelsagenten.

Beispiel a)

Herr J. erhält von seinen Prinzipalen Kundenlisten, welche er anschließend im Outlook speichert. Er erstellt ein Tourenprogramm, führt eigene Kundenkarteien (welche Produkte haben Kunden interessiert) usw. Die Rechnungslegung und der Versand der Produkte erfolgt aber durch die Prinzipale. Herr J. erhält von diesen eine Provision.

Ausgehend davon, dass es sich (auch) um personenbezogene Daten handelt, kommt die DSGVO zur Anwendung. Das ist der Fall, wenn die Kunden Einzelunternehmer sind oder Gesellschaften, wobei aber die jeweiligen Ansprechpartner „mit verwaltet“ werden. Dies wird auch bei Herrn J. der Fall sein.

Wie oben ausgeführt, ist die "Richtung" der Datenweitergabe nicht entscheidend. Es kommt vielmehr darauf an, dass Herr J. die Kundendaten in seinem Verantwortungsbereich speichert, er also eigene Kundenkarteien bzw. -dateien anlegt und dabei weitere Daten erhebt, nämlich über das Nachfrageverhalten der Kunden. Er ist also als datenschutzrechtlich Verantwortlicher anzusehen.

Dass im Rahmen einer Handelsagentur durchaus mehr personenbezogene Daten verarbeitet werden als man zunächst vermutet, wird aus dem Muster des Verarbeitungsverzeichnisses deutlich.

Beispiel b)

Herr DI H.: "Ich hole bei meinen Erstbesuchen vom Kunden (meist Ärzte, Therapeuten) persönlich einen Besuchsbericht ein (mit Name, Datum, Unterschrift, Adresse, Bankverbindung, UID etc.), verkaufe aber keine Produkte, sondern Fachberatung. Die Produkte bestellt der Kunde in Folge bei meinen Prinzipalen." In weiterer Folge gibt Herr DI H. die Kundendaten (als Kundenschutzbasis für den HA, aber auch für Kundenbestellungen) an den Prinzipal weiter. Ist schon in diesem Fall ein Auftragsverarbeitungsvertrag (vom Prinzipal an den HA, vom HA dem Kunden vorweisend) notwendig?

Zum einen bedeutet Auftragsverarbeitung, dass der Auftragsverarbeiter die Daten (die dem Verantwortlichen zugehörig sind) in seinem eigenen System verarbeitet. Darauf sind ja die Verpflichtungen des Art 28 DSGVO zugeschnitten (technische und organisatorische Maßnahmen, Unterstützung des Verantwortlichen zur Erfüllung der Betroffenen-rechte, nach der Beendigung der Auftragsverarbeitung Löschung oder Rückgabe [!] der Daten, Inspektionsrecht des Verantwortlichen ob all dies eingehalten wird).

Würde sich die Auftragsverarbeitung im Ausfüllen des Besuchsberichts samt Übermittlung erschöpfen, würden diese Verpflichtungen de facto weitgehend leerlaufen bzw. wären sie von Anfang an gegenstandslos. Im Rahmen einer Auftragsverarbeitung dürften die Daten zudem „nur auf dokumentierte Weisung“ verarbeitet werden. Nach der Kommentarliteratur sind diese Weisungen (in jedem Einzelfall) z.B. durch eine Email oder ein Ticketsystem zu erteilen und zu dokumentieren. Von solchen Weisungen ist aber im Rahmen der Werbung durch Herrn DI H. keine Rede. 

Eine Auftragsverarbeitung "passt" hier – im Unterschied zu z.B. ITOutsourcing – nicht wirklich. Die Grenzen sind sicherlich fließend und angesichts noch fehlender Rechtsprechung zur DSGVO ungeklärt. Meines Erachtens sollte die Tätigkeit von Herrn DI H. nicht als Auftragsverarbeitung beurteilt werden. Dazu kommt, dass er ja – schon aufgrund seiner Selbstständigkeit – ein Ermessen darüber hat, ob ein Interessent angesprochen bzw. weiterbearbeitet wird, d.h. ob Daten überhaupt erhoben werden. Diesbezüglich kommt ihm also wesentlicher Einfluss in rechtlicher und auch tatsächlicher Hinsicht zu.

Sollte der Handelsagent als Verantwortlicher definiert werden, stellt sich nun in weiterer Folge die Frage, auf welche Rechtsgrundlagen sich der Handelsagent für seine Datenverarbeitungen stützen kann? 

Falls ein Interessent an den Handelsagenten herantritt, handelt es sich um vorvertragliche Maßnahmen „auf Anfrage der Person“.

Falls der Handelsagent Daten von nur (potentiellen) Kunden verarbeiten will (z.B. persönliche Kontakte, Empfehlungen etc.), müsste er sich auf ein berechtigtes Interesse berufen.

Betreffend die Daten bestehender Kunden greifen die Rechtsgrundlagen der Vertragserfüllung und – was z.B. nachfolgende Werbung für ähnliche Waren oder Dienstleistungen anlangt – des berechtigten Interesses.

Eine weitere Rechtsgrundlage stellt eine gesetzliche Verpflichtung dar (wie die allgemeine Aufbewahrungsfrist von 7 Jahren).

Freilich kann auch eine Einwilligung (z.B. zum Versand eines Email-Newsletters) ein Rechtfertigungsgrund sein. Diese setzt aber die Einhaltung der Informationspflichten voraus ("Datenschutzerklärung").

Beispiel a)

Was ist die Rechtsgrundlage dafür, dass die Daten vom Prinzipal an Herrn J. – bzw. umgekehrt – weitergegeben werden?

Wie gesagt, dass das Vertragsverhältnis mit dem Geschäftsherrn zustande
kommt und nicht mit dem (selbstständigen) Handelsagenten, ist
datenschutzrechtlich nicht relevant; der Agent ist vom Geschäftsherrn
eingeschaltet worden, um eben einen Vertrag zu vermitteln.

Hat der betreffende Interessent beim Handelsagenten oder beim Geschäftsherrn angefragt (und es erfolgte eine Weiterleitung der Daten an den jeweils anderen), bilden die "vorvertraglichen Maßnahmen" die Rechtsgrundlage.

Ist derjenige bereits Kunde, kann die Vertragserfüllung einschlägig sein (z.B. Reklamationsbearbeitung) oder, falls es um neue Angebote von ähnlichen Waren oder Dienstleistungen geht, das berechtigte Interesse. Dasselbe gilt für (potentielle) Interessenten.


Beispiel b)

Herr DI H: "Lt. Telekomm. vorgaben kann ich mit den Kunden kommunizieren, da ich einen persönlichen Erstkontakt hatte. Aber wie sieht es mit der DSGVO aus? Gilt ein Besuchsbericht als Vertrag? (im Vertragsverhältnis ist die DSGVO ja entschärft). Oder brauche ich auch eine Einwilligung der Kunden, um deren Daten zu verwalten?"

Der Besuchsbericht stellt freilich noch keinen Vertrag dar. Der Handelsagent befindet sich aber zweifellos im vorvertraglichen Stadium. Erfolgte dies auf Anfrage der betreffenden Person, bilden die vorvertraglichen Maßnahmen die Rechtsgrundlage.

Wurde hingegen Herr DI H. aktiv, könnte er sich auf berechtigtes Interesse stützen. Die Erwartungshaltung der betreffenden Person, die Besuch von einem Handelsagenten empfängt, kann nur miteinschließen, dass ihre Daten verarbeitet werden (zumindest durch Speicherung und Weiterleitung an den Geschäftsherrn); ansonsten wäre die Werbung vor Ort sinnlos.

Stand: