Was macht Elopage?
Elopage ist ein digitales Shopsystem. Händler können auf der Plattform digitale Produkte wie Online-Kurse, Tickets und eBooks verkaufen. Elopage fungiert dabei als Full-Service-Anbieter. Händler können daher auf der Plattform Produkte erstellen, verkaufen, Kunden bezahlen lassen und ihre Verkäufe auswerten. Welche datenschutzrechtlichen Vorgaben müssen sie für EloPage beachten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum ist Elopage datenschutzrechtlich relevant
Bieten Händler Produkte über Elopage an, erhält die Plattform bei einer Bestellung Zugriff auf alle Kundendaten. Das können zum Beispiel
- Namen,
- Adressen,
- E-Mail-Adressen,
- Telefonnummern und
- Zahlungsdaten wie Kreditkartennummern
sein. Diese Daten sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Händler müssen daher besondere datenschutzrechtliche Pflichten beachten.
Wie können Händler Elopage DSGVO-konform verwenden?
Um Elopage datenschutzkonform zu nutzen, müssen Händler diesen Pflichten nachkommen:
Vertrag zur Auftragsverarbeitung abschließen
Kaufen Kunden ein Produkt über Elopage, schließen sie mit dem entsprechenden Händler einen Kaufvertrag. Die Daten für die Kaufabwicklung – wie Name und Zahlungsdetails – erhält jedoch nicht nur der Händler selbst, sondern auch Elopage. Das bedeutet: Händler geben personenbezogene Daten an einen Dritten weiter. Sie müssen mit Elopage daher einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen.
Händler müssen darauf achten, dass der AV-Vertrag erklärt,
- welche Userdaten Elopage bei einem Kauf erhält und speichert,
- wie lange Elopage diese Daten speichert,
- zu welchem Zweck Elopage die Daten speichert und
- welche sonstigen Rechte und Pflichten beide Parteien haben.
Datenschutzerklärung anpassen
Mit einem Account bei Elopage geben Händler personenbezogene Daten an einen Dritten weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie in einfach verständlicher Sprache aufführen,
- zu welchem Zweck sie über Elopage personenbezogene Daten sammeln,
- wie lange sie die Daten speichern,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
- dass sie für die Datenweitergabe mit Elopage einen AV-Vertrag geschlossen haben.
Daneben sollten Händler Kunden auch darauf hinweisen, dass sie der Datenverarbeitung durch Elopage jederzeit widersprechen können. Das gilt jedoch nicht für die Daten, die Elopage benötigt, um einen Kauf abzuwickeln. Dazu gehören zum Beispiel wichtige Vertragsdaten wie Name und Zahlungsdetails.
Datenschutzerklärung bei EloPage anlegen
Händler haben die Möglichkeit, bei EloPage eine eigene Datenschutzerklärung für den Verkauf ihrer Produkte auf der Plattform anzulegen. Das sollten Händler nutzen. Auf diese Weise können sie User noch auf Elopage darüber aufklären, was mit ihren Daten bei einem Kauf passiert.
Rechtsprechung zu Elopage
Zu Elopage liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Da für den Einsatz der Plattform jedoch ein AV-Vertrag notwendig ist, sollten Händler diese Entscheidungen beachten:
Datenschutzbehörde Hamburg zum AV-Vertrag
Schließen Unternehmen keinen AV-Vertrag, wenn sie personenbezogene Daten zur Verarbeitung an einen Dritten weitergeben, droht ihnen ein Bußgeld. Per Gesetz kann dies bei bis zu 10 Millionen Euro oder 2 Prozent ihres Jahresumsatzes liegen.
Im Dezember 2018 musste ein deutsches Unternehmen daher eine Strafe in Höhe von 5.000 Euro zzgl. Gebühren zahlen. Der Grund: Es hatte mit einem spanischen Postdienstleister zusammengearbeitet. Dieser konnte auf personenbezogene Kundendaten des deutschen Unternehmens zugreifen. Einen AV-Vertrag schlossen die beiden Parteien jedoch nicht. Das deutsche Unternehmen sah sich dafür nicht verantwortlich.
Der Hessische Datenschutzbeauftragte wies das deutsche Unternehmen daher daraufhin, dass beide Seiten für einen AV-Vertrag verantwortlich seien. Darauf reagierte das Unternehmen jedoch nicht. Der Fall landete vor der Hamburger Datenschutzbehörde. Sie sah in diesem Verhalten einen Verstoß gegen die DSGVO. Sie sprach daher das Bußgeld aus.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Ein AV-Vertrag schafft die notwendige Rechtsgrundlage, um Daten rechtssicher von einem Dritten verarbeiten zu lassen. Der Fußballclub VfB Stuttgart verpasste es, einen entsprechenden Vertrag abzuschließen, als er mit mehreren Dienstleistern kooperierte. Diese verarbeiteten für den Club mehrere tausend Mitgliederdaten. Das wertete die Datenschutzbehörde Baden-Württemberg als DSGVO-Verstoß. Sie sprach daher im März 2021 ein Bußgeld von 300.000 Euro gegen den Verein aus.