von RA Jan Lennart Müller und Daniel Röder

DSGVO in der Praxis: Weitergabe von E-Mailadressen an Paketdienstleister (DHL, DPD & Co.) zur Paketankündigung

News vom 09.07.2018, 15:33 Uhr | 6 Kommentare 

Der Schutz von Kundendaten ist spätestens seit Inkrafttreten der DSGVO am 25. Mai 2018 grundsätzlich im Bewusstsein der Online-Händler angekommen. Doch wie verhält es nich nach den neuen datenschutzrechtlichen Vorgaben mit der Weitergabe von Daten an Paketdienstleister bzw. Speditionen? Was muss ein Online-Händler unternehmen, wenn die E-Mailadresse zu Paketankündigungszwecken weitergegeben werden soll? Lesen Sie hierzu unseren neuen Beitrag:

Die Versendung von E-Mails zum "Versandstatus" bzw. zur "Paketankündigung" ist sehr beliebt

Die Ankündigung von Paketlieferungen (beim Paketversanddienstleister DPD auch "Predict-Service" genannt) erfreut sich überaus großer Beliebtheit. Nur zu gerne übermitteln Online-Händler die vom Kunden erhaltene E-Mail-Adresse an den verwendeten Paketdienstleister, damit dieser den Kunden über die bevorstehende Zustellung der bestellten Warenlieferungen per E-Mail informiert. Dass diese Unterrichtung des Kunden durchaus informativ ist und einen Mehrwert bietet, kann jedoch nicht darüber hinwegtäuschen, dass mit dieser mittlerweile sehr weit verbreiteten Praxis die Frage einhergeht, ob diese Übermittlung der E-Mail-Adresse des Kunden ohne weiteres rechtlich nach der Datenschutz-Grundverordnung (DSGVO) zulässig ist?

Zur Vertragsdurchführung notwendige Daten (Anschriftsdaten bei Paketware, zusätzl. Telefonnummer bei Speditionsware)

Im Rahmen des Vertragsschlusses zwischen Händler und Verbraucher im Internet ist die Versendung an den Wohnsitz des Käufers regelmäßig Vertragsbestandteil eines solchen Versendungskaufs. Das mit der DSGVO etablierte „Verbot mit Erlaubnisvorbehalt“ lässt eine Datenweitergabe nur zu, sofern diese explizit gesetzlich geregelt ist oder eine Einwilligung seitens des Betroffenen vorliegt. Die DSGVO erlaubt die Datenverarbeitung dann, wenn dies zwingend erforderlich ist, um einen Vertag zu erfüllen.

Fraglich ist daher, welche Daten zur Vertragserfüllung erforderlich sind, so dass eine Verarbeitung gesetzlich privilegiert ist und ohne eine Einwilligung des Betroffenen einholen zu müssen.

Um die bestellte Ware an den Käufer ausliefern zu können, wird die Empfänger-Anschrift zwingend benötigt. Die Gesetzesgrundlage für die Weitergabe der Anschrift des Empfängers ohne Einholung dessen Einwilligung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO:

"(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(…)
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (…)"

Danach ist die Weitergabe der Anschriftsdaten für die Erfüllung des Vertrags (Lieferung der bestellten Ware) erforderlich - denn ohne Anschrift ist im Rahmen eines Versendungskaufs keine Lieferung möglich. Bei der Versendung von Paketwaren ist daher die Weitergabe von Anschriftsdaten gesetztlich erlaubt gemäß Art. 6 Abs. 1 S. 1 lit.b DSGVO, es bedarf in diesem Fall keiner Einwilligung des Kunden.

Bei Waren, die per Spedition versendet werden, ist neben den Anschriftsdaten auch die Weitergabe der Telefonnummer zur Vertragserfüllung gemäß Art. 6 Abs.1 S.1 lit. b DSGVO notwendig, da per Telefon der Liefertermin mit dem Kunden abgestimmt wird.

Premiumpaket

Weitergabe der E-Mailadresse (zu Ankündigungszwecken)

Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO muss im besonderen Maße im Zusammenhang mit der Frage, ob die E-Mailadresse an Paketdienstleister weitergeleitet werden darf, beachtet werden. Auch die Weitergabe der E-Mailadresse zu (Paket-)Ankündigungszwecken muss daher datenschutzrechtlich gerechtfertigt sein. Eine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO ist nicht möglich, da die Weitergabe der E-Mailadresse zu Paketankündigungszwecken nicht erforderlich ist.

Fraglich ist, ob als Rechtsgrundlage für die Weitergabe der E-Mailadresse die sog. berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) herangezogen werden können. Einige Paketdienstleister stellen sich auf den Standpunkt, dass die Weitergabe der E-Mailadresse auf die berechtigten Interessen gestützt werden könnte. Der Paketdienst DPD informiert diesbezüglich in seiner "Ergänzenden Information zur Datenschutzbewertung Predict" wie folgt:

"(...) Die Übermittlung der Daten erfolgt sowohl im berechtigten Interesse des Versenders (Verantwortlichen) als auch des Versanddienstleisters DPD (Dritten) zur Vermeidung von Falschzustellungen (also u.a. auch zum Schutz des Postgeheimnisses) und zur kundenfreundlichen Ausgestaltung des Lieferzeitpunkts und -orts. Schutzwürdige Interessen des Empfängers oder dessen Grundrechte und Grundfreiheiten werden dadurch nicht beeinträchtigt. Im Gegenteil dient die Datenübermittlung gerade auch den Interessen des Empfängers. Der Empfänger kann zudem jederzeit beim Versender und bei DPD Widerspruch gegen diese Datenverarbeitung, über die er durch die Datenschutzhinweise des Versenders informiert wurde, erheben und somit sein Recht auf informationelle Selbstbestimmung wahrnehmen. (...)"

Die DSK sieht das allerdings in Ihrem Beschluss vom 23.03.2018 (Übermittlung von E-Mail-Adressen durch Onlineversandhändler an Postdienstleister) gegenteilig:

"Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig. Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar. Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO verneint."

Ob die Weitergabe der E-Mailadressen auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden kann, ist äußerst umstritten. Letztverbindlich werden es sodann die Gerichte zu entscheiden haben, ob die berechtigten Interessen als Rechtfertigung für die Weitergabe der E-Mailadressen an Paketdienstleister fungieren können. Bis eine solche abschließende Klärung erfolgt ist, raten wir allen Online-Händlern den sichersten Weg zu beschreiten. Dies setzt voraus, dass eine Einwilligung (Art. 6 Abs.1 S. 1 lit. a DSGVO) des betroffenen Kunden eingeholt wird, um die Weitergabe der E-Mailadresse zu legitimieren.

Bereits das Bayerische Landesamt für Datenschutz und der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hatten zur alten Rechtslage die Auffassung vertreten, dass eine Weitergabe der E-Mailadressdaten nur mit Einwilligung erfolgen kann.

Problem: Auf Plattformen (wie z.B. eBay, Amazon, etc.) ist es für den Online-Händler nicht möglich eine Einwilligung zur E-Mailadressweitergabe einzuholen. In diesen Fällen bleibt betroffenen Händlern nur zu raten, auf die Weitergabe der E-Mailadressen an Paketdienstleister zu verzichten.

Praxishinweis der IT-Recht Kanzlei

Bei der Versendung von Paketwaren ist die Weitergabe der Adressdaten des Kunden datenschutzrechtliche zulässig. Bei Speditionswaren ist sogar die Weitergabe der Telefonnummer an die Spedition datenschutzrechtlich erlaubt, da die Telefonnummer erforderlich ist, um einen Liefertermin mit dem Kunden abzustimmen.

Online-Händler, die Kunden-E-Mail-Adressen an Paketdienstleister zum Zwecke der Übermittlung von "Versandstatus-" bzw. "Paketankündigungs-"E-Mails weitergeben möchten, dürfen dies unter Geltung der DSGVO nur mit Einwilligung des Betroffenen Kunden vornehmen! Um den datenschutzrechtlichen Vorgaben für die Weitergabe der Kunden- E-Mail-Adressen im ausreichenden Maße nachzukommen, haben Online-Händler im Rahmen des Bestellvorgangs eine transparente Einwilligung des Kunden einzuholen (z.B. durch einen Einwilligungstext mit sogenannter "Check-Box") und darüber hinaus im Rahmen der Datenschutzerklärung über die Datenerhebung und -weitergabe ausreichend zu informieren.

Die Einholung einer Einwilligung ist auf Plattformen (wie z.B. eBay, Amazon, etc.) nicht möglich, daher sollte in diesen Fällen von der Weitergabe der E-Mailadressen zur (Paket-)Ankündigungszwecken abgesehen werden.

Bildquelle:
© Matthias Enter - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt
Unter Mitwirkung von:
Daniel Röder
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Herr

11.07.2018, 11:24 Uhr

Kommentar von Marco Quirino

Hallo, wie sieht es denn aus mit Expresslieferungen? Die Versandportale verlangen da auch zwingend eine Telefonnummer. Gilt hier auch das Gleiche wie bei der Speditionsregelung?Marco Quirino

Verschlüsselte E-Mail Adressen

11.07.2018, 09:46 Uhr

Kommentar von Cenco

Wie sieht das mit den verschlüsselten E-Mail Adressen auf Amazon oder anderen Portalen aus hier sind die tatsächlichen Daten gar nicht erkennbar? Hier wird so weit ich weiß auch keine E-Mail an den...

Praxistipp für Online-Shops

11.07.2018, 09:02 Uhr

Kommentar von Peter Kahlhorn

Meine Kunden bekommen die E-Mails DSGVO-konform von DPD, ohne dass ich eine Einwilligung zur Weitergabe der Adressen einhole. Die Mails von DPD lasse ich mir an eine der Bestellung zugeordnete...

Ebay an DHL

11.07.2018, 09:02 Uhr

Kommentar von Kate

Auf der DHL-Plattform wird die E-Mail-Adresse des Empfängers importiert und angezeigt. Somit wird diese an DHL weitergegeben. Auf dem gedruckten Label steht diese nicht mehr. Das ist dann eine Sache...

Wünschenswert

11.07.2018, 06:23 Uhr

Kommentar von Christiana Kohn

Es wäre wirklich wünschenswert, wenn sich die Versandunternehmen endlich an geltendes Recht halten würden. Es regt mich schon lange auf, das meine Mail ungefragt weitergegeben wird. Aber leider hat...

Herr

11.07.2018, 03:09 Uhr

Kommentar von Michael Lüddemann

Ich bin der Meinung, dass es doch sehr vorteilhaft für alle ist E-Mailadressen an Paketdienstleister zur Ankündigung weiter zu geben, es sollte sogar ein MUSS sein. Weil, in der Praxis tausende Paket...

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller