DSGVO in der Praxis: Weitergabe von E-Mailadressen an Paketdienstleister (DHL, DPD & Co.) zur Paketankündigung
Der Schutz von Kundendaten ist spätestens seit Inkrafttreten der DSGVO am 25. Mai 2018 grundsätzlich im Bewusstsein der Online-Händler angekommen. Doch wie verhält es nich nach den neuen datenschutzrechtlichen Vorgaben mit der Weitergabe von Daten an Paketdienstleister bzw. Speditionen? Was muss ein Online-Händler unternehmen, wenn die E-Mailadresse zu Paketankündigungszwecken weitergegeben werden soll? Lesen Sie hierzu unseren neuen Beitrag:
Inhaltsverzeichnis
Die Versendung von E-Mails zum "Versandstatus" bzw. zur "Paketankündigung" ist sehr beliebt
Die Ankündigung von Paketlieferungen (beim Paketversanddienstleister DPD auch "Predict-Service" genannt) erfreut sich überaus großer Beliebtheit. Nur zu gerne übermitteln Online-Händler die vom Kunden erhaltene E-Mail-Adresse an den verwendeten Paketdienstleister, damit dieser den Kunden über die bevorstehende Zustellung der bestellten Warenlieferungen per E-Mail informiert. Dass diese Unterrichtung des Kunden durchaus informativ ist und einen Mehrwert bietet, kann jedoch nicht darüber hinwegtäuschen, dass mit dieser mittlerweile sehr weit verbreiteten Praxis die Frage einhergeht, ob diese Übermittlung der E-Mail-Adresse des Kunden ohne weiteres rechtlich nach der Datenschutz-Grundverordnung (DSGVO) zulässig ist?
Zur Vertragsdurchführung notwendige Daten (Anschriftsdaten bei Paketware, zusätzl. Telefonnummer bei Speditionsware)
Im Rahmen des Vertragsschlusses zwischen Händler und Verbraucher im Internet ist die Versendung an den Wohnsitz des Käufers regelmäßig Vertragsbestandteil eines solchen Versendungskaufs. Das mit der DSGVO etablierte „Verbot mit Erlaubnisvorbehalt“ lässt eine Datenweitergabe nur zu, sofern diese explizit gesetzlich geregelt ist oder eine Einwilligung seitens des Betroffenen vorliegt. Die DSGVO erlaubt die Datenverarbeitung dann, wenn dies zwingend erforderlich ist, um einen Vertag zu erfüllen.
Fraglich ist daher, welche Daten zur Vertragserfüllung erforderlich sind, so dass eine Verarbeitung gesetzlich privilegiert ist und ohne eine Einwilligung des Betroffenen einholen zu müssen.
Um die bestellte Ware an den Käufer ausliefern zu können, wird die Empfänger-Anschrift zwingend benötigt. Die Gesetzesgrundlage für die Weitergabe der Anschrift des Empfängers ohne Einholung dessen Einwilligung ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b DSGVO:
"(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(…)
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (…)"
Danach ist die Weitergabe der Anschriftsdaten für die Erfüllung des Vertrags (Lieferung der bestellten Ware) erforderlich - denn ohne Anschrift ist im Rahmen eines Versendungskaufs keine Lieferung möglich. Bei der Versendung von Paketwaren ist daher die Weitergabe von Anschriftsdaten gesetztlich erlaubt gemäß Art. 6 Abs. 1 S. 1 lit.b DSGVO, es bedarf in diesem Fall keiner Einwilligung des Kunden.
Bei Waren, die per Spedition versendet werden, ist neben den Anschriftsdaten auch die Weitergabe der Telefonnummer zur Vertragserfüllung gemäß Art. 6 Abs.1 S.1 lit. b DSGVO notwendig, da per Telefon der Liefertermin mit dem Kunden abgestimmt wird.
Weitergabe der E-Mailadresse (zu Ankündigungszwecken)
Der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO muss im besonderen Maße im Zusammenhang mit der Frage, ob die E-Mailadresse an Paketdienstleister weitergeleitet werden darf, beachtet werden. Auch die Weitergabe der E-Mailadresse zu (Paket-)Ankündigungszwecken muss daher datenschutzrechtlich gerechtfertigt sein. Eine Rechtfertigung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO ist nicht möglich, da die Weitergabe der E-Mailadresse zu Paketankündigungszwecken nicht erforderlich ist.
Fraglich ist, ob als Rechtsgrundlage für die Weitergabe der E-Mailadresse die sog. berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) herangezogen werden können. Einige Paketdienstleister stellen sich auf den Standpunkt, dass die Weitergabe der E-Mailadresse auf die berechtigten Interessen gestützt werden könnte. Der Paketdienst DPD informiert diesbezüglich in seiner "Ergänzenden Information zur Datenschutzbewertung Predict" wie folgt:
"(...) Die Übermittlung der Daten erfolgt sowohl im berechtigten Interesse des Versenders (Verantwortlichen) als auch des Versanddienstleisters DPD (Dritten) zur Vermeidung von Falschzustellungen (also u.a. auch zum Schutz des Postgeheimnisses) und zur kundenfreundlichen Ausgestaltung des Lieferzeitpunkts und -orts. Schutzwürdige Interessen des Empfängers oder dessen Grundrechte und Grundfreiheiten werden dadurch nicht beeinträchtigt. Im Gegenteil dient die Datenübermittlung gerade auch den Interessen des Empfängers. Der Empfänger kann zudem jederzeit beim Versender und bei DPD Widerspruch gegen diese Datenverarbeitung, über die er durch die Datenschutzhinweise des Versenders informiert wurde, erheben und somit sein Recht auf informationelle Selbstbestimmung wahrnehmen. (...)"
Die DSK sieht das allerdings in Ihrem Beschluss vom 23.03.2018 (Übermittlung von E-Mail-Adressen durch Onlineversandhändler an Postdienstleister) gegenteilig:
"Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig. Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar. Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO verneint."
Ob die Weitergabe der E-Mailadressen auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden kann, ist äußerst umstritten. Letztverbindlich werden es sodann die Gerichte zu entscheiden haben, ob die berechtigten Interessen als Rechtfertigung für die Weitergabe der E-Mailadressen an Paketdienstleister fungieren können. Bis eine solche abschließende Klärung erfolgt ist, raten wir allen Online-Händlern den sichersten Weg zu beschreiten. Dies setzt voraus, dass eine Einwilligung (Art. 6 Abs.1 S. 1 lit. a DSGVO) des betroffenen Kunden eingeholt wird, um die Weitergabe der E-Mailadresse zu legitimieren.
Bereits das Bayerische Landesamt für Datenschutz und der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hatten zur alten Rechtslage die Auffassung vertreten, dass eine Weitergabe der E-Mailadressdaten nur mit Einwilligung erfolgen kann.
Problem: Auf Plattformen (wie z.B. eBay, Amazon, etc.) ist es für den Online-Händler nicht möglich eine Einwilligung zur E-Mailadressweitergabe einzuholen. In diesen Fällen bleibt betroffenen Händlern nur zu raten, auf die Weitergabe der E-Mailadressen an Paketdienstleister zu verzichten.
Praxishinweis der IT-Recht Kanzlei
Bei der Versendung von Paketwaren ist die Weitergabe der Adressdaten des Kunden datenschutzrechtliche zulässig. Bei Speditionswaren ist sogar die Weitergabe der Telefonnummer an die Spedition datenschutzrechtlich erlaubt, da die Telefonnummer erforderlich ist, um einen Liefertermin mit dem Kunden abzustimmen.
Online-Händler, die Kunden-E-Mail-Adressen an Paketdienstleister zum Zwecke der Übermittlung von "Versandstatus-" bzw. "Paketankündigungs-"E-Mails weitergeben möchten, dürfen dies unter Geltung der DSGVO nur mit Einwilligung des Betroffenen Kunden vornehmen! Um den datenschutzrechtlichen Vorgaben für die Weitergabe der Kunden- E-Mail-Adressen im ausreichenden Maße nachzukommen, haben Online-Händler im Rahmen des Bestellvorgangs eine transparente Einwilligung des Kunden einzuholen (z.B. durch einen Einwilligungstext mit sogenannter "Check-Box") und darüber hinaus im Rahmen der Datenschutzerklärung über die Datenerhebung und -weitergabe ausreichend zu informieren.
Die Einholung einer Einwilligung ist auf Plattformen (wie z.B. eBay, Amazon, etc.) nicht möglich, daher sollte in diesen Fällen von der Weitergabe der E-Mailadressen zur (Paket-)Ankündigungszwecken abgesehen werden.
Noch kein Mandant und Interesse an unseren sicheren Rechtstexten für den Verkauf Ihrer Waren im Online-Handel? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. nur 5,90 € erhältlich).
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© Matthias Enter - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
11 Kommentare
Wozu also braucht der Verkäufer von Versandware auf eBay meine E-Mail-Adresse und Telefonnummer?
Als langjähriges Mitglied auf eBay stelle ich auch fest, dass Privatpersonen niemals die E-Mail-Adresse des jeweiligen Vertragspartners offengelegt wird, gewerblichen Akteuren dahingegen standardmäßig. Wenn ich als Privatperson etwas verkaufe oder kaufe, dann kriege ich im Rahmen der Kaufabwicklung nie die E-Mail-Adresse oder Telefonnummer des Käufers, bzw. Verkäufers offengelegt. Gewerbliche Verkäufer hingegen kriegen meine E-Mail-Adresse standardmäßig offengelegt.
Insbesondere auf E-Bay ist es auch möglich, Waren im europäischen Ausland zu kaufen. Dort gibt es derartige Gesetze, wie die DSGVO, in der Regel nicht. Es passiert demnach sehr häufig, dass die E-Mail-Adresse von ausländischen Verkäufern für Werbungen und Spam verwendet wird oder an dafür spezialisierte (Spam-)Unternehmen veräußert werden. Hat eBay hier nicht eine besondere Verantwortung und unterliegt es nicht einer besonderen Sorgfaltspflicht? Denn wenn meine Daten einmal außerhalb des von der DSGVO geschützten Raumes gelangt sind, kann man sie nicht mehr "einfangen".
Persönlich empfinde ich die pauschalisierte Weitergabe meiner E-Mail-Adresse und Telefonnummer durch eBay an gewerbliche Verkäufer höchst problematisch.
Also, wer in seinem Shop diese tolle Checkbox hat: Prima! Der halbe Weg ist gegangen. Nun "nur" noch sicherstellen, dass es auch möglich ist, diese NICHT anzuhaken. Und wer eine Ja-/Nein-Filterung im Shop nicht technisch korrekt umsetzen kann, sollte eben komplett auf die Übergabe der E-Mail-Adressen u./o. Telefonnummern verzichten! Praxistipp von mir: einfach eine eigene E-Mail-Adresse übergeben. Oder anderweitig kreativ sein. Unternehmer:innen sollten angetreten sein, etwas zu unternehmen, nicht zu unterlassen.
--> wenn Fahrer für diese Paket-Dienste oder Spedition ein privates Handy mit den Adress-Daten und Tel.Nr. des Liefer-Adressaten bei der Auslieferung verwenden, und sich darauf illegale Software befindet, die diese sämtlichen Daten unkontrolliert aus dem Kontakt-Speicher in datenschutzlose Drittländer übermittelt (z.B. 'WhatsApp'.. etc.)?
Dürfen dabei solche privaten Geräte/Einstellungen benutzt werden? Müssen/dürfen ausschließlich Liefer-Scanner und Quittierungen bei Auslieferung dafür immer auf Geschäfts-Geräten der Dienste genutzt werden?
Ich gehe davon aus, dass das in dieser Weise rechtskonform ist?
wie sieht es denn aus mit Expresslieferungen?
Die Versandportale verlangen da auch zwingend eine Telefonnummer.
Gilt hier auch das Gleiche wie bei der Speditionsregelung?Marco Quirino
Die Mails von DPD lasse ich mir an eine der Bestellung zugeordnete E-Mail-Adresse schicken und leite sie automatisiert an die Kunden weiter.
Ist etwas Programmieraufwand, funktioniert aber seit 2 Monaten tadellos.
Herzliche Gruesse und vielen Dank für die nützlichen Informationen.