Im Online-Handel erfreut sich das sog. Dropshipping als Verkaufs- und Vertriebsmodell zunehmender Beliebtheit. In diesem Blogbeitrag soll der Frage nachgegangen werden, welche datenschutzrechtlichen Anforderungen an das Dropshipping zu stellen sind.

Was ist Dropshipping?

Der deutsche Begriff für Dropshipping ist Streckengeschäft oder Direkthandel. Dabei handelt es sich um ein Vertriebsmodell im (Online-)Handel, an dem drei Parteien beteiligt sind:

  • (End-)Kunde: Bestellt die Ware beim Verkäufer.
  • Verkäufer: Hat die Ware nicht auf Lager und beauftragt den Hersteller/Großhändler mit der Lieferung.
  • Hersteller/Großhändler: Liefert die Ware von seinem Lager direkt an den Endkunden.

Bei einem Dropshipping nimmt der Verkäufer nur noch die Rolle eines Vermittlers ein, der die Bestellungen seiner Kunden entgegennimmt und diese direkt an den jeweiligen Lieferanten weiterleitet. Dieser übernimmt dann die Auslieferung der Ware an den Endkunden. Für den Endkunden ist der Prozess oft nicht erkennbar. Die Betreiber von Onlineshops profitieren vor allem davon, dass sie keine Lagerfläche benötigen und nicht Gefahr laufen, auf der Ware „sitzen zu bleiben“.

Datenverarbeitung beim Dropshipping

Beim (Online-)Kauf von Waren werden zwangsläufig personenbezogene Daten des Endkunden verarbeitet. So benötigt der Verkäufer i. d. R. den Namen und die Anschrift des Käufers sowie die Art und Menge der bestellten Ware, um die Bestellung abwickeln zu können. Diese Datenerhebung und -verarbeitung kann grundsätzlich auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, der eine Datenverarbeitung erlaubt, soweit sie für die Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen erforderlich ist.

Beim Dropshipping werden die personenbezogenen Daten des Käufers zudem an einen Lieferanten übermittelt, damit dieser die Ware ausliefern kann. Eine solche Verarbeitung von personenbezogenen Daten durch einen externen Dienstleister wirft stets die Frage auf, ob ein Auftragsverarbeitungsvertrag abgeschlossen werden muss.

Abschluss eines Auftragsverarbeitungsvertrages?

Um das Ergebnis vorwegzunehmen: Der Abschluss eines Auftragsverarbeitungsvertrages ist beim Dropshipping grundsätzlich nicht erforderlich (wir berichteten).

Wesentliches Merkmal einer Auftragsverarbeitung ist das fehlende Eigeninteresse des Dritten an den personenbezogenen Daten sowie die weisungsgebundene Verarbeitung.

Beim Dropshipping hat der Lieferant regelmäßig ein Eigeninteresse an den Daten, da er durch die Verarbeitung der Daten im Rahmen der Lieferung seine vertraglichen Pflichten gegenüber dem (Online-)Händler erfüllt und einen Zahlungsanspruch auslöst. Die Dienstleistung des Lieferanten bezieht sich hierbei konkret auf einen Datensatz, während bei einer Auftragsverarbeitung die Datenverarbeitung nur Mittel zum Zweck ist. Ein Beispiel ist die Aktenvernichtung: Vernichtung von Daten, ohne das der Dienstleister selbst jedes Datum zur Kenntnis nehmen muss.

Zudem fehlt es auch an einer Weisungsabhängigkeit (Art. 29 DSGVO). Der Lieferant hat eigene logistische Prozesse initiiert, mit denen er die Auftragsabwicklung und den Versand der Ware am effektivsten realisiert. Der Verkäufer kann diesbezüglich allenfalls marginale Vorgaben machen.

Mit einem anderen Argumentationsansatz lehnte auch die damalige Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer FAQ zur Auftragsverarbeitung nach Art. 28 DSGVO (Stand: 24. August 2022) die Annahme eines Auftragsverarbeitungsverhältnisses zwischen dem Verkäufer und dem Lieferanten ab (S. 5 f.). So könne eine Auftragsverarbeitung verneint werden, wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt und insoweit nur ein „ungewolltes Beiwerk“ darstellt. Der ErwG 81 zur DSGVO sehe vor, dass der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten „betrauen“ muss. Dies kann dann verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist bzw. nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung des Auftragnehmers darstellt. Bei einem Dropshipping seien diese Voraussetzungen i. d. R. erfüllt.

Folgen der Einordnung und weitere datenschutzrechtliche Pflichten

Die fehlende Einordnung des Dropshipping als Auftragsverarbeitung hat zur Folge, dass es für die Datenverarbeitung durch den Lieferanten einer „eigenen“ Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf. Hier kommt ebenfalls Art. 6 Abs. 1 lit. b DSGVO in Betracht. Die Verarbeitung der Kundendaten durch den Lieferanten ist erforderlich, um die bestellte Ware zu liefern und letztlich den Vertrag zwischen dem Endkunden und dem Verkäufer zu erfüllen.

Wichtig ist dabei, dass nur die Daten an den Lieferanten übermittelt werden dürfen, die für die Auslieferung der Ware tatsächlich erforderlich sind. Dies sind meist der Name und die Anschrift des Kunden sowie die Art und Menge der bestellten Ware. Die Weitergabe weiterer Informationen (z. B. Telefonnummer, E-Mail-Adresse) wäre nur mit einer ausdrücklichen und informierten Einwilligung der Endkunden zulässig.

Auf Seiten des Verkäufers besteht zudem die Pflicht, die Endkunden bereits zum Zeitpunkt der Datenerhebung über die Empfänger oder Kategorien von Empfängern zu informieren (Art. 13 Abs. 1 lit. e DSGVO). Die Datenschutzhinweise für die Endkunden sollten daher um einen Textabschnitt ergänzt werden, der über die Weitergabe der personenbezogenen Daten an einen externen Lieferanten informiert.

Fazit

Beim Dropshipping haben Verkäufer die datenschutzrechtlichen Vorgaben zu beachten. Wird keine Einwilligung der Kunden eingeholt, dürfen nur die Daten an den Lieferanten übermittelt werden, die für die Auslieferung der Ware unbedingt erforderlich sind. Darüber hinaus müssen die Endkunden in den Datenschutzhinweisen über den Datentransfer informiert werden. Dagegen ist der Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO grundsätzlich nicht erforderlich.

| | | , , , , , , , , , , , ,