Mit dieser Frage befasste sich die Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD) anlässlich einer Beschwerde (Tätigkeitsbericht 2024 des ULD, S. 72): Ein Kunde hatte nach einer Onlinebestellung eine E-Mail mit Informationen zu deren Lieferstatus von einem Paketdienstleister erhalten, ohne zuvor in die Übermittlung seiner E-Mail-Adresse eingewilligt zu haben.
Fehlende Rechtsgrundlage für die Weitergabe
Das ULD reagierte im Rahmen seines aufsichtsbehördlichen Prüfverfahrens mit einem Hinweis (gemäß Art. 58 Abs. 1 lit. d DSGVO). Die Datenweitergabe durch den Onlineshop-Betreiber an den Paketdienstleister könne nicht auf die Rechtsgrundlage in Art. 6 Abs. 1 S. 1 lit. b DSGVO (Erforderlichkeit zur Durchführung eines Vertrags) gestützt werden, da dieser für die Vertragserfüllung (Auslieferung der Bestellung) nur die Adressdaten benötige. Ferner sei es auch nicht möglich, die Übermittlung mit Art. 6 Abs. 1 S. 1 lit. f DSGVO (Erforderlichkeit zur Wahrung eines berechtigten Interesses) zu rechtfertigen. So gebe es mildere Mittel als zumutbare Alternativen für Shops, wie z. B. die Bereitstellung der Lieferinformationen selbst vorzunehmen bzw. einen entsprechenden Sendungsverfolgungslink in die Bestellbestätigung zu integrieren. Der Onlineshop-Betreiber, gegen den sich die Beschwerde richtete, hatte gegenüber dem ULD mit einer technischen Fehleinstellung durch einen Mitarbeiter argumentiert, welche die Übermittlung der E-Mail-Adresse an seinen Paketdienstleister ausgelöst hatte. Anlassbezogen wurde eine (erneute) Sensibilisierung der Beschäftigten im Hinblick auf den Umgang mit Kundendaten vorgenommen.
Meinung der DSK wird bestätigt
Das ULD bestärkt damit die Auffassung, die bereits 2018 von der Datenschutzkonferenz (DSK) veröffentlicht wurde (Beschluss der DSK vom 23.03.2018). Nicht eingegangen wird jedoch auf die Fragestellung, unter welchen Voraussetzungen die Verwendung der E-Mail-Adresse für Benachrichtigungen zum Lieferstatus eines bestellten Artikels – auch ohne Datenweitergabe an einen Paketdienstleister – allgemein zulässig ist.
Allgemeine Rechtmäßigkeit von E-Mails zum Lieferstatus
Grundsätzlich ist zu prüfen, wann derartige E-Mails i. S. d. Art. 6 Abs. 1 S. 1 lit. b DSGVO als erforderlich für die Erfüllung des Vertrags mit dem Onlineshop-Betreiber qualifiziert werden können, wie z. B. bei Lieferung verderblicher Waren oder bei Verspätungen von Bestellungen mit festem Termin. Ohne eine solche Erforderlichkeit käme ein berechtigtes Interesse nach Art. 6 Abs. 1 S. lit. f DSGVO nur dann infrage, wenn nach Abwägung das Interesse des Käufers nicht gegenüber dem Interesse des Onlineshops am Versand von E-Mails mit dem Lieferstatus überwiegt. Hierbei sind wiederum bspw. die Häufigkeit der E-Mails einzubeziehen und das Widerspruchsrecht aus Art. 21 DSGVO zu berücksichtigen.
Bei der Gestaltung der E-Mail(s) ist zudem Folgendes zu beachten: Spätestens dann, wenn diese Mail werbliche Inhalte umfasst, ist regelmäßig eine Einwilligung des Käufers einzuholen, sollte sich nicht auf die Ausnahmevorschrift für E-Mail-Werbung ohne Einwilligung in 7 Abs. 3 UWG berufen werden können. Ferner müssen die betroffenen Personen immer gemäß Art. 13 DSGVO über die Datenverarbeitung informiert werden.