Zu Zeiten von Online-Shops bestellen viele Internetnutzer die benötigten Waren im Internet. So sind 2017 laut Bundesverband E-Commerce und Versandhandel Deutschland e.V. fast 13 % des Gesamtvolumens im Einzelhandel, per Telefon, per Internet oder über andere Fernkommunikationsmittel bestellt worden. Um den Besteller über die Ankunft des Päckchens zu informieren, verschicken die Online-Shop-Betreiber sogenannte Tracking-Mails, in denen man über den Versandstatus informiert wird. Doch oft kommt diese E-Mail auch direkt von den Paketzulieferern, da sich die Shop-Betreiber in der Praxis viel zu wenig Gedanken machen, wie leichtfertig sie personenbezogene Kundendaten weitergeben. Doch gerade mit Blick auf die DSGVO, die ab dem 25.05.2018 gilt und horrende Bußgelder bei Verstößen vorsieht, ist dies ein Thema, das die Online-Händler aufhorchen lassen sollte.

Rechtliche Grundlage

Bisher war die rechtliche Lage bei den Händlern noch relativ unsicher. Für die Weitergabe der E-Mail-Adresse an einen Dritten, kommen zwei Rechtsgrundlagen in Betracht. Zum einen die Übermittlung zur Vertragserfüllung und zum anderen das berechtigte Interesse des Shop-Betreibers:

  • Gemäß § 28 Absatz 1 Nr. 1 Bundesdatenschutzgesetz ist „das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke [dann] zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.“ Außerdem ist der Umfang der Datenübermittlung auf ein Mindestmaß zu beschränken. Ähnlich sieht es nun auch die DSGVO vor. Art. 6 lit. b) besagt, dass die Verarbeitung nur rechtmäßig ist, wenn „die Verarbeitung [..] für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen;“

Die Übermittlung der E-Mail-Adressen an den Postdienstleister stellt aber keine Verarbeitung dar, die zur Erfüllung eines Vertrages bzw. Schuldverhältnisses notwendig ist. Es handelt sich dabei um eine „Service-Leistung“ von Seiten des Händlers, um den Besteller über den Versandstatus zu informieren.

  • Somit käme lediglich ein berechtigtes Interesse im Sinne des 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 lit. f) DSGVO in Betracht. Hier muss abgewogen werden, ob das Interesse des Händlers, diesen Service durch den Paketlieferanten zu ermöglichen und nicht selbst durchzuführen, größer ist, als das Interesse des Bestellers auf informationelle Selbstbestimmung. Dies wurde bereits von mehreren Landesdatenschutzbehörden verneint.

Diese Meinung wurde nun durch den Beschluss der DSK vom 23.03.2018 bestätigt. Demnach ist „[d]ie Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister […] nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig. Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar. Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO verneint.“

Fazit

Demnach ist zukünftig die Versendung einer Tracking-Mail entweder vom Händler selbst durchzuführen, oder aber eine Einwilligung des Betroffenen zur Weitergabe der E-Mail-Adresse an den Postdienstleister einzuholen. Dies kann durch eine Opt-In Checkbox geschehen, die vom Kunden aktiviert werden muss. Außerdem ist in diesem Falle eine Klausel in die Datenschutzerklärung aufzunehmen, die auf die Weitergabe an den Paketlieferanten hinweist.

| | , | , ,