Handelslogistik: Eine Frage von Datenschutz und Kommunikation

Noch fehlende DSGVO-Rechtsprechung sorgt für Spannung.
Ein Zustellfahrzeug auf dem Weg zum Kunden: Onlinehändler und Paketdienstleister setzen sich mit der DSGVO und Fragen der Versandkommunikation auseinander. (Foto: mphoto/Fotolia)
Ein Zustellfahrzeug auf dem Weg zum Kunden: Onlinehändler und Paketdienstleister setzen sich mit der DSGVO und Fragen der Versandkommunikation auseinander. (Foto: mphoto/Fotolia)
Matthias Pieringer

Ab dem 25. Mai 2018, mit dem Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO), gilt auch der Beschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), die am 23. März entschieden hatten, dass Onlinehändler E-Mail-Adressen ihrer Kunden nur noch mit deren Einwilligung an Postdienstleister übermitteln dürfen. Darauf wies kürzlich der Versandkommunikationsdienstleister ParcelLab GmbH, München, in einer Pressemitteilung hin. „Kurz gesagt: Die gängigen Versandbenachrichtigungen von DHL, Hermes und Co. über den Verbleib von Paketen dürfen ohne eine zusätzliche Einwilligung so nicht mehr verschickt werden”, sagte Tobias Buxhoidt, Geschäftsführer und Mitgründer von ParcelLab. Die Weitergabe von E-Mail-Adressen an die Postdienstleister gilt ParcelLab zufolge nach Ansicht der DSK nicht als berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Zur Interessenswahrung der Onlinehändler sei es nicht erforderlich, da ihnen durchaus zuzumuten sei, die Tracking- und Versandnachrichten selbst an die Kunden zu schicken.

Fünf Möglichkeiten für Onlinehändler

„Im Prinzip heißt das für Onlinehändler, dass sie ab dann fünf Möglichkeiten haben, auf diesen Beschluss zu reagieren: Sie könnten ihn ignorieren, die Adressdaten ihrer Kunden einfach nicht mehr weitergeben oder ein zusätzliches Opt-in in den Checkout-Prozess einbauen. Besser wäre es allerdings, die Versandkommunikation entweder selbst zu übernehmen oder sie über eine White-Label-Lösung zu steuern“, sagte ParcelLab-Geschäftsführer Buxhoidt, dessen Unternehmen zu den Anbietern einer White-Label-Lösung zählt. Als Auftragsverarbeiter fungiert der Dienstleister dabei nach ParcelLab-Angaben im Hintergrund quasi als verlängerter Arm des Händlers. Die Datenverarbeitung werde mittels eines Auftragsverarbeitungsvertrags nach der DSGVO geregelt. Der White-Label-Dienstleister sei gegenüber dem Händler weisungsgebunden und gelte damit nicht als „Dritter“ gemäß der DSGVO. Die Kommunikation finde im Namen des Händlers statt.

„Wenig überraschend“

„Der Beschluss der Datenschutz-Aufsichtsbehörden ist wenig überraschend. Bereits in der Vergangenheit hatten sich ausgewählte Aufsichtsbehörden entsprechend geäußert“, sagte Sebastian Schulz, Leiter Rechtspolitik & Datenschutz beim Bundesverband E-Commerce und Versandhandel Deutschland e.V. (bevh), kürzlich auf Anfrage von LOGISTIK HEUTE zum Thema. In der Praxis umgesetzt werden könne diese Vorgabe entweder über eine zusätzliche Checkbox im Check-Out-Prozess (vorzugswürdig) oder über einen Zusatz zu der üblicherweise schon heute verwendeten Checkbox, über die die Datenschutzerklärung „akzeptiert“ wird (wohl vertretbar). „Wird die zweitgenannte Variante gewählt, müsste der Passus allerdings zumindest wie folgt ergänzt werden: ‚Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und ich willige in die darin beschriebenen Datenverarbeitungen ein‘. Zudem müsse, so Rechtsanwalt Schulz, in der Datenschutzerklärung ein Hinweis gegeben werden, wie der Kunde vor Abschluss des Kaufvertrages das etwa nicht vorhandene Einverständnis gegenüber dem Händler artikulieren könne, beispielsweise durch Angabe einer konkreten Kontaktmöglichkeit.

„Am Ende werden die Gerichte zu entscheiden haben“

„Auch für diesen Beschluss der Aufsichtsbehörden gilt, dass das ‚Ob‘ als auch das ‚Wie‘ der Umsetzung der aufsichtsbehördlichen Vorgaben letztlich einer unternehmensinternen Risikoabwägung vorbehalten ist“, fügte bevh-Experte Schulz hinzu. „So sprechen durchaus gute Argumente dafür, dass auch weiterhin eine Weitergabe der E-Mail-Adresse an Logistikdienstleister allein zu dem Zweck des Versands eines Zustellavis auch außerhalb des Vorliegens einer konkreten Einwilligung zulässig ist. Am Ende werden die Gerichte zu entscheiden haben.“

Standpunkt von DHL Paket

„Die DHL Paket GmbH vertritt die Auffassung, dass die Weitergabe der E-Mail-Adresse durch einen Versandhändler an die DHL Paket GmbH zum Zwecke der Paketankündigung unter Berücksichtigung der datenschutzrechtlichen Anforderungen entweder auf Grundlage der Interessenabwägungsklausel oder mit Einwilligung des Betroffenen datenschutzrechtlich zulässig ist“, teilte ein Pressesprecher der Deutsche Post DHL Group am 15. Mai auf LOGISTIK HEUTE-Anfrage mit. „Dass diese Datenweitergabe zur Wahrung berechtigter Interessen der DHL Paket GmbH erforderlich ist und kein Grund zu der Annahme besteht, dass die schutzwürdigen Interessen des Betroffenen überwiegen, wird durch die Ergebnisse der DHL Customer Journey Studie (2015) und einem externen Rechtsgutachten bestätigt. Gemäß dieser Auslegung könnten Versandhändler die E-Mail-Adresse zum Zweck der Paketankündigung auf gesetzlicher Grundlage weitergeben. Gleichwohl können Versandhändler die Datenverarbeitung auch auf eine Einwilligung stützen und hier eine sichere Rechtsgrundlage heranziehen.“ Aus diesem Grund werde die DHL Paket GmbH mit der zuständigen Aufsichtsbehörde Kontakt aufnehmen, um eine bestmögliche, künftige Vorgehensweise zu klären.

Auskunftspflicht: Hermes rechnet mit stärkerer Einforderung

Der Logistikdienstleister Hermes verweist auf die „seit vielenJahren sehr hohenDatenschutzstandards“ für Paketdienstleistungen und sieht sich bei der neuen Datenschutzverordnung (DSGVO) eher in punkto Auskunftspflicht betroffen, „die mit Inkrafttreten des Gesetzes stärker eingefordert werden wird. Gleichwohl haben wir bereits vor Monaten umfangreiche Prozesse in Gang gebracht, mit denen wir unsere bestehenden Systeme nicht nur umfänglich an allen relevanten Stellen prüfen, sondern auch modernisieren. Erste Treffen der Projektgruppen gab es bereits kurz nach Beschluss der Verordnung im Jahr 2016. Insofern trifft uns das Thema nicht unerwartet“, sagte ein Unternehmenssprecher vor Kurzem gegenüber LOGISTIK HEUTE. Auch dass Kunden Einblick in ihre Daten verlangen würden, sei nicht gänzlich neu, „wenngleich wir davon ausgehen, dass mit Inkrafttreten der DSGVO der Mehraufwand deutlich steigen dürfte. Um diesem langfristig begegnen zu können, stehen für uns speziell die Automatisierung und Standardisierung bestehender Prozesse sowie ein viel stärker standardisierter Informationsfluss im Fokus.“

Herausfordernd werde es „für uns – und vermutlich alle anderen Dienstleister ebenso – dann, wenn eine besonders hohe Datenschutzsensibilität und onlinegestützte Services zusammenkommen“, äußerte sich der Hermes-Sprecher. „Bekanntlich geht der Trend im Paketversand dahin, den Kunden online jederzeit darüber in Kenntnis zu halten, wo seine Sendung ist und wann eine Anlieferung voraussichtlich erfolgen wird. Erreichen können wir den Kunden mit diesen Informationen aber nur dann, wenn wir Kontaktdaten sowie eine entsprechende Einwilligung vorliegen haben. Ein Service wie die Wunschzustellung, die Kunden über die Anlieferung des Pakets informiert und gleichzeitig Möglichkeit zum Umleiten etwa an einen PaketShop oder einen Wunschnachbarn bietet, kann jedoch ohne E-Mail-Adresse oder entsprechend registrierte App nicht funktionieren. Eine entsprechende Einwilligung des Verbrauchers ist hier folglich immanent, wenn der Service genutzt werden möchte.“