E-Commerce und DSGVO – Datentransfer im Onlinehandel

Fachbeitrag

Der Siegeszug des E-Commerce ist nicht mehr aufzuhalten. Die Vorteile für Händler sind offensichtlich: Ein Wegfall teurer Mieten für Verkaufsflächen, für die Instandhaltung des Ladens und nicht zuletzt die bargeldlose Geschäftsabwicklung. Ohne Datentransfer zwischen Händlern und seinen Dienstleistern funktioniert es allerdings nicht. Was gilt es nach DSGVO zu beachten?

Datenverarbeitungen beim Versandhandel

Es ist also nicht verwunderlich, dass der Umsatz im Onlinehandel branchenübergreifend kontinuierlich wächst. Im Jahr 2019 wurden rund 58 Milliarden Euro mit dem Warenverkauf im Internet erwirtschaftet – gut 44-mal so viel wie im Jahr 2000. Im Gleichlauf erhöht sich auch die Menge an personenbezogener Daten, die tagtäglich zwischen den Akteuren des Versandhandels ausgetauscht werden. Hierzu zählen regelmäßig:

  • Vorname, Nachname
  • Rechnungs- und Lieferanschrift
  • E-Mail-Adresse
  • Rechnungs- und Bezahldaten
  • Telefonnummer

Neben der Datenerhebung mittels Drittanbieter (Cookies) beim Besuch des Onlineshops, geben Händler personenbezogene Daten etwa an Auskunfteien, Zahlungsdienstleister, Großhändler oder Versandunternehmen weiter.

Datenweitergabe zum Zweck der Bonitätsauskunft

Die Verarbeitung von Daten durch Auskunfteien erfolgt entweder auf Basis einer Einwilligung des Kunden gem. Art. 6 Abs. 1 S.1 lit. a DSGGVO oder auf Grundlage des berechtigten Interesses des verantwortlichen Verkäufers gem. Art. 6 Abs. 1 S.1 lit f DSGVO. Das berechtigte Interesse ist regelmäßig insbesondere vor Eingehung von Geschäften mit wirtschaftlichem Risiko gegeben. Regelfall ist dabei der Kauf auf Rechnung. In den Fällen der Vorkasse etwa, wird das berechtigte Interesse des Verkäufers regelmäßig zurücktreten müssen, da ein Ausbleiben der Zahlung durch den Kunden nicht zu befürchten ist. Der Verkäufer kann den Eingang der Zahlung in Ruhe abwarten und seine Waren ohne Risiko eines Zahlungsausfalls abschicken.

Der Einsatz von Zahlungsdienstleistern

Regelmäßig werden dem Kunden bei Onlinebestellungen eine Vielzahl von Zahlungsdienstleistern und Onlinebezahlsystemen angeboten. Die Einschaltung eines Dienstleisters bietet für Käufer und Verkäufer die Möglichkeit, Risiken bei der Zahlungsabwicklung zu minimieren, da die Anbieter regelmäßig Ausfall- und Betrugsrisiken selbst übernehmen.

In der Regel erbringen Zahlungsdienstleister eine Fachleistung in eigenständiger Verantwortung und erfüllen nicht das Kriterium der Weisungsgebundenheit. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO muss der Händler daher mit dem Zahlungsdienstleister nicht abschließen. Oftmals werden die Zahlungsdaten gar direkt vom Kunden über den Zahlungsdienstleister an den Verkäufer übermittelt. Rechtsgrundlage für die Datenverarbeitung ist jedenfalls regelmäßig Art. 6 Abs. 1 S.1 lit. b DSGVO, da die Übermittlung an Zahlungsdienstleister zum Zweck der Erfüllung der kaufvertraglichen Verpflichtungen erfolgt.

Der Einsatz von Versand- und Transportdienstleistern

Da nur die wenigsten Händler über eigene Transportkapazitäten verfügen, ist der Einsatz von Versanddienstleistern gewöhnlich unverzichtbar und somit auch die Übermittlung personenbezogener Daten der Kunden zum Zwecke der Zustellung bestellter Waren. Rechtsgrundlage für die Datenübermittlung ist hier ebenfalls Art. 6 Abs. 1 S.1 lit. b DSGVO, da der Versand der Ware zur Abwicklung des Vertragsverhältnisses gehört und die Übermittlung der Daten insoweit der Erfüllung eigener rechtsgeschäftlicher Verpflichtungen des Händlers dient. Es bedarf in diesem Fall also keiner Einwilligung des Kunden.

Weitergabe der Telefonnummer bei Speditionsware

Im Gegensatz zu Adressdaten des Käufers ist die Übermittlung von Telefonnummern meist nicht zwingend zur Durchführung des Vertragsverhältnisses erforderlich. Ausnahmen können sich etwa dann ergeben, wenn es sich um Sperrgut handelt, welches durch eine Spedition beim Kunden angeliefert werden soll. In solch einem Fall kann die Weitergabe an den Spediteur zwecks Terminvereinbarung mit dem Kunden zulässig sein.

Weitergabe der E-Mail-Adresse

Die Ankündigung von Paketlieferungen oder die Sendungsverfolgung per Mail kann zwar einen Mehrwert für die Kunden bringen, ist jedoch letztlich als Serviceleistung zu qualifizieren, deren Übermittlung daher nicht mehr zur Durchführung des Vertrages erforderlich ist. Laut DSK ist die Übermittlung von E-Mail-Adressen der Händler an die Paketdienstleister daher nur bei Vorliegen einer Einwilligung der Kunden rechtmäßig.

Fraglich ist jedoch, ob die Übermittlung auch auf das berechtigte Interesse der Händler nach Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden kann?
Die möglichst kundenfreundliche Zustellung und Ausgestaltung des Lieferzeitpunkts für den Empfänger und der damit womöglich einhergehenden Einsparung von Zweit- und Drittzustellversuchen sind zunächst nachvollziehbare Interessen auf Seiten des Händlers. Eine effiziente Abwicklung des Versandgeschäfts wird auch regelmäßig im Interesse des Bestellers liegen. E-Mail-Adressen werden tagtäglich von Verbrauchern für diverse Anmelde- und Bestellvorgänge verwendet. Es ist nicht selten, dass Mailadressen eigens für Onlineangebote eingerichtet und verwendet werden. Sofern die E-Mail-Adressen zweckgebunden eingesetzt werden, ist die Beeinträchtigung der Betroffenen objektiv betrachtet als gering einzuschätzen. Darüber hinaus ist der Besteller durch die Möglichkeit des formlosen Widerspruchs der Verarbeitung auch nicht schutzlos ausgeliefert.

Kein Onlinehandel ohne Datenschutz

In den meisten Fällen wird die Übermittlung von Kundendaten durch Händler aufgrund des vertraglichen Schuldverhältnisses gerechtfertigt sein. Schließlich ist eine Übermittlung in einer arbeitsteiligen Gesellschaft für die Besteller auch erwartbar. Die Verwendung der Daten über vertragliche Zwecke hinaus sollte jedoch stets genau geprüft werden, hier steckt der Teufel wie so oft im Detail.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.