E-Commerce und DSGVO – Datentransfer im Onlinehandel

Artikel von Dr. Datenschutz·29. Oktober 2020

Der Siegeszug des E-Commerce ist nicht mehr aufzuhalten. Die Vorteile für Händler sind offensichtlich: Ein Wegfall teurer Mieten für Verkaufsflächen, für die Instandhaltung des Ladens und nicht zuletzt die bargeldlose Geschäftsabwicklung. Ohne Datentransfer zwischen Händlern und seinen Dienstleistern funktioniert es allerdings nicht. Was gilt es nach DSGVO zu beachten?

Der Inhalt im Überblick

Datenverarbeitungen beim Versandhandel
Kein Onlinehandel ohne Datenschutz

Datenverarbeitungen beim Versandhandel

Es ist also nicht verwunderlich, dass der Umsatz im Onlinehandel branchenübergreifend kontinuierlich wächst. Im Jahr 2019 wurden rund 58 Milliarden Euro mit dem Warenverkauf im Internet erwirtschaftet – gut 44-mal so viel wie im Jahr 2000. Im Gleichlauf erhöht sich auch die Menge an personenbezogener Daten, die tagtäglich zwischen den Akteuren des Versandhandels ausgetauscht werden. Hierzu zählen regelmäßig:

Vorname, Nachname
Rechnungs- und Lieferanschrift
E-Mail-Adresse
Rechnungs- und Bezahldaten
Telefonnummer

Neben der Datenerhebung mittels Drittanbieter (Cookies) beim Besuch des Onlineshops, geben Händler personenbezogene Daten etwa an Auskunfteien, Zahlungsdienstleister, Großhändler oder Versandunternehmen weiter.

Datenweitergabe zum Zweck der Bonitätsauskunft

Die Verarbeitung von Daten durch Auskunfteien erfolgt entweder auf Basis einer Einwilligung des Kunden gem. Art. 6 Abs. 1 S.1 lit. a DSGGVO oder auf Grundlage des berechtigten Interesses des verantwortlichen Verkäufers gem. Art. 6 Abs. 1 S.1 lit f DSGVO. Das berechtigte Interesse ist regelmäßig insbesondere vor Eingehung von Geschäften mit wirtschaftlichem Risiko gegeben. Regelfall ist dabei der Kauf auf Rechnung. In den Fällen der Vorkasse etwa, wird das berechtigte Interesse des Verkäufers regelmäßig zurücktreten müssen, da ein Ausbleiben der Zahlung durch den Kunden nicht zu befürchten ist. Der Verkäufer kann den Eingang der Zahlung in Ruhe abwarten und seine Waren ohne Risiko eines Zahlungsausfalls abschicken.

Der Einsatz von Zahlungsdienstleistern

Regelmäßig werden dem Kunden bei Onlinebestellungen eine Vielzahl von Zahlungsdienstleistern und Onlinebezahlsystemen angeboten. Die Einschaltung eines Dienstleisters bietet für Käufer und Verkäufer die Möglichkeit, Risiken bei der Zahlungsabwicklung zu minimieren, da die Anbieter regelmäßig Ausfall- und Betrugsrisiken selbst übernehmen.

In der Regel erbringen Zahlungsdienstleister eine Fachleistung in eigenständiger Verantwortung und erfüllen nicht das Kriterium der Weisungsgebundenheit. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO muss der Händler daher mit dem Zahlungsdienstleister nicht abschließen. Oftmals werden die Zahlungsdaten gar direkt vom Kunden über den Zahlungsdienstleister an den Verkäufer übermittelt. Rechtsgrundlage für die Datenverarbeitung ist jedenfalls regelmäßig Art. 6 Abs. 1 S.1 lit. b DSGVO, da die Übermittlung an Zahlungsdienstleister zum Zweck der Erfüllung der kaufvertraglichen Verpflichtungen erfolgt.

Der Einsatz von Versand- und Transportdienstleistern

Da nur die wenigsten Händler über eigene Transportkapazitäten verfügen, ist der Einsatz von Versanddienstleistern gewöhnlich unverzichtbar und somit auch die Übermittlung personenbezogener Daten der Kunden zum Zwecke der Zustellung bestellter Waren. Rechtsgrundlage für die Datenübermittlung ist hier ebenfalls Art. 6 Abs. 1 S.1 lit. b DSGVO, da der Versand der Ware zur Abwicklung des Vertragsverhältnisses gehört und die Übermittlung der Daten insoweit der Erfüllung eigener rechtsgeschäftlicher Verpflichtungen des Händlers dient. Es bedarf in diesem Fall also keiner Einwilligung des Kunden.

Weitergabe der Telefonnummer bei Speditionsware

Im Gegensatz zu Adressdaten des Käufers ist die Übermittlung von Telefonnummern meist nicht zwingend zur Durchführung des Vertragsverhältnisses erforderlich. Ausnahmen können sich etwa dann ergeben, wenn es sich um Sperrgut handelt, welches durch eine Spedition beim Kunden angeliefert werden soll. In solch einem Fall kann die Weitergabe an den Spediteur zwecks Terminvereinbarung mit dem Kunden zulässig sein.

Weitergabe der E-Mail-Adresse

Die Ankündigung von Paketlieferungen oder die Sendungsverfolgung per Mail kann zwar einen Mehrwert für die Kunden bringen, ist jedoch letztlich als Serviceleistung zu qualifizieren, deren Übermittlung daher nicht mehr zur Durchführung des Vertrages erforderlich ist. Laut DSK ist die Übermittlung von E-Mail-Adressen der Händler an die Paketdienstleister daher nur bei Vorliegen einer Einwilligung der Kunden rechtmäßig.

Fraglich ist jedoch, ob die Übermittlung auch auf das berechtigte Interesse der Händler nach Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden kann?
Die möglichst kundenfreundliche Zustellung und Ausgestaltung des Lieferzeitpunkts für den Empfänger und der damit womöglich einhergehenden Einsparung von Zweit- und Drittzustellversuchen sind zunächst nachvollziehbare Interessen auf Seiten des Händlers. Eine effiziente Abwicklung des Versandgeschäfts wird auch regelmäßig im Interesse des Bestellers liegen. E-Mail-Adressen werden tagtäglich von Verbrauchern für diverse Anmelde- und Bestellvorgänge verwendet. Es ist nicht selten, dass Mailadressen eigens für Onlineangebote eingerichtet und verwendet werden. Sofern die E-Mail-Adressen zweckgebunden eingesetzt werden, ist die Beeinträchtigung der Betroffenen objektiv betrachtet als gering einzuschätzen. Darüber hinaus ist der Besteller durch die Möglichkeit des formlosen Widerspruchs der Verarbeitung auch nicht schutzlos ausgeliefert.

Kein Onlinehandel ohne Datenschutz

In den meisten Fällen wird die Übermittlung von Kundendaten durch Händler aufgrund des vertraglichen Schuldverhältnisses gerechtfertigt sein. Schließlich ist eine Übermittlung in einer arbeitsteiligen Gesellschaft für die Besteller auch erwartbar. Die Verwendung der Daten über vertragliche Zwecke hinaus sollte jedoch stets genau geprüft werden, hier steckt der Teufel wie so oft im Detail.

- Auftragsverarbeiter
  Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?Fachbeitrag·23. Januar 2024
- Datenschutzvorfall beim Auftragsverarbeiter – Das erwartet der HBDIFachbeitrag·25. Oktober 2023
- Verhaltensregel zur Auftragsverarbeitung – „Trusted Data Processor“Fachbeitrag·16. August 2023
Mehr zum Thema
- Datenübermittlung
  EU-Kommission überprüft AngemessenheitsbeschlüsseNews·19. März 2024
- Datenschutzrecht bei UnternehmenstransaktionenFachbeitrag·11. September 2023
- SG Hamburg: Einwilligung in unverschlüsselte E-Mails möglichUrteil·31. August 2023
Mehr zum Thema
- Datenweitergabe
  VG Neustadt: Datenerhebung beim Zensus 2022 rechtmäßigUrteil·17. November 2022
- WhatsApp und Facebook – Was bewirken die Neuerungen?News·12. Januar 2021
- Mieterdaten: Zulässigkeit der Weitergabe an EnergieversorgerFachbeitrag·24. August 2020
Mehr zum Thema
- E-Mail-Adresse
  E-Mail-Disclaimer & -Signaturen: Überflüssig oder Pflicht?Fachbeitrag·26. März 2024
- DSGVO: Problem bei der Weitergabe von Mieterdaten an HandwerkerFachbeitrag·12. September 2019
- Welche E-Mail-Adresse ist für die berufliche Apple-ID ratsam?Fachbeitrag·14. Dezember 2018
Mehr zum Thema
- Online-Shop
  Dürfen Versandapotheken Geburtsdaten von Kunden abfragen?News·17. November 2021
- Videospiele und der DatenschutzFachbeitrag·29. September 2020
- Online-Dienste: Vertrag als Rechtsgrundlage für die DatenverarbeitungFachbeitrag·28. Mai 2019
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Vielleicht könnt ihr hierzu eure Meinung abgeben:
Es gibt Versandvermittler wie z.B. shipcloud oder sendcloud die als Auftragsverarbeiter fungieren. Diese geben Adresse an den Transporteur weiter und übernehmen den Versand von Tracking- und Sendungsinformationen.
Da es sich um ein AV Verhältnis handelt, halte ich die Weitergabe der Email Adresse an diese für unproblematisch. Eure Meinung?

Buzz am 28. März 2021, 12:39 Uhr

Antworten
- Laut DSK ist die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig. Sofern aber, wie von Ihnen beschrieben, die Zustellinformationen vom Onlinehändler selbst an den Kunden weitergegeben werden, z.B. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung eingebunden wird, kann sich der Onlinehändler hierzu auch eines Auftragsverarbeiters bedienen, der die Bestellabwicklung übernimmt. Dieser verarbeitet die Mailadressen dann, im Gegensatz zum Postdienstleister, gerade nicht eigenverantwortlich, sondern stets nach Weisung des Händlers.
  
  Dr. Datenschutz am 21. April 2021, 10:31 Uhr
  
  Antworten
Müssen Onlinehändler über Cookies von Zahlungsdienstleistern informieren?
Beispielsweise wenn diese nach der Auswahl der Zahlungsart im Checkout Bereich vom Zahlungsdienstleister auf der Internetseite des Onlinehänders aktiviert werden, aber die damit verbundene Datenverarbeitung nicht in der Verantwortung des Onlinehändler liegt?

Cookie am 4. Mai 2021, 17:06 Uhr

Antworten
- In der Regel erbringen Zahlungsdienstleister eine Fachleistung in eigenständiger Verantwortung und erfüllen nicht das Kriterium der Weisungsgebundenheit. Sie sind demnach keine Auftragsverarbeiter i.S.d Art. 28 DSGVO. Gleichwohl ist aus Transparenzgründen in der Datenschutzerklärung auf den Einsatz von Zahlungsdienstleistern hinzuweisen. Sofern der Zahlungsdienstleister in diesem Fall ein Third-Party-Cookie setzt, sollte auch darauf hingewiesen werden. Sofern das setzen des Cookies technisch erforderlich ist, um etwa den Zahlungsvorgang ordnungsgemäß durchführen oder auch zur Betrugsprävention, ist hierfür die Erteilung der Einwilligung entbehrlich.
  Sofern der Käufer während des Zahlungsvorgangs auf Seiten der Zahlungsdienstleister weitergeleitet wird und somit das Cookie nicht mehr in der Sphäre des Händlers genutzt und ausgewertet wird, kann auf einen Cookie-Hinweis verzichtet werden.
  
  Dr. Datenschutz am 11. Mai 2021, 14:40 Uhr
  
  Antworten