Datenschutzrechtliche Fragen bei der Weitergabe von Kundendaten an Dritte sind ein häufiger Streitpunkt. Besonders sensibel wird es, wenn E-Mail-Adressen ohne Zustimmung der Kunden an Paketdienstleister übermittelt werden. Ein aktueller Fall, der vom Unabhängigen Landeszentrum für Datenschutz (ULD) geprüft wurde, wirft Licht auf diese Problematik und zeigt auf, wie Unternehmen datenschutzkonforme Prozesse sicherstellen können.
Der Fall: Weitergabe ohne Einwilligung
Ein Kunde beschwerte sich darüber, dass ein Online-Shop seine E-Mail-Adresse an einen beauftragten Paketdienstleister übermittelt hatte, damit dieser Informationen zum Lieferstatus bereitstellen konnte. Eine Einwilligung zur Übermittlung dieser Daten lag jedoch nicht vor. Gemäß Art. 6 Abs. 1 DSGVO darf die Verarbeitung personenbezogener Daten nur erfolgen, wenn eine der dort genannten Bedingungen erfüllt ist.
Zwar ist die Weitergabe von Adressdaten zur Vertragserfüllung nach Art. 6 Abs. 1 Buchst. b DSGVO zulässig, um eine Bestellung zuzustellen. Die Übermittlung der E-Mail-Adresse fällt jedoch nicht unter diese Regelung. Diese wäre nur mit ausdrücklicher Einwilligung des Kunden rechtmäßig gewesen.
Klare Vorgaben der Datenschutzkonferenz
Bereits 2018 entschied die Datenschutzkonferenz (DSK), dass die Übermittlung von E-Mail-Adressen an Postdienstleister ohne Einwilligung der Kunden rechtswidrig ist. Es wird betont, dass Online-Händler Alternativen nutzen können, wie etwa die Bereitstellung von Zustellinformationen in der Bestellbestätigung oder durch Verlinkung auf eine Sendungsverfolgung. Diese Alternativen sind zumutbar und ausreichend, um Kunden über den Versandstatus zu informieren.
Lösungen und Konsequenzen für Unternehmen
Im beschriebenen Fall gab das verantwortliche Unternehmen an, dass die Übermittlung der E-Mail-Adresse auf eine technische Fehleinstellung im Buchungssystem zurückzuführen war. Das Unternehmen nahm den Vorfall zum Anlass, Mitarbeitende erneut auf die datenschutzrechtlichen Bestimmungen hinzuweisen, um ähnliche Vorfälle künftig zu vermeiden.
Solche Fälle verdeutlichen, wie wichtig es ist, interne Prozesse und technische Systeme regelmäßig zu überprüfen. Unternehmen sollten sicherstellen, dass datenschutzrechtliche Vorgaben in allen Bereichen eingehalten werden – insbesondere, wenn es um die Verarbeitung sensibler Kundendaten geht.
Fazit: Datenschutz als Pflicht und Chance
Die Übermittlung von E-Mail-Adressen an Paketdienstleister erfordert zwingend die Einwilligung des Kunden. Alternativen wie die Integration von Zustellinformationen in die Bestellbestätigung sind praktikabel und rechtlich sicher. Ein transparenter Umgang mit Kundendaten stärkt nicht nur das Vertrauen der Kunden, sondern schützt Unternehmen auch vor datenschutzrechtlichen Sanktionen.
Wir unterstützen Sie gerne bei der Optimierung Ihrer datenschutzrechtlichen Prozesse und stehen Ihnen bei Fragen beratend zur Seite. Gemeinsam finden wir Lösungen, die rechtssicher und kundenorientiert sind.