Der Onlinehandel ist nicht mehr wegzudenken, denn viele Händler setzen auf E-Commerce statt auf große Einkaufsflächen mit entsprechend teurer Miete und anderen Aufwendungen. Auch gerade aufgrund der Corona-Pandemie wächst der Onlinehandel. Hierbei sind die Onlinehändler auf die Zusammenarbeit mit ihren Dienstleistern (Drittanbieter, Zahlungsdienstleister, Versandunternehmen, Auskunfteien etc.) angewiesen, was meist auch die Übermittlung von personenbezogenen Daten wie z.B. Vorname, Nachname, Rechnungs-, und Lieferanschrift, E-Mailadresse, Telefonnummer und Rechnungs-, sowie Bezahldaten beinhaltet.
Nachdem sich z.B. ein Kunde bei einer Bestellung für eine bestimmte Zahlungsweise entschieden hat, werden seine personenbezogenen Daten vom jeweiligen Zahlungsdienstleister verarbeitet. Dieser handelt selbst auch als «Verantwortlicher» im Sinne der DSGVO, da er selbst über Zweck und Mittel der Datenverarbeitung entscheidet und der Onlinehändler nicht weisungsberechtigt ist. Damit können dem Dienstleister keine bestimmten Pflichten z.B. mittels eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) auferlegt werden. Wie jede Verarbeitung von personenbezogenen Daten bedarf es auch hier einer Rechtsgrundlage. Meist ist dies Art. 6 Abs.1 S.1 lit. b DSGVO, da die Verarbeitung zur Durchführung des abgeschlossenen Kaufvertrages erforderlich ist.
Doch auch durch die eingesetzten Versand- und Transportdienstleister werden personenbezogene Daten verarbeitet, denn diese werden gerade für die Zustellung der Ware benötigt. Auch hier kommt als Rechtsgrundlage wiederum die Notwendigkeit zur Durchführung des Vertrages in Betracht, da der Versanddienstleister hier gerade seine Pflichten ggü. dem Kunden erfüllt. Einer zusätzlichen Einwilligung der Kunden braucht es daher nicht. Allerdings ist nicht jede persönliche Information hierfür notwendig. So ist z.B. die Weitergabe der Telefonnummer des Kunden nur in Ausnahmefällen (besondere Zustellung) zwingend erforderlich. Hinsichtlich der Weitergabe vom E-Mailadressen bedarf es nach Ansicht der Deutschen Datenschutzkonferenz (DSK) eine ausdrückliche Einwilligung der betroffenen Kunden. Das liegt daran, dass die (Versand-)Benachrichtigung und Möglichkeit der Sendungsverfolgung lediglich zusätzliche Serviceleistungen des Versanddienstleisters darstellen und nicht unbedingt zur Vertragsdurchführung gegenüber dem Kunden erforderlich sind.
Allerdings kommt diesbezüglich auch das «berechtigte Interesse des Verantwortlichen an der Verarbeitung» (Art. 6 Abs. 1 S.1 lit. f DSGVO) in Frage, sofern die Weitergabe gerade für einen bestimmten Zweck, wie der Zustellung, erfolgt. Denn eine reibungslose Zustellung und Einhaltung eines bestimmten Liefertermins liegen durchaus im Interesse der Versanddienstleister, aber auch im Interesse der Besteller selbst.
Wenn Kunden Waren «Online» bestellen, werden ihre Daten während eines Bestellvorganges in manchen Fällen auch an Auskunfteien zum Zwecke der Bonitätsüberprüfung übermittelt. Auch hier kann diese Datenverarbeitung zum einen durch die entsprechende Einwilligung der betroffenen Person, als auch durch das berechtigte Interesse des Versanddienstleisters rechtmäßig gestützt werden. Ein berechtigtes Interesse kommt indes nur bei jenen Zahlungsarten in Betracht bei denen das Versandunternehmen nicht bereits ausreichend gesichert ist, so z.B. beim Kauf auf Rechnung oder bei vereinbarter Ratenzahlung.
Tagtäglich werden unzählige personenbezogenen Daten im E-Commerce an verschiedene Stellen übermittelt und wie in diesem Beitrag dargestellt, liegt in den meisten Fällen auch eine Rechtsgrundlage hierfür vor. Bevor Kunden ihre Daten übermitteln, sollten sie allerdings im Auge behalten zu welchen Zwecken ihre Daten tatsächlich verarbeitet werden oder dies im Rahmen ihres Auskunftsanspruchs (Art. 15. DSGVO) bei dem jeweiligen Versanddienstleister hinterfragen.
Ferner sollten Online-Händler darauf achten, dass sie vollständig über die eingesetzten Dienstleister und die entsprechenden Rechtsgrundlagen sowie natürlich die Betroffenenrechte in Ihren Datenschutzhinwiesen informieren.