+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation
Dropshipping

Dropshipping im E-Commerce und die neue Datenschutzgrundverordnung (DSGVO)

Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO) und löst die bisherigen Datenschutzregelungen ab. Im Zuge der Anpassung der innerbetrieblichen Vorgänge ist es ratsam, sämtliche Prozesse anhand der neuen Regelungen auf den Prüfstand zu stellen. Auch beim Dropshipping (Streckengeschäft) gibt es insoweit einiges zu beachten. Hier erwirbt ein Händler Ware von einem Lieferanten, der sie direkt im Auftrag des Händlers an den Kunden liefert. Hierfür gibt der Händler personenbezogene Kundendaten (insbesondere Name und Adresse) an den Lieferanten weiter, damit die Kunden beliefert werden können. Es stellt sich also die Frage, ob diese Weitergabe von personenbezogenen Daten künftig ohne Weiteres zulässig sein wird oder ob Händler hierfür die Einwilligung der Kunden benötigen.

Grundsätzlich ist erst einmal alles verboten, außer es ist ausdrücklich erlaubt

Auch nach der neuen DSGVO gilt das, was wir bereits aus dem Bundesdatenschutzgesetz (BDSG) kennen: Es ist alles verboten – außer, es ist ausnahmsweise erlaubt. Es gibt einige „Erlaubnistatbestände“, die beim Dropshipping greifen können, mit denen sich Händler auseinandersetzen müssen. Denn: Sie müssen sowohl in einem Verfahrensverzeichnis als auch in der Datenschutzinformation des Onlineshops genau darüber informieren, welche Daten zu welchem Zweck auf welcher rechtlichen Grundlage verarbeitet – und ggf. an wen und warum weitergegeben werden.
Die für das Dropshipping praktisch relevanten Erlaubnistatbestände sind diese:
Einwilligung: Zunächst ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 a DSGVO immer rechtmäßig, wenn die betroffene Person ihre ausdrückliche Einwilligung zu der Verarbeitung erteilt hat.
Zur Erfüllung eines Vertrags erforderlich: Ohne Einwilligung kann die Datenverarbeitung nach Art. 6 Abs. 1 b DSGVO zulässig sein, wenn sie für die Erfüllung eines Vertrages erforderlich ist. Beim Dropshipping werden die Kundendaten gerade zur Vertragserfüllung weitergegeben, denn anderenfalls wäre die Lieferung der Ware nicht möglich. Die Weitergabe ist also notwendig, damit die Kunden ihre Kaufgegenstände erhalten und der Verkäufer seiner Pflicht aus dem Kaufvertrag nachkommen kann. In der Regel ist die Datenweitergabe vom Händler an den Lieferanten daher nach Art. 6 Abs. 1 b DSGVO auch ohne Einwilligung der Kunden zulässig. Vorsicht ist jedoch geboten, wenn Kunden im Onlineshop eine Rechnungsadresse und eine abweichende Lieferadresse angeben, etwa um Geschenke direkt an den Beschenkten liefern zu lassen oder um die Lieferung zu beschleunigen. Wenn Kunden selten zuhause sind wird gerne die Adresse eines Bekannten angegeben, der das Paket entgegennehmen kann. Nach Art. 6 Abs. 1 b DSGVO ist die Datenverarbeitung nur zulässig, wenn die betroffene Person auch die Vertragspartei. Also der Käufer selbst ist. Das ist in den genannten Beispielen jedoch nicht der Fall, da weder der Beschenkte, noch ein Bekannter, der das Paket entgegennimmt, Vertragspartei des Kaufvertrages wird. In diesen Fällen greift Art. 6 Abs. 1 b DSGVO also nicht.
Berechtigte Interessen des Verkäufers: In diesen Fällen kann jedoch Art. 6 Abs. 1 f DSGVO abhelfen. Danach ist eine Verarbeitung zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht gegenstehende Interessen der betroffenen Person überwiegen. Bestellte Ware zum vom Kunden gewünschten Ort zu liefern liegt eindeutig im Interesse des Verkäufers. Es stellt sich also lediglich die Frage, ob ggf. entgegenstehende Interessen der Empfänger der Waren dem Interesse des Verkäufers überwiegen. Bekannte, die für Freunde Pakete empfangen, werden in der Regel zuvor gefragt, ob sie ein Paket entgegennehmen können. Sie wissen also, dass Ihre Adressdaten zur Anlieferung an ein Lieferunternehmen weitergegeben werden müssen. Doch auch Beschenkte, die zuvor nichts von der Lieferung wissen, werden keine besonderen Interessen haben, die der Verarbeitung der Lieferadresse widersprechen. Im Ergebnis ist die Verarbeitung der Daten beim Dropshipping also auch in diesen Fällen ohne die Einwilligung der Kunden, bzw. Empfänger erlaubt.

Welche Daten dürfen beim Dropshipping weitergegeben werden?

Damit die vorgenannten Ausnahmen greifen, dürfen jedoch ausschließlich solche Daten weitergegeben werden, die für die Lieferung der Waren zwingend erforderlich sind. Dazu gehören der Name und die Lieferanschrift. Die Weitergabe von Daten, die nicht für die Lieferung notwendig oder auch nicht von einem berechtigten Interesse gedeckt sind, sind ohne besondere Einwilligung der Kunden unzulässig.
Zudem dürfen die Daten nur zum Zweck der Lieferung weitergegeben werden. Unternehmen, die von Verkäufern Daten für das Dropshipping erhalten, dürfen diese also im Anschluss nicht für Marketing- oder Analysezwecke verwenden.

Muss extra noch ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden?

Ein Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag), nach der DSGVO neu „Auftragsverarbeitung“, muss beim Dropshipping weder nach der bisherigen Rechtslage, noch nach der neuen Rechtslage geschlossen werden.
Momentan fällt die Weitergabe der Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. „Funktionsübertragung“. Diese liegt vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen kann, wie er den Auftrag abwickelt. Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsdatenverarbeitung.
Auch ab Mai 2018 stellt Dropshipping nach der DSGVO keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im „Auftrag“ des Händlers.
Die Auftragsdatenverarbeitung nach dem aktuellen BDSG ist durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet. Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Dropshipping, bei dem letztlich eine „echte Datenübertragung“ vorliegt, wenn der Lieferant die Kundendaten vom Händler zum Zwecke der direkten Lieferung der Ware erhält.
 

Das könnte Sie ebenfalls interessieren:

Urteile E-CommerceDie 24 wichtigsten Urteile im Onlinehandel
Alle Artikel aus unserer Kolumne der „E-Shop-Tipp“ in der INTERNET World Business in 2016
Januar 2017, Format 12 x 12 cm, 58 Seiten, pdf-Datei, 1,6 MB
Jetzt hier downloaden!
 
 
 
 

An den Anfang scrollen