Rechtsanwalt Müller von der IT-Recht Kanzlei München, hat sich mit diesem Thema beschäftigt und erklärt in seinem Blogbeitrag was Online-Händler beachten müssen, wenn sie E-Mail Adressen ihrer Kunden für den Zweck der Zustellungsankündigung an Versandunternehmen weitergeben wollen.
FEHLINFORMATION IM UMLAUF
Zwar geht der Paketdienstleister DPD davon aus, dass dies problemlos möglich ist und schreibt: „Diese Übermittlung geschieht auf Grundlage von §5 PDSV (Postdienstdatenschutzverordnung) und § 28 Abs. 1 BDSG (Bundesdatenschutzgesetz) im Rahmen des Versandauftrags zwischen Versender und DPD zum Zwecke der Zustellung und bedarf keiner Einwilligung des Empfängers“, jedoch sieht die Realität etwas anders aus: tatsächlich lässt sich nämlich auch aus Sicht von Anwalt Müller in der genannten Verordnung keinerlei Rechtsgrundlage dafür finden. Wie sieht es denn mit dem darüber hinaus genannten § 28 Abs. 1 BDSG aus?
WAS SAGT DENN DAS BAYLDA?
Im Zweifelsfall schaut man einfach mal, wie die Datenschutzaufsichtsbehörde zu der Thematik stellt. Diese äußerte sich folgendermaßen:
„Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig aufgrund einer Rechtsgrundlage oder mit einer Einwilligung des Betroffenen. Eine Übermittlung von personenbezogenen Daten ist gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG zulässig, soweit es für die Durchführung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist. Die Übermittlung der E-Mail-Adresse an den Transportdienstleister ist für den Transport eines Paketes nicht erforderlich und damit zunächst nicht zulässig. Als zusätzlicher Service für z.B. eine Terminabsprache oder wie hier die Sendungsverfolgung kann die Übermittlung der Mailadresse nützlich sein, hierzu müsste allerdings vorher gemäß § 4 Abs. 3 BDSG über die Tatsache der Übermittlung, den Zweck und den Empfänger der Daten informiert werden und es müsste grundsätzlich eine Einwilligung des Kunden in die Übermittlung der Mailadresse an das Versandunternehmen eingeholt werden.“
Somit wird auch klar, dass der von DPD angegebene § 28 BDSG definitiv nicht als Grundlage für die Datenübermittlung fungieren kann.
OHNE EINWILLIGUNG GEHT MAL WIEDER NICHTS
Die Sache liegt also klar auf der Hand: Ohne eine Einwilligung des jeweiligen Kunden, darf seine E-Mail Adresse nicht weitergegeben werden. Diese kann man aber sinnigerweise mit wenig Aufwand über eine Opt-In-Möglichkeit, wie z. B. eine (nicht vorausgewählte) Checkbox realisieren. Wie immer sollte dann aber auch dieses Vorgehensweise transparent in der Datenschutzerklärung Erwähnung finden.