Von Dropshipping spricht man, wenn ein Händler Produkte online verkauft, sie aber selbst nicht auf Lager hält, sondern die bestellte Ware direkt über den Lieferanten an den Endkunden ausliefern lässt. Steckengeschäft oder Direkthandeln sind gern verwendete Synonyme für Dropshipping.
In Hinblick auf die DS-GVO stellt sich nun bei vielen Unternehmen die Frage, wie es mit der Datenverarbeitung aussieht und ob der Abschluss eines Auftragsverarbeitungsvertrage nach Art. 28 DS-GVO nötig ist.
Datenverarbeitung im Dropshipping
Die Verarbeitung von personenbezogenen Daten ist beim (online-)Kauf zwangläufig erforderlich. So werden überlicherweise Name und Anschrift des Kunden, sowie die Menger der Ware benötigt, um den Kauf abzuwickeln. Die Rechtsgrundlage herfür ist Art. 6 Abs. 1 lit. b DS-GVO. Die Datenverarbeiung ist erlaubt, da sie für die Erfüllung einer (Kauf-)Vertrag oder zur Druchführung vorvertraglicher Maßnahmen erforderlich ist. Die erhobenen personenbezogenen Daten werden an den Lieferanten weitergeleitet, damit dieser die Ware an den Endkunden ausliegern kann. Somit stellt sich die Frage, ob mit dem Lieferanten bzw. externen Dienstleister ein Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO geschlossen werden muss.
Auftragsverarbeitungsvertrages nach Art. 28 DS-GVO
Ist der Abschluss eines Auftragsverarbeitungsvertrage nach Art. 28 DS-GVO nötig? Die Anwort lautet Nein und kann wie folgt erklärt werden.
Folgende Merkmale definierten im wesentlichen einen Auftragsverarbeiter:
- fehlende Eigeninteresse an den personenbezogenen Daten
- weisungsgebundene Verarbeitung der personenbezogenen Daten
Im Fall von Dropshipping besteht ein Eingeninteresse an den personenbezogenen Daten, da der Lieferant diese für die korrkte Lieferung benötigt, um somit seiner vertraglichen Verpflichtung nachzukommen. Desweiteren felt die Weisungsgebundenheit. Der Lieferant verfolgt seine eigenen logitischen Prozessen, um die Auftragsabwicklung und den Versand so effizient wie möglich zu realisieren.
Weitere Pflichten aus sicht des Datenschutzes
Bei der Übermittlung der personenbezogenen Daten ist wichtig, dass nur die benötigten Daten an den Dienstleisler weitergegeben werden. Dies sind in Normfall der Name und die Adresse des Kunden, sowie die Menge und die Art der bestellten Produkte. Die Übermittlung weiter Daten wie z.B. E-Mail-Adresse oder Telefonnummer sind ohne Einwilligung des Endkunden unzulässig.
Zudem muss der Verkäufer den Endkunden bereits während der Datenerhebung nach Art. 13 Abs. 1 lit. e DS-GVO über die Empänger oder Kategorien von Empängern informieren. Daher sollte eine Abschnitt über die Weitergabe der personenbezogenen Daten an externe Lieferanten in der Datenschutzerklärung enthalten sein.
Quellen
https://www.e-recht24.de/dsg/12615-bestellabwicklung-per-dropshipping.html