DSGVO und sinnvoller Datenschutz in B2C-Prozessen

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Mann übergibt Paket an eine Frau

Als Dienstleister für den E-Commerce stellen immer mehr Logistiker auch Sendungen bei Privatempfängern zu. Damit sehen sie sich höheren Anforderungen in Sachen Datenschutz gegenübergestellt als bei Unternehmensempfängern. Denn allein die Wohnadresse eines Endkunden stellt ein personenbezogenes Datum im Sinne der Datenschutzgrundverordnung (DSGVO) dar.


Damit das Handling solcher schützenswerten Informationen rechtskonform erfolgt, sollten Dienstleister darauf achten, dass sie wichtige Grundvoraussetzungen erfüllen:

  • Sie dürfen Daten nur auf rechtmäßige Weise erhalten (beispielsweise auf Grundlage eines Dienstleistungsvertrags) und nicht informell.
  • Sie sollten datenminimiert arbeiten, also nur über die Informationen verfügen, welche für die Erfüllung des Auftrags dringend erforderlich sind.
  • Sie müssen Daten geschützt handhaben und verarbeiten – also ihre Mitarbeiter regelmäßig dafür schulen und technische sowie organisatorische Schutzkonzepte umsetzen.

Wie sich diese Vorgaben für die typischen speditionellen Arbeiten grundsätzlich sinnvoll umsetzen lassen, ist am besten Schritt für Schritt zu betrachten.


Grundlegendes

Welche Ziele gelten für den Datenschutz?

Sämtliche Datenschutzmaßnahmen orientieren sich an drei grundlegenden Zielen, die unbedingt eingehalten werden müssen: Integrität, Authentizität und Verfügbarkeit der Daten. Datenintegrität bedeutet, dass Daten in einer Ressource geschützt sind und sich nicht beliebig von Anwendern verändern lassen sollten. Darüber hinaus sollten sie fehlerfrei sein – das ist mit Authentizität gemeint. Ihre Verfügbarkeit ist dafür gefordert, dass berechtigte Anwender sie immer dann einsetzen können, wenn es für die Auftragserfüllung erforderlich ist. Dann sind die Daten angemessen vor Verlust geschützt - so ist das dritte Ziel zu verstehen. Damit das gelingt, sollten Speditionen nur solche Daten erheben, die sie für die Erledigung ihres Auftrags benötigen. Beispielsweise ist das entweder nur die E-Mail-Adresse oder die mobile Telefonnummer für die (automatische) Avisierung, da ein korrekter Kontaktweg genügt. Um diese speichern zu dürfen, benötigen sie außerdem die Genehmigung des Kunden – die bis zu einem möglichen Widerruf gültig bleibt. Diese Daten dürfen nur in einem zugangsgeschützten System verarbeitet werden. Wenn sie versendet oder übertragen werden, ist zudem wenigstens eine sogenannte Transportverschlüsselung erforderlich – der Datenaustausch darf also nur auf verschlüsselten Transportwegen erfolgen, beispielsweise nach https- oder ftps-Protokoll. Darüber hinaus sollten das Firmengelände und die Gebäude der Spedition gesichert sein.


Durchdachte Organisation

Daten im Prozess gut schützen

Wichtig ist, dass alle Mitarbeiter, die mit personenbezogenen Daten umgehen, regelmäßig für den Schutz der Daten sensibilisiert werden. Denn ihr Verhalten im Tagesgeschäft entscheidet über die Einhaltung des Datenschutzes. Beispielsweise müssen die Dokumente der Transporttouren so verteilt werden, dass nur die ausführenden Fahrer Zugriff auf die Adressen haben. Das kann entweder über eine App mit Zugriffsbeschränkung oder über einen verschlossenen Abholkasten erfüllt werden. Auch in der Zustellung muss ein Nahverkehrsfahrer darauf achten, dass er keine Kundendaten von außen sichtbar im Fahrzeug liegen lässt. Das gilt sowohl für die Adressanzeige in einer App als auch für die klassische Rollkarte, die nicht von außen einsehbar hinter der Windschutzscheibe liegen darf. Wenn ein Kunde seine Telefonnummer mit angegeben und einem Anruf zugestimmt hat, darf der Fahrer vor der Zustellung aus dem Lkw telefonisch avisieren. Bei Ankunft an der Adresse ist natürlich auch Klingeln erlaubt. Nach abgeschlossener Anlieferung ist der Kunde zur Unterschrift als Ablieferbeleg verpflichtet – unabhängig davon, ob sie auf Papier oder digital erfolgen soll.


Gesetzliche Archivierungsfristen

Auch nach dem Auftrag gelten Pflichten

Wenn nach der erfolgreichen Zustellung die Abrechnung erfolgt ist, ist die Spedition dennoch dazu verpflichtet die Daten weiterhin zu speichern. Gründe für die Speicherung sind haftungsrechtliche Aspekte und die gesetzliche Gewährleistung, der die Online-Händler als Kunden der Logistiker unterliegen. Besonders wichtig jedoch, sind steuerrechtliche Vorgaben, die eine längerfristige Aufbewahrung der Daten erforderlich machen. Das heißt, dass die Empfänger die Löschung ihrer Daten erst nach dem Ablauf der gesetzlichen Archivierungspflicht verlangen können. Wann welche Daten gelöscht werden müssen, ist genau definiert: Nach drei Jahren sind es zunächst E-Mail-Adressen und Telefonnummern. Bis dahin müssen Speditionen diese mit dem Ablieferbeleg vorweisen können. Nach sechs Jahren sind dann auch die Abrechnungsbelege sowie Name und Adresse aus den Aktenschränken oder digitalen Archiven zu löschen. Während dieser Zeit können die Dateninhaber lediglich verlangen, dass die Logistiker einzelne Daten sperren, deren Verwendung über den eigentlichen Auftrag hinausgeht. Ein Empfänger darf jederzeit von seinem Auskunftsrecht über die gespeicherten Daten und seinem Recht auf Datenkorrektur gebraucht machen. Auch für die anschließende vorgeschriebene Löschung gibt es genaue Vorgaben:  Datenträger sind mit einem Festplattenschredder der Stufe H3 (Verformen: Biegen oder Durchbohren) zu bearbeiten. Akten durchlaufen nach DIN 66399 eine Papierzerschredderung der Vernichtungsstufe P3 (Streifen mit max. 2 mm Breite oder Schnipsel mit einer Größe von maximal 320 mm²).

Fazit

Datenschutz sinnvoll handhaben

Wer sich die Datenschutzziele zu eigen macht, muss auch als Spediteur keine Sorgen vor dem Umgang mit Endkundendaten haben. Mit geeigneten Softwarelösungen werden die Unternehmen beim Einhalten ihrer Verpflichtungen zum Archivieren und Löschen der Kundendaten unterstützt. Als praktikabel hat sich dabei herausgestellt, dass lediglich die generelle Löschung der Daten nachgewiesen werden muss, etwa über einen Vernichtungsauftrag, nicht jedoch die Löschung eines einzelnen Datensatzes. Wer den Datenschutz also sinnvoll handhabt, kann auch die Angst vor möglichen Bußgeldern aus seinem Kopf löschen.

Wie verwalten Sie Auftragsdaten von Privatkunden?


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte addieren Sie 2 und 8.