Logistikunternehmen sind sich häufig nicht bewusst, dass gewisse Datenübertragungen innerhalb der Lieferkette (Supply-Chain) datenschutzrechtlich unzulässig sind. Dieser Artikel gibt einen kurzen Überblick zum Thema Datenschutz in der Logistik und einige Praxistipps für die datenschutzkonforme Umsetzung des Datentransfers.
Datenschutz in der Logistik
Logistikunternehmen übernehmen heute nur noch im Einzelfall den Transport vom Hersteller zum Einzelhändler. Vielmehr erfolgt die Lieferkette heute über eine Vielzahl von Transport- und Lagerunternehmen.
Beispielsfall
So übernimmt beispielsweise Unternehmen 1 (Transporteur) die Abholung des Produktes vom Hersteller. Beide Unternehmen sind über eine Schnittstelle auf dem Server des Herstellers elektronisch verbunden, so dass der Unternehmer 1 jederzeit in seinem System sehen kann, welche Produkte beim Hersteller zur Abholung bereit stehen. Der Hersteller wiederum kann via Schnittstelle automatisch Zugriff nehmen auf das System des Unternehmens 1, um den aktuellen Transportplan sowie den Standort der für ihn eingesetzten Fahrzeuge einzusehen. Da diese Daten im Regelfall auch personenbezogene Daten enthalten (Adresse des Endkunden, Name des LKW-Fahrers, Ansprechpartner im Hause von Subunternehmern etc.), sind diese Datenübermittlungen auch datenschutzrelevant.
Häufig erfolgt die Lieferung durch Unternehmen 1 nicht an den Endkunden, sondern vielmehr an ein Lagerunternehmen (Unternehmen 2), welches die Ware zwischenlagert und für den jeweiligen Endtransport zum Kunden kommissioniert. Auch dieses Unternehmen 2 ist per Datenleitung zum Hersteller verbunden, denn letzterer möchte wissen, wieviel seiner Produkte im Lager vorrätig sind und welche bereits das Lager verlassen haben. Auch bei diesem Datentransfer sind personenbezogene Daten betroffen (siehe oben).
Erlaubnisvorbehalt im Datenschutzrecht
Was noch immer nur wenig Unternehmen wissen: Die Übermittlung personenbezogener Daten ist auch im Rahmen von Datenschutz in der Logistik grundsätzlich nur zulässig, wenn entweder das Gesetz diese Übermittlung erlaubt oder aber eine Einwilligung der betroffenen Person vorliegt, dessen Daten übermittelt werden (§ 4 BDSG). Wenn man daher nicht bei jeder betroffenen Person (Endkunde, LKW-Fahrer, Mitarbeiter des Subunternehmers etc.) eine Einwilligung zur Übermittlung seiner personenbezogenen Daten einholen möchte, sollte man sich rechtzeitig Gedanken für das Vorliegen einer gesetzlichen Legitimation machen.
Diese Legitimation enthält im Regelfall § 28 BDSG. Gemäß Alternative 1 vom ersten Absatz dieser Vorschrift ist es zunächst zulässig, personenbezogene Daten von Kunden oder Mitarbeitern von Dienstleistern zu übermitteln, wenn dies für die Durchführung eines Schuldverhältnisses mit der betroffenen Person erforderlich ist. Bei Adressdaten von Endkunden ist dieser Punkt unproblematisch, denn diese werden ja benötigt, um die Ware an ihren Bestimmungsort zu transportieren. Schwieriger ist es bei der Übermittlung von personenbezogenen Daten des Endkunden, die nicht für den Transport benötigt werden, also z.B. bestimmte Details aus dem Bestellvorgang oder Benutzerprofile. Mangels Erforderlichkeit zur Vertragsdurchführung dürfen diese Daten ohne Einwilligung des Endkunden grundsätzlich nicht an Transport- oder Lagerdienstleister übermittelt werden.
Hier hilft die zweite Alternative in § 28 Abs. 1 BDSG, wonach die Übermittlung auch zulässig ist, wenn das berechtigte Interesse des Herstellers an der Übermittlung im Rahmen der Interessenabwägung höher zu bewerten ist, als das schutzwürdige Interesse des Endkunden an einer Vermeidung dieser Übermittlung. Es muss daher anhand der übermittelten Daten konkret geprüft werden, ob die Interessenabwägung positiv ausfällt oder nicht. Bei Übermittlung von Bestelldaten des Endkunden dürfte dies der Fall sein. Bei einer Übermittlung des gespeicherten Online-Benutzerprofils des Endkunden mit Informationen zu den Bestellungen der letzten Wochen und zum Nutzerverhalten im Onlineshop des Herstellers fällt die Abwägung dagegen wohl negativ aus. Diese Daten dürfen daher über die Schnittstelle des Herstellers für Unternehmen 1 und Unternehmen 2 nicht verfügbar sein, denn bereits ein Abrufen von Daten über Internet stellt eine Übermittlung von Daten dar.
Schließlich ist § 32 BDSG zu beachten. Soweit Mitarbeiterdaten betroffen sind, stellt das Gesetz noch höhere Anforderungen: Diese Daten dürfen nur übermittelt werden, soweit dies zur Durchführung des eigentlichen Arbeitsverhältnisses erforderlich ist. Dies ist jedoch nur im Ausnahmefall gegeben, so dass eine Übermittlung von Mitarbeiterdaten (z.B. die Standortdaten des LKW-Fahrers) im Regelfall nur zulässig ist, wenn dieser zuvor – z.B. im Rahmen des Arbeitsvertrages – einer solchen Übermittlung an Dritte zugestimmt hat. Hierauf ist bei Einstellung von LKW-Fahrern grundsätzlich zu achten.
Auftragsdatenverarbeitung
Wenn Unternehmen 1 (Transport) oder Unternehmen 2 (Lager) im Rahmen von Datenschutz in der Logistik personenbezogene Daten übermittelt (oder Zugriff hierauf eingeräumt) bekommen, müssen diese Daten daher zur Erfüllung des Transportauftrages erforderlich sein. Andere personenbezogene Daten dürfen grundsätzlich nicht übermittelt werden, es sei denn, es liegt eine positive Interessenabwägung zugunsten des Herstellers vor.
Wie ist die Situation jedoch im Rahmen von Datenschutz in der Logistik bei Dienstleistern, die personenbezogene Daten des Herstellers nur verwalten und nicht selbst für eigene Zwecke nutzen? So ist die Auslagerung von IT-Prozessen auf Dienstleister heute Gang und Gäbe. Der Hersteller betreibt keinen eigenen Serverraum mit IT-Administratoren mehr, sondern hat diesen vollständig auf einen IT-Dienstleister ausgelagert. Alle Daten (wie etwa Auftragsannahme oder auch Personalbuchhaltung) werden von den Mitarbeitern nun direkt im Internetbrowser eingegeben und in Echtzeit auf den Server im Rechenzentrum des Dienstleisters gespeichert. Dieser speichert daher nicht zu eigenen Geschäftszwecken, sondern im Auftrag. Das Gesetz schreibt für diesen Fall in § 11 BDSG einen schriftlichen Vertrag mit dem Dienstleister vor, den jedoch eine große Zahl an Logistikanbietern in Deutschland bislang – nach Erfahrung des Autors – nicht geschlossen haben. Sinn dieses Vertrages zur Auftragsdatenverarbeitung ist es, das Datenschutzniveau des Herstellers (welches natürlich noch sein sollte) auf das Niveau im Unternehmen des Dienstleisters zu übertragen. Deshalb muss sich der Dienstleister verpflichten, bestimmte Sicherheitsnahmen im eigenen Unternehmen umzusetzen und für Datenschutz und -sicherheit zu sorgen. Fehlt es an einer solchen Vereinbarung zur Auftragsdatenverarbeitung – und hierfür ist der Hersteller verantwortlich, nicht der Dienstleister -, so steht ein Bußgeld der Aufsichtsbehörde bis zu EUR 50.000,- im Raume.
Fazit
Das deutsche Recht stellt an den Datenschutz in der Logistik hohe Anforderungen. Werden personenbezogene Daten an Logistikdienstleister übermittelt oder diesen Zugang zum eigenen Server eingeräumt, so stellt sich zunächst die Frage, ob der Dienstleister diese Daten in Eigenregie nutzt oder diese Daten nur verwaltet. Im ersten Fall (Funktionsübertragung) wird mangels Einwilligung der Betroffenen eine Legitimation nach § 28 BDSG benötigt. Entweder werden diese Daten daher zur Vertragserfüllung verwendet oder das berechtigte Interesse des Herstellers an der Übermittlung überwiegt die Interessen der Betroffen. Im zweiten Fall (Auftragsdatenverarbeitung) benötigt der Hersteller einen schriftlichen Vertrag mit dem Logistikunternehmen gemäß § 11 BDSG, mit dem sichergestellt wird, dass letzterer auch die hohen Vorgaben der Datensicherheit umsetzt, um die übermittelten Daten zu schützen. In jedem Fall sollte vor Übermittlung personenbezogener Daten an Dienstleister oder Einräumung von Serverzugängen das Thema Datenschutz beleuchtet werden, um Bußgelder der Aufsichtsbehörden zu vermeiden.
