Wann sind Speditionen Auftragsverarbeiter?

Die DSGVO gilt für alle Unternehmen, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten.
Logistiker erheben in der Regel keine personenbezogenen Daten selbst, sondern erhalten diese von ihrem Vertragspartner, einem anderen Unternehmer. In solchen Fällen sollte immer geprüft werden, ob eine Auftragsverarbeitung vorliegt.

Jedoch ist in der Praxis oft nicht auf die Schnelle festzustellen, ob es sich tatsächlich um eine Auftragsverarbeitung handelt.

In welchen Fällen sich eine Spedition um einen Auftragsverarbeitungsvertrag kümmern muss, erfahren Sie im folgenden Beitrag.

Alles, was Sie zum Auftragsverarbeitungsvertrag
wissen müssen

Bevor personengebundene Daten verarbeiten werden, muss zuerst sicher sein, dass diese Verarbeitung rechtmäßig ist. Unter welchen Bedingungen das der Fall ist, definiert Art. 6 DSGVO. Beispielsweise muss die betroffene Person in die Verarbeitung ihrer Daten eingewilligt haben. Oder aber die Verarbeitung der Daten ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich. In der Logistik ist die Sachlage klar: Der Spediteur muss die Anschrift des Empfängers kennen, um ihm die Lieferung zuzustellen. Die Rechtmäßigkeit wäre also geklärt.

 Wann braucht es nun einen Auftragsverarbeitungsvertrag?

Nehmen wir ein einfaches Beispiel. Ein Kunde kauft bei IKEA Möbel ein und will sich die Sendung nach Hause liefern lassen. Das Möbelhaus führt diese Auslieferung nicht selbst durch, sondern beauftragt Rhenus Logistics mit der Auslieferung der Ware an den Kunden und teilt dem Transportunternehmen zu diesem Zweck die Kundendaten mit: Name, Anschrift, Telefonnummer, Details zu den bestellten Waren.
Werden Adress- oder Kundendaten von einem Unternehmen (IKEA) an eine Spedition (Rhenus) übermittelt, ist zu unterscheiden, ob die Spedition diese Daten für eigene Zwecke verwendet, oder ob sie dem Auftraggeber gegenüber weisungsgebunden ist. Ist Letzteres der Fall, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Die Preisfrage ist also:
Verwendet Rhenus die Daten des IKEA-Kunden für eigene Zwecke oder nicht?
Das klären wir im nächsten Abschnitt.

Übrigens: Wer Freude daran hat, Gesetzestexte zu lesen, kann die Informationen in Art. 28 DSGVO nachlesen:
Demnach ist ein Auftragsverarbeitungsvertrag zwischen Auftraggeber (Verlader) und Auftragnehmer (Dienstleister) abzuschließen, wenn die Verarbeitung im Auftrag des Verantwortlichen (Verlader) erfolgt. Entscheidend ist, dass eine Weisungsgebundenheit zwischen den beiden Parteien besteht.
Das ist aber noch nicht alles.
Des Weiteren ist sicherzustellen, dass ausreichend Garantien für die Datensicherheit der personenbezogenen Daten gegeben sind. Darunter sind technische und organisatorische Maßnahmen wie Verschlüsselung, Firewalls oder Berechtigungskonzepte zu verstehen, um nur einige wenige Beispiele zu nennen.
Zu beachten ist auch, dass eine Datenverarbeitung erst dann stattfinden darf, wenn ein Auftragsverarbeitungsvertrag geschlossen wurde.  

Inhalte eines Auftragsverarbeitungsvertrages

Hilfreich sind Muster-Vorlagen, die von den Aufsichtsbehörden bereitgestellt wurden. Der Inhalt muss dann an die jeweilige Situation angepasst werden. Grundsätzlich beinhaltet ein Auftragsverarbeitungsvertrag folgende Inhalte:

1. Vertragsparteien
2. Gegenstand des Auftrags (Art und Zweck der Verarbeitung)
3. Allgemeine Pflichten des Auftragnehmers
4. Datenschutzbeauftragter des Auftragnehmers
5. Meldepflichten des Auftragnehmers
6. Mitwirkungspflichten des Auftragnehmers
7. Home-Office-Regelung
8. Kontrollbefugnisse
9. Unterauftragsverhältnisse
10. Vertraulichkeitsverpflichtung
11. Wahrung von Betroffenenrechten
12. Geheimhaltungspflichten
13. Vergütung
14. Technische und organisatorische Maßnahmen zur Datensicherheit
15. Dauer des Auftrags
16. Beendigung
17. Schlussbestimmungen

Speditionen als Auftragnehmer – muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden?

Übermittelt ein Verlader einen Transportauftrag an eine Spedition, kann dieser nicht bestimmen, wie der Frachtauftrag abgewickelt werden soll. Das heißt in unserem Beispiel, IKEA kann Rhenus Logistics nicht vorschreiben, auf welche Art und Weise die Möbelsendung zum Kunden geliefert wird. Der Spediteur ist nicht weisungsgebunden.

Das Kerngeschäft der Spedition ist auch nicht die Datenverarbeitung, sondern die organisatorische Dienstleistung des Transportes. Hat die Spedition keinen eigenen Fuhrpark oder nicht genug Kapazitäten, wird der Frachtauftrag an ein Subunternehmen weitergeleitet. Das Transportunternehmen, dessen Kerngeschäft die Erfüllung des Transportes von A nach B ist, verarbeitet personenbezogene Kundendaten für eigene Zwecke. Beispielsweise werden die Informationen der Belade- und Endladestelle verarbeitet, um Verpflichtungen aus dem Transportauftrag zu erfüllen.

Aus dem Kurzpapier Nr. 13 der Datenschutzkonferenz 01/2018 lässt sich ebenfalls ableiten, dass für Speditionen und Transportunternehmen keine Auftragsverarbeitungsverträge erforderlich sind, da die Unternehmen die Auftragsdaten für eigene Zwecke verarbeiten – nämlich für die Erfüllung des Transportauftrages.

Was für Auswirkungen hat es, als Verantwortlicher eingestuft werden?

Geschäftsführerhaftung

Das OLG Dresden hat am 30.11.2021 in einem Urteil bzgl. der Haftung von Geschäftsführern die Bedeutung des Datenschutzes hervorgehoben. Das Gericht stellte fest, dass nicht nur die Unternehmen, sondern auch die Geschäftsführer selbst als Verantwortliche anzusehen sind und die Pflichten (und Sanktionen) der DSGVO auf sie angewendet werden können. Bei Datenschutzverletzungen würden Sie also ggf. in die Geschäftsführerhaftung genommen werden.

Datenverarbeitung ohne Auftragsverarbeitungsvertrag – was hat das für Auswirkungen auf meine Spedition als Verantwortlicher?

Der Verantwortliche muss gemäß DSGVO Artikel 24 nachweisen können, dass er die Bestimmungen der DSGVO einhält.

Beispielsweise sind Daten durch geeignete Maßnahmen vor unbefugten Zugriffen zu schützen. Für die Vertragserfüllung des Transportauftrages müssen Speditionen Adress- und Kundendaten an ihren Subdienstleister (Transportunternehmen) übermitteln. Bereits diese Übertragung ist abzusichern.
Bei solchen Fragen kann ein Datenschutzbeauftragter unterstützen. Das ist sein Job. Er ist jedoch nicht verantwortlich für die Verarbeitung der personenbezogenen Daten und haftet auch nicht für Bußgelder oder Sanktionen.

Geregelt wurde die Frage der Verantwortlichkeit vom OLG Dresden in seinem Urteil vom 30.11.2021 zur Haftung von Geschäftsführern. Es wurde festgestellt, dass neben den Unternehmen auch deren Geschäftsführer als Verantwortliche anzusehen sind, sodass die Pflichten (und Sanktionen) der DSGVO auch die Geschäftsführer selbst treffen können. Für Sie bedeutet das, dass Sie bei Datenschutzverletzungen in die Geschäftsführerhaftung genommen werden können.

Was Sie tun können, um mit möglichst wenig Aufwand Ihre Rechenschaftspflichten gem. der DSGVO zu erfüllen, erfahren Sie hier.

Speditionen als Auftraggeber – wann wird ein Auftragsverarbeitungsvertrag nötig?

Für eine bessere organisatorische Abwicklung des Transportes können die Auftragsdaten in einer Cloud-Plattform verarbeiten werden. Hierbei müssen Sie beachten, dass mit dem Betreiber des Portals einen Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss. Ebenso wird ein AVV benötigt, wenn Sie einen IT-Dienstleister mit der Wartung Ihrer Systeme oder Betreuung Ihrer Videoüberwachung beauftragen.

Fazit

Übermittelt ein Verlader Auftragsdaten an eine Spedition, verarbeitet diese die Daten für eigene Zwecke, nämlich für die Vertragserfüllung des Frachtauftrages. Bei der Organisation des Transportes ist die Spedition gegenüber dem Verlader nicht weisungsgebunden. Damit fehlen die Voraussetzungen für den Abschluss eines AVVs.
Im Umkehrschluss ist die Spedition selbst verantwortliche Partei – mit allen Pflichten, die sich aus der DSGVO ergeben.

Aktuelle Beiträge zur Datensicherheit