Entscheidungen zum Datenschutzrecht  ·  26. Mai 2025

Zustellung an Mitbewohner war kein Datenschutzverstoß – Auftragsverarbeiter haftet nicht für fehlerhafte EMail

Behörde: Bundesverwaltungsgericht
Datum: 10.02.2025
GZ: W287 2265979-1/13E

Rechtssatz: Ein Versanddienstleister haftet nicht als Verantwortlicher, wenn er ein Zustellaviso irrtümlich an den Mitbewohner sendet, sofern er dabei als bloßer Auftragsverarbeiter auf Grundlage der vom Versender übermittelten Daten handelt.

 

Sachverhalt

Eine Frau hatte bei einem Onlinehändler Waren bestellt. Die Zustellung erfolgte über ein Subunternehmen, das von der Händlerfirma beauftragt wurde. Im Zuge dessen wurde ein digitales Zustellaviso per E-Mail versendet – allerdings nicht an die Bestellerin, sondern an ihren Mitbewohner. Dieser konnte dadurch auf das Paket zugreifen, erhielt Informationen über die Bestellung (Online-Shop, Zustellzeitpunkt) und hatte Verfügungsgewalt über die Lieferung.

 

Die betroffene Frau erhob daraufhin Beschwerde bei der Datenschutzbehörde und sah ihr Grundrecht auf Geheimhaltung (§ 1 DSG) verletzt. Die Datenschutzbehörde folgte ihrer Argumentation und sprach aus, dass die Paketdienstleisterin unrechtmäßig Daten an einen unbeteiligten Dritten übermittelt habe.

 

Rechtliche Begründung

Das Bundesverwaltungsgericht hob die Entscheidung der Datenschutzbehörde auf. Es stellte fest, dass die Paketdienstleisterin nicht Verantwortliche im Sinne des Art. 4 Z 7 DSGVO war, sondern lediglich als Auftragsverarbeiter (Art. 4 Z 8 DSGVO) auf Anweisung des Versandhändlers tätig geworden ist.

 

Entscheidende Argumente des Gerichts:

  • Die E-Mail-Adresse des Mitbewohners wurde vom Versandhändler irrtümlich übermittelt. Der Fehler lag daher in der Sphäre des Verantwortlichen.

  • Die Paketdienstleisterin hatte keine Entscheidungsbefugnis über die Auswahl der E-Mail-Adresse oder die Frage, ob ein Zustellaviso verschickt werden soll.

  • Auch eine inhaltliche Prüfung oder Korrektur der E-Mail-Adresse durch den Dienstleister sei nicht zumutbar gewesen, zumal sie keinen Zugriff auf die korrekten Daten hatte und jede Änderung eine unzulässige Zweckänderung darstellen könnte (vgl. Art. 28 Abs. 10 DSGVO und Art. 29 DSGVO).

  • Selbst wenn kein Kundenkonto beim Paketdienst existiert hätte, wäre das Aviso ohnehin an die angegebene Adresse gegangen – die Konto-Zuordnung sei für die Offenlegung daher nicht entscheidend.

 

Fazit und Empfehlung für Verantwortliche

Diese Entscheidung verdeutlicht die Bedeutung einer klaren Rollentrennung zwischen Verantwortlichem und Auftragsverarbeiter. Verantwortliche müssen sicherstellen, dass die übermittelten Daten korrekt sind – denn fehlerhafte Datenübermittlung fällt allein in ihre Verantwortung.

Auftragsverarbeiter sind nicht verpflichtet, Plausibilitätsprüfungen der ihnen übermittelten personenbezogenen Daten durchzuführen, sofern sie keine eigenen Zwecke mit der Datenverarbeitung verfolgen.

 

Organisationen, die personenbezogene Daten an Dienstleister weitergeben, sollten:

 

  • die Richtigkeit der Daten vor Übermittlung sorgfältig prüfen,

  • in der Kommunikation mit Dienstleistern klare Anweisungen und technische Standards definieren,

  • und Verarbeitungsverzeichnisse (Art. 30 DSGVO) sowie Vertragswerke mit Auftragsverarbeitern (Art. 28 DSGVO) regelmäßig evaluieren und anpassen.

Tags: Verantwortlicher, Auftragsverarbeiter, Paketzustellung, Dienstleistung

Kommentar schreiben

Kommentare: 0