Behörde: Bundesverwaltungsgericht
Entscheidungsdatum: 01.04.2025
Geschäftszahl: W252 2297124-1/5E
Rechtssatz: Ein Paketdienstleister, der ein versiegeltes Paket ohne Abstellgenehmigung zustellt, ist mangels Kenntnis und Einfluss auf den Inhalt nicht Verantwortlicher im Sinne der DSGVO.
Sachverhalt
Ein Betroffener (MP) brachte eine Datenschutzbeschwerde ein, weil ein Paket mit Hochzeitseinladungen – das seinen Namen, Telefonnummer, sowie den Ort der Hochzeit enthielt – ohne Abstellgenehmigung vor seiner Wohnungstüre abgestellt wurde. Als er heimkam, war das Paket aufgerissen und der Inhalt fehlte.
Die Datenschutzbehörde sah darin eine Verletzung des Rechts auf Geheimhaltung und erließ einen Bescheid gegen das beauftragte Logistikunternehmen (BF), welches die Sendung über ein Subunternehmen zugestellt hatte.
Das Unternehmen erhob Beschwerde an das Bundesverwaltungsgericht und argumentierte, dass es weder Kenntnis vom Inhalt noch Einfluss auf die darin enthaltenen personenbezogenen Daten gehabt habe. Es handle sich zudem um keine automatisierte Datenverarbeitung im Sinne der DSGVO.
Rechtliche Begründung
Das Bundesverwaltungsgericht hielt zunächst fest, dass es sich bei den Daten auf den Hochzeitseinladungen um personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO handle, und dass durch Bestellung, Druck und Versand eine Verarbeitung im Sinne des Art. 4 Z 2 DSGVO erfolgte. Die DSGVO sei somit grundsätzlich anwendbar.
Allerdings verneinte das Gericht die Verantwortlichkeit der BF im Sinne des Art. 4 Z 7 DSGVO. Die BF hatte weder Einfluss auf Zweck noch Mittel der Verarbeitung des Paketinhalts. Weder wurde der Inhalt durch die BF verarbeitet noch hatte sie Kenntnis davon. Der EuGH (C-683/21) habe klargestellt, dass bloß faktische Mitwirkung oder technische Abwicklung ohne inhaltliche Kontrolle keine Verantwortlichkeit begründet. Auch die Einschaltung eines Subunternehmers ändere daran nichts, solange sich die Verantwortung nicht auf den Inhalt erstreckt.
Da die Datenschutzbeschwerde ausdrücklich gegen die BF geführt wurde und nicht gegen den eigentlichen Verantwortlichen (z. B. den Versender), war sie abzuweisen.
Fazit und Schlussfolgerung für Verantwortliche
Diese Entscheidung verdeutlicht die Grenzen der datenschutzrechtlichen Verantwortlichkeit bei logistischen Prozessen.
Wer keinen Zugriff auf oder Einfluss auf personenbezogene Daten hat – etwa bei verschlossenen Paketinhalten – ist regelmäßig nicht als Verantwortlicher im Sinne der DSGVO zu qualifizieren.
Empfehlung: Unternehmen, die als Transportdienstleister tätig sind, sollten vertraglich und organisatorisch klarstellen, welche Daten sie verarbeiten und wofür sie verantwortlich sind. Wenn diese auch Adressverifikation, Bearbeitung von Adressdaten bei Retouren etc.. ist, dann ist die Angelegenheit uU anders zu beurteilen, als bei der gegenständlichen Entscheidung.
Für Verantwortliche, die personenbezogene Daten im Paketinhalt versenden, gilt:
Sie müssen auch für sichere Zustellung Sorge tragen – etwa durch geeignete Versandarten oder ausdrückliche Abstellgenehmigungen.
Kommentar schreiben