Weitergabe von Kundendaten an Dritte

Dürfen Sie Kundendaten ohne Einwilligung an andere Unternehmen weitergeben?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(4 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Verarbeitung und Weitergabe von Kundendaten sind nur unter bestimmten Bedingungen erlaubt.
  • Müssen Sie als Shopbetreiber die Kundenadresse an den Versanddienstleister für die Paketzustellung übermitteln, ist dies ohne gesonderte Einwilligung zulässig.
  • Dient die Datenweitergabe nicht der Erfüllung eines Vertrags, benötigen Sie in der Regel die Einwilligung des Kunden sowie einen Passus in der Datenschutzerklärung.

Worum geht's?

Kundendaten sind ein wertvolles Gut für jedes Business – sei es, um den Support zu verbessern, Angebote auf die eigene Zielgruppe anzupassen, Marketingmaßnahmen zu personalisieren oder um Kunden an das Unternehmen zu binden. Doch Vorsicht: Beliebig erheben und weitergeben dürfen Sie Kundendaten natürlich nicht. Was müssen Sie als Unternehmer beim Umgang mit den Daten Ihrer Kunden beachten? Wann benötigen Sie eine Einwilligung in die Weitergabe von Kundendaten an Dritte? Und welche Angaben dürfen Sie als Shopbetreiber problemlos an Ihren Versanddienstleister übermitteln?

1. Daten von Kunden erheben und verarbeiten – wann darf ich das?

Damit Sie die Daten Ihrer Kunden erheben, speichern, für gewerbliche Zwecke nutzen und/oder an Dritte weitergeben dürfen, müssen bestimmte Voraussetzungen vorliegen. Einfach so geht das nämlich nicht, denn eine unreglementierte Datenverarbeitung würde gegen den Datenschutz und die Vorschriften der Datenschutzgrundverordnung (DSGVO) verstoßen.

Die DSGVO sieht für Kundendaten einen besonderen Schutz vor, da es sich bei ihnen in den meisten Fällen um personenbezogene Daten handelt. Gemeint sind Informationen, die einen Rückschluss auf eine konkrete Person zulassen, beispielsweise durch Klarnamen, Adresse, Telefonnummer oder Bankverbindung, aber auch durch die IP-Adresse.

Auch wenn der Umgang mit Kundendaten streng reguliert ist, würde natürlich kaum ein Unternehmen existieren, wenn es nicht die Daten seiner Kunden verarbeiten dürfte. Ob der Betrieb des Onlineshops auf externen Servern, die Erstellung von Rechnungen in einem SaaS-Buchhaltungsprogramm oder die Weitergabe von Kundendaten an DHL & Co. zum Zweck der Paketzustellung – in allen Fällen werden personenbezogene Daten verarbeitet und übermittelt.

WICHTIG

Damit die Datenverarbeitung zulässig ist, braucht es eine Rechtsgrundlage. Gibt es diese nicht, dürfen die Daten auch nicht verarbeitet werden. 

Die Rechtsgrundlagen hält Artikel 6 DSGVO fest. Um personenbezogene Daten verarbeiten zu dürfen, muss mindestens eine der folgenden Bedingungen erfüllt sein:

Variante 1: Sie brauchen die Daten, um einen Vertrag zu erfüllen bzw. für vorvertragliche Maßnahmen

Dient die Verarbeitung der personenbezogenen Daten dazu, einen Vertrag zu erfüllen, abzuschließen oder vorzubereiten, dürfen die benötigten personenbezogenen Daten erhoben, gespeichert, verarbeitet und übermittelt werden. 

Das wäre etwa der Fall, wenn Sie Kundendaten erheben müssen, um eine bestellte Warensendung auszuliefern oder einem potenziellen Kunden ein Angebot zu unterbreiten.

Variante 2: Ihr Unternehmen hat ein berechtigtes Interesse an der Datenverarbeitung

Dient die Verarbeitung der Wahrung berechtigter Unternehmensinteressen, ist sie ebenfalls gemäß DSGVO zulässig. Es ist aber entscheidend, dass die Interessen Ihres Unternehmens die Rechte und Interessen der betroffenen Person nicht zu stark einschränken.

Was genau ein berechtigtes Interesse im Sinne der DSGVO ist, legt diese nicht fest. Es könnte aber beispielsweise vorliegen, wenn Sie die personenbezogenen Daten verarbeiten, um Betrugsfälle zu verhindern oder um die IT-Sicherheit im Unternehmen sicherzustellen.

Variante 3: Die betroffene Person hat in die Verarbeitung ausdrücklich eingewilligt

Dient die Erhebung von Kundendaten nicht dazu, einen Vertrag zu erfüllen und wiegen auch Ihre unternehmerischen Interessen nicht mehr als die der betroffenen Person, kann eine Datenerhebung und -verarbeitung dennoch zulässig sein – nämlich dann, wenn die Person ausdrücklich, freiwillig und informiert darin einwilligt.

PRAXIS-TIPP

Unter bestimmten Voraussetzungen ist eine Datenerhebung auch möglich, ohne dass eine dieser Rechtsgrundlagen vorliegt – und zwar, wenn Sie die Daten pseudonymisieren. Die Daten dürfen sich dann nicht mehr einem bestimmten Kunden zuordnen lassen. Voraussetzung ist, dass Ihr Kunde der Verarbeitung nicht ausdrücklich widersprochen hat.

2. Was muss ich beim Umgang mit Kundendaten beachten? 

Die Daten Ihrer Kunden dürfen Sie nur innerhalb des rechtlich zulässigen Rahmens erheben und verarbeiten. Komplett ohne Rechtsgrundlage zieht die Erhebung und Weitergabe von Kundendaten an Dritte hingegen einen Datenschutzverstoß nach sich – inklusive hoher DSGVO-Bußgelder.

Damit Sie erst gar nicht Gefahr laufen, gegen die Datenschutzgrundverordnung zu verstoßen, sollten Sie neben der Rechtsgrundlage folgende Grundsätze beherzigen:

  • Zweckbindung der Datenerhebung: Die erhobenen Kundendaten dürfen Sie nur im Rahmen des zulässigen Verarbeitungszwecks verarbeiten. Eine Anschrift, die Sie für die Lieferung erheben, dürfen Sie beispielsweise nicht an ein anderes Geschäft weiterverkaufen.
  • Transparenzgebot: Sie müssen bei der Erhebung und Verarbeitung von Kundendaten transparent sein. Informieren Sie Ihre Kunden, welche Daten Sie warum und für wie lange erheben und speichern. Dies müssen Sie leicht verständlich und in klarer Sprache machen, sodass es auch ein juristischer Laie versteht.
  • Datenminimierung: Der Grundsatz der Datensparsamkeit legt fest, dass Sie nur so viele Daten von Kunden erheben und verarbeiten dürfen, wie wirklich notwendig ist. Sie brauchen beispielsweise keine Telefonnummer Ihres Kunden, damit dieser Ihr E-Book herunterladen kann.
  • Keine unbegrenzte Speicherung: Kundendaten dürfen Sie nur so lange speichern, wie Sie diese für die Erfüllung des Verarbeitungszwecks benötigen. Eine unbegrenzte Speicherung ist nicht zulässig. Entfällt der Zweck und gibt es auch keine andere Rechtsgrundlage, haben Ihre Kunden ein Recht auf Löschung.
  • Datenrichtigkeit: Alle Kundendaten, die Sie erheben, müssen gemäß dem Grundsatz der Datenrichtigkeit korrekt und vollständig sein. Fehlerhafte oder unvollständige Daten sind zu korrigieren.
  • Datenschutz und Datensicherheit: Persönliche Daten von Kunden wie Adressen, Bankverbindungen oder Telefonnummern sind sensibel und dürfen nicht in falsche Hände gelangen. Sorgen Sie mit geeigneten technischen und organisatorischen Maßnahmen für ausreichende Datensicherheit.

GUT ZU WISSEN

Ihre Kunden haben gemäß der DSGVO sogenannte "Betroffenenrechte". Sie können beispielsweise Auskunft verlangen, welche Daten Sie von ihnen gespeichert haben. Haben Ihre Kunden der Datenverarbeitung gesondert zugestimmt, können sie diese Einwilligung auch widerrufen – dann dürfen Sie die Daten der betroffenen Person nicht mehr verarbeiten.

3. DHL, Hermes & Co.: Brauche ich eine Einwilligung für die Datenweitergabe?

Die Weitergabe von Kundendaten an andere Unternehmen spielt vor allem dann eine Rolle, wenn Sie einen eigenen Onlineshop betreiben oder Produkte über Verkaufsplattformen verkaufen. Denn in der Regel werden Sie Ihre Bestellungen nicht selbst an Ihre Kunden ausliefern, sondern einen Versanddienstleister beauftragen

Doch wie sieht es bei der Weitergabe von Kundendaten für Versandzwecke mit dem Datenschutz aus? Benötigen Sie für die Übermittlung an DHL, Hermes oder die Deutsche Post eine Einwilligung Ihres Kunden?

Weitergabe der Lieferadresse: Keine Einwilligung notwendig

Geben Sie die Lieferanschrift Ihres Kunden an den Versanddienstleister weiter, benötigen Sie dafür keine ausdrückliche Zustimmung. Denn: Die Datenweitergabe wird zwingend benötigt, um den Vertrag mit dem Kunden zu erfüllen – und zwar über die erfolgreiche Bestellung und Auslieferung einer Bestellung aus Ihrem Shop.

Gemäß Artikel 6 DSGVO ist die Datenverarbeitung damit auch ohne Zustimmung zulässig. Es handelt sich bei dieser nämlich nicht um eine Hauptleistung, sondern nur um einen erforderlichen Bestandteil einer ordnungsgemäßen Vertragserfüllung.

Selbst wenn Ihr Kunde eine andere Person beschenken will, dürfen Sie deren Adresse ohne Einwilligung an den Versanddienstleister weitergeben. Die Weitergabe von (fremden) Kundendaten an Dritte ist zulässig, da sie ausschließlich dazu dient, Ihre Pflichten als Unternehmer zu erfüllen

Zum Artikel

PRAXIS-TIPP 

Möchten Sie Kundendaten weitergeben, müssen Sie dies gemäß DSGVO in jedem Fall in der Datenschutzerklärung Ihres Shops regeln. Was dort außerdem hinein gehört, lesen Sie in unserem Übersichtsartikel “DSGVO und Onlineshops".

Zum Artikel

Telefonnummer weitergeben? Nur mit Einwilligung zulässig

Die Anschrift bzw. Lieferadresse Ihres Kunden benötigen Sie, um die Ware auszuliefern – aber wie sieht es aus mit der Telefonnummer? Im E-Commerce, aber auch in anderen Branchen, fragen Unternehmen ihre Kunden nicht selten nach der Telefonnummer, um diese an den Versanddienstleister weiterzugeben. Kann dieser den Kunden bei der Auslieferung nicht antreffen, hat er die Option, ihn telefonisch zu kontaktieren.

Was nachvollziehbar klingt, ist jedoch datenschutzrechtlich betrachtet nicht unproblematisch – denn die persönliche Telefonnummer eines Kunden (nicht die allgemeine Nummer eines Firmenanschlusses) zählt zu den personenbezogenen Daten und darf daher nur unter bestimmten Bedingungen erhoben, gespeichert und übermittelt werden.

Eine solche Bedingung wäre gemäß DSGVO erfüllt, wenn der Versanddienstleister die Telefonnummer braucht, um nach einem Verkauf die Bestellung auszuliefern – beispielsweise, weil es sich um Waren handelt, die sich nicht in einem Paket verpacken lassen (Sperrgut, Speditionsware) und einen gesonderten Liefertermin erfordern.

Sofern Sie keine nicht-paketfähigen Waren anbieten, sollten Sie auf die Erhebung und Weitergabe von Kundendaten wie der Telefonnummer verzichten. Falls Sie diese unbedingt erheben wollen, holen Sie sich vorher die ausdrückliche und freiwillige Zustimmung Ihrer Kunden ein – zum Beispiel mittels Opt-In-Verfahren per Häkchen in einer Checkbox. 

Sören Siebert
Sören SiebertRechtsanwalt

Und was ist mit der E-Mail-Adresse des Kunden?

Auch die E-Mail-Adresse Ihres Kunden dürfen Sie nicht ohne Weiteres erheben und an Dritte wie das Versandunternehmen weitergeben. Für die Erfüllung des Vertrags bzw. für vorvertragliche Maßnahmen benötigen Sie diese nämlich nicht. Allein die Adresse (Anschrift oder Packstation) ist erforderlich, um die Bestellung auszuliefern.

Es besteht theoretisch die Möglichkeit, sich auf das “berechtigte Interesse” zu berufen, das die DSGVO unter bestimmten Voraussetzungen ebenfalls als Rechtsgrundlage für die Weitergabe von Kundendaten sieht. Allerdings ist umstritten, ob die Weitergabe der E-Mail-Adresse im Rahmen einer Warenauslieferung tatsächlich durch ein berechtigtes Interesse gerechtfertigt ist oder nicht.

Möchten Sie auf Nummer sicher gehen, ist es ratsam, eine Alternative zu wählen:

  • Freiwillige Einwilligung des Kunden: Möchten Sie Kundendaten wie die Telefonnummer weitergeben, holen Sie die Zustimmung des Kunden ein. Legen Sie dafür im Bestellprozess eine Checkbox an, die der Kunde aktiv ankreuzen muss, wenn er mit der Weitergabe seiner Telefonnummer einverstanden ist. Er muss aber ebenso die Möglichkeit haben, der Weitergabe von Kundendaten nicht zuzustimmen.
  • Zustellinformationen selbst an Kunden übermitteln: Statt die Kundendaten an den Versanddienstleister weiterzugeben, können Sie die Informationen über die Paketzustellung selbst an den Kunden übermitteln. Binden Sie dazu einen Link zur Sendungsverfolgung in die Bestellbestätigung ein, die Ihr Kunde aufrufen kann, um sein Paket nachzuverfolgen.

Für welche Option Sie sich auch entscheiden: Denken Sie bei der Erhebung und Weitergabe von Kundendaten an andere Unternehmen stets daran, diese in Ihre Datenschutzerklärung aufzunehmen. Sie haben noch keine Datenschutzerklärung für Ihren Shop bzw. fehlen in dieser Regelungen zur Datenübermittlung bei Vertragsabschluss? Das sollten Sie ändern – und zwar ganz einfach mit unserem kostenlosen eRecht24 Datenschutz Generator.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz-Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei mit Registrierung in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

4. Datenschutzkonform mit Kundendaten umgehen: 10 Tipps 

Name, Anschrift, Telefonnummer, IBAN, Geburtsdatum oder die E-Mail-Adressen von Kunden sind im Geschäftskontext wertvolle, aber vor allem schützenswerte Daten. Wie Sie mit diesen datenschutzkonform umgehen, haben wir Ihnen in den folgenden 10 Tipps zusammengefasst.

Checkliste
Kundendaten DSGVO-konform erheben & weitergeben
  • Erheben und verarbeiten Sie nur die Kontaktdaten von Kunden, die Sie auch wirklich benötigen (z. B. für Newsletteranmeldung nur E-Mail-Adresse).
  • Informieren Sie über die Erhebung und Weitergabe von Kundendaten transparent und verständlich in Ihrer Datenschutzerklärung.
  • Bei der Weitergabe von Daten an Versanddienstleister reicht es aus, unter dem Punkt “Empfänger oder Kategorien von Empfängern der personenbezogenen Daten" die Kategorie anzugeben (z. B. Versanddienstleister). 
  • Eine namentliche Nennung ist nur notwendig, wenn das Versandunternehmen die Daten noch zu anderen Zwecken verwenden darf.
  • Holen Sie sich für die Weitergabe von Kundendaten wie Telefonnummer und E-Mail-Adresse die Zustimmung der Kunden ein.
  • Die Zustimmung muss freiwillig erfolgen, z. B. durch das aktive Anklicken eines nicht vorangekreuzten Kästchens im Bestellprozess (Checkbox).
  • Für die Weitergabe der Telefonnummer benötigen Sie keine Zustimmung, wenn für die Lieferung von Sperrgut oder Speditionsware ein Liefertermin erforderlich ist.
  • Klären Sie Kunden darüber auf, dass sie eine erteilte Zustimmung in die Weitergabe ihrer Daten jederzeit widerrufen können.
  • Dokumentieren Sie im Verzeichnis der Verarbeitungstätigkeiten, welche Kundendaten wo und weshalb erhoben, gespeichert und weitergegeben werden.
  • Vernichten Sie Kundendaten, wenn der Zweck der Verwendung erfüllt wurde. Beachten Sie dabei die gesetzlichen Löschfristen.

 

Sie möchten Ihren Onlineshop rundum absichern? Kein Problem – mit dem eRecht24 Premium Paket für Online-Shopbetreiber schützen Sie Ihren Shop vor Abmahnungen und Datenschutzverstößen.

Shop Tarife ansehen

eRecht24 Premium für Online-Shops und Händler

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare & Know-How 
Shop Tarife ansehen

5. FAQ: Häufige Fragen zur Weitergabe von Kundendaten


Kundendaten weitergeben – was muss ich wissen?

Daten von Kunden dürfen Sie gemäß DSGVO nur dann weitergeben, wenn eine Rechtsgrundlage dies erlaubt und Sie die Daten für einen festgelegten Zweck übermitteln. Sind die Daten öffentlich (z. B. in einem Telefonbuch), dient die Weitergabe der Erfüllung eines Vertrags (z. B. Übermittlung der Adresse für die Auslieferung der Ware) oder haben Sie ein berechtigtes Interesse, benötigen Sie keine Zustimmung Ihres Kunden. In allen anderen Fällen schon.

Können die Daten an Dritte weitergegeben werden?

Ohne Rechtsgrundlage oder eine freiwillige Einwilligung der betroffenen Person dürfen Sie deren Kundendaten laut Datenschutz nicht an Dritte weitergeben.

Wann ist die Weitergabe von Daten erlaubt?

Sind die Daten ohnehin bereits öffentlich, benötigen andere Unternehmen die Daten, um einen Vertrag zu erfüllen, hat die betroffene Person der Weitergabe freiwillig zugestimmt oder haben Sie als Unternehmer ein berechtigtes Interesse an der Datenweitergabe, das dem der betroffenen Person überwiegt, ist diese erlaubt.

Welche Daten dürfen nicht an Dritte weitergegeben werden?

Kundendaten dürfen nicht an Dritte weitergegeben werden, wenn keine Rechtsgrundlage dafür vorliegt. Für die Abwicklung einer Bestellung im Onlineshop ist etwa die Übermittlung der Käuferadresse an den Versanddienstleister wichtig – aber nicht zwangsläufig auch dessen E-Mail-Adresse und Telefonnummer. Hier braucht es in der Regel die ausdrückliche und freiwillige Zustimmung des Kunden.

Sophie Suske
Sophie Suske

Sophie Suske ist freie Texterin und unterstützt seit 2022 das eRecht24 Redaktionsteam. Komplexe Sachverhalte verständlich und für jeden zugänglich aufzubereiten, ist ihre Leidenschaft. Denn nicht erst seit ihrem Masterstudium der Kommunikationswissenschaften weiß Sophie Suske um die Bedeutung von klarer und zielführender Kommunikation.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details