Datenschutzverstoß bei DPD

Hallo zusammen,

nach der Reklamation eines laut DPD kontaktlos zugestellten aber verschollenem Paketes ist Folgendes passiert:

Der für meine Wohnadresse zuständige DPD-Fahrer ist in meiner Abwesenheit an meiner Wohnadresse erschienen und forderte dort von einer anderen Partei des Hauses die nachträgliche Unterzeichnung der Empfangsbestätigung des verschwundenen Paketes. Die Partei des Hauses verweigerte das zu Recht. Der Fahrer übergab die Unterlagen der Person, um diese am nächsten Tag wieder abzuholen.

Da ich einige Tage nicht zu Hause war, kontaktierte mich die andere Partei des Hauses und schickte mir die eingescannten Unterlagen zu. Hier lag unter anderem eine E-Mail von DPD an den zuständigen Subunternehmer bei. Hier schockte mich schon mal, dass der Subunternehmer eine Gmail-Adresse nutzte. Beim weiteren Lesen der E-Mail ist auch ein Datenschutzhinweis enthalten, in dem darauf verwiesen wird, dass die in der Mail enthaltenen Unterlagen und Informationen nur für Klärungszwecke mit dem Fahrer verarbeitet werden. Sie dürfen weder an den Fahrer noch an Dritte ausgehändigt werden und müssen, falls sie ausgedruckt wurden, in der vorgesehenen Datenschutztonne entsorgt werden.

Dagegen wurde ganz offensichtlich verstoßen. Daher habe ich Kontakt mit dem Datenschutzbeauftragten von DPD aufgenommen und ihm den Fall geschildert. Dieser hat eingeräumt, dass gegen die „DPD-Prozessvorgaben“ gehandelt wurde und weder der Zusteller noch Dritte diese Unterlagen hätte erhalten dürfen. Er wird den Systempartner erneut daran erinnern und er entschuldigt sich dafür.

Zu meiner Kritik mit der Gmail-Adresse wurde argumentiert, dass DPD-Systempartner eigenständige Unternehmer sind und somit auch eigenständig verantwortlich im Sinne der DSGVO. DPD kann anderen Unternehmen keine Vorschriften hinsichtlich deren Mailproviders tätigen. Außerdem seien diese keine Auftragsverarbeiter im Sinne der DSGVO, sondern Erfüllungshilfen mit eigener Lizenz der Bundesnetzagentur. Daten werden an diese nur zur Durchführung der Zustellung und den damit verbundenen Aufgaben übermittelt. Per E-Mail werden Daten an die Systempartner nur dann übermittelt, wenn diese aktuelle Transportverschlüsselungsstandards (TLS 1.2/3) erfüllen.

Diese Antwort halte ich persönlich als nicht besonders befriedigend. Selbst wenn der Systempartner nochmals darauf hingewiesen wird, wird ihn das ähnlich wenig interessieren, wie der Datenschutzhinweis direkt in den Unterlagen. Und zum Thema Gmail: Hier macht es sich DPD ein wenig einfach, wie ich finde. Als Endkunde hat man keinen Einfluss darauf, an wen und in welcher Form die Daten weiterleitet werden. In diesem Fall habe ich davon nur durch Zufall erfahren. Meiner Meinung nach trägt der Versender der personenbezogenen Daten schon auch eine gewisse Verantwortung wo diese Daten nach dem Absenden überall gespeichert, gelesen und verarbeitet werden können. Das Verschicken von E-Mails mit Transportverschlüsselung sollte selbstverständlich sein. Nur was bringt mir das in Zusammenhang mit dem empfangenden Mailprovider? Dort liegen diese Daten im Klartext auf Google-Servern und es ist ja bekannt, dass diese dort auch verarbeitet werden.

Was haltet ihr hiervon? Ist das Verhalten von DPD so in Ordnung? Was wäre ggf. ein gutes weiteres Vorgehen?

Die Unterlagen enthalten unter anderem folgende Informationen von mir:

• Vollständiger Name, Anschrift und Telefon
• Die Rechnung von Online-Händler natürlich inkl. der Auflistung aller dort bestellten Waren, Kundennummer etc.
• Scan der von mir handschriftlich ausgefüllten und unterschriebenen Erklärung zum Nichterhalt des Pakets

wenn ich betroffen wäre, würde ich Beschwerde beim BfDI gegen DPD und den Subunternehmer wegen Verstoß gegen Geheimhaltungsvorschriften (Artikel 32, 33) einreichen und abwarten was passiert. Ob der Subunternehmer wirklich Verantwortlicher oder Auftragsverarbeiter wäre mir dabei egal.

Google würde mich auch ärgern, aber bis Schrems III müssen wir uns wohl damit abfinden, dass die Aufsichten nichts dagegen tun. Aber versuchen kann man es trotzdem.

Die DPD-Zentrale liegt in Aschaffenburg, somit dürfte das BayLDA zuständig sein.

Eine Meldung kann hier eingereicht werden https://www.lda.bayern.de/de/datenpanne.html

https://www.gesetze-im-internet.de/postg_1998/__42.html besagt für mich BfDI.

Yep - Zuständigkeit ist beim BfDI. Ansonsten liegen hier meiner Meinung nach mehrere Datenschutzverletzungen (evtl. Offenlegung, Datensicherheit) vor. Inweit sich der DPD hier herausnehmen kann ist fraglich und ich sehe es nicht so, daß seine eingesetzten Subunternehmer eigenständige Verantwortliche sind.

Die müssten erstmal nachweisen, nicht scheinselbständig zu sein, sonst dürfen sie zwei Jahre Rentenversicherung nachzahlen und haben eventuell auch noch ein Problem mit der Krankenkasse.

Da würde ich sagen: Äääähhh… nein.
Wenn DPD personenbezogene Daten an Dritte weitergibt, dann ist DPD auch weiterhin dafür verantwortlich. Wie DPD das Vertragsverhältnis mit Subunternehmern gestaltet, dürfte den betroffenen Personen (also Dir) egal sein. Gemeinhin kennt man auch die ganzen Subunternehmer nicht. Und natürlich handelt es sich um eine Auftragsverarbeitung, wenn DPD Deine Daten für Zwecke des DPD an Subunternehmer weitergibt. Mag sein, dass die Subunternehmer die Daten noch für eigene Zwecke nutzen - dann müsste aber eine Vertrag zur gemeinschaftlichen Verantwortung über die Daten vorliegen.

Kurzum: die von den Vorrednern gegebenen Tipps, die Aufsichtsbehörde einzuschalten, ist richtig. Die Aufsichtsbehörde wird sich mit Sicherheit brennend für die Interpretation von „Verantwortung für personenbezogene Daten“ von DPD interessieren

@idkfa: Danke, dass du diesen Fall hier mit der Community teilst und die Einzelheiten dazu so detailiert schilderst! Ich möchte wetten, dass das kein Einzelfall ist. Die Logistikbranche ist ein Sumpf. Das gilt insbesondere für die einschlägig bekannten Paketdienste. Die einzige positive Ausnahme bildet UPS. Allerdings wird diesem weltweit operierenden Konzern eine gewisse Nähe zu Scientology nachgesagt. FedEx nicht zu vergessen, der m. M. n. beste Paketdienst der Welt.

Aber zurück zu dem sehr speziellen Fall mit DPD. Im Hause DPD wird man natürlich alles menschenmögliche tun, um die Schuld so weit wie möglich von sich zu weisen. Und der Subunternehmer ist eine ganz arme Sau und schlimmstenfalls wird diese Geschichte seinen Rauswurf nach sich ziehen. Das wird davon abhängen, wie hartnäckig du an dem Fall dranbleibst und was da noch so alles passieren wird.

Ich bin mal gespannt.

leider ganz bestimmt nicht. Meine Beschwerde dümpelt leider auch vor sich hin. Aber ohne Beschwerden und ggfs. Klagen wird es nicht besser.

Der wirtschaftliche Status, ob jemand selbständig oder scheinselbständig oder was auch immer ist, sowie die sich daraus ergebenden sozialversicherungsrechtlichen Konsequenzen haben nichts damit zu tun wie er/sie/es in der Einbindung in eine Verarbeitungstätigkeit als Verantwortlicher oder Auftragsverarbeiter agiert. Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle kann Verantwortlicher und/oder Auftragsverarbeiter sein, egal ob gewerbetreibend, freiberuflich, etc oder nicht.

Es hat etwas damit zu tun, ob der Fahrer, der den Fehler begangen hat, haftbar und verantwortlich zu machen ist, oder sein Unternehmer.

auch dafür ist es irrelevant, hier stellt sich ggf. die Frage zur Fahrlässigkeit und Vorsatz…
Ausserdem sind es keine Fahrer, sondern Zusteller im Sinne des Postgesetzes, denn das spielt eine Rolle im Sinne einer Zustellung

Vielen Dank für eure Rückmeldungen! Schön zu sehen, dass der Fall auch für euch interessant ist und ich hier mit meiner Einschätzung nicht völlig falsch lag.

Als nächsten Schritt reiche ich Beschwerde beim BfDI ein und halte euch hierzu auf dem Laufenden.

Ja bitte!

Neuigkeiten: der BfDI gibt mir in fast allen Punkten Recht: https://blog.lindenberg.one/BeschwerdeDpd Reaktion von dpd steht noch aus.

Wäre gut, wenn wir hier wenigstens ein kurzes Summary zur Fragestellung und der mittels Link angedeuteten diesbezüglichen Antwort des BfDI erhalten könnten.
Man könnte z.B. kurz die zum Kontext gehörende Quintessenz auf die man Bezug nimmt erläutern (was sagt der BfDI zum hiesigen Thema) und für Details auf den Blog verweisen.

aus vier Gründen nicht:

• meine Botschaft ist eine andere: es ist mühsam und langwierig mit Beschwerden (und Klagen), aber nicht immer erfolglos. Dazu mehr auf https://blog.lindenberg.one/AufsichtSchlaft.
• ich mache hier keine kostenlose Rechtsberatung - damit könnte ich gegen das Rechtsdienstleistungsgesetz verstoßen. Als Journalist kann ich allgemeine und manchmal auch fall-spezifische Rechtsinformationen auf meinem Blog veröffentlichen, natürlich auch zu meinen eigenen Fällen. Daher auch meine zurückhaltende Äußerung „wenn ich betroffen wäre …“ oben.
• den konkreten Fall von @idkfa kenne ich nur aus der Schilderung oben. Wenn @idkfa möchte kann sie/er direkt Kontakt zu mir aufnehmen. Ich kann mir gut vorstellen den Fall zu veröffentlichen (dann voraussichtlich mit geschwärzten Dokumenten wie bei mir).
• auch nervt mich die damit ausgedrückte Konsumhaltung - selbst Lesen und Bilden ist ausdrücklich erwünscht.

Hallo Joachim,

vielen Dank für das Einstellen, wie so etwas läuft.

Diese Darstellung ist äußerst gelungen. Schon bitter, dass man für die Durchsetzung von so einem bisschen eigenen Datenschutzrecht so einen Aufwand betreiben muss. (der 2. Teil des Satzes ist durchaus bei mir hängengeblieben, und ich bin sehr froh darüber, aber: )

Das sehe ich auch so (auch in vielen anderen Bereichen des Datenschutzes). Aber ich wäre gar nicht dazu in der Lage (hier meine ich die Kenntnisse, allerdings ist das bei mir nicht der einzige Grund). Welcher „Normalsterbliche“ kann das leisten?

Ich habs mangels Kenntnissen mittendrin aufgegeben (zumindest bei einigen Sachverhalten). Ich hoffe aber, dass die konkrete Schilderung einigen Leuten hilft, selbst so etwas anzugehen und dass das Ergebnis sie motiviert. Jedenfalls scheint sich Deine Hartnäckigkeit auszuzahlen. Ich hätte gedacht, man reicht Beschwerde mit allen Argumenten ein und danach hält man sich besser raus. Offenbar sollte man es genau andersrum machen und auch währenddessen dem BfDI „Schützenhilfe“ leisten.

Ich hoffe natürlich auch sehr, dass @idkfa sich erfolgreich beschweren kann. Das ist schließlich ein Unding. Nach meinen schlechten Erfahrungen mit Hermes (google-gehostete Webseite, was mir bei Nutzung nicht klar war), verfolge ich alles mit Paketdienstleistern ganz genau. Und frage mich regelnäßig, was die geringste Datenschleuder ist.

In meiner neuesten Auskunft hat dpd u.a. geschrieben:

„Zustellfahrer sind in der Regel bei unseren Systempartnern angestellt. Systempartner sind registrierte
Erfüllungsgehilfen im Postdienst und unterliegen denselben Anforderungen aus dem Postgesetz wie
DPD. Zustellfahrer, Hallendienstleister oder Mitarbeiter in Paketshops arbeiten im Rahmen der
Zustellung/Abholung der Pakete ausschließlich mit DPD-Equipment (Mobile Datenerfassungsterminals).“

„DPD gibt personenbezogenen Daten nicht an Dritte weiter, es sei denn, die Weitergabe erfolgt in Erfüllung des Vertragszwecks, es liegen Einverständniserklärungen der betroffenen Personen vor oder
es besteht eine gesetzliche Verpflichtung zur Datenweitergabe, bspw. auch im Rahmen von
Ermittlungsverfahren von Behörden zur Aufdeckung von Straftaten oder dem Nachweis der Einhaltung
gesetzlicher Anforderungen.“

demnach hätte Deine Beobachtung wahrscheinlich nicht stattfinden dürfen. Ich hoffe Du hast Beschwerde eingreicht. Fordere vielleicht auch eine Auskunft ein, damit die Widersprüche sichtbar werden…

Kurze Rückmeldung von mir: Ich habe am 17.01. Beschwerde beim BfDI eingereicht. Diese hat dann auch zügig ein Aktenzeichen erhalten. Außerdem wurde der Schriftverkehr zwischen mir und dem DPD-Datenschutzbeauftragten angefordert und es wurde darauf hingewiesen, dass eine Stellungnahme von DPD eingeholt wird. Bisher habe ich aber noch keine weitere Rückmeldung erhalten. Sobald sich etwas Neues ergibt, lasse ich euch natürlich daran teilhaben.

@Joachim Danke für deine ausführlichen Informationen. Mangels Zeit konnte ich mir diese noch nicht im Detail ansehen aber das werde ich auf jeden Fall noch nachholen.