Hallo zusammen,
nach der Reklamation eines laut DPD kontaktlos zugestellten aber verschollenem Paketes ist Folgendes passiert:
Der für meine Wohnadresse zuständige DPD-Fahrer ist in meiner Abwesenheit an meiner Wohnadresse erschienen und forderte dort von einer anderen Partei des Hauses die nachträgliche Unterzeichnung der Empfangsbestätigung des verschwundenen Paketes. Die Partei des Hauses verweigerte das zu Recht. Der Fahrer übergab die Unterlagen der Person, um diese am nächsten Tag wieder abzuholen.
Da ich einige Tage nicht zu Hause war, kontaktierte mich die andere Partei des Hauses und schickte mir die eingescannten Unterlagen zu. Hier lag unter anderem eine E-Mail von DPD an den zuständigen Subunternehmer bei. Hier schockte mich schon mal, dass der Subunternehmer eine Gmail-Adresse nutzte. Beim weiteren Lesen der E-Mail ist auch ein Datenschutzhinweis enthalten, in dem darauf verwiesen wird, dass die in der Mail enthaltenen Unterlagen und Informationen nur für Klärungszwecke mit dem Fahrer verarbeitet werden. Sie dürfen weder an den Fahrer noch an Dritte ausgehändigt werden und müssen, falls sie ausgedruckt wurden, in der vorgesehenen Datenschutztonne entsorgt werden.
Dagegen wurde ganz offensichtlich verstoßen. Daher habe ich Kontakt mit dem Datenschutzbeauftragten von DPD aufgenommen und ihm den Fall geschildert. Dieser hat eingeräumt, dass gegen die „DPD-Prozessvorgaben“ gehandelt wurde und weder der Zusteller noch Dritte diese Unterlagen hätte erhalten dürfen. Er wird den Systempartner erneut daran erinnern und er entschuldigt sich dafür.
Zu meiner Kritik mit der Gmail-Adresse wurde argumentiert, dass DPD-Systempartner eigenständige Unternehmer sind und somit auch eigenständig verantwortlich im Sinne der DSGVO. DPD kann anderen Unternehmen keine Vorschriften hinsichtlich deren Mailproviders tätigen. Außerdem seien diese keine Auftragsverarbeiter im Sinne der DSGVO, sondern Erfüllungshilfen mit eigener Lizenz der Bundesnetzagentur. Daten werden an diese nur zur Durchführung der Zustellung und den damit verbundenen Aufgaben übermittelt. Per E-Mail werden Daten an die Systempartner nur dann übermittelt, wenn diese aktuelle Transportverschlüsselungsstandards (TLS 1.2/3) erfüllen.
Diese Antwort halte ich persönlich als nicht besonders befriedigend. Selbst wenn der Systempartner nochmals darauf hingewiesen wird, wird ihn das ähnlich wenig interessieren, wie der Datenschutzhinweis direkt in den Unterlagen. Und zum Thema Gmail: Hier macht es sich DPD ein wenig einfach, wie ich finde. Als Endkunde hat man keinen Einfluss darauf, an wen und in welcher Form die Daten weiterleitet werden. In diesem Fall habe ich davon nur durch Zufall erfahren. Meiner Meinung nach trägt der Versender der personenbezogenen Daten schon auch eine gewisse Verantwortung wo diese Daten nach dem Absenden überall gespeichert, gelesen und verarbeitet werden können. Das Verschicken von E-Mails mit Transportverschlüsselung sollte selbstverständlich sein. Nur was bringt mir das in Zusammenhang mit dem empfangenden Mailprovider? Dort liegen diese Daten im Klartext auf Google-Servern und es ist ja bekannt, dass diese dort auch verarbeitet werden.
Was haltet ihr hiervon? Ist das Verhalten von DPD so in Ordnung? Was wäre ggf. ein gutes weiteres Vorgehen?
Die Unterlagen enthalten unter anderem folgende Informationen von mir:
- Vollständiger Name, Anschrift und Telefon
- Die Rechnung von Online-Händler natürlich inkl. der Auflistung aller dort bestellten Waren, Kundennummer etc.
- Scan der von mir handschriftlich ausgefüllten und unterschriebenen Erklärung zum Nichterhalt des Pakets