Datenschutz Paketdienste

Datenschutz beim Paketversand nach Art. 13/14 DSGVO Seite 1 von 1 -C0-
Die DPD Deutschland GmbH (im Folgenden DPD genannt) gehört zur internationalen DPDgroup, Europas zweitgrößtem
Paketdienst-Netzwerk. Hauptsitz des Unternehmens ist Aschaffenburg:
DPD Deutschland GmbH, Wailandtstraße 1, 63741 Aschaffenburg, Tel. 06021 843-0, info@dpd.de
Als Postdienstleister unterliegt DPD u. a. den gesetzlichen Anforderungen des Postgesetzes (PostG) sowie der EUDatenschutz-
Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG (neu)).
Dazu verarbeitet DPD die Daten vorrangig auf der Grundlage von Abschnitt 9 PostG, zur Erfüllung öffentlicher Aufgaben
gemäß Art. 6 Abs. 1 lit. e DSGVO, zur Erfüllung rechtlicher Pflichten gem. Art. 6 Abs. 1 lit. c DSGVO, zur Vertragserfüllung
gemäß Art. 6 Abs. 1 lit. b DSGVO sowie zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Ein
berechtigtes Interesse seitens DPD besteht insbesondere darin, dass die Verarbeitung und Anzeige der Daten zur finalen
Zustellung des Pakets benötigt wird.
Neben Angaben zu Adressen, Kommunikationsdaten und Ansprechpartnernamen zählen dazu auch gesetzliche und
abrechnungstechnisch relevante Angaben zu den einzelnen Sendungen, z. B. Gefahrgutklassen, Zollangaben,
Sendungsübergabeinformationen, erhobene Nachnahmen, Angaben zur Sendungsverfolgung (Status und aktueller Ort der
Sendungen) sowie weitere vom Versender oder Empfänger angegebene Hinweise zur Zustellung der Sendung wie
beispielsweise die Ausweisnummer bei Abholungen in unseren Paketshops. Inhalte von Sendungen werden nur im Falle
zollrechtlicher Anforderungen bekannt oder wenn das Öffnen der Sendung bei fehlenden äußerlichen Hinweisen im Rahmen
der Ermittlung des Absenders nach dem PostG erforderlich ist. Die Aufbewahrungsfrist dieser Daten richtet sich vorwiegend
nach verschiedenen gesetzlichen und organisatorischen Anforderungen.
Die Verarbeitung der Daten erfolgt vorwiegend innerhalb der EU, es sei denn, die Zustellung erfolgt in einem Drittland.
DPD ist kein Auftragsverarbeiter nach Art. 28 DSGVO, sondern eigene verantwortliche Stelle für die zur Durchführung der
Zustellung überlassenen Daten. Aus diesem Grund ist es nicht erforderlich, seitens der Versender entsprechende
Vereinbarungen (Auftragsverarbeitungsverträge) mit DPD zu treffen.
DPD nutzt und verarbeitet personenbezogene Daten nur innerhalb der beteiligten Gesellschaften. Eine Weitergabe der
Daten durch Verkauf, Vermietung oder Tausch erfolgt nicht. Sofern DPD Daten für die Auftragserfüllung an externe
Dienstleister weitergibt, sind diese an die Vorschriften der EU-DSGVO (Art. 28) oder andere gesetzliche Vorschriften zum
Datenschutz gebunden. DPD gibt personenbezogene Daten nicht an Dritte weiter, es sei denn, die Weitergabe erfolgt in
Erfüllung des Vertragszwecks (z. B. an Erfüllungsgehilfen wie Systempartner und deren Zustellfahrer), es liegen
Einverständniserklärungen der betroffenen Personen vor (z. B. bei der Nutzung der Paket Navigator App) oder es besteht
eine gesetzliche Verpflichtung zur Datenweitergabe (z. B. bei Zollanmeldungen oder Auskünften zu Gefahrgut).
DPD trifft angemessene technische und organisatorische Vorkehrungen, um die Sicherheit der durch DPD verarbeiteten
personenbezogenen Daten zu gewährleisten. Die Daten werden gewissenhaft vor Verlust, Zerstörung, Verfälschung,
Manipulation und unberechtigtem Zugriff oder unberechtigter Offenlegung geschützt. Mitarbeiter und Partner von DPD
werden zur Wahrung des Postgeheimnisses und zur vertraulichen Behandlung personenbezogener Daten verpflichtet und
über deren Handhabung informiert. Die Sicherheit der eingesetzten IT-Systeme wird regelmäßig überwacht.
Ansprechpartner für Auskünfte zur Verarbeitung personenbezogener Daten nach Art. 15 DSGVO, Anfragen nach Art. 16,
17,18, 20, 21 DSGVO sowie andere Anliegen oder Beschwerden mit Bezug zum Datenschutz ist der zentrale
Datenschutzbeauftragte von DPD, Michael Mayer (datenschutz@dpd.de). Weitere Hinweise und andere Angaben zu
einzelnen Services von DPD können jederzeit der DPD Datenschutzerklärung unter www.dpd.de/datenschutz entnommen
werden.
Die zuständige Aufsichtsbehörde zum Datenschutz bei Postdienstleistungen ist:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Referat 22, Postfach 1468, 53004 Bonn.
Aschaffenburg, April 2023
D atenschutzhinweise
Datenschutz beim Paketversand

Datenschutzbewertung Predict / EU-DSGVO
Datenschutzbewertung Predict/EU-DSGVO 1/1
12/2017
DPD Deutschland GmbH (Sitz: Wailandtstraße 1, 63741 Aschaffenburg, im Folgenden DPD genannt) bietet
im Rahmen ihres Produktportfolios die sogenannten Predict-Services für Versender und Empfänger an.
Mit diesem Service wird dem Empfänger von Sendungen des Versenders eine frühzeitige Information per EMail
oder SMS über die Zustellung der Sendung und die Gestaltung des Zustellvorgangs ermöglicht. Dazu
übermittelt der Versender (Versandkunde) an DPD entsprechende Zusatzinformationen, wie die EMailadresse
oder die Mobiltelefonnummer des Empfängers.
Eine Grundlage der Übermittlung dieser Daten an DPD seitens des Versenders ist Artikel 6(1f) EU-DSGVO
(„Datenverarbeitung zur Wahrung berechtigter Interessen“).
Begründung: Die Übermittlung der Daten erfolgt im berechtigten Interesse sowohl des Versenders als auch
des Versanddienstleisters DPD zur Vermeidung von Falschzustellungen (also dem Schutz des Postgeheimnisses)
als auch der kundenfreundlichen Ausgestaltung des Anlieferzeitpunkts und -orts des Betroffenen
(Empfängers). Grundlage der Datenverarbeitung zwischen Versender und Empfänger ist, in der Regel eine
Bestellung des Betroffenen beim Versender, also eine vertrags- oder vertragsähnliche Beziehung nach Artikel
6(1b) EU-DSGVO. DPD tritt dabei als Erfüllungsgehilfe (Postdienstleister) auf. Durch die Übermittlung
der zusätzlichen Informationen werden keine schutzwürdigen Interessen des Betroffenen oder dessen
Grundrechte und Grundfreiheiten eingeschränkt. Er kann jederzeit an beiden Stellen Widerspruch gegen die
Verarbeitung dieser Zusatzinformationen einlegen. Bei der Predict-Information handelt es sich nicht um
Werbung mit dem Ziel der Förderung des eigenen oder fremden Absatzes, sondern um die Abwicklung des
Zustellprozesses bereits bestellter Waren.
DPD verarbeitet diese Daten ausschließlich für diesen Zweck und zu keinem anderen. Die Daten werden
sendungsbezogen erhoben und im Rahmen der gesetzlichen Anforderungen an Archivierungsfristen auch
sendungsbezogen in den Sendungsarchiven, bspw. für Reklamations- und Abrechnungszwecke, gespeichert.
Der Versandkunde ist verantwortlich für die Richtigkeit der DPD zur Verfügung gestellten E-Mail-
Adressen und Telefonnummern seiner Bestellkunden (Empfänger) hinsichtlich der Schreibweise, der Syntax
und der Zuordnung zu einer konkreten Sendung. Sollten DPD Sperraufforderungen des Empfängers gegen
den Versand der Information via E-Mail oder SMS vorliegen, ist DPD verpflichtet, diesem Widerspruch
Rechnung zu tragen und den Service an den betreffenden Empfänger einzustellen. Eine Mitteilung über die
Sperrung an den Versandkunden erfolgt nicht.
Der Versender kann im Rahmen der Predict-Services auch Informationen zu sich selbst in Form von Kundenbannern
zukommen lassen. Die Kundenbanner dürfen neben dem Firmennamen und der Anschrift das
Firmen-Logo, die Website-URL und einen firmenbezogenen Slogan/Claim enthalten, jedoch keine darüberhinausgehenden
werblichen Inhalte in Form von Texten oder bildlichen Darstellungen. DPD sichert dem
Versandkunden zu, keine eigene Werbung an dessen Empfänger zu versenden.
Empfänger, welche eine Sperrung ihrer E-Mailadresse für den Predict-Service wünschen, senden einen
formlosen Widerspruch unter Angabe des Namens, der Anschrift und der zu sperrenden E-Mailadresse an
widerspruch_predictbenachrichtigung@dpd.de. Eine Sperrung der E-Mailadresse durch DPD führt dazu,
dass der Empfänger generell keine E-Mail zu Sendungsinformationen von uns erhält.
Textvorschlag für Hinweise in den Datenschutzerklärungen der DPD Versandkunden ab 25.5.2018:
„Im Rahmen der Versandabwicklung übermitteln wir auf der Grundlage der EU-Datenschutzgrundverordnung
Artikel 6(1f) Ihre Daten (Name, Adresse, ggf. Emailadresse und/oder Mobiltelefonnummer, sowie
weitere, sendungsbezogene, Daten) an unseren Versandpartner DPD Deutschland GmbH. Sie können der
Übermittlung von Zusatzinformationen wie E-Mail oder Mobiltelefonnummer sowohl bei uns […Adresse Kundenkontakt
einfügen…] als auch bei DPD [widerspruch_predictbenachrichtigung@dpd.de oder bei jeder
Paketinformation über einen Link] jederzeit widersprechen.“

Ergänzende Information zur Datenschutzbewertung Predict
Ergänzende Information Predict/EU-DSGVO 1/1
25.05.2018
DPD Deutschland GmbH (Sitz: Wailandtstraße 1, 63741 Aschaffenburg, im Folgenden DPD genannt) bietet
im Rahmen ihres Produktportfolios Predict-Services für Versender und Empfänger an.
Aus Sicht von DPD und unseren beauftragten Datenschutzanwälten ist diese Dienstleistung vollständig mit
den geltenden Datenschutzbestimmungen einschließlich der EU-DSGVO vereinbar. Dazu haben wir bereits
im Dezember eine Datenschutzbewertung erstellt. Diese finden Sie auf den Internetseiten von DPD.
Die Grundlage der Übermittlung dieser Daten an DPD seitens des Versenders ist Artikel 6(1f) EU-DSGVO.
Die „Datenverarbeitung zur Wahrung berechtigter Interessen“ ist demzufolge auch ohne explizite Einwilligung
der Empfänger datenschutzrechtlich zulässig.
Die Übermittlung der Daten erfolgt sowohl im berechtigten Interesse des Versenders (Verantwortlichen)
als auch des Versanddienstleisters DPD (Dritten) zur Vermeidung von Falschzustellungen (also
u.a. auch zum Schutz des Postgeheimnisses) und zur kundenfreundlichen Ausgestaltung des Lieferzeitpunkts
und -orts.
Schutzwürdige Interessen des Empfängers oder dessen Grundrechte und Grundfreiheiten werden
dadurch nicht beeinträchtigt. Im Gegenteil dient die Datenübermittlung gerade auch den Interessen
des Empfängers. Der Empfänger kann zudem jederzeit beim Versender und bei DPD Widerspruch gegen
diese Datenverarbeitung, über die er durch die Datenschutzhinweise des Versenders informiert wurde, erheben
und somit sein Recht auf informationelle Selbstbestimmung wahrnehmen.
Die Datenschutzkonferenz der Aufsichtsbehörden (DSK) hat am 23. März 2018 eine andere Auffassung
vertreten, derzufolge die Übermittlung solcher Zusatzinformationen ohne Einwilligung nicht zulässig
sei. Als Begründung wurde angeführt, dass die Übermittlung nur mittels Einwilligung des Empfängers
(Bestellers) durchgeführt werden darf, da der Versender in der Regel selber einen Link zur Sendungsverfolgung
/ Auskunft zum Paket in die Versandbestätigung einbinden kann und dies als zumutbare Alternative
angesehen wird.
Diese Einschätzung der Datenschutzkonferenz sowie deren Begründung teilt DPD nicht. Im besten
Interesse der Paketempfänger und -versender halten wir daher an unserer etablierten Praxis fest. Wir gehen
davon aus, dass sich unsere Rechtsauffassung durchsetzen wird und das Versenden und Empfangen von
Paketen auch weiterhin so bequem möglich ist wie bisher.
Aschaffenburg, 25.05.2018
Boris Winkelmann
CEO - DPD Deutschland GmbH
Michael Mayer
Datenschutzbeauftragter (GDD cert.) i.A.