Die Adressprüfung würde ich auf ein berechtigtes, wirtschaftliches Interesse stützen.
Ja, das hatte ich registriert, dachte aber, Du würdest es wieder vergessen :).
- Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
Das Interesse muss rechtmäßig, hinreichend klar artikuliert und ein tatsächliches, gegenwärtig vorliegendes und nicht spekulatives Interesse sein (siehe unten WP 217). Eingabefehler, Fehlversand, Rechnungsstellung nanntest Du. Das würde ich als “Interesse an richtigen Daten” bezeichnen, was auch unter die sachliche Richtigkeit des Art.5 Abs.1 lit.d eingeordnet werden könnte. Betrugsprävention könnte man noch aufführen.
- Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
Erforderliche Daten zur Entsprechung des Interesses wären Name und Adresse, die erforderliche Verarbeitung wäre die Überprüfung, ob Name und Adresse mit der angegebenen Liefer-/Rechnungsanschrift übereinstimmen. Bei Abholstationen müsste zusätzlich die Adresse der Station geprüft werden.
- Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall
Du meintest, eine korrekte Adresse sei auch im Interesse des (normalen) Kunden. Das sehe ich genauso. Die Frage ist aber, ob es im Interesse des Kunden ist, dass seine Daten von Dritten verarbeitet werden.
Dem Interesse der 1.Stufe genügt eine bloße Adressvalidierung nicht, denn es müsste sichergestellt werden, dass der Kunde an dieser Adresse auch namentlich erreichbar ist. Wenn der Name nicht bekannt ist, erfolgt keine Zustellung, wird die Rechnung abgelehnt usw. Eine Wohnanschrift benötigte den Abgleich mit dem Melderegister. Ist dieser Zweck von der Melderegisterauskunft erlaubt? Eine Adresse der Arbeitsstätte würde die Anfrage beim Arbeitgeber und dessen positive Auskunft beinhalten. Dies wird vom BDSG nicht erlaubt. Die Adresse der Abholstation würde die Anfrage beim Stationsinhaber, dessen Wissen um die Namen der Kunden und dessen Auskunft zum jeweiligen Kunden bedeuten. Ich bezweifle, dass diese Daten beim Inhaber vorhanden sind, denn das würde eine Adressdatenbank bei dieser Station erfordern (die zu welchem Zweck genau angelegt wird?).
Diese Überlegungen verleiten mich zur Schlussfolgerung, dass die Erforderlichkeit aus der 2.Stufe eine sehr weitreichende und teilweise nicht erlaubte Verarbeitung beinhaltete, die eine Unrechtmäßigkeit des Interesses zur Folge haben kann. Beschränkte man sich aus diesem Grund auf eine bloße Adressvalidierung, stellte sich die Frage, ob diese Verarbeitung das geeignete Mittel zum Erreichen des Zwecks wäre, denn die Folgen von Eingabefehlern oder betrügerischen Absichten könnten mit dieser Verarbeitung nicht vermieden werden. Kann der Zweck nicht erfüllt werden, ist die Verarbeitung nicht erforderlich. Ein bisschen Zweckerfüllung genügt den Anforderungen mE nicht.
Bei der dritten Stufe verneine ich das Interesse an einer Verarbeitung durch Dritte für meinen konkreten Einzelfall. Ich habe überhaupt kein Interesse daran, dass irgendwelche IT-Dienstleister und sonstige Cloudnutzer meine Adresse erhalten.
Das Interesse des Kunden an richtigen Daten, kann dieser selbst erfüllen. Eine pauschale Validierung ohne konkrete Anhaltspunkte für (un)beabsichtigte Fehleingaben, würde die oben geschilderte weitreichende Verarbeitung beinhalten. Ich bezweifle, dass allen Kunden ein Interesse daran unterstellt werden kann. Ich denke auch nicht, dass diese Verarbeitung eine angemessene Maßnahme im Sinne des Art.5 wäre.
Die Adressvalidierung ordne ich als Auftragsverarbeitung ein. Im Falle der US-Unternehmen müssten Standardvertragsklauseln vereinbart werden. Der Kunde muss darauf vertrauen, dass eine Vereinbarung existiert und der Auftragsverarbeiter die Daten nicht zu eigenen Zwecken, wie dem Verkauf an Adresshändler, verwendet. Basiert ein solches Vertrauen gegenüber MS oder GG auf einer realen Grundlage? Was steht in deren Vereinbarungen? Können die Kunden wirksame Sicherheitsmaßnahmen auch beim Auftragsverarbeiter annehmen? Oder kann den Kunden ein Interesse an Datenminimierung ua aus Sicherheitsgründen unterstellt werden?
Auch hier stellt sich, wie bei der Vertragserfüllung, die Frage, ob das berechtigte Interesse grundsätzlich für sämtliche Geschäfte angenommen werden muss und eine solche Verarbeitung bei allen Geschäften notwendig ist. Das ist im analogen Leben nicht der Fall und auch nicht im gesamten digitalen Leben. Warum also hier? Diese Überlegungen führen mich zu einem überwiegenden Interesse des Betroffenen.
Mein Fazit ist, dass die Rechtsgrundlage Art.6 Abs.1 lit.f nicht angewandt werden kann, weil die Prüfung der Rechtsgrundlage bereits in der ersten Stufe und spätesten in der zweiten Stufe zu einem negativen Resultat führt.
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf
Es soll geprüft werden, ob eine valide Anschrift vorliegt. Mehr nicht. Dafür braucht es keinen Namen.
Es bleibt “Stufe 3” - und soweit Unterauftragnehmer korrekt eingesetzt werden, scheitert auch hier keine Abwägung (*).
Solange man sich auf die Anschrift beschränkt. Und nicht etwa IP und andere Daten rumschickt, die eben nicht erforderlich und vermeidbar sind.
Ich meine daher die 2-stufige Prüfung für die Übermittlung ins EU-Ausland (grob: “die Verarbeitung müsste zunächst in der EU zulässig sein, erst dann kann man eventuell weitergehen”).
Es scheitert also hier daran, weil die Lösung “aus dem Browser mit IP” in der EU nicht ok ist. Der Drittstaatenexport … natürlich wird ein Shop den Standardklauseln ‘glauben’, das ist aber politisch leider so gewollt.
(*) Deine vermutliche implizite Frage, ob korrekt beauftragte Unterauftragnehmer berücksichtigt werden müssen, sollten wir separat diskutieren.
PS: der Name ergibt sich meistens über die Zahlung …
Wofür? Zu welchem Zweck?
Das wäre Sache des Shops. Mir fallen ein: Reduktion von Logistik- und Verwaltungskosten durch falsche Adressen, Erhöhung Kundenakzeptanz und Serviceleistung.
Eine Reduktion von Logistik- und Verwaltungskosten bedingt den Nachweis zu entstandenen Kosten. Zudem wird sie ohne Namensprüfung nicht vollständig sein - das wäre ein bisschen Zweckerfüllung. Eine Erhöhung der Kundenakzeptanz oder Serviceleistung durch Übermittlung der Daten an Dritte fällt mir schwer nachzuvollziehen.
Soweit Sendungen etwa in D über DHL versandt werden, müssen sie mit einem Leitcode versehen werden. Das funktioniert nur mit postalisch einwandfreien Adressen. Für Adressen, die von DHL nachcodiert werden müssen, entstehen dem Versender Kosten (ca. 30 Cent?). Noch teurer ist es, wenn fehlerhafte Adressen zu Fehlleitungen, Rückläufern, Nachrecherchen führen. Das alles lässt sich durch eine Prüfung der Adresse am besten bereits bei der Eingabe durch den Auftraggeber vermeiden und geht ganz ohne Kenntnis des Namens des Empfängers, der in Der Regel nicht das Problem ist! Andere Paketdienstleister sind ebenfalls auf korrekte Adressen angewiesen. Und natürlich führt eine reibungslose Zusendung zu Kundenakzeptanz! (Namen sind bei der Betrugsabwehr relevant.)
Dann macht doch ohne Namen!
Wobei der Name nicht das einzige personenbeziehbare Datum wäre. Auch die IP-Adresse dürfte bei dieser Gelegenheit nicht ohne tragfähige Rechtsgrundlage an Dritte übermittelt werden. Und… Oh! die Postanschrift auch nicht.
Also keine direkte Verbindung der Besucher (IP-Adresse) zum externen Dienst, sondern der Verantwortliche müsste die Adresse selbst dort anfragen, z. B. über eine Proxy-Lösung. (“Gibt es diese Adresse? Ich frag für einen Freund.”) Damit der Dienst dann auch nicht vernknüpfen kann, dass sich Leute an dieser Adresse für bestimmte Produkte interessieren sollte die Verarbeitung für seine eigenen Zwecke zuverlässig ausgeschlossen sein.
Vielleicht landen wir anschließend in der Nähe des Dilemmas der Kreditauskunfteien, die “schlechte Adressen” per se nicht als Grundlage für schlechte Bewertungen einzelner Personen verarbeiten dürfen. Weil: ist auch nix anderes.
D., der sich die Anschriftprüfung auf Basis des berechtigten Interesses (lit. f) an der reibungslosen Lieferung vorstellen kann, um Falschlieferungen, Verzögerungen und zusätzlichen Aufwand zu vermeiden; als alleiniger Zweck wird wenig dagegen sprechen. Wenn es dafür erforderlich sein muss, kann es das ebenso zur Vertragserfüllung (lit. b) sein, was eleganter wäre. Mit einem unverfänglichen Dienstleister, der als Auftragsverarbeiter vielleicht sogar dafür… bezahlt(!) werden müsste, mit den Daten nur anzustellen, was sich stabil auf die Reihe bekommen lässt. Machen die aber was anderes, geht das über die Erforderlichkeit hinaus und weder lit. b noch lit. f ließen sich rechtfertigen.
Meine ursprüngliche Frage war allgemeiner gehalten und ist schon lange beantwortet ;- )
Genau! Die IP-Adresse bekommt man immerhin noch über einen Proxy weg. Die Anschrift, die schließlich geprüft werden soll, natürlich nicht. Auch wenn die Frage nur lautet: “Ist die Anschrift xyz gültig?”, was man bereits beantworten kann, wenn man sich an die Adresse begibt und nachschaut (nichts anders macht Google mit seinen Wägen ja letztlich auch nur), muss dies als die Weitergabe potentiell personenbezogener Daten gesehen werden (wenn eine Person allein in einem ihr gehörenden Haus lebt). Ob man das wirklich so sehen muss, wäre Thema einer neuen Diskussion. Für den Fall, dass die Grundstückwerte (die ja bei Verkäufen bekannt werden) für Lagebewertungen zusammengetragen werden, wurde bereits entschieden, dass dies zulässig sei, obwohl hier relevantere Daten als bei der Adressüberprüfung gehandelt werden (nämlich die Frage “ist PLZ/Ort/Straße/Hausnummer gültig” vs. “zu welchem Wert wurde PLZ/Ort/Straße/Hausnummer verkauft”.)
@ UlrichW: das klingt etwas seltsam.
Erst soll wegen Performance direkt aus dem Browser des Users gearbeitet werden, dann doch wieder über einen Proxy oder den Shop - ja was ist denn nun Sachlage?
Dann die Überlegung, ob Adressdaten überhaupt p.b. Daten sind, weil es eine nicht näher bezeichnete “Entscheidung” gäbe - welche denn?
Ansonsten zur Erinnerung eventuell in Art 4 der DS-GVO nachlesen, was personenbezogene Daten sind.
Ich empfehle Dir, einfach etwas genauer zu lesen. Ich äußerte mich zweimal zu dieser Frage: “Aus Performancegründen wird man BING/Google direkt aus dem Browser aufrufen lassen. Aber selbst wenn es über den Shop als Proxy läuft, bleibt die Anschrift selbst!”
Was ist daran unklar oder seltsam?
Danke für den Hinweis. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Frage ist, wie weit der Begriff “beziehen” greift. Greift er noch, wenn ich lediglich die Gültigkeit der Adresse überprüfen lassen will?
Die Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ der Artikel-29-Datenschutzgruppe geht darauf in Abschnitt III.2 ziemlich ausführlich ein. Hier findet sich auch das Beispiel zur Grundstückbewertung, aber leider nichts zu meiner Frage.
Ich hatte meine Frage zweimal unserer Aufsichtsbehörde vorgelegt, das zweite Mal unter konkreter Bezugnahme auf die o.a. Stellungnahme der Artikel-29-Gruppe, nachdem ich auf diese gestoßen war. In beiden Fällen wurde mir - allerdings weitgehend ohne Begründung - mitgeteilt, dass man die Ansicht vertrete, dass es sich bei der Adresse um personenbezogene Daten handeln könne.
Ich beabsichtige nicht, mich darum zu streiten, halte die Sache aber auch für anders entscheidbar. Allerdings bin ich kein Jurist und schon gar nicht ein Datenschutzexperte, und lasse mich ledigilch von meinem Common Sense leiten.
Interessieren würde mich allerdings das Schutzbedürfnis der betroffenen Person. In wiefern wird es durch eine Anfrage, ob die von ihr bewohnte Adresse gültig ist, ob also PLZ, Ort, Straße und Hausnummer richtig geschrieben und konsistent sind, beeinträchtigt? Google könnte der CIA oder NSA mitteilen, da hat jemand nach dieser Adresse gefragt. Diese könnte dann den Proxy-Server ermitteln, deren Besitzer und kann dann möglicherweise den Kreis von Personen eingrenzen, die die Adresse abgefragt haben könnten… Hmm…
Ulrich
(Warum fang ich immer so an…) Dann macht doch im Browser! Wenn es zulässig ist.
Die Zulässigkeit wird sich allerdings nicht so pauschal nachvollziehen lassen. Nicht mit jedem Dienst; nicht in jedem Zusammenhang; nicht bei jeder möglicherweise zutreffenden Rechtsgrundlage (wegen der jeweiligen Bedingungen für Einwilligung, Erforderlichkeit usw.).
Schutzbedürfnis… Welchen zusätzlichen Verarbeitungszwecken /Risiken würde man Daten aussetzen? Möglichst keinen. Keinen abzusehenden. Alles im Giriff.
Als Betroffener würde ich meinen Lieferanten zugestehen, die Kreditwürdigkeit (falls es ein Kreditgeschäft wäre) zu prüfen, die Zuverlässigkeit der Zustellung zu sichern, und auch die günstigste oder schnellste Versendungsform durchspielen.
Aber nicht um den Preis, dass dann Hinz (Google) und Kunz (Microsoft) wissen, wann ich bei wem etwas aus welcher Produktgruppe bestellt habe und das möglicherweise für ihre “legitimen Zwecke”, aber “nicht für Werbung” nutzen. Der jeweils in Anspruch genommene Dienst hat gefälligst nur das Beauftragte zu tun, und nichts Anderes. Und das trau ich den “üblichen Verdächtigen” nicht zu. Nicht bei diesen Erfahrungen /Vertragsformulierungen /Datenschutzinformationen. Mit diesem Wissen kann der Verantwortliche das so nicht machen. Vielleicht anders.
D., der hofft, dass Verantwortliche an die Grundaätze (Rechtmäßigkeit,… Zweckbindung,… Vertraulichkeit) denken; und die relevanten Einzelvorschriften beachten (…by Design, Auftragsverarbeitung, Drittlandabsicherung,…).
Schließlich ist die Adresse top gecheckt und der Zusteller wirft es irgendwo anders hin und bestätigt die richtige Zustellung selbst. (Nächste Runde: aus dem 30. Tätigkeitsbericht des BfDI, dass Empfänger bzw. deren Ausweisdokumente fotografiert wurden. Alles natürlich nur, um… )
@UlrichW, wieviele Fehlleitungen / Rückläufer gibt es im Jahr? Wie hoch sind die Kosten, die sie verursachen?
Ich kann Dir keine Zahlen nennen, aber die Gesamtkosten (inkl. Kundenunzufriedenheit, Bewertungen etc.) sind höher als die Kosten der Adressprüfung. Gute Adressen werden übrigens auch für Bonitätsabfragen und die Vermeidung der Umgehung von Liefersperren (etwa wg. mangelnder Zahlungsbereitschaft) benötigt.
Überhaupt nicht, sofern es sich wirklich nur um die Adresse handelt, die sich nicht mehr auf eine einzelne Person beziehen lässt. Denn dann handelt es sich definitionsgemäß nicht mehr um personenbezogene Daten.
Welche Daten Google oder Bing jedoch sonst noch (in die USA!) übertragen, darüber weiß man nichts. Was wir aber wissen: sie haben diese Adressdaten bereits in großem Umfang, und es wird für sie kein Problem sein, aus der IP-Adresse weitere Verknüpfungen zu erzeugen - wenn sie denn wollen. Warum sie das tun sollten oder welches Interesse sie haben, sind Fragen, die in diesem Zusammenhang vollkommen obsolet sind.
Bei Unklarheiten zum grundsätzlichen Sinn von Datenschutz oder DSGVO empfehle ich den Film “Democracy - Im Rausch der Daten”. 
Natürlich ist nicht jede Adresse personenbezogen. Das schrieb ich auch nicht. Aber sie kann möglicherweise personenbezogen sein, wenn nur eine Person in dem ihr gehörenden Haus wohnt. Nur um diesen Fall geht es, und ob in dem konkreten Fall wirklich personenbezogen. Aber sorry, ich möchte das jetzt nicht alles wiederholen…
Exakt.
Ich schrieb ja, es handelt sich dann nicht um personenbezogene Daten, wenn die Daten wirklich (!) anonymisiert übertragen wurden.
Und ich schreibe, dass Anschriften häufig personenbezogen /personenbeziehbar sein werden. Im Zweifel immer.
Zu klären:
- überhaupt die Rechtmäßigkeit des Vorhabens, Adressen für bestimmte Zwecke zu verifizieren;
- ob durch das Übermitteln /Auslagern an einen externen Dienst Zwecke und Risiken dazukommen;
- der Drittlandquatsch, auf den es dann auch nicht mehr ankommen wird.
D., an dessen Adresse genau… Leute wohnen. Weil immer für alle zusammen eingekauft wird ist es egal, wessen Gerät /Profil von den Diensten mit der jeweiligen Erkenntnis verbunden wird. Zulässig wäre es meistens nicht. In Bezug auf den Lieferanten allein eigentlich kein Problem. Nur darf er die anderen nicht mit Daten füttern, ohne die Folgen mit verantworten zu müssen.
… und ich schrieb in meinem Vorposting, dass unsere Aufsichtsbehörde eben gerade NICHT dieser Auffassung ist. Wenn Du gute Quellen hast, die Deine Ansicht belegen, wäre ich Dir dafür sehr dankbar!
Ulrich
Natürlich bezieht sich Adresse auf die Person - sonst würde man sie ja nicht prüfen und aus einem Geschäft wird dann auch nix 
Im Englischen lautet es “‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’)”
Warum sollten Aufsichtsbehörden das anders verstehen? Will der Shop Geschäfte machen oder Rechtsfragen fragen klären? In Kommentaren zur DS-GVO will ich jetzt nicht nachschauen …