Zurück zum Blog

DSGVO-konformes Sendungs-Tracking für EU-Unternehmen

·8 Min. Lesezeit

Wenn Ihr E-Commerce-Unternehmen in der EU tätig ist, ist die DSGVO kein optionales Feature – sie ist das Gesetz. Jeder Drittanbieter-Service, der personenbezogene Daten verarbeitet, muss konform sein. Sendungsverfolgungs-Anbieter verarbeiten Tracking-Nummern, Kundenreferenzen und potenziell Lieferadressen – alles personenbezogene Daten nach DSGVO-Definition.

Dieser Artikel behandelt, worauf Sie bei der Bewertung eines Tracking-Anbieters aus DSGVO-Perspektive achten sollten.

Datenresidenz: Wo Ihre Daten gespeichert werden

Die DSGVO verbietet nicht grundsätzlich Datenübertragungen außerhalb der EU, aber sie macht es erheblich komplizierter. Der einfachste Weg zur Konformität: Wählen Sie einen Anbieter, der alle Daten innerhalb der EU/des EWR speichert und verarbeitet. Damit entfällt die Notwendigkeit für Standardvertragsklauseln (SCCs), Transfer Impact Assessments (TIAs) und die anhaltende Rechtsunsicherheit bei internationalen Datentransfers.

Bei der Bewertung eines Anbieters fragen Sie konkret:

  • Wo befinden sich Ihre Anwendungsserver?
  • Wo wird die Datenbank gehostet und in welcher Region?
  • Nutzen Sie Unterauftragsverarbeiter außerhalb der EU/des EWR?
  • Hat ein Mitarbeiter außerhalb der EU Zugriff auf Produktionsdaten?

Transparenz bei Unterauftragsverarbeitern

Ihr Tracking-Anbieter nutzt wahrscheinlich eigene Dienstleister: Cloud-Hosting, Datenbanken, E-Mail-Zustellung, Fehler-Monitoring. Unter der DSGVO haben Sie das Recht zu wissen, wer diese Unterauftragsverarbeiter sind und wo sie sich befinden. Ein konformer Anbieter veröffentlicht eine Unterauftragsverarbeiterliste und informiert Sie vor dem Hinzufügen neuer Verarbeiter.

Datenminimierung

Artikel 5 Abs. 1 lit. c DSGVO verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Verarbeitung notwendige Maß beschränkt sein müssen. Ein Sendungs-Monitoring-Service braucht Tracking-Nummern und Carrier-Kennungen. Er braucht möglicherweise Kundenreferenzen für Ihre interne Zuordnung. Er braucht keine Kunden-E-Mail-Adressen, Telefonnummern, vollständige Lieferadressen oder Bestellinhalte.

Datenspeicherung und Löschung

Wie lange speichert der Anbieter Sendungsdaten nach Abschluss des Monitorings? Unter der DSGVO sollten Daten nicht länger als für ihren Zweck notwendig aufbewahrt werden. Eine zugestellte Sendung muss nicht unbegrenzt gespeichert werden. Achten Sie auf Anbieter mit konfigurierbaren Aufbewahrungsfristen oder automatischer Löschung abgeschlossener Sendungsdaten.

Mandantentrennung

In einer Multi-Tenant-SaaS-Anwendung werden Ihre Daten neben denen anderer Kunden gespeichert. Ordnungsgemäße Mandantentrennung stellt sicher, dass kein API-Aufruf, keine Datenbankabfrage und kein Anwendungsfehler die Daten eines Mandanten einem anderen zugänglich macht. Dies ist sowohl eine Sicherheits-Best-Practice als auch eine DSGVO-Anforderung nach Artikel 32 (Sicherheit der Verarbeitung).

Third-Party-Skripte und Tracking-Seiten

Einige Tracking-Anbieter bieten kundenorientierte Tracking-Seiten oder einbettbare Widgets an. Diese laden oft Third-Party-Skripte: Analytics, Werbepixel, CDN-Ressourcen von US-Servern. Jedes Third-Party-Skript, das Besucherdaten verarbeitet, ist ein potenzielles DSGVO-Problem. Der sauberste Ansatz: Nutzen Sie einen Anbieter, der keine Third-Party-Tracking-Skripte injiziert.

Checkliste für die Anbieterwahl

Anbieter bietet einen Auftragsverarbeitungsvertrag (AVV) an
Alle Datenspeicherung und -verarbeitung erfolgt innerhalb der EU/des EWR
Unterauftragsverarbeiterliste ist veröffentlicht und aktuell
Datenerhebung ist auf das Notwendige beschränkt (Minimierung)
Aufbewahrungsrichtlinien sind dokumentiert, mit Löschoptionen
Multi-Tenant-Isolation ist implementiert und beschrieben
Keine Third-Party-Tracking-Skripte auf anbietergehosteten Seiten
Technische und organisatorische Sicherheitsmaßnahmen sind dokumentiert

Wie ShipTriage DSGVO-Konformität gewährleistet

ShipTriage wird vollständig innerhalb der EU entwickelt und gehostet. Die Anwendung läuft auf Vercel (EU-Region), und die PostgreSQL-Datenbank wird auf Neon (EU-Region) gehostet. Es gibt keine US-basierten Unterauftragsverarbeiter im Datenpfad. Die Anwendung lädt keine Third-Party-Analytics, Werbung oder Tracking-Skripte – kein Google Analytics, kein Facebook Pixel, nichts.

Mandantentrennung wird auf Datenbankebene durchgesetzt. Jede Abfrage ist auf den authentifizierten Mandanten beschränkt. API-Keys werden vor der Speicherung mit SHA-256 gehasht. Session-Cookies werden nur für die Authentifizierung verwendet, keine Tracking-Cookies. Der Service erfasst Sendungsnummern, Kundenreferenzen und Carrier-Statusdaten – nicht mehr.

Für EU-E-Commerce-Unternehmen ist die Wahl eines DSGVO-konformen Tracking-Anbieters nicht nur eine rechtliche Pflicht. Es ist ein Wettbewerbsvorteil. Ihre Kunden und deren Datenschutzbeauftragte wollen sehen, dass Sie Datenschutz ernst nehmen.

EU-gehostetes Sendungs-Monitoring ohne Third-Party-Tracker

ShipTriage speichert Ihre Sendungsdaten in der EU. Keine Analytics-Skripte, kein Datenexport.

Kostenlos starten

Weitere Artikel