Auftragsverarbeitung mit 3PL
Die Zusammenarbeit mit einem 3PL-Dienstleister ist operativ oft ein Beschleuniger, datenschutzrechtlich aber ein sensibles Setup. Sobald ein Logistikpartner personenbezogene Daten im Auftrag verarbeitet, greifen die Anforderungen aus Art. 28 DSGVO. In der Praxis betrifft das vor allem Namen, Adressen, Telefonnummern, E-Mail-Adressen, Lieferhinweise und teilweise Retoureninformationen.
Für viele Teams liegt das Risiko nicht in einem einzelnen groben Fehler, sondern in mehreren kleinen Lücken: unklare Rollen, unscharfe Vertragsanlagen, fehlende Löschfristen oder fehlende Kontrollmechanismen. Dieser Leitfaden zeigt, wie Auftragsverarbeitung mit 3PL sauber strukturiert wird, ohne die operative Geschwindigkeit zu verlieren.
Warum das Thema im Fulfillment besonders kritisch ist
Im Fulfillment laufen Daten durch mehrere Systeme und Prozesse: Shop, ERP, WMS, Carrier-Software, Tracking-Kommunikation und Retourenabwicklung. Jeder zusätzliche Übergabepunkt erhöht die Komplexität. Gleichzeitig entstehen oft Zeitdruck und saisonale Lastspitzen, in denen Datenschutzfragen zu spät geklärt werden.
Typische Risikozonen:
- Unklare Trennung zwischen Verantwortlichem und Auftragsverarbeiter
- Fehlende Dokumentation von Unterauftragsverarbeitern
- Tracking- und Support-Prozesse mit zu breitem Datenzugriff
- Keine einheitlichen Lösch- und Sperrkonzepte für Altbestände
- Auslandsbezug bei Cloud-Tools ohne belastbare Transfergrundlage
Datenweg im 3PL-Fulfillment
Rollenklärung: Wer ist Verantwortlicher, wer Auftragsverarbeiter?
In den meisten E-Commerce-Setups bleibt der Händler Verantwortlicher, weil er Zweck und Mittel der Verarbeitung festlegt (Bestellabwicklung, Lieferung, Retourenmanagement). Der 3PL agiert dann als Auftragsverarbeiter, sofern er die Daten nicht für eigene Zwecke nutzt.
Entscheidungslogik in der Praxis
- Prüfen, wer den Verarbeitungszweck vorgibt.
- Prüfen, ob der 3PL eigene wirtschaftliche Zwecke mit den Daten verfolgt.
- Prüfen, ob Weisungsgebundenheit vertraglich und operativ durchsetzbar ist.
- Prüfen, ob Unterauftragnehmer transparent benannt sind.
- Ergebnis dokumentieren und im Verzeichnis der Verarbeitungstätigkeiten hinterlegen.
Der AV-Vertrag: Mindestinhalte ohne Lücken
Der Vertrag zur Auftragsverarbeitung ist kein Formular zum Abhaken, sondern die rechtliche Betriebsanleitung der Zusammenarbeit. Er muss mit den tatsächlichen Prozessabläufen übereinstimmen.
Mindestbausteine nach DSGVO
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Pflichten und Rechte des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs)
- Regelung zu Unterauftragsverarbeitern
- Unterstützung bei Betroffenenrechten
- Unterstützung bei Datenschutzverletzungen
- Nachweis- und Auditrechte
- Löschung oder Rückgabe der Daten nach Vertragsende
Checkliste: AV-Vertrag mit 3PL
- Leistungsbeschreibung deckt reale Datenflüsse ab
- Unterauftragsliste vollständig und aktuell
- TOM-Anlage konkret statt generisch formuliert
- Fristen für Incident-Meldung verbindlich geregelt
- Löschkonzept inkl. Backups dokumentiert
- Verantwortliche Kontaktpunkte auf beiden Seiten benannt
- Prüf- und Auditmechanismus terminiert
TOMs im 3PL-Umfeld: Was wirklich belastbar ist
Viele Datenschutzprobleme entstehen, weil TOMs zu abstrakt formuliert sind. Aussagen wie „angemessene Sicherheit“ reichen in Audits nicht. Im Fulfillment sind vor allem Zugangsschutz, Mandantentrennung, Protokollierung und physische Sicherheit entscheidend.
Praxisnahe TOM-Prüfung
TOM-Review im Quartal
Unterauftragsverarbeiter und internationale Datentransfers
3PL-Anbieter arbeiten häufig mit weiteren Dienstleistern, etwa für Hosting, Ticketing, Scanning oder Zollabwicklung. Diese Kette muss transparent sein. Ohne aktuelle Unterauftragsliste fehlt die Steuerbarkeit des Risikos.
Bei internationalen Übermittlungen außerhalb des EWR braucht es zusätzlich eine belastbare Rechtsgrundlage, etwa Standardvertragsklauseln plus Transfer Impact Assessment. Entscheidend ist, dass die formale Rechtsgrundlage zur technischen Realität passt.
Wichtige Kontrollfragen:
- Welche Systeme haben tatsächlich Zugriff auf personenbezogene Daten?
- In welchen Ländern werden Daten gespeichert oder supportseitig eingesehen?
- Welche ergänzenden Schutzmaßnahmen bestehen (Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkung)?
- Wie wird auf Behördenanfragen in Drittländern reagiert?
Datenschutz-Setup vor Go-Live mit 3PL
Operative Umsetzung: So bleibt Datenschutz im Alltag stabil
Ein guter Vertrag allein reicht nicht. Datenschutz muss in Onboarding, Incident-Management und Change-Prozessen verankert sein. Besonders wirksam ist ein klarer Betriebsrhythmus mit festen Reviews.
Empfohlener Regelbetrieb
- Monatlicher Abgleich der Unterauftragsliste
- Quartalsweiser TOM-Review mit Stichproben
- Definierte Eskalationswege bei Sicherheitsvorfällen
- Verbindlicher Prozess für Betroffenenanfragen
- Halbjährlicher Lösch- und Sperrtest in Produktivnähe
Kernprinzip: Datenschutz im 3PL funktioniert dann, wenn vertragliche Vorgaben, technische Realität und operative Routinen deckungsgleich sind.
Warnung: Der häufigste Fehler ist ein formal korrekter AV-Vertrag ohne gelebte Kontrollpraxis. Genau dort entstehen in Audits und Vorfällen die größten Risiken.
Typische Fehler und wie sie vermieden werden
Unterschätzt werden oft Schnittstellenänderungen. Neue Carrier-Integrationen oder neue Retourenprozesse verändern Datenflüsse, ohne dass AV-Anlagen oder TOM-Dokumentation aktualisiert werden.
Häufige Fehlerbilder:
- Neue Subdienstleister werden nicht nachgemeldet
- Support-Zugriffe erfolgen außerhalb freigegebener Rollen
- Daten werden in Testsystemen ohne Löschkonzept gespiegelt
- Löschpflichten werden wegen Backup-Prozessen nicht praktisch umgesetzt
- Incident-Meldungen sind organisatorisch unklar und zu langsam
Prioritäten bei knappen Ressourcen
- Rollen- und Weisungsklarheit
- Unterauftrags- und Transfertransparenz
- TOM-Nachweise mit regelmäßiger Prüfung
- Lösch- und Sperrkonzept inkl. Backups
- Incident-Reaktionsfähigkeit unter Zeitdruck
FAQ
Ist ein 3PL immer Auftragsverarbeiter?
Nein. In vielen Fällen ja, aber nur wenn der 3PL weisungsgebunden handelt und die Daten nicht für eigene Zwecke nutzt.
Reicht ein Standard-AV-Vertrag vom Anbieter?
Nur, wenn er die konkreten Prozesse vollständig abbildet. Standardtexte ohne passgenaue Anlagen sind riskant.
Wie oft sollten TOMs geprüft werden?
Mindestens jährlich, in dynamischen E-Commerce-Umgebungen eher quartalsweise und anlassbezogen bei Prozessänderungen.
Was ist bei Retouren besonders wichtig?
Retouren enthalten oft zusätzliche Informationen (Kommunikationsnotizen, Prüfvermerke). Zugriffe und Aufbewahrung müssen klar begrenzt sein.
Verwandte Themen
- Datenschutz in der Logistik
- Kundendaten und Adressdaten
- Vertrag und SLA verhandeln
- WMS-Integration
- Retouren an Fulfillment-Partner
Letzte Aktualisierung: 7. Juli 2026