Einkaufen im Internet ist durchaus eine praktische Alternative: Mit ein paar „Klicks“ ist ein gewünschtes Produkt bestellt und in kurzer Zeit zur Kundin oder zum Kunden nach Hause unterwegs. Doch vor allem auch aus datenschutzrechtlicher Sicht sind dabei einige wichtige Punkte zu beachten.
So wenige Daten wie möglich übermitteln
Ein seriöser Shop-Anbieter verlangt von der Kundin oder dem Kunden beim Bestellvorgang als auszufüllende Pflichtfelder nur die persönlichen Daten, die zur Vertragsabwicklung unbedingt erforderlich sind. Dazu gehören Name und Vorname, Anschrift und E-Mail-Adresse, bei entsprechend ausgewählter Zahlungsart auch Bankverbindung oder Kreditkartennummer. Diese Kunden- bzw. Vertragsdaten darf das Unternehmen zur Vertragsabwicklung verwenden (§ 28 Bundesdatenschutzgesetz, BDSG). So darf der Onlinehändler z.B. auch die Adressdaten an das Unternehmen weitergeben, das mit dem Transport der Bestellung beauftragt wird. Aus steuerrechtlichen Gründen sind diese Daten vom Händler zehn Jahre lang aufzubewahren bzw. zu speichern. Felder, die als „freiwillige Angaben“ gekennzeichnet sind, sollten nicht ausgefüllt werden. Die Angabe einer Telefonnummer ist im Regelfall nicht erforderlich, ebenso wenig das Geburtsdatum. Übrigens: Auch die Forderung nach Übersendung einer Kopie des Personalausweises als Identitätsnachweis ist im Regelfall unzulässig.
Allgemeine Geschäftsbedingungen und Datenschutzerklärung: Kleingedrucktes mit großer Wirkung
Während des Bestell- und Zahlvorgangs müssen regelmäßig Häkchen in sogenannte „Checkboxen“ („Kästchen“) gesetzt werden, mit denen man erklärt, dass man die Allgemeinen Geschäftsbedingungen (AGB) des Internethändlers akzeptiert und die Datenschutzerklärung – neben der obligatorischen Widerrufsbelehrung – zur Kenntnis genommen hat. Es ist sinnvoll, diese rechtlich wichtigen Texte durchzulesen. Kommen einem dabei Regelungen merkwürdig vor oder sind Inhalte nicht nachvollziehbar bzw. unverständlich, so sollte der Bestellvorgang besser abgebrochen und vom Unternehmen schriftlich oder telefonisch Aufklärung verlangt – oder gleich zu einem anderen Internet-Shop – gewechselt werden.
Bonitätsabfrage: Die Zahlungsart entscheidet
Unternehmen sind datenschutzrechtlich berechtigt, im Rahmen des Bestell- und Zahlungsvorgangs die Bonität ihrer Kundschaft, also deren Zahlungs- und/oder Kreditwürdigkeit, auch ohne deren Zustimmung bei einer Wirtschaftsauskunftei zu überprüfen. Dies geschieht online im Hintergrund in Sekundenschnelle. Eine solche Bonitätsabfrage ist aber nur dann zulässig, wenn das Unternehmen in Vorleistung geht, also ein Ausfallrisiko besteht. Dies ist der Fall beim Kauf auf Rechnung, bei der Erteilung einer Einzugsermächtigung (Lastschriftverfahren; hier hat die Kundin oder der Kunde eine sechswöchige Widerspruchsfrist) oder beim Ratenkauf. Bei Überweisung per Vorkasse, bei Zahlung mit einer Kreditkarte oder via Paypal geht der Händler kein Ausfallrisiko ein, also ist auch eine Bonitätsabfrage nicht erforderlich und damit datenschutzwidrig. In der Datenschutzerklärung muss stehen, an welche Wirtschaftsauskunftei(en) die Kundendaten übermittelt werden. Sollen Adressdaten für Scoring-Zwecke verwendet werden, muss darauf ausdrücklich aufmerksam gemacht werden.
Adresshandel sowie Werbung per Post, E-Mail und Telefon: Aufpassen beim Ankreuzen
Das Bundesdatenschutzgesetz ist beim Thema Werbung und Adresshandel sehr „großzügig“: Werbung per Briefpost ist immer zulässig – auch ohne vorherige Zustimmung der Kundin bzw. des Kunden. Gleiches gilt für den Adresshandel mit der Postanschrift.
E-Mail-Werbung ist nach § 7 des Gesetzes gegen den unlauteren Wettbewerb ebenfalls dann ohne Einwilligung zulässig, wenn (kumulativ)
- das Unternehmen die E-Mail-Adresse ihrer Kundschaft im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat,
- das Unternehmen diese E-Mail-Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
- die Kundin oder der Kunde der Verwendung nicht widersprochen hat und
- die Kundin oder der Kunde bei der Erhebung der E-Mail-Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass sie bzw. er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
Außerhalb dieser Voraussetzungen sind E-Mail-Werbung und die Weitergabe der E-Mail-Adresse nur erlaubt, wenn eine konkrete Einwilligung der Kundin oder des Kunden vorliegt.
Telefonwerbung gegenüber Verbraucherinnen und Verbrauchern wird besonders restriktiv behandelt: Nur bei vorheriger ausdrücklicher schriftlicher Einwilligung in die entsprechende Datenerhebung und Nutzung zu Werbezwecken ist die Werbung am Telefon zulässig (§ 7 Absatz 2 Nummer 2 UWG). Dabei muss die Einwilligung vor dem Werbeanruf vorliegen. Bei Rufnummernmissbrauch und unerlaubter Telefonwerbung sollten sich die Betroffenen an die Bundesnetzagentur wenden.
Dies bedeutet, dass genau überlegt und geprüft werden sollte, ob „Checkboxen“, die nach einer Einwilligung in Werbung und Adresshandel via E-Mail und/oder Telefon fragen, angekreuzt werden, auch wenn die erteilte Einwilligung jederzeit widerrufen werden kann.
Betroffenen-Rechte nach dem Online-Einkauf: Recht auf Auskunft und Werbewiderspruch
Nach § 34 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) kann die Kundin oder der Kunde oder Beworbene vom (werbenden) Unternehmen Auskunft verlangen über die zur eigenen Person gespeicherten Daten, den Zweck der Speicherung, woher diese Daten stammen, an wen diese Daten im Regelfall weitergegeben werden und – in den meisten Fällen – auch, an wen diese Daten tatsächlich weitergegeben wurden.
Wenn die Verarbeitung oder Nutzung der eigenen Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung durch ein Unternehmen künftig unterbunden werden soll, kann gegenüber dem jeweiligen Unternehmen ein sogenannter Werbewiderspruch erklärt werden oder eine zuvor erteilte Einwilligung widerrufen werden. Ein Musterschreiben zum Auskunftsanspruch sowie zum Werbewiderspruch findet sich auf der Website des Landesbeauftragten für den Datenschutz Baden-Württemberg als Download.
Um erst gar nicht in Adresslisten zu Werbezwecken aufgenommen zu werden, kann ein solcher Widerspruch natürlich auch gleich bei der Bestellung erklärt werden; meistens gibt es das Feld „sonstige Mitteilung“, das hierfür genutzt werden kann.
Sollte das Unternehmen keine Auskunft erteilen oder den Werbewiderspruch ignorieren, kann bei der zuständigen Datenschutzaufsichtsbehörde eine Beschwerde eingereicht werden (eine Übersicht hierzu bietet der Landesbeauftragte für den Datenschutz Baden-Württemberg).
