Jeder kennt es: Kurz vor dem finalen Klick auf den „Kaufen“-Button gilt es zuerst eine Armada von Checkboxen zu überwinden. Schriftgröße 4 hilft beim Überlesen, ein Fettdruck der Trigger-Wörter beschleunigt das Anhaken. Mein folgender Beitrag soll zeigen, wie der Kaufabschluss datenschutzrechtlich nicht ausgestaltet sein sollte und wann der Kauf besser abgebrochen wird.
“Wer online bestellt, kann auch online über den Status der Kaufabwicklung informiert werden. Eine zusätzliche Telefonnummer ist in der Regel nicht erforderlich, außer vielleicht bei der Lieferung von Frischwaren oder irgendwelchen Spezial-Einzelfall-Lieferungen.” – Eileen Binder
Vergangenes Wochenende wollte ich lockdownbedingt einem Online-Händler beim Absatz behilflich sein und ihm eines seiner Super-Schnäppchen abnehmen. Achtung Spoiler: Ich habe den Kaufvorgang am Ende abgebrochen. Man kann das jetzt auf die Berufskrankheit „Datenschützer“ schieben, eine Übersensibilisierung unterstellen oder den Kopf schütteln, weil ich mir satte 50% Rabatt habe entgehen lassen. Aber wenn Personendaten das Gold des 21. Jahrhunderts sein sollen, dann habe ich (mir) vielleicht viel mehr (er-)gespart.
Datenminimalismus und Zweckbindung
Im Kaufformular warten die üblichen Verdächtigen. Name und Anschrift werden abgefragt. Das ist zulässig, da sonst die Leistung nicht erfüllt werden kann (Lieferung der Ware) und gesetzliche Pflichten eingehalten werden müssen (Ausstellung einer Rechnung mit Rechnungsadresse).
Spannend ist die Dateneingabe wie immer bei der E‑Mailadresse und der Telefonnummer. Ist beides ein Pflichtfeld?
Eine E‑Mailadresse wird in der Regel benötigt, um in die Kommunikation mit dem Käufer zu treten oder dies zumindest zu ermöglichen. Es folgen die Bestellbestätigung und ggf. die Übersendung der digitalen Rechnung. Oftmals wird die E‑Mailadresse auch dazu genutzt, den Käufer über den Bestellstatus zu informieren, z.B. dann, wenn das Paket das Lager verlassen hat. Eine Telefonnummer wird möglicherweise benötigt, um den Käufer über Schwierigkeiten bei der Lieferung zu informieren, um die Bestellung zu bestätigen oder über den Bestellstatus zu informieren. Das überschneidet sich. Zwei Kommunikationskanäle, um dieselben Zwecke zu erfüllen?! Im Rahmen des Datenminimalismus und der Zweckbestimmung sehr fraglich, um nicht zu sagen, einfach nicht erforderlich. Wer online bestellt, kann auch online über den Status der Kaufabwicklung informiert werden. Eine zusätzliche Telefonnummer ist in der Regel nicht erforderlich, außer vielleicht bei der Lieferung von Frischwaren oder irgendwelchen Spezial-Einzelfall-Lieferungen.
Eine letzte Erforderlichkeit könnte sich aus dem Zweck ergeben, dass der Zusteller telefonisch die Anwesenheit des Empfängers klärt, um das Paket sicher abzuliefern. Der Zweck scheitert aber schon an zwei Punkten: Zum einen darf die Telefonnummer datenschutzrechtlich nicht ohne Einwilligung an Dritte (= den Zusteller) weitergegeben werden, zum anderen hat ganz praktisch gesehen kein Zusteller der großen Paketversender die Zeit, jeden Empfänger telefonisch zu kontaktieren. Erfahrungsgemäß hat die Telefonnummer als Pflichtfeld nur einen Zweck: Werbung. Die Daten werden entweder selbst zur telefonischen Vermarktung genutzt oder sollen an Dritte weitergegeben werden.
In meinem Fall waren sowohl die E‑Mailadresse als auch eine Telefonnummer verpflichtend anzugeben. Eine SMS über den Bestellstatus zu erhalten habe ich als einzigen Zweck nicht geglaubt und nach obigen Überlegungen auch einfach nicht als erforderlich angesehen. Nun wollte ich nicht, dass ein fremder Dritter meine Bestellstatus-SMS bekommt. Ungewollte Werbung wollte ich ihm auch nicht bescheren, ich habe also nicht nur die letzten Zahlen meiner Telefonnummer vertauscht, sondern eine offensichtlich falsche Nummer angegeben. Das System hat die alten Tricks aber durchschaut und nichts davon akzeptiert. Privacy-by-Default geht gemäß DSGVO insgesamt anders.
„Die vertragliche Zusendung von Handelsinformationen“
Wie mittlerweile gewohnt, lässt sich die Bestellung nur nach Überwindung einiger Checkboxen abschließen. Üblich in Online-Shops ist das Akzeptieren der AGB, manchmal auch des Datenschutzes (nicht weiter thematisiert wird die Frage, ob der Datenschutz „akzeptiert“ oder im Umkehrschluss „abgelehnt“ werden kann). In vielen Fällen kann an dieser Stelle auch der shop-eigene Newsletter abonniert werden.
Mein Beispiel-Shop macht sich die Unlust der Webseiten-Besucher zunutze, die vor lauter Cookie-Bannern und vermeintlichen Einverständnissen schon ganz entnervt sind. Über die erste Checkbox erhält der Käufer die Möglichkeit alles zu akzeptieren. Fett gedruckt. Verlockend und einfach. Meines Erachtens geht das fast schon in Richtung eines fragwürdigen „Nudging“, wie wir es bei Consent-Bannern kennen (Hier geht’s zum Artikel).
Anhand der folgenden drei Checkboxen wird durch den Fettdruck auf die AGB verwiesen. Auf den ersten Blick bestätige ich also nur Allgemeine Geschäftsbedingungen. Kern erfasst. Wäre es mir nun zu müßig, den ganzen Text zu lesen, hätte ich einfach gecheckboxed, aber ich lese genauer nach. Und nochmal. Und nochmal. Nach dem dritten Mal, habe ich eine Ahnung, dass ich hier wohl den Erhalt eines Werbe-Newsletters bestätigen kann, einmal per E‑Mail und einmal „an die angegebene Handynummer“ (SMS? WhatsApp? Anrufe?). Die Zusendung erfolgt dann aber nicht auf Grundlage einer Einwilligung, sondern aufgrund eines Vertrages, den ich abschließe, denn ich werde ja extra fett gedruckt auf Newsletter-AGB verwiesen. Ob dieser Weg wegen der Rechtsfolgen Sinn macht, sei dahingestellt.
Insgesamt halte ich die Formulierungen für intransparent, irreführend und nicht verbraucherfreundlich. Bei der Zusendung von „Handelsinformationen über die Gesellschaft und ihre Partner“ erwarte ich nicht selbstredend einen Werbe-Newsletter mit weiteren Schnäppchen-Angeboten. Durch einen Fettdruck die AGB hervorzuheben, weckt den Eindruck, es handele sich um Vertragsgeplänkel. Ganz im Sinne von „der Vertrag wird schon in Ordnung sein, das lese ich jetzt nicht durch, Juristendeutsch kann ich eh nicht“, wird der Käufer dazu angestoßen (= „nudged“), die Checkboxen einfach zu aktivieren. Um ihm das zu erleichtern, gibt es die bereits erwähnte und über allem stehende „Alles markieren“-Option. Nur in einem Punkt nicke ich anerkennend: Das wirkliche Pflichtfeld ist markiert.
Wie der Bestellvorgang weiterging und was schlussendlich der Auslöser für den Kaufabbruch war, erfahren Sie in Teil II.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]