Jeder kennt es: Kurz vor dem fina­len Klick auf den „Kaufen“-Button gilt es zuerst eine Arma­da von Check­bo­xen zu über­win­den. Schrift­grö­ße 4 hilft beim Über­le­sen, ein Fett­druck der Trigger-Wörter beschleu­nigt das Anha­ken. Mein fol­gen­der Bei­trag soll zei­gen, wie der Kauf­ab­schluss daten­schutz­recht­lich nicht aus­ge­stal­tet sein soll­te und wann der Kauf bes­ser abge­bro­chen wird.

Wer online bestellt, kann auch online über den Sta­tus der Kauf­ab­wick­lung infor­miert wer­den. Eine zusätz­li­che Tele­fon­num­mer ist in der Regel nicht erfor­der­lich, außer viel­leicht bei der Lie­fe­rung von Frisch­wa­ren oder irgend­wel­chen Spezial-Einzelfall-Lieferungen.” – Eile­en Bin­der

Ver­gan­ge­nes Wochen­en­de woll­te ich lock­down­be­dingt einem Online-Händler beim Absatz behilf­lich sein und ihm eines sei­ner Super-Schnäppchen abneh­men. Ach­tung Spoi­ler: Ich habe den Kauf­vor­gang am Ende abge­bro­chen. Man kann das jetzt auf die Berufs­krank­heit „Daten­schüt­zer“ schie­ben, eine Über­sen­si­bi­li­sie­rung unter­stel­len oder den Kopf schüt­teln, weil ich mir sat­te 50% Rabatt habe ent­ge­hen las­sen. Aber wenn Per­so­nen­da­ten das Gold des 21. Jahr­hun­derts sein sol­len, dann habe ich (mir) viel­leicht viel mehr (er-)gespart.

Daten­mi­ni­ma­lis­mus und Zweck­bin­dung

Im Kauf­for­mu­lar war­ten die übli­chen Ver­däch­ti­gen. Name und Anschrift wer­den abge­fragt. Das ist zuläs­sig, da sonst die Leis­tung nicht erfüllt wer­den kann (Lie­fe­rung der Ware) und gesetz­li­che Pflich­ten ein­ge­hal­ten wer­den müs­sen (Aus­stel­lung einer Rech­nung mit Rech­nungs­adres­se).

Span­nend ist die Daten­ein­ga­be wie immer bei der E‑Mailadresse und der Tele­fon­num­mer. Ist bei­des ein Pflicht­feld?

Eine E‑Mailadresse wird in der Regel benö­tigt, um in die Kom­mu­ni­ka­ti­on mit dem Käu­fer zu tre­ten oder dies zumin­dest zu ermög­li­chen. Es fol­gen die Bestell­be­stä­ti­gung und ggf. die Über­sen­dung der digi­ta­len Rech­nung. Oft­mals wird die E‑Mailadresse auch dazu genutzt, den Käu­fer über den Bestell­sta­tus zu infor­mie­ren, z.B. dann, wenn das Paket das Lager ver­las­sen hat. Eine Tele­fon­num­mer wird mög­li­cher­wei­se benö­tigt, um den Käu­fer über Schwie­rig­kei­ten bei der Lie­fe­rung zu infor­mie­ren, um die Bestel­lung zu bestä­ti­gen oder über den Bestell­sta­tus zu infor­mie­ren. Das über­schnei­det sich. Zwei Kom­mu­ni­ka­ti­ons­ka­nä­le, um die­sel­ben Zwe­cke zu erfül­len?! Im Rah­men des Daten­mi­ni­ma­lis­mus und der Zweck­be­stim­mung sehr frag­lich, um nicht zu sagen, ein­fach nicht erfor­der­lich. Wer online bestellt, kann auch online über den Sta­tus der Kauf­ab­wick­lung infor­miert wer­den. Eine zusätz­li­che Tele­fon­num­mer ist in der Regel nicht erfor­der­lich, außer viel­leicht bei der Lie­fe­rung von Frisch­wa­ren oder irgend­wel­chen Spezial-Einzelfall-Lieferungen.

Eine letz­te Erfor­der­lich­keit könn­te sich aus dem Zweck erge­ben, dass der Zustel­ler tele­fo­nisch die Anwe­sen­heit des Emp­fän­gers klärt, um das Paket sicher abzu­lie­fern. Der Zweck schei­tert aber schon an zwei Punk­ten: Zum einen darf die Tele­fon­num­mer daten­schutz­recht­lich nicht ohne Ein­wil­li­gung an Drit­te (= den Zustel­ler) wei­ter­ge­ge­ben wer­den, zum ande­ren hat ganz prak­tisch gese­hen kein Zustel­ler der gro­ßen Paket­ver­sen­der die Zeit, jeden Emp­fän­ger tele­fo­nisch zu kon­tak­tie­ren. Erfah­rungs­ge­mäß hat die Tele­fon­num­mer als Pflicht­feld nur einen Zweck: Wer­bung. Die Daten wer­den ent­we­der selbst zur tele­fo­ni­schen Ver­mark­tung genutzt oder sol­len an Drit­te wei­ter­ge­ge­ben wer­den.

In mei­nem Fall waren sowohl die E‑Mailadresse als auch eine Tele­fon­num­mer ver­pflich­tend anzu­ge­ben. Eine SMS über den Bestell­sta­tus zu erhal­ten habe ich als ein­zi­gen Zweck nicht geglaubt und nach obi­gen Über­le­gun­gen auch ein­fach nicht als erfor­der­lich ange­se­hen. Nun woll­te ich nicht, dass ein frem­der Drit­ter mei­ne Bestellstatus-SMS bekommt. Unge­woll­te Wer­bung woll­te ich ihm auch nicht besche­ren, ich habe also nicht nur die letz­ten Zah­len mei­ner Tele­fon­num­mer ver­tauscht, son­dern eine offen­sicht­lich fal­sche Num­mer ange­ge­ben. Das Sys­tem hat die alten Tricks aber durch­schaut und nichts davon akzep­tiert. Privacy-by-Default geht gemäß DSGVO ins­ge­samt anders.

Die ver­trag­li­che Zusen­dung von Han­dels­in­for­ma­tio­nen“

Wie mitt­ler­wei­le gewohnt, lässt sich die Bestel­lung nur nach Über­win­dung eini­ger Check­bo­xen abschlie­ßen. Üblich in Online-Shops ist das Akzep­tie­ren der AGB, manch­mal auch des Daten­schut­zes (nicht wei­ter the­ma­ti­siert wird die Fra­ge, ob der Daten­schutz „akzep­tiert“ oder im Umkehr­schluss „abge­lehnt“ wer­den kann). In vie­len Fäl­len kann an die­ser Stel­le auch der shop-eigene News­let­ter abon­niert wer­den.

Mein Beispiel-Shop macht sich die Unlust der Webseiten-Besucher zunut­ze, die vor lau­ter Cookie-Bannern und ver­meint­li­chen Ein­ver­ständ­nis­sen schon ganz ent­nervt sind. Über die ers­te Check­box erhält der Käu­fer die Mög­lich­keit alles zu akzep­tie­ren. Fett gedruckt. Ver­lo­ckend und ein­fach. Mei­nes Erach­tens geht das fast schon in Rich­tung eines frag­wür­di­gen „Nud­ging“, wie wir es bei Consent-Bannern ken­nen (Hier geht’s zum Arti­kel).

Anhand der fol­gen­den drei Check­bo­xen wird durch den Fett­druck auf die AGB ver­wie­sen. Auf den ers­ten Blick bestä­ti­ge ich also nur All­ge­mei­ne Geschäfts­be­din­gun­gen. Kern erfasst. Wäre es mir nun zu müßig, den gan­zen Text zu lesen, hät­te ich ein­fach gecheck­bo­xed, aber ich lese genau­er nach. Und noch­mal. Und noch­mal. Nach dem drit­ten Mal, habe ich eine Ahnung, dass ich hier wohl den Erhalt eines Werbe-Newsletters bestä­ti­gen kann, ein­mal per E‑Mail und ein­mal „an die ange­ge­be­ne Han­dy­num­mer“ (SMS? Whats­App? Anru­fe?). Die Zusen­dung erfolgt dann aber nicht auf Grund­la­ge einer Ein­wil­li­gung, son­dern auf­grund eines Ver­tra­ges, den ich abschlie­ße, denn ich wer­de ja extra fett gedruckt auf Newsletter-AGB ver­wie­sen. Ob die­ser Weg wegen der Rechts­fol­gen Sinn macht, sei dahin­ge­stellt.

Ins­ge­samt hal­te ich die For­mu­lie­run­gen für intrans­pa­rent, irre­füh­rend und nicht ver­brau­cher­freund­lich. Bei der Zusen­dung von „Han­dels­in­for­ma­tio­nen über die Gesell­schaft und ihre Part­ner“ erwar­te ich nicht selbst­re­dend einen Werbe-Newsletter mit wei­te­ren Schnäppchen-Angeboten. Durch einen Fett­druck die AGB her­vor­zu­he­ben, weckt den Ein­druck, es han­de­le sich um Ver­trags­ge­plän­kel. Ganz im Sin­ne von „der Ver­trag wird schon in Ord­nung sein, das lese ich jetzt nicht durch, Juris­ten­deutsch kann ich eh nicht“, wird der Käu­fer dazu ange­sto­ßen (= „nud­ged“), die Check­bo­xen ein­fach zu akti­vie­ren. Um ihm das zu erleich­tern, gibt es die bereits erwähn­te und über allem ste­hen­de „Alles markieren“-Option. Nur in einem Punkt nicke ich aner­ken­nend: Das wirk­li­che Pflicht­feld ist mar­kiert.

 

Wie der Bestell­vor­gang wei­ter­ging und was schluss­end­lich der Aus­lö­ser für den Kauf­ab­bruch war, erfah­ren Sie in Teil II.

Was Sie noch interessieren könnte:

Superzentralregister“ als Datenschutzmonster? – Teil I

24. Febru­ar 2021|

Am 28.01.2021 ver­ab­schie­de­te die Bun­des­re­gie­rung das soge­nann­te Regis­ter­mo­der­ni­sie­rungs­ge­setz. Ziel die­ses Geset­zes soll die umfas­sen­de Beschleu­ni­gung der Digi­ta­li­sie­rung in deut­schen […]

EU-Datenschutz nach dem Brexit

22. Dezem­ber 2020|

Zum 01.01.2021 wird Groß­bri­tan­ni­en die EU ver­las­sen. Und damit auch den euro­päi­schen Rechts­raum. Aktu­ell wird Groß­bri­tan­ni­en daten­schutz­recht­lich noch wie […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN