Im letzten Beitrag habe ich begonnen von meinem jüngsten Kauf in einem Online-Shop zu berichten und wie ich meine Erfahrung aus datenschutzrechtlicher Sicht einordne. In Teil II ordne ich meine Gedanken dazu weiter ein und treffe für mich eine Entscheidung, wann der Kaufabschluss im Online-Shop für mich datenschutzrechtlich nicht ausreicht.
“Zum einen wird dem Käufer suggeriert, er hätte ein Wahlrecht, welches ihm genommen wird, wenn er die Ware bestellen möchte. Zum anderen tun sich Verkäufer mit hybriden Formulierungen keinen Gefallen. Für einen Vertragsabschluss zu viel Einwilligung, für eine datenschutzrechtliche Einwilligung zu wenig Erklärung.” – Eileen Binder
Der erste Teil meiner Erfahrung hatte damit geendet, dass ich nur noch ein paar Zeilen vom „Bestellen“-Button entfernt war und klar war, dass der Lockdown schon so lange dauert, dass auch ein Kaufformular zum ausgiebigen Zeitvertreib taugt. Das Pflichtfeld der Handynummer lies sich nicht austricksen und die Newsletter-AGB waren ein richtiges Novum. Der Kauf war bis dahin aber noch nicht völlig aufgegeben.
Die Freiwilligkeit der Angaben
Es gibt personenbezogene Daten, deren Angabe zwingend ist. Andernfalls kann der Vertrag nicht erfüllt werden (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Natürlich gebe ich diese Daten im Online-Shop auch freiwillig an und willige ein, die Daten zu verwenden. Schließlich möchte ich meine Ware haben. Meine Einwilligung darf aber für den Kaufabschluss nicht zur Rechtsgrundlage gemacht werden. Das sollte der Vertrag sein, weil er ein besseres Rechtsmittel darstellt. Durch den Vertragsschluss entstehen der anderen Partei Vertragspflichten, wie die Übergabe der Ware. Eine Übergabe der Ware ohne Daten ist nicht möglich, sie sind schlicht zwingend erforderlich. Hierfür ist keine (zusätzliche) freiwillige Einwilligung des Verkäufers notwendig.
Wie wichtig die richtige Formulierung ist, zeigt der Hinweis zum Schluss. Ich bin verpflichtet, die Daten anzugeben. Aber nur, wenn ich sie freiwillig angebe. Wenn ich sie nicht freiwillig angebe, dann kann ich nichts bestellen. In letzter Konsequenz also doch nicht so freiwillig?!
Die Problematik liegt also in der Formulierung. Zum einen wird dem Käufer suggeriert, er hätte ein Wahlrecht, welches ihm genommen wird, wenn er die Ware bestellen möchte. Zum anderen tun sich Verkäufer mit hybriden Formulierungen keinen Gefallen. Für einen Vertragsabschluss zu viel Einwilligung, für eine datenschutzrechtlich wirksame Einwilligung zu wenig Erklärung und Transparenz. Meines Erachtens bräuchte es diesen ganzen Hinweis hier nicht.
An dieser Stelle hatte ich mein Schnäppchen noch nicht aufgegeben, auch wenn innerlich bereits alle Zeichen auf „Abbruch“ standen. Ich habe noch einen abschließenden Blick in die „Datenschutzerklärung“ geworfen, in der Hoffnung, dass sich nun alles aufklären würden, das bisher Erlebte einfach ungünstig formuliert war und ich doch noch an meinen Wunschartikel komme. Die „Datenschutzerklärung“ war aber offensichtlich mit einem weniger eloquenten Online-Übersetzter erstellt worden. Und hier war er nun, der Punkt der Erkenntnis: Das war es dann mit dem Schnäppchen…
Fazit
Das Datenschutzrecht besteht aus Grundprinzipien und Grundsätzen. Einer davon lautet: Nur so viele Daten wie erforderlich im Kaufformular erheben. Sollen es mehr sein, muss der Zweck angegeben werden und vor allem benötigt es eine Rechtsgrundlage für eine zulässige Verarbeitung „zu viel“ erhobener personenbezogener Daten. Transparenz ist ein weiterer Grundsatz. Er ist in Bezug auf Werbung ein Dauerthema im Datenschutz. Auch hier hilft nur die richtige Rechtsgrundlage, vor allem aber die transparente Information über die Verarbeitung der personenbezogenen Daten (Art. 13 DSGVO). Werden Waren ganz explizit im europäischen Ausland auf extra dafür angelegten Webseiten angeboten, hat der Datenschutz in der Landessprache verfügbar zu sein. Eine nicht sprachübliche Online-Übersetzung erfüllt nicht die notwendige Transparenz. Die Einhaltung simpler Datenschutzgrundsätze setzen im Online-Shop die Grundsteine. Letztlich entscheidet der Käufer, ob er einen transparenten und gesetzeskonformen Umgang mit seinen Daten durch einen Warenkauf „honoriert“ und wie viel ihm — im eigentlichen Wortsinn — der Schutz seiner personenbezogenen Daten Wert ist.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]