Unangenehme Überraschung beim Fahrradkauf
Im Rahmen einer Beschwerde trug der Beschwerdeführer bei der Aufsichtsbehörde vor, über einen Onlineshop ein Fahrrad erworben zu haben, das sich seiner Ansicht nach als mängelbehaftet herausstellte und daher retourniert werden sollte. Als eine Einigung mit dem Shop-Betreiber nicht möglich war, veräußerte der Beschwerdeführer das Fahrrad weiter, verschwieg allerdings gegenüber dem Erwerber die vermeintlichen Mängel des Fahrrads. Nachdem der getäuschte Käufer seinerseits Mängel an dem Fahrrad entdeckt hatte, setzte sich dieser, da er die Rechnung samt Kundennummer von dem Beschwerdeführer erhalten hatte, unter Angabe der Kundennummer mit dem Onlineshop-Betreiber in Verbindung. Dieser wiederum stellte dem getäuschten Erwerber die gesamte mit dem Beschwerdeführer geführte Korrespondenz zur Verfügung. Anhand dieser konnte der Erwerber erkennen, dass ihm der Beschwerdeführer Mängel an dem Fahrrad verschwiegen hatte und konfrontierte diesen mit seinen Feststellungen. Der Beschwerdeführer sah sich durch die Offenlegung des Schriftverkehrs in seinen Rechten beeinträchtigt und bat die Aufsichtsbehörde um datenschutzrechtliche Prüfung der Angelegenheit.
Der Shop-Betreiber schilderte diesbezüglich, dass die Unternehmenspraxis bei Anfragen zu getätigten Einkäufen lediglich einen Abgleich der Kundennummer vorsehe, sodass es nicht auszuschließen sei, dass Dritte in Kenntnis der jeweiligen Kundennummer auf den kundenspezifischen Schriftverkehr zugreifen können. Dies hat vorliegend dazu geführt, dass dem getäuschten Erwerber ohne weiteren Sachvortrag und ohne weitere Prüfung durch den Shop-Betreiber personenbezogene Daten des Beschwerdeführers übermittelt wurden. Das Unternehmen änderte nach einem Hinweis der Behörde den Geschäftsprozess unter anderem dergestalt, dass künftig ein Abgleich zwischen der im Kundenaccount hinterlegten und der anfragenden E-Mail-Adresse vorgenommen wird.
Ungeachtet dessen wäre die Übermittlung des Schriftverkehrs an den getäuschten Erwerber unter bestimmten Voraussetzungen datenschutzrechtlich zulässig gewesen. So können im Rahmen einer vertraglichen Beziehung Artikel 6 Abs. 4 in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung von Rechtsansprüchen an Dritte übermittelt werden. Der getäuschte Erwerber hätte vorliegend gegenüber dem Onlineshop-Betreiber ein berechtigtes Interesse an der Kenntnis des Schriftverkehrs geltend machen können, um zivilrechtliche Ansprüche mit Blick auf die ihm verschwiegenen Mängel geltend machen zu können.
Empfehlung: Der Verantwortliche hat durch technische und organisatorische Maßnahmen wie bspw. den Abgleich von Identifizierungsmerkmale dafür Sorge zu tragen, dass personenbezogene Daten Dritten nicht anlasslos offenbart werden. Zur Geltendmachung zivilrechtlicher Ansprüche kann eine Datenübermittlung an Dritte unter bestimmten Voraussetzungen datenschutzrechtlich zulässig erfolgen.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks