Mobilfunknummer an Versanddienstleister
Ein Kunde eines Online-Händlers beschwerte sich, dass seine nur für den Händler bestimmte Mobilfunknummer durch diesen an den Versanddienstleister übermittelt und dieser ihm vor Eintreffen der bestellten Ware beim Kunden hierüber eine SMS zugesandt hätte. Beschwerden dieser Art, was Datenweitergaben anbelangt, haben Datenschutzbehörden nicht selten zu verzeichnen.
Verkompliziert wurde der Sachverhalt dadurch, dass der Kunde aufgrund einer saisonalen Bonusaktion und regionaler Verfügbarkeit in den Genuss einer aufpreislosen Expresslieferung gelangt war. Das bei Bestellung bereits vorbelegte Feld („Express“) dürfte der Kunde entweder übersehen oder in seiner Wirkungsweise verkannt haben.
Als Rechtsgrundlage für die Übermittlung der Rufnummer an den Versanddienstleister kam vorliegend Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) wegen der bestimmungsgemäßen Vertragserfüllung in Betracht. Auf eine Einwilligung kam es im streitigen Fall nicht an. Die Versendung war mit Vertragsinhalt gewesen, die Gratis-Express-Lieferung vom Kunden gewählt worden. Es gehört auch zur Obliegenheit des E-Commerce-Kunden, sich über die Lieferbedingungen vor dem Vertragsschluss zu informieren, was im vorliegenden Fall nach meinen Feststellungen mühelos mit einem Blick auf den Auswahlbereich auf der Internetpräsenz möglich und abänderbar gewesen war. Die Bestellseite war insoweit verständlich und keinesfalls irreführend.
Bei Beauftragung der Versandart „Express“ ist nach Überzeugung der Behörde eine Benachrichtigung des Kunden auf eine Weise, die dieser sofort zur Kenntnis zu nehmen in der Lage ist, kundenseitig gewünscht und unternehmensseitig erforderlich. Sie entspricht insoweit auch § 242 Bürgerliches Gesetzbuch (BGB). Andere Kommunikation, zum Beispiel EMail-Benachrichtigungen, würde nach allgemeiner Lebenserfahrung in zu vielen Fällen nicht eine für den geschuldeten Express-Sendeweg rechtzeitige Kenntnisnahme des Empfängers mit sich bringen. In Anbetracht der Interessenlage ist die Behörde dem Grunde nach von einer Zulässigkeit der Übermittlung der von dem Kunden im Bestellvorgang einzutragenden Telefonnummer an den Postdienstleister ausgegangen.
Als Rechtsmangel hatte das Unternehmen indes zu verantworten, dass es auf die Übermittlung der Telefonnummer an den bei Beauftragung der Versandart „Express“ nicht explizit in seinen Datenschutzhinweisen eingegangen ist, Art. 13 Abs. 1 Buchst. e DSGVO. Daran schloss sich die Frage an, ob sich dies gegebenenfalls auf die Zulässigkeit der Datenübermittlung auswirkt. Im Ergebnis hat diese die Behörde wiederum verneint.
Ausschlaggebend waren dabei folgende Überlegungen:
Sogar anzunehmendes berechtigtes Interesse ist nach Erwägungsgrund 47 der Datenschutz-Grundverordnung daran zu messen, ob eine betroffene Person in der gegebenen Situation vernünftigerweise mit einer Verarbeitung rechnen muss. Dies gilt erst recht in Vertragsverhältnissen. Eine im Vorfeld nicht ausreichend klar kommunizierte Vorgehensweise wäre zwar generell geeignet, die Erwartungshaltung in Richtung Ausschluss der Verarbeitung zu beeinflussen; dies gilt jedoch nicht pauschal, sondern es ist der Einzelfall zu betrachten. Dafür spricht letztendlich auch die Tatsache, dass Art. 13 DSGVO selbst keine Aussage zur etwaigen Rechtsfolge der Verletzung der Informationspflicht trifft.
Besondere Umstände waren dem zu prüfenden Einzelfall nicht zu entnehmen. Damit verbleibt die Prüfung auf die (insbesondere für die Warengruppe) typische Erwartungshaltung aufseiten des Kunden. Hier kam die Behörde zum Ergebnis, dass eine mithilfe aller zur Verfügung stehenden Kommunikationswege erfolgreiche Belieferung jedenfalls bei Expresssendungen als gemeinhin üblich betrachtet werden kann und muss. Die Weitergabe von über die Namen und Anschrift hinausgehenden Kontaktdaten an den Postdienstleister ist für den Kunden bei Eillieferungen letztendlich auch subjektiv erwartbar. Aus dem Mangel in den Datenschutzinformationen konnte für den beschriebenen Sachverhalt kein Ausschluss einer Datenweitergabe abgeleitet werden. Die Behörde hat das Unternehmen allerdings auf die – auf die konkreten Umstände bezogen – missverständliche Abfassung der Datenschutzhinweise hingewiesen und eine klarstellende Formulierung angeregt. Die entsprechende Datenschutzerklärung ist daraufhin angepasst worden.
Es wäre lebensfremd, flächendeckend lückenlose und völlig korrekte Datenschutzinformationen gemäß Art. 13 und 14 DSGVO der datenverarbeitenden Unternehmen und anderen Stellen zu erwarten. Die Rechtsfortbildung ist, was die Datenschutz-Grundverordnung und die Auslegung der Normen betrifft, noch längst nicht abgeschlossen; von einer kohärenten europaweiten Anwendung der Bestimmungen ganz zu schweigen. Soweit die Verantwortlichen an der Abstellung von Informationsmängeln kooperativ mitwirken, erkennt die Behörde auch ihre Arbeit als fruchtbringend. Sie wirbt aber ebenso dafür, dass sich Verantwortliche bei Bedarf und in Zweifelsfällen frühzeitig an sachkundige Datenschutzberater wenden. Schwerer als Unsicherheiten und Fehler wiegen strukturelle Wiederholungsfälle und Versuche, Fehlverhalten zu verschleiern. Entsprechendes gilt es gegebenenfalls auch zu sanktionieren.
Quelle: Sächsische Datenschutzbeauftragte
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks