Secret Packs und Mystery Boxen wirken für viele wie ein spannendes Schnäppchen. Doch die Pressemitteilung der Landesdatenschutzbeauftragten Sachsen-Anhalt zeigt, dass sie ein erhebliches Datenschutzrisiko darstellen. Beim Weiterverkauf von Retourenpaketen bleiben oft personenbezogene Daten sichtbar. Auf Verpackungen, Lieferscheinen oder Rechnungen finden sich Namen, Adressen, Telefonnummern oder E-Mail-Adressen. In Verbindung mit dem Paketinhalt, etwa Kleidung oder Erotikartikel, lassen sich intime Rückschlüsse ziehen. Damit geraten private Informationen in die Hände völlig Fremder.
Datenschutzrechtlich ist die Lage eindeutig. Nach der DSGVO dürfen personenbezogene Daten nur für festgelegte Zwecke verarbeitet werden. Der Weiterverkauf von Paketen mit offenen Daten gehört nicht dazu. Unternehmen sind nach Artikel 32 verpflichtet, technische und organisatorische Maßnahmen zu treffen, um Daten zu schützen. Methoden wie das einfache Überkleben von Etiketten oder das Schwärzen mit Filzstiften genügen nicht, weil sich die Daten häufig leicht wiederherstellen lassen. Hinzu kommt, dass in manchen Fällen sogar besondere Kategorien personenbezogener Daten betroffen sind. Wenn ein Name mit eindeutigen Waren wie Sexspielzeug verknüpft ist, handelt es sich um Angaben zum Intimleben, die nach Artikel 9 besonderen Schutz genießen.
Die Aufsichtsbehörden haben in der Vergangenheit wiederholt klargestellt, dass eine solche Offenlegung nicht hinnehmbar ist. Bereits Urteile zu unsachgemäß entsorgten Unterlagen oder falsch behandelten Datenträgern zeigen, dass Unternehmen ihre Verantwortung nicht abwälzen dürfen. Das gilt auch hier: Die Verantwortung liegt nicht nur bei den Automatenbetreibern, sondern schon bei den Versandzentren, die die Retouren in Umlauf bringen. Wer personenbezogene Daten ohne wirksame Löschung weitergibt, verstößt gegen grundlegende Pflichten der DSGVO und setzt sich dem Risiko von Bußgeldern aus.
Für die betroffenen Kundinnen und Kunden ergeben sich klare Gefahren. Sie reichen von Identitätsmissbrauch bis zur Bloßstellung sensibler Informationen. Schon der Besitz von Kleidung in einer bestimmten Größe kann Rückschlüsse auf die körperliche Verfassung erlauben. Werden intime Produkte offengelegt, geraten sehr persönliche Details in die falschen Hände. Das beschädigt Vertrauen und untergräbt die Sicherheit des Onlinehandels insgesamt.
Unternehmen müssen ihre Prozesse dringend anpassen. Alle personenbezogenen Daten sind vor einer Weitergabe restlos zu entfernen. Das erfordert nicht nur sorgfältige manuelle Arbeit, sondern auch den Einsatz technischer Hilfsmittel. Maschinenunterstützte Verfahren können Etiketten zuverlässig entfernen, automatisierte Prüfungen helfen, Reste von Lieferscheinen oder Rechnungen zu erkennen. Wichtig ist zudem eine klare Verantwortlichkeit. Versandzentren müssen vertraglich sicherstellen, dass Zwischenhändler und Automatenbetreiber keine Daten mehr weitergeben. Art. 28 DSGVO verpflichtet dazu, solche Pflichten in Auftragsverarbeitungsverträgen festzuhalten. Transparenz gegenüber den Kundinnen und Kunden ist ebenfalls notwendig. Sie sollten wissen, was mit ihren Retouren passiert und welche Schutzmaßnahmen vorgesehen sind.
Secret Packs mögen wie ein spannender Trend wirken, sie sind aber ein Datenschutzproblem. Wer sie verkauft, ohne personenbezogene Daten wirksam zu entfernen, handelt rechtswidrig. Die Botschaft ist klar: Datenschutz endet nicht an der Kasse des Automaten, er beginnt im Versandzentrum und muss in jedem Schritt der Handelskette umgesetzt werden.
Quelle: Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt
Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks