DA+

Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXV: Abwehr unerwünschter Kunden und Kundinnen mittels eines internen Informationssystems : aus der RDV 6/2023, Seite 373-376

Lesezeit 11 Min.

I. Sachverhalt

Das deutsche Onlineversandhandelsunternehmen U erwägt die Einführung eines automatisierten internen Informationssystems, in dem Kunden und Kundinnen erfasst werden, die von der Möglichkeit, bestellte Waren zurückzusenden, in unverhältnismäßigem Maß Gebrauch gemacht haben. Bestellungen solcher Kunden und Kundinnen sollen künftig nicht mehr angenommen werden. Den betreffenden Personen soll vorab schriftlich angekündigt werden, dass eine erneute Belieferung abgelehnt wird, sofern keine Änderung im Bestellverhalten eintritt.

Ist die Einführung eines solchen Systems bezogen auf Neukunden, die künftig erstmals bei U bestellen, datenschutzrechtlich zulässig? Welche Informations- und Hinweispflichten wären in diesem Fall aus datenschutzrechtlicher Sicht zu beachten?

Ergeben sich im Hinblick auf die Beurteilung Unterschiede, wenn in das System auch künftige Bestellungen von Personen aufgenommen werden sollen, die in der Vergangenheit bereits bei U bestellt haben?

II. Musterlösung

1. Anwendungsbereich der DS-GVO

Der sachliche und räumliche Anwendungsbereich der DS-GVO (Art. 2 f.) ist vorliegend unzweifelhaft eröffnet und die DS-GVO daher anwendbar. Die im Zusammenhang mit dem Informationssystem verarbeiteten Kundendaten sind personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO. Diese werden automatisiert innerhalb der EU verarbeitet.

2. Zulässigkeit der Datenverarbeitung im Zusammenhang mit dem Informationssystem

a) Allgemeines

Damit die Verarbeitung der Daten rechtmäßig ist, bedarf es einer entsprechenden Rechtsgrundlage, vgl. Erwägungsgrund 40 DS-GVO.

Eine Einwilligung der betroffenen Personen in die Verarbeitung soll nicht eingeholt werden und scheidet damit als Rechtsgrundlage aus. In Betracht kommt nur das Eingreifen eines gesetzlichen Erlaubnistatbestandes für die Verarbeitung, insbes. Art. 6 Abs. 1 S. 1 lit. b (Datenverarbeitung im Zusammenhang mit einem Vertrag) oder lit.  f (Verarbeitung auf Grundlage einer Interessenabwägung) DS-GVO.

b) Art. 6 Abs. 1 S. 1 lit. b DS-GVO(Datenverarbeitung im Zusammenhang mit einem Vertrag)als mögliche Rechtsgrundlage

Gemäß Art. 6 Abs. 1 S. 1 lit. b DS-GVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, sofern diese erforderlich ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, bzw. erforderlich zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Zwar stehen die Retouren in Zusammenhang mit einem Vertragsschluss. Gleichwohl ist das geplante Informationssystem nicht i.S.v. Art. 6 Abs. 1 S. 1 lit. b DS-GVO erforderlich für die Vertragsabwicklung.

c) Art. 6 Abs. 1 S. 1 lit. f DS-GVO (Interessenabwägung) als mögliche Rechtsgrundlage

aa) Allgemeines

Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestattet die Verarbeitung personenbezogener Daten auch ohne Erlaubnis durch die betroffenen Personen, soweit die Verarbeitung erforderlich ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Maßgeblich für die Beurteilung der Rechtmäßigkeit ist also eine Abwägung der jeweiligen Interessen des Verantwortlichen für die Datenverarbeitung und der Interessen der von der Verarbeitung betroffenen Personen.

bb) Vertragsfreiheit

Das berechtigte Interesse i.S.v. Art. 6 Abs. 1 S. 1 lit. f DS-GVO für die im Zusammenhang mit dem internen Informationssystem durchgeführten personenbezogenen Datenverarbeitungen könnte sich aus dem Grundsatz der Vertragsfreiheit ergeben. Im Rahmen der das Zivilrecht beherrschenden Handlungsund Vertragsfreiheit (Art. 2 GG) steht es grundsätzlich jedem frei, ob und mit wem Verträge geschlossen werden.

Grenzen werden der Vertragsfreiheit dadurch gezogen, dass die Entscheidung über den Abschluss bzw. Nichtabschluss eines Vertrags nicht gegen gesetzliche Ver- oder Gebote verstoßen darf. So darf z.B. keine nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) unzulässige Diskriminierung erfolgen. Ein Kontrahierungszwang kann sich außerdem für Betriebe mit Monopolstellung ergeben. Der Begriff Kontrahierungszwang (auch: Abschlusszwang) bezeichnet die rechtliche Verpflichtung, mit einem anderen ein Rechtsverhältnis zu begründen, d.h. in der Regel einen Vertrag zu schließen. Ein Kontrahierungszwang widerspricht der Privatautonomie und besteht daher nur in seltenen Fällen.

Die Verweigerung des Vertragsschlusses könnte vorliegend vor dem Hintergrund rechtswidrig sein, dass diese, wie nachfolgend näher dargestellt werden wird, an die Geltendmachung gesetzlicher Rechte durch die betroffenen Kunden und Kundinnen anknüpft.

cc) Gesetzliches Widerrufsrecht von Verbraucher/-innen beim Onlineshopping

Wenn zwischen einem Unternehmer und einem Verbraucher ein Vertrag geschlossen wird, bei dem beide nicht gleichzeitig körperlich anwesend sind, spricht man von einem sog. Fernabsatzvertrag. Verbraucher ist gemäß § 13 Bürgerliches Gesetzbuch (BGB) jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbstständigen beruflichen Tätigkeit zugerechnet werden können. Praxisbeispiele für Fernabsatzverträge sind etwa Bestellungen bei Onlineshops.

Bei Fernabsatzverträgen haben Verbraucher/-innen in der Regel ein 14-tägiges Widerrufsrecht, wonach sie sich innerhalb dieses Zeitraums ohne Angabe von Gründen vom Vertrag wieder lösen können (§ 312g i.V.m. § 355 BGB). Das Widerrufsrecht basiert auf europarechtlichen Vorgaben und soll Verbraucher/-innen vor den typischen Gefahren bei Fernabsatzgeschäften bewahren. Anders als beim Einkauf im stationären Handel, also im Ladengeschäft vor Ort besteht bei Fernabsatzgeschäften insbesondere keine Möglichkeit für Käufer/-innen, die Ware anzufassen oder anzuprobieren. Die Käufer/-innen müssen sich vielmehr zunächst auf die Bilder und die Produktbeschreibung im Onlineshop bzw. Katalog verlassen und können die Ware erst nach Vertragsschluss und Versand überprüfen.

Die Kunden und Kundinnen von U machen mit ihren Rücksendungen also von ihren gesetzlichen Rechten Gebrauch.

dd) Verfolgung legitimer wirtschaftlicher Interessen durch U

Zu beachten ist allerdings, dass U den Kunden und Kundinnen die Ausübung ihrer gesetzlichen Rechte nicht verwehrt, sondern seinen sich aus dem Fernabsatzrecht ergebenden Verpflichtungen vollumfänglich nachkommt. Es ist lediglich so, dass U sich entschieden hat, bei übermäßiger Ausübung der bestehenden gesetzlichen Rechte aus wirtschaftlichen Erwägungen mit den betroffenen Personen künftig keine Verträge mehr schließen zu wollen. Da die Vertragsfreiheit Unternehmen im Grundsatz sogar berechtigt, Verträge mit Interessenten ohne Begründung abzulehnen, muss diese es erst recht ermöglichen, von unrentablen Geschäftsbeziehungen abzusehen.

Ähnlich argumentierte auch das OLG Hamburg[1] in der Entscheidung, auf welcher der vorliegende Praxisfall basiert: Ein Versandhandelsunternehmen sei außerhalb kartellrechtlicher Bindungen grundsätzlich nicht verpflichtet, mit Personen erneut Fernabsatzverträge über Waren zu schließen, mit denen sich die Vertragsverhältnisse in der Vergangenheit wegen eines überproportional hohen Anteils an Rücksendungen bestellter Ware über einen längeren Zeitraum als unwirtschaftlich erwiesen haben. Dies gelte jedenfalls dann, so das OLG, wenn die hierfür aufgestellten Kriterien so gestaltet sind, dass eine weitere Belieferung ohne Veränderung des Bestellverhaltens insgesamt als unternehmerisch nicht mehr zumutbar erscheint.

Ein berechtigtes Interesse an der Verarbeitung der Daten über das Kauf- bzw. Retournierverhalten ist damit vorliegend zu bejahen, da hiermit legitime wirtschaftliche Interessen verfolgt werden. Die geplante Datenverarbeitung ist auch i.S.v. Art. 6 Abs. 1 S. 1 lit. f DS-GVO erforderlich.

ee) Keine überwiegenden Betroffeneninteressen

Nicht zu verkennen ist, dass durch eine Weigerung des Versandhauses, Bestellungen von „Hochretournierern“ entgegenzunehmen, diese in ihrer Handlungsfreiheit eingeschränkt werden bzw. in ihrem Wunsch, in bestimmter Weise am Geschäftsleben teilzunehmen. Da Interessenten, wie dargestellt, regelmäßig keinen Anspruch auf Abschluss eines Vertrags haben, kann das der Verwertung der Daten entgegenstehende Interesse „auffällig“ gewordener Kunden aber im Ergebnis nicht überwiegen. Auch sollen in das System – über die Daten über das Retournierverhalten hinaus – keine sonstigen das Konsumverhalten betreffenden Informationen aufgenommen werden. Es besteht also nicht die Gefahr einer unzulässigen Bildung von Persönlichkeitsprofilen.

Ergebnis: Die personenbezogene Datenverarbeitung im Zusammenhang mit dem betrachteten System kann im Grundsatz als über Art. 6 Abs. 1 S. 1 lit. f DS-GVO legitimierbar angesehen werden.

3. „Warnung“ der betroffenen Kunden und Kundinnen im Vorfeld des Lieferstopps

Ebenfalls soll nach der diesem Praxisfall zugrunde liegenden Entscheidung des OLG Hamburg[2] nicht zu beanstanden sein, wenn das Versandhandelsunternehmen betroffenen Personen schon im Vorweg schriftlich ankündigt, eine erneute Belieferung unter bestimmten Umständen abzulehnen, sofern keine Veränderung im Bestellverhalten eintritt. Die mit der Ankündigung verbundene „Zwangswirkung“ sei nicht unlauter i.S. der wettbewerbsrechtlichen Vorgaben, so das Gericht.

Zweifelsohne wird durch solche „Warnschreiben“ ein gewisser Druck auf deren Adressaten ausgeübt. Dies ist von der verantwortlichen Stelle wohl sogar beabsichtigt. Nicht jede Ausübung von Druck stellt sich jedoch als unlauter dar. Zwar sind für Fernabsatzgeschäfte Widerrufsrechte gesetzlich vorgesehen (§ 312g i.V.m. § 355 BGB).[3] Zumindest außerhalb kartellrechtlicher Kontrahierungszwänge und geltender Diskriminierungsverbote können dem gewerblichen Vertragspartner bei Verbraucherverträgen vor dem Hintergrund des Art.  14 Grundgesetz (GG) derartige finanzielle Verpflichtungen zulässigerweise aber nur auferlegt werden, wenn ihm zumindest die Entscheidungsfreiheit verbleibt, unter bestimmten Umständen im Einzelfall zukünftig von derartigen Vertragsbeziehungen zur Wahrung seiner eigenen wohlverstandenen Interessen auch Abstand nehmen zu können.[4]

Das Versandhandelsunternehmen verhielte sich also bezüglich der Warnschreiben lauterkeitsrechtlich rechtskonform.

Während das Datenschutzrecht dem Persönlichkeitsschutz dient, zielt das UWG auf einen Schutz vor unlauteren Geschäftspraktiken. Geschützt werden Mitbewerber, Verbraucherinnen und Verbraucher sowie sonstige Marktteilnehmer. Obwohl unterschiedliche Schutzzwecke verfolgt werden, können sich Wechselbeziehungen zwischen Wettbewerbs- und Datenschutzrecht ergeben. So wird sich ein Datenumgang, der wettbewerbswidrig ist, regelmäßig auch nicht mit der DS-GVO vereinbaren lassen. Ist hingegen – wie hier – eine „Drohung“ lauter, so müssen grundsätzlich auch die insoweit notwendigen personenbezogenen Datenverarbeitungen statthaft sein.

4. Datenschutzrechtliche Transparenz- und Hinweispflichten

a) Transparenz der Datenverarbeitung

I.R. der nach Art. 13 DS-GVO notwendigen Informationen bei Datenerhebung muss U seine Kunden und Kundinnen bei Bestellung auch über die personenbezogene Datenverarbeitung im Zusammenhang mit dem internen Informationssystem zur Vermeidung übermäßiger Retouren informieren.

b) Hinweis auf das Widerspruchsrecht

Gegen Verarbeitungen auf Basis von Art.  6 Abs.  1 S. 1 lit.  f DS-GVO besteht nach Art. 21 Abs. 1 DS-GVO ein Widerspruchsrecht, auf das die betroffene Person gemäß Art.  21 Abs.  4 DS-GVO entsprechend hinzuweisen ist. Das Widerspruchsrecht hat die Funktion, bei bestimmten, auf allgemein gefassten Rechtsgrundlagen beruhenden Verarbeitungen einer etwaigen besonderen Situation der betroffenen Person oder ihren besonderen Interessen Rechnung zu tragen.[5]Durch das Widerspruchsrecht erhält diese die Möglichkeit, die Verarbeitung einer auf ihre spezifische Situation bezogenen Prüfung zu unterziehen.[6] Die Ausübung des Widerspruchsrechts nach Art. 21 Abs. 1 DS-GVO setzt voraus, dass die betroffene Person Gründe geltend macht, die sich aus ihrer besonderen Situation ergeben. Anders als beim Widerspruch nach Art. 21 Abs.  2 DS-GVO gegen die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung bedarf es i.R. des Widerspruchs nach Art. 21 Abs. 1 DS-GVO also einer inhaltlichen Begründung durch die betroffene Person. Der Hinweis auf das Widerspruchsrecht wird sinnvollerweise verbunden mit der Information über den Zweck der Datenverarbeitung nach Art. 13 DS-GVO.[7]

5. Abwandlung des Sachverhalts

In der Abwandlung stellt sich die Frage, ob eine zweckändernde Datenverarbeitung vorliegt, die nicht an Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu messen wäre, sondern nach Art. 6 Abs. 4 DS-GVO an der Kompatibilität der Datenverarbeitung zum neuen Zweck mit dem ursprünglichen Erhebungszweck. Im Fall der zulässigen Zweckänderung bedürfte es gemäß Art. 13 Abs.  3 DS-GVO einer Nachinformation im Hinblick auf den verfolgten neuen Zweck.

Da vorliegend kein Dauerschuldverhältnis betroffen ist, sondern durch die Bestellungen im Onlineshop immer wieder aufs Neue Vertragsbeziehungen begründet werden, dürfte eine Zweckänderung allerdings im Ergebnis abzulehnen sein, sofern in das System nur künftige Bestellungen von Personen aufgenommen werden, die in der Vergangenheit bereits bei U bestellt haben.

6. Weiterführende Informationen

Um sich vor „faulen“ Kunden zu schützen, kann das Unternehmen zunächst auf eigene Erkenntnisse aus früheren Geschäftsbeziehungen, d.h. ein hausinternes „Warnsystem“, zurückgreifen. Hierzu zählen Dateien über Personen, die z.B. aufgrund Ladendiebstahls Hausverbot erhalten oder betrügerisch Waren bestellt haben, zu deren Bezahlung sie nicht willens oder nicht in der Lage waren. Im Zweifel wird dann ein Versandgeschäft nicht gegen Rechnung, sondern nur gegen Nachnahme oder Vorauszahlung erfolgen.

Daneben gibt es brancheninterne Systeme, wie etwa das Hinweis- und Informationssystem (HIS) im Versicherungsbereich. Versicherungen können hierüber bei der Prüfung von Versicherungsanträgen oder im Schadensfall bei anderen Versicherungen Auskünfte einholen oder ihrerseits Daten an andere Versicherer weitergeben. Zwecke von HIS sind die Risikobeurteilung im Antragsfall, die Sachverhaltsaufklärung bei der Leistungsprüfung sowie die Bekämpfung von Versicherungsmissbrauch.[8] Einmeldungen in HIS erfolgen, wenn bei einem Antrag bzw. Schadenfall bestimmte, je nach Versicherungssparte unterschiedliche Kriterien aus folgenden Kategorien vorliegen: atypische Schadenhäufigkeiten, besondere Schadensfolgen, erschwerte Risiken oder Auffälligkeiten im Schaden- bzw. Leistungsfall.

Die Zulässigkeit derartiger Systeme hängt entscheidend von der Art der eingemeldeten Daten ab. Der Betroffene muss es hinnehmen, auch gegen seinen Willen aufgenommen zu werden, wenn die Existenz des Systems für das Geschäftsleben relevant ist und Anlass für die Aufnahme objektive Tatbestände oder Verhaltensweisen sind, die von der Rechtsordnung missbilligt werden oder zumindest ein berechtigtes Eigenschutzinteresse der beteiligten Wirtschaftskreise auslösen. Sollen darüber hinaus Angaben aufgenommen bzw. übermittelt werden, so ist dies nur aufgrund einer entsprechenden Einwilligung des Betroffenen möglich.

Sog. „Positivdaten“ zu Privatpersonen dürfen unternehmensübergreifende Informationssysteme grundsätzlich nicht auf Grundlage von Art.  6 Abs.  1 S. 1 lit.  f DS-GVO verarbeiten.[9] Insoweit überwiegt regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung sie betreffender Daten zu bestimmen. Positivdaten sind Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, z.B. Informationen über Vertragsschlüsse oder die Tilgung von Krediten. Negativdaten sind Informationen über negative Zahlungserfahrungen bzw. über anderweitige negative Erfahrungen, z.B. Betrugsversuche.

 

* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] Urt. v. 25.11.2004 – 5 U 22/04

[2] Vgl. Fn. 1.

[3] Vgl. hierzu im Einzelnen Abschnitt 2. cc).

[4] OLG Hamburg, Urt. v. 25.11.2004 – 5 U 22/04.

[5] Kühling/Buchner/Herbst, DS-GVO BDSG, 3. Aufl. (2020), DS-GVO Art. 21 Rn. 1.

[6] Kühling/Buchner/Herbst, DS-GVO BDSG, 3. Aufl. (2020), DS-GVO Art. 21 Rn. 1.

[7] Vgl. vorstehend Abschnitt a).

[8] Vgl. https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Auskunfteien/HIS.html (zuletzt abgerufen am 20.11.2023).

[9] Vgl. zum Thema https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Auskunfteien/FAQ-Auskunfteien.html (zuletzt abgerufen am 20.11.2023).