Was dürfen Shopbetreiber im Checkout-Prozess eigentlich alles an Daten abfragen? Zwar regelt der Grundsatz der Datensparsamkeit, dass möglichst wenige Informationen vom Kunden eingeholt, verarbeitet und genutzt werden sollen, eine umfassende Klarheit verschafft diese Vorgabe jedoch nicht. Immer wieder im Blickpunkt steht dabei die Telefonnummer, die viele Händler im Bestellprozess in einem Pflichtfeld abfragen. Dürfen sie das aus datenschutzrechtlicher Sicht?
Telefonnummer zur Vertragserfüllung?
Shopbetreiber könnten per Gesetz die Erlaubnis haben, die Telefonnummer im Bestellprozess abzufragen, wenn diese zur Abwicklung des Vertrags erforderlich ist. Das gibt § 28 Abs. 1 Nr. 1 BDSG an. Grundsätzlich sind jedoch lediglich Name und Adresse notwendig, damit Händler Pakete zustellen (lassen) können. Die Abfrage der Telefonnummer dürfte also in der Regel nicht den Anforderungen des § 28 BDSG entsprechen.
Einige Versandunternehmen fordern jedoch von Shopbetreibern die Kundentelefonnummer ein, so dass diese gezwungen sind, die Nummer im Bestellprozess abzufragen. Vor allem bei Kunden, die einen Express-Versand nutzen möchten, verlangen Logistikdienstleister die Angabe der Nummer, um eine vereinfachte und rechtzeitige Zustellung vornehmen zu können. Ob diese dann tatsächlich Kunden über die Telefonnummer kontaktieren, ist zumindest fraglich, da es keine gängige Praxis ist. Für Händler bedeutet das: Verlangen Versandunternehmen obligatorisch die Telefonnummer der Kunden, sind sie gezwungen diese im Bestellprozess abzufragen, da sonst der Vertrag nicht erfüllt werden kann. In einem derartigen Szenario ist die Abfrage der Telefonnummer also von § 28 Abs. 1 Nr.1 BDSG gedeckt und verstößt auch nicht gegen den Grundsatz des Datenschutzrechts.
Damit Händler auf der rechtlich sicheren Seite stehen, empfiehlt es sich daher, das eigene Bestellformular im Shop so zu gestalten, dass die Nummer nur dann in einem Pflichtfeld abgefragt wird, wenn das zuständige Versandunternehmen für eine Paketzustellung die Weitergabe der Telefonnummer verlangt.
Verstoß gegen den Grundsatz der Datensparsamkeit: Was droht Händlern?
Was passiert, wenn Händler die Telefonnummer in ihrem Bestellprozess abfragen, obwohl dies nicht zur Erfüllung des Vertrages notwendig ist? Bisher ist ein Verstoß gegen den Grundsatz der Datenvermeidung rechtlich ohne Folgen. Es handelt sich um eine reine Zielvorgabe ohne Sanktionsmöglichkeit.
Dies wird sich aber mit der bereits in Kraft getretenen, aber erst ab 25. Mai 2018 verbindlichen Datenschutz-Grundverordnung (DSGVO) ändern. Artikel 5 c) DSGVO schreibt dann vor, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen. Sanktionen können dann durch ein direktes Klagerecht und einen Schadensersatzanspruch des Betroffenen durchgesetzt werden.