Termine verabreden und Kunden einzeln treffen – Notlösungen wie Click & Meet bieten auch Chancen, denn Händler erhalten dadurch neue Möglichkeiten, wertvolle Kundendaten zu generieren: E-Mail-Adressen, Präferenzen und mehr. Doch welche personenbezogene Daten dürfen gesammelt, und wie dürfen diese verwendet werden? Victoria Johnson und Jörg Kornbrust, Fachanwälte für IT-Recht und Gewerblichen Rechtsschutz der Kanzlei FPS in Berlin, geben Orientierung.



Frau Johnson, Herr Kornbrust, wie darf ich die Kundendaten, die ich im Rahmen von Click & Meet oder Click & Collect bekomme, weiterverwenden?

Jörg Kornbrust: Erst einmal gar nicht. Diese dürfen allein für die Abwicklung des Click & Meet oder Click & Collect sowie die folgende Kaufabwicklung verwendet werden. Dies folgt aus dem Zweckbindungsgrundsatz der DSGVO, wonach personenbezogene Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden.

Weist auf den Unterschied zwischen anonymisierten und pseudonymisierten Daten hin: Fachanwalt Jörg Kornbrust
© FPS
Weist auf den Unterschied zwischen anonymisierten und pseudonymisierten Daten hin: Fachanwalt Jörg Kornbrust

Ich darf diese also nicht in mein CRM einpflegen?

Kornbrust: Nicht ohne Weiteres. Nach Abschluss der Kaufabwicklung ist der Zweck der Datenerhebung erfüllt. Neben eventuell längeren Speicherfristen, etwa aus dem Gewährleistungsrecht, kann es gesetzliche Aufbewahrungsfristen geben, etwa in der Buchhaltung. Eine sonstige, über den ursprünglichen Zweck hinausgehende Speicherung darf nur mit Zustimmung des Kunden erfolgen. Allenfalls dürfte ich jemanden, der seine Bestellungen nie abholt, auf eine Blacklist setzen.

Victoria Johnson: Bei der Datenerhebung und -verarbeitung für Werbezwecke sind das Datenschutz- und das Wettbewerbsrecht relevant. Bei Verwendung der E-Mail-Adresse für Werbung ist eine datenschutzrechtliche Einwilligung erforderlich. Eine Ausnahme besteht für Direktwerbung. Diese kann auf ein "berechtigtes Interesse" nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Gleichzeitig darf nach § 7 Abs. 3 UWG Werbung nur für ähnliche Waren und Dienstleistungen versendet werden. Wenn ich einem Kunden etwa zuvor Kleidung verkauft habe, darf ich ihm nun keine Bücher anbieten. Es sei denn, er hat seine Einwilligung in den Erhalt von Werbung erteilt. Jedenfalls muss es die Möglichkeit geben, die Einwilligung jederzeit zu widerrufen. Hierauf ist ausdrücklich hinzuweisen.

Victoria Johnson: "Das Tracking von Kunden über ihre Smartphones oder die Ladenkameras ist nicht ohne Weiteres erlaubt."
© FPS
Victoria Johnson: "Das Tracking von Kunden über ihre Smartphones oder die Ladenkameras ist nicht ohne Weiteres erlaubt."

Kornbrust: Artikel 7 DSGVO regelt zudem die Voraussetzungen einer datenschutzrechtlichen Einwilligung. Der Kunde muss aktiv und freiwillig einwilligen. Aktiv bedeutet, dass es bei einer Online-Einwilligung keine vorausgefüllte Checkbox geben darf, die der Kunde für den Fall, dass er keine Werbung erhalten möchte, deaktivieren muss. Der Casus knacksus ist aber die Freiwilligkeit. Wird die Einwilligung etwa an eine Click&Meet-Terminbuchung gekoppelt, sodass der Kunde den Termin nur buchen kann, wenn er zugleich seine Einwilligung erteilt, ist diese nicht freiwillig und somit auch nicht wirksam.

Wie lösen Händler das Problem?

Johnson: Im Online-Handel typischerweise über eine Checkbox, die anzuklicken ist. Wichtig: Datenschutzrechtlich gelten stets die gleichen Bedingungen, ob für On- und Offline-Handel oder auch die Nutzung von Kundenkarten. Eine Einwilligung könnte zwar auch mündlich erfolgen, allerdings liegt die Nachweispflicht – etwa bei Anfrage einer Datenschutzbehörde – beim Händler.

Viele Händler setzen auf Tools für die Datenverarbeitung, was ist hier zu beachten?

Johnson: Wer ein Tool eines Drittanbieters nutzt, muss auf diese Tatsache selbst wie auch darauf hinweisen, dass ein Vertrag zur Auftragsdatenverarbeitung besteht. Die datenschutzrechtliche Verantwortlichkeit liegt nämlich beim Händler und nicht bei seinem Auftragsverarbeiter. Derzeit ist vor allem der Datentransfer in die USA ein heikles Thema. Der EuGH hat im Juli 2020 das Privacy Shield, die Grundlage für den Datentransfer zwischen der EU und den USA, für unwirksam erklärt. Viele Unternehmen nutzen aber Tools von US-Anbietern, ob für Videokonferenzen oder zur Terminvereinbarung.

Was können Händler tun?

Kornbrust: Darauf zu achten, dass der Auftragsverarbeiter ausschließlich Server in Europa nutzt, reicht nicht. US-Behörden können im Einzelfall auch auf Server US-amerikanischer Unternehmen zugreifen. Jeder sollte prüfen, ob Daten in die USA übertragen werden, es sich grundsätzlich um einen US-amerikanischen Anbieter handelt oder Subunternehmer mit USA-Bezug eingesetzt werden. Nutzt zum Beispiel der Anbieter eines Click&Meet-Tools einen Cloud Service, der Daten in die USA überträgt? Zudem sollten sich Händler die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes von ihren Dienstleistern vorlegen und prüfen lassen. Würden die Datenschutzbehörden Unternehmen prüfen, würden sie in diesem Bezug vermutlich fast überall Verstöße feststellen.

Aber welche Möglichkeiten verbleiben Unternehmen?

Kornbrust & Johnson: Es wäre aus unserer Sicht Aufgabe der Politik, hier Rechtssicherheit zu schaffen. Die von einigen Datenschutzbehörden gewünschte „Autarkie Europas“ kann zwar ein Ziel sein, ist aber aus unserer Sicht noch Utopie.

Wie ist das In-Store-Tracking juristisch zu bewerten?

Johnson: Das Tracking von Kunden über ihre Smartphones oder die Ladenkameras ist nicht ohne Weiteres erlaubt. Schon gar nicht, wenn zum Beispiel einem über die Kamera identifizierten Kunden ein bestimmtes Käuferverhalten zugeordnet wird. Das wäre verbotenes Profiling.

Das Tracking erfolgt meist über eine Shopping-App (etwa Amazon Go), bei der der Kunde zustimmen und informiert werden muss, welche Daten die App sammelt, auf welche Daten zugegriffen wird (Stichwort: Bewegungsprofile), ob diese im Nachgang ausgewertet werden, etwa zu Werbezwecken, wo sie gespeichert werden und auch wie lange. Eine bloße Berechtigung wie "Zugriff auf Standort erlauben" einzuholen, reicht hier nicht.

Kornbrust: Wichtig ist auch der Unterschied zwischen anonymisierten und pseudonymisierten Daten. Bei anonymisierten Daten gibt es keine datenschutzrechtliche Problematik, da sie mangels Personenbezug nicht von der DSGVO erfasst werden. Anders bei lediglich pseudonymisierten Daten. Um solche handelt es sich etwa, wenn der für einen Click&Collect-Kunden generierte Zahlencode durch den Händler oder einen Dritten dem konkreten Kunden wieder zugeordnet werden kann.

Alles in allem also enge Grenzen für die Datennutzung …

Johnson: Datenschutz will im Grunde ja nur dem Kunden die Macht über seine eigenen Daten zurückgeben. Der Vorteil von Einzelhändlern: Sie sind keine anonymen Datensammler, die die Daten ihrer Kunden zu allerlei Zwecken auswerten oder gar weiterveräußern wollen, sondern haben in der Regel ein gutes Vertrauensverhältnis. Daher ist aus meiner Sicht der beste Weg, die Kunden transparent zu informieren, ihnen die Vorteile geplanter Maßnahmen aufzuzeigen und sie so miteinzubeziehen.

Das Interview führte Jürgen Baltes