Datenschutz im E-Commerce: Probleme bei der E-Mail-Bestätigung von Online Bestellungen

Jeder kennt es aus eigener Erfahrung: einer Bestellung in einem Onlineshop folgt in der Regel eine Bestätigung per E-Mail. Inhalt solcher E-Mails sind meist Details zu den Bestelldaten sowie mindestens die Adressdaten (Lieferanschrift, Rechnungsanschrift) des Bestellers, oft auch noch Kommunikationsdaten.
Damit werden personenbezogene Daten übermittelt. Gemäß Bundesdatenschutzgesetz ist ein Versand solcher E-Mails ohne Einsatz von Verschlüsselungstechnologien nicht zulässig.

Was können Shop-Betreiber tun, um rechtlich sicher zu agieren?

1. Die Eingangsbestätigung der Bestellung nur im Browser anzeigen.
Das ist technisch relativ einfach zu realisieren und wird in der Regel auch schon so gehandhabt. Dies stellt aber nicht die Form der Bestätigung dar, die der Gesetzgeber fordert, denn es entspricht nicht der Textform. Eine wirksame Übermittlung der Belehrung zum Widerrufsrecht könnte somit nicht sichergestellt werden.

2. Nur eine allgemeine Eingangsbestätigung per E-Mail zusenden.
Es könnte eine allgemein gehaltene E-Mail versendet werden, in der lediglich der Eingang der Bestellung bestätigt wird und auf das Widerrufsrecht wirksam hingewiesen wird. Darin  sollte dann auf das Kundenkonto im Online-Shop verwiesen werden, in dem alle zur Bestellung gehörenden Informationen bereitgestellt sind.

3. Eingangsbestätigung mit verschlüsseltem PDF-Anhang.
Als weitere Möglichkeit könnte die Bestellbestätigung als verschlüsseltes PDF-Dokument per E-Mail versendet werden. Allerdings muss das Passwort separat zugestellt und bereits zum Öffnen der Datei eingegeben werden. Kaum vorstellbar, dass ein Kunde dies als praktikabel empfinden würde.

Rechtlicher Hintergrund
Der Versand der E-Mail Bestätigung ist einer gesetzlichen Pflicht geschuldet: nach § 312 g Abs. 1 Nr. 3 BGB muss dem Verbraucher im Rahmen des E-Commerce der Erhalt einer elektronischen Bestellung unverzüglich schriftlich bestätigt werden. Diese schriftliche Bestätigung erfolgt in den meisten Fällen unverschlüsselt per E-Mail, was datenschutzrechtlich problematisch ist. Gemäß § 9 S. 1 BDSG i. V. m. der Anlage zum BDSG ist der Betreiber eines Onlineshops verpflichtet, „zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“.

Diese Bestätigungs-E-Mails müssen gemäß dem Gesetz jedoch nicht alle Details enthalten. Es wird lediglich gefordert, dass eine schriftliche Eingangsbestätigung zu erfolgen hat, über den genauen Inhalt der Bestätigung steht nichts im Gesetz.

Manch einer mag jetzt denken: „Aber wenn der Verbraucher in den unverschlüsselten Versand einwilligt, ist es doch zulässig.“ Das ist grundsätzlich richtig, ABER: es funktioniert nur dann, wenn die Bestellung ausschließlich an den Besteller geliefert wird. Gibt man jedoch die Adresse eines Dritten an, weil man jemanden beschenkt oder selber die Ware nicht in Empfang nehmen kann, müsste auch dieser Dritte in den unverschlüsselten Versand seiner personenbezogenen Daten einwilligen. Das wird wohl im Alltag schwer möglich sein.

Rechtsfolgen bei Verstößen sind Bußgelder bis hin zur Untersagung der Datenverarbeitung (diese erfolgt in der Regel aber erst nach schriftlicher Anhörung). Sollte eine Behörde tatsächlich diese Maßnahme ergreifen, so müsste der Shop-Betreiber sein gesamtes E-Mail-Bestätigungskonzept neu gestalten. Generell ist anzumerken, dass die Landesdatenschutzbehörden zurzeit in diesem Bereich nicht sonderlich aktiv sind. Trotzdem muss dies dem Verantwortlichen der Datenverarbeitung dargelegt werden, denn es bleibt bei einem Verstoß gegen Datenschutzrechte, für den die Geschäftsleitung haftet. Denn nach § 93 Abs. 2, 1 i. V. m. Abs. 1, 1 AktG haftet der Vorstand, wenn das Unternehmen wegen Verstößen gegen Rechtsvorschriften einen Schaden erleidet. Eine entsprechende Regelung sieht § 43 Abs. 1, 2 GmbHG auch für die GmbH vor.

Zusammenfassend betrachtet ist es also wichtig, den Verantwortlichen der Datenverarbeitung bzw. die Geschäftsleitung  hinreichend über die gesetzlichen Vorgaben und die bestehenden Risiken zu informieren und eine datenschutzkonforme, aber auch kaufmännisch vertretbare Lösung zu implementieren.

Kommentare sind abgeschaltet.