Das Online-Shopping hat insbesondere bei jüngeren Kund*innen längst mit dem stationären Handel gleichgezogen. Immer mehr Unternehmen bieten daher Ihre Ware auch im Internet über einen eigenen Webshop an und betreiben darüber hinaus ein aktives Marketing im hartumkämpften Wettbewerb.
Da Webshops und Bestellsysteme immer intelligenter und benutzerfreundlicher werden, ergeben sich auch immer mehr (datenschutz-)rechtliche Fragestellungen rund um die Verarbeitung der personenbezogenen Daten der Kund*innen – und zwar vor, während sowie auch nach der Bestellung. Gleiches gilt natürlich auch der Datenverarbeitung im Wege der Registrierung in einem Webshop oder auf einer Plattform.
Zu einem relativ neuen Feature zählt die sog. „Warenkorb-Abbrecher“ E-Mail, die betroffenen Personen zugehen soll, die zwar zuvor Produkte in den virtuellen Warenkorb der Webseite gelegt, aber den Kaufprozess letztlich doch nicht abgeschlossen haben.
Zu den Ursachen des Abbruchs können technische Probleme wie z.B. der Verlust der Internetverbindung oder ein Serverausfall, aber auch persönliche Momente zählen, wenn einem beispielsweise der Preis in der Übersicht doch zu hoch erscheint oder man lieber „noch eine Nacht drüber schlafen“ möchte. Teilweise kommt beim Online-Shopping auch plötzlich etwas dazwischen. In all diesen Konstellationen fehlte es am finalen Handlungsakt, so dass der Kauf nicht abgeschlossen wird.
Gleich welcher Grund auch vorliegen mag, dass es nicht zum Abschluss der Bestellung kam, stellt sich für den Shopbetreiber die berechtigte Frage: Darf diese Person per E-Mail an den Warenkorb bzw. das offenkundige Interesse an den Produkten erinnert werden, um so doch noch den Kaufvertrag herbeizuführen bzw. den Kunden zu reaktivieren? Kann so der erfolgreiche Abschlus des Kaufvertrages doch noch erreicht werden?
Der Datenschutz und das Wettbewerbsrecht
Die Besonderheit in derartigen Fällen liegt darin, dass die Kund*innen zwar zuvor bereits (im Rahmen der Bestellung) ihre E-Mail-Adresse angegeben haben müssen, andernfalls wäre diese automatische Funktion auch gar nicht denkbar, es jedoch mangels Abschlusses der Bestellung nicht zum tatsächlichen Kauf gekommen ist. Daher können alle anschließenden Aktivitäten des Betreibers nicht auf den Kaufvertrag Bezug nehmen.
Daher gilt eine derartige Erinnerung per E-Mail als Werbung und ist als eine zusätzliche Datenverarbeitung in der Regel nur mit ausdrücklicher Einwilligung im Sinne von § 7 UWG bzw. Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO zulässig. Die Rechtsgrundlage der „Durchführung vorvertraglicher Maßnahmen“ (Art. 6 Abs. 1 S. 1 lit. b DSGVO) hält vor dem Hintergrund des Schutzcharakters aus dem Wettbewerbsrecht grundsätzlich nicht für eine solche E-Mail nach Abbruch des Bestellvorgangs her, insbesondere nicht mit einem zeitlichen Abstand von 1-2 Tagen.
Nur unter ganz strengen Voraussetzungen nach der Ausnahme gem. § 7 Abs. 3 UWG könnte eine solche elektronische Nachricht mit Hinweis auf den Warenkorb für zulässig erachtet werden, die jedoch in den seltensten Fällen vorliegen dürfte und darüber hinaus den wettbewerbsrechtlichen Risiken unterliegt (oder auch dann für unzulässig erachtet werden könnte; vgl. Köhler/Bornkamm/Feddersen/Köhler, UWG § 7 Rn. 204a). Denn nur in den Fällen von § 7 Abs. 3 UWG gilt diese werbliche Ansprache nicht als unzumutbare Belästigung und wäre dann nicht einwilligungsbedürftig, sondern könnte unter Umständen im „berechtigten Interesse“ nach Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden.
Beim Abbruch der Erstbestellung scheidet diese Vorschrift ohnehin aus, da noch kein vorheriger Kaufvertrag zustande gekommen ist. Denn diese Ausnahme sieht grundsätzlich und unter engen Voraussetzungen einen zuvor abgeschlossenen Kaufvertrag, den Hinweis auf die Verarbeitung der dabei erhobenen E-Mail-Adresse für solche Werbung und die Direktwerbung für „eigene ähnliche Waren und Dienstleistungen“ vor, der die betroffene Person (Empfänger*in) nicht widersprochen hat. Der Hinweis auf die spätere Aktion ist dabei besonders wichtig und dürfte bei einer Bestellung und der Warenkorbfunktion regelmäßig fehlen.
Dies heißt im Ergebnis, dass eine automatische E-Mail dann mit der Erinnerung an die Produkte im Warenkorb und ggfs. etwaige noch bestehende Aktivitäten vor Abschluss des Kaufvertrages wegen ihres Charakters als Werbung nur dann rechtssicher ist, wenn die betroffenen Kund*innen vorab und ausdrücklich unter Angabe der E-Mail-Adresse in diese Verarbeitung ihrer personenbezogenen Daten durch eine solche Funktion freiwillig eingewilligt haben. Diese Zustimmung wäre analog der Anmeldung zu einem Newsletter vermutlich mit einer aktiv anzuklickenden Checkbox und des sog. Double-OptIn Prozesses umzusetzen. Denkbar wären gewiss auch weitere Konstellationen, die allesamt risikobehaftet sind. Die Beweislast dieser wirksamen Einwilligung trägt den Versender.
Möglicherweise anders wäre die Rechtslage zu beurteilen, wenn deutlich vor der Nutzung des Warenkorbs eine Registrierung auf der Webseite abzuschließen und die E-Mail-Adresse hierbei zu bestätigen wäre. Durch die Anlage eines eigenen Profils/Kontos vor Nutzung des Webshops könnte die geforderte Zustimmung in die späteren „Warenkorb-Abbrecher“ E-Mails vorab eingeholt und dokumentiert werden, so dass danach das volle Shop-Erlebnis ausgestaltet werden könnte. Dies könnte gewiss als positive Funktion für Benutzer*innen-Konten auf der Webseite angepriesen werden.
Problematisch hingegen gestalten sich die Fälle der „Gast-Bestellung“, bei denen nahezu kaum eine entsprechende, ausdrückliche Einwilligung beweissicher eingeholt werden kann, zumeist nicht einmal die E-Mail-Adresse angegeben wird. Und auch bei zwar registrierten, aber nicht eingeloggten Nutzer*innen besteht eine ähnliche Rechtsunsicherheit.
Weitere Erinnerungs-E-Mails
Solche Themen sind auch nicht ganz neu und im weitesten Sinne vergleichbar mit Funktionen wie die automatische „Kundenzufriedenheitsumfrage“ per E-Mail nach erfolgreicher Bestellung/Auslieferung oder aber die E-Mail zur Erinnerung an den noch nicht abgeschlossenen Registrierungsprozess auf einer Webseite, wenn beispielsweise schon die E-Mail-Adresse angegeben worden ist, aber eine Registrierung noch nicht vollzogen, respektive abgeschlossen wurde.
Wie auch bei dem Warenkorb-Abbruch stellt sich bei dem Abbruch der Registrierung eines Kontos auf einer Webseite die Frage, ob und wie lange diese personenbezogenen Daten überhaupt noch verarbeitet werden dürfen. So könnte diese Datenverarbeitung mangels Rechtsgrundlage nach der DSGVO ggfs. sogar für unzulässig erachtet werden, so dann wären diese Daten auch nach dem Grundcharakter des Datenschutzrechts zu löschen.
Unter anderem hatte sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Tätigkeitsbericht 2019 mit der datenschutzrechtlichen Frage der Verarbeitung der bereits angegebenen personenbezogenen Daten bei Registrierungsabbruch befasst und hierzu festgestellt:
Empfohlen wurden verschiedene Schaltflächen in der Registrierung („Abbrechen und Daten löschen“ und „Daten speichern, um Registrierung später fortzusetzen“), um dem konkreten Wunsch der Nutzer*innen nachzukommen und deutlich zu regeln, wie die weitere Datenverarbeitung auszugestalten ist. Aber viele Fälle, wie den technischen Fehler bzw. Abbruch der Internetverbindung lassen sich auf diese Weise auch nicht lösen, so dass derartige Funktionen nur teilweise wirksam wären. Zudem ist es fraglich, ob eine solche Mehrauswahl den Verbraucherschutz tatsächlich verbessert.
Fazit
Es sind sicherlich vielfältige technische Lösungen auf Webseiten möglich, die auf Basis eines Kontos mit LogIn Bereich automatische E-Mails zur Erinnerung und Reaktivierung realisieren könnten. Gleichwohl bedarf es für die E-Mails zum Warenkorb-Abbruch, der Kundenzufriedenheitsumfrage oder Erinnerung an die noch nicht abgeschlossene Registrierung in nahezu allen Fällen der vorherigen, ausdrücklichen und informierten Zustimmung, die beweissicher zu dokumentieren ist. In einem User-Panel mit vorheriger Registrierung könnten solche Funktionen per Checkbox aktiviert werden. Theoretisch denkbar wäre auch über den Cookie-Banner unter Angabe einer E-Mail-Adresse mit aktiver Zustimmung und Double-OptIn Prozess vor der Nutzung des Webshops mit Hinweis auf die Datenschutzerklärung ein solches Feature anzubieten.
Risikobehaftet wäre es, derartige Aktionen auf den Ausnahmecharakter von § 7 Abs. 3 UWG zu stützen und im berechtigen Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu verarbeiten.
Es bleiben in jedem Fall datenschutzrechtliche und insbesondere wettbewerbsrechtliche Risiken, die das Unternehmen (der Händler) zu tragen hat.