Unter welchen Umständen darf ein Schriftverkehr nach einem Kaufvertrag an einen Dritten herausgegeben werden? Mit dieser Frage befasste sich die Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland (LfDI Saarland) in ihrem aktuellen Tätigkeitsbericht 2022 (ab S. 99). Dabei untersuchte sie – anlässlich der Beschwerde des Betroffenen – einen Fall, bei dem dessen Korrespondenz mit einem Onlineshop-Betreiber an eine andere Person übermittelt worden war.
Worum ging es?
Der Betroffene hatte online ein Fahrrad erworben, das sich aus seiner Sicht als mängelbehaftet erwies. Nachdem der Betreiber des Online-Shops keine Retoure ermöglichen wollte, beschloss der Betroffene, das Rad weiterzuverkaufen, ohne dem neuen Käufer von den festgestellten Mängeln zu erzählen. Als dem Käufer des Fahrrads ebenfalls Mängel an dem Rad auffielen, wandte er sich mit der Rechnung inklusive Kundennummer, die er vom Betroffenen erhalten hatte, an den Shop-Betreiber. Der Shop-Betreiber stellte dem neuen Käufer wiederum die gesamte hinsichtlich der Mängel bestehende Korrespondenz mit dem Betroffenen zur Verfügung, woraufhin der neue Käufer den Betroffenen mit diesen Informationen konfrontierte. Der Betroffene beschwerte sich daraufhin wiederum bei der Aufsichtsbehörde und bat um eine datenschutzrechtliche Prüfung der Herausgabe des Schriftverkehrs durch den Shop-Betreiber.
Stellungnahme des Shop-Betreibers
Der Betreiber des Online-Shops teilte der Aufsichtsbehörde nach deren Einschreiten mit, dass die Kundenummer – die dem Käufer aufgrund der ihm vorliegenden Rechnung bekannt war – bereits ausreiche, um eine Anfrage zu getätigten Käufen zu stellen. Dies habe dazu geführt, dass dem neuen Käufer die Korrespondenz mit dem Betroffenen ohne weitere Identitätsprüfung übermittelt worden sei.
Hinweise der Aufsichtsbehörde
Die Aufsichtsbehörde gab einen Hinweis, wonach der Shop-Betreiber dieses Vorgehen änderte und zukünftig zusätzlich auch einen Abgleich der E-Mail-Adressen aus Anfragen mit dem jeweiligen Kundenkonto vornehmen wird.
Auf diese Weise sollte also sichergestellt werden, dass die Kommunikation und somit auch die personenbezogenen Daten lediglich an die Person verschickt werden, die zuvor unter der entsprechenden E-Mail-Adresse den Kaufvertrag abschloss – und keine anderen Personen vorherige Schriftwechsel und vertragsrelevante Daten erhalten können.
Hätte die Übermittlung zulässig sein können?
Gleichwohl führte die LfDI Saarland in ihrem Tätigkeitsbericht aus, dass unter Umständen jedoch auch die Übermittlung des Schriftverkehrs an den Dritten hätte zulässig sein können, wenn die Datenverarbeitung im Rahmen der Zweckänderung nach Art. 6 Abs. 4 DSGVO auf die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt worden wäre. Dieses wäre anzunehmen gewesen, wenn die Übermittlung der personenbezogenen Daten zum Zweck der Geltendmachung von Rechtsansprüchen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgt. In diesem Fall hätte der neue Käufer möglicherweise zivilrechtliche Ansprüche gegenüber dem Verkäufer geltend machen können, da dieser ihn über den Sachmangel am Fahrrad getäuscht hatte. Und um dieses zu beweisen, wäre es laut LfDI Saarland möglich gewesen, den Schriftverkehr mit dem Onlineshop mit dieser Begründung zulässig anzufordern.
Fazit
Der im aktuellen Tätigkeitsbericht geschilderte Fall beinhaltet reichlich Brisanz, da eine Herausgabe von personenbezogenen Daten bzw. eines Schriftverkehrs an einen Dritten aus datenschutzrechtlicher Sicht grundsätzlich verhindert werden sollte. Hierdurch könnte unter Umständen eine gem. Art. 33 Abs. 1 DSGVO meldepflichtige und ggf. auch gegenüber der betroffenen Person gem. Art. 34 Abs. 1 DSGVO benachrichtigungspflichtige Datenschutzverletzung begründet werden, wenn diese Unterlagen beispielsweise auch Kontodaten und Adressdaten beinhalten. Es sind entsprechend angemessene Schutzvorkehrungen (TOMs) zu treffen. Die alleinige Abfrage einer Kundennummer reicht daher nicht aus.
Andererseits nimmt hier die Aufsichtsbehörde Saarland überraschenderweise indirekt eine Rechtsgrundlage für diese Herausgabe der Daten an den neuen Käufer des Fahrrads als unbeteiligten Dritten an, so dass hier mit dem legitimen Wissen zum Vorgang (z. B. durch Erhalt der Rechnung vom ursprünglichen Käufer mit der Bestell- oder Kundennummer) und einem legitimen Zweck (Geltendmachung von Rechtsansprüchen) eine Übermittlung dieser Daten zulässig wäre, wenn der neue Käufer dieses berechtigtes Interesse bekundet hätte.
Im Hinblick auf die bestehende Informationspflicht gegenüber der betroffenen Person (gemäß Art. 13 Abs. 3 DSGVO) äußerte sich die Behörde dabei nicht. Gleichwohl sollte zudem aus dem Grundsatz der Datenminimierung geprüft werden, ob der Schriftwechsel und weitere Dokumente nicht derart zu anonymisieren/schwärzen gewesen wären, dass keine weiteren Informationen zur Person herausgegeben werden. Hierauf geht die Aufsichtsbehörde jedoch ebenfalls nicht ein. Verantwortlichen ist jedoch anzuraten, derartige Maßnahmen vor einer Herausgabe zu prüfen.