Besonders in der Weihnachtszeit boomt der Onlinehandel, allerdings auch dessen Schattenseiten: Neben den zumeist unangemessenen Arbeitsbedingungen in der Logistik und im Versand, ist auch das Thema der Ressourcenverschwendung, insbesondere die Rücksendungen und die zum Teil anschließende Entsorgung von Retouren, ein großer Kritikpunkt. Am häufigsten sind davon – fast schon logischerweise – Bekleidung und Schuhe betroffen, da es hier auf die Passform ankommt. Laut Statista machten im Jahr 2023 diese beiden Warenbereiche allein über 50 % aller Retouren aus.
Ausgangslage
Der europäische Gesetzgeber hat mit dem Entwurf zu der überarbeiteten Ökodesign-Verordnung (ehemals Richtlinie), welche ein flächendeckendes Verbot der Vernichtung von unverkaufter Bekleidung in der EU vorsieht, einen ambitionierten und gleichzeitig begrüßenswerten Ansatz gewählt. Doch man könnte schon einen Schritt vorher ansetzen, indem man die Anzahl der Retouren (schätzungsweise jede sechste Bestellung) reduziert! Denn oftmals werden Bekleidung und Schuhe einfach nur retourniert, weil diese schlichtweg nicht passen.
3-D-Avatare als Win-Win-Win-Lösung?
Helfen könnte dabei die Verwendung eines 3-D-Avatars von sich selbst oder der Person, die man beschenken möchte, wodurch sich ein Kleidungsstück quasi virtuell anziehen und ausprobieren lässt. Einige Onlinehändler bieten bereits an, solche 3-D-Avatare zu erstellen. Neben einer nachhaltigeren Entwicklung dürften sowohl die Händler (weniger Kosten durch Retouren) als auch die Verbraucher*innen (weniger Ärger durch nicht passende Kleidungsstücke) hiervon profitieren. Für die Erstellung eines maßgeschneiderten bzw. detailgetreuen Avatars müssen sodann auch personenbezogene Daten erfasst werden. Dabei gilt es selbstverständlich einiges zu berücksichtigen – sowohl seitens der Onlinehändler als auch der Verbraucher*innen.
Datenverarbeitung bei Erstellung eines persönlichen Avatars
Die Erstellung eines Avatars kann über die Eingabe der Körpermaße (wie Größe, Beinlänge, Gewicht, Brustumfang, Taillenumfang usw.) auf der Website des Händlers oder durch einen Ganzkörperscan, welcher von entsprechenden 3-D-Scannern in Bekleidungsgeschäften vorgenommen wird, erfolgen.
Fraglich ist, ob bei der Erstellung eines Avatars auch besondere Kategorien personenbezogener Daten verarbeitet werden. Körpermaße sind dann als besondere Kategorien von Daten (Art. 9 DSGVO) einzustufen, wenn sie bereits Aussagen über den Gesundheitszustand und die körperlichen Leistungsdaten der betroffenen Person treffen. Dies dürfte bei einem maßgetreuen Avatar anzunehmen sein, da die Daten zu den Körpermaßen auf die Leistungsfähigkeit schließen lassen und körperliche Einschränkungen jeglicher Art dadurch erkennbar sind.
Auch lässt sich ein Scan auf einzelne Körperbereiche reduzieren, wodurch sogar biometrische Daten verarbeitet werden, wie z. B. die Iris beim Brillenkauf oder die Gesichtsgeometrie beim Kauf einer Kopfbedeckung. Da hier die Gefahr eines digitalen Identitätsdiebstahls besteht, sind diese Verarbeitungen besonders schützenswert.
Einwilligung als einzig mögliche Rechtsgrundlage?
Die Rechtsgrundlage einer Datenverarbeitung für die Erstellung eines 3-D-Avatars wäre dabei wie folgt zu bestimmen: Auch für den Fall, dass keine Gesundheitsdaten verarbeitet werden, dürfte die Verarbeitung für die Erfüllung eines Kaufvertrags lediglich vorteilhaft und nicht erforderlich sein, da im Onlinehandel weitere Hilfsmittel zur Verfügung stehen wie die Kleidergröße und Größenhinweise aufgrund von Kundenfeedback (z. B. „Bestellen Sie eine Größe kleiner“ oder „Der Artikel fällt größer aus“), Fotos des Kleidungsstückes am Model und ggf. kurze Videosequenzen vom Model mit der Kleidung in Bewegung sowie Kommentare und Bewertungen von Kunden. Die Erforderlichkeit der Datenverarbeitung zur Wahrung des berechtigten Interesses der Händler (Ressourceneffizienz durch Vermeidung von Retouren) wäre auch gegenüber dem Interesse der Verbraucher*innen abzuwägen. Auch wenn sich die bisherigen Pilotprojekte zur Erstellung von Avataren großer Beliebtheit unter Verbraucher*innen erfreuen, so ist der Grad der Intimität der Datenverarbeitung risikobehaftet. Sobald dann konkret Gesundheitsdaten (z. B. Beinlängendifferenz) verarbeitet werden, kann sich ein Händler sowieso nicht mehr auf ein berechtigtes Interesse stützen. Hier verbleibt eine ausdrückliche und widerrufbare Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a, Art. 7 i. V. m. Art. 9 Abs. 2 lit. a DSGVO als einzig mögliche Rechtsgrundlage für die Datenverarbeitung.
Datenschutzrechtlich risikobehaftet könnte deshalb die Erstellung eines 3-D-Avatars für eine andere Person, die man bspw. zum Weihnachtsfest mit einem perfekt sitzenden Kleidungsstück (z. B. ein maßgeschneidertes Hemd) überraschen möchte. Hier müsste man sich also zwingend zwischen einer datenschutzrechtlichen Einwilligung und der Überraschungsabsicht entscheiden. Auch wenn auf den ersten Blick keine direkte Zuordnung der Daten zu einer natürlichen Person möglich scheint, so ist eine indirekte Zuordnung sehr wahrscheinlich, sobald bspw. ein gemeinsamer Haushalt geführt wird, der Händler-Account mit einem Social-Media-Account verknüpft wurde oder bei der Nutzung eines gemeinsamen Internetzugangs oder Nachnamens. Es fehlt dann an einer ausdrücklichen Einwilligung nach der DSGVO und es läge mutmaßlich ein erheblicher Verstoß gegen selbige vor.
Weitere Verarbeitungszwecke und Risiken
Für Onlinehändler stellen die personenbezogenen Daten eines 3-D-Avatars auch ein perfektes Instrument dar, um die Verbraucher*innen mit individuell zugeschnittener Werbung zu bespielen. Hierbei sind die strengen Anforderungen des Datenschutzes und des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten. Aufgrund der besonderen Kategorien wäre ebenso eine Einwilligung als Rechtsgrundlage heranzuziehen und die Zulässigkeit der Werbung darf für ausschließlich „ähnliche“ Bekleidung verwendet werden, trotz Speicherung der Daten auf „Vorrat“. Allerdings muss dabei noch beachtet werden, dass betroffene Personen die Möglichkeit haben müssen ihre Körpermaße regelmäßig zu aktualisieren. Eine Gewährleistung des Grundsatzes der Datenrichtigkeit liegt dennoch in der Verantwortung des Onlinehändlers, sodass dieser entsprechende Aktualisierungsmöglichkeiten (neuen Scan oder Anpassung über Eingabemaske) anbieten muss.
Auch andere mögliche Verarbeitungszwecke, wie eine digitale Mode-Typ-Beratung oder ein „selbständig“ agierender Avatar durch eine Verknüpfung mit Künstlicher Intelligenz (KI), bedürfen einer weiteren ausführlichen datenschutzrechtlichen Betrachtung.
Technische und organisatorische Anforderungen und Risiken
Die Erstellung des 3-D-Avatars kann als eigene „Hauslösung“ angeboten oder von einem Dienstleister (Auftragsverarbeiter) vorgenommen werden. Hierbei ist die Sicherheit der Daten nach Art. 32 DSGVO zu gewährleisten. Besondere Anforderungen dürften dabei für den Nachweis der Einwilligung und die Umsetzung des Widerrufs der Einwilligung gelten. Sollte der Avatar über Eingaben auf der Website erstellt worden sein, stellt sich die Frage, wie gewährleistet werden kann, dass die einwilligende Person einen Avatar für sich selbst erstellt hat. Hier besteht ein hohes datenschutzrechtliches Risikopotenzial, wenn ein Avatar für eine dritte Person erstellt wird. Eine angemessene Verifizierung und ein eindeutiges Verbot von „Dritt-Avataren“ in den Nutzungsbestimmungen wären als Abhilfemaßnahmen in Betracht zu ziehen.
Auch eine Pseudonymisierung, also die Erforderlichkeit einer Hinzuziehung zusätzlicher Informationen, um eine Verknüpfung zwischen einem Nutzerkonto und dem Avatar zu erstellen, erscheint dabei als angemessenes Mittel zur Sicherung der Daten.
Fazit
Da sowohl Onlinehändler (weniger Retouren) als auch Verbraucher*innen (weniger Ärger durch unpassende Kleidungsstücke) von der Nutzung eines 3-D-Avatars beim Onlineshopping profitieren dürften, kann das Angebot als potenzielle Win-Win-Win-Lösung bezeichnet werden. Weil dieses aber i. d. R. mit einer Verarbeitung von intimen und sensiblen personenbezogenen Daten einhergeht und nur durch eine Einwilligung der betroffenen Person rechtmäßig sein dürfte, ist besondere datenschutzrechtliche Vorsicht geboten. Ein nachhaltigerer Onlinehandel und zufriedene Verbraucher*innen sind nicht ohne angemessenen Datenschutz möglich!