Immer wieder stelle ich bei Gesprächen fest, dass das Thema Datenschutz bei vielen unbeliebt ist und für praxisfern gehalten wird. Dies hat mich zu der folgenden Blog-Reihe veranlasst.
Vielen Menschen ist gar nicht bewusst, wieviel Datenschutz in ihrem Alltag steckt, welche Risiken ohne das Datenschutzrecht bestünden und welche Vorteile die datenschutzrechtlichen Regelungen mit sich bringen. Ich möchte anhand von Fallbeispielen aus dem Alltag aufzeigen, wo uns Datenschutz überall begegnet und welchen Einfluss er auf unser Leben hat/haben kann. In diesem und den nächsten Beiträgen werden datenschutzrechtliche Aspekte und Berührungspunkte in den Alltagssituationen „Einkaufen, in der Arztpraxis, im Büro und in der Freizeit (Haushalt, Hobbies, Smartphonenutzung)“dargestellt.
Teil 1: Einkaufen
Beim Einkaufen – ob vor Ort oder digital – hinterlassen wir heutzutage fast immer Datenspuren. Kundenkarten, Online-Bestellungen, mobile Bezahlvorgänge oder personalisierte Rabattaktionen verarbeiten personenbezogene Daten in großem Umfang. Datenschutz sorgt hier für das nötige Gleichgewicht zwischen Komfort und Kontrolle.
Unternehmen dürfen aufgrund des datenschutzrechtlichen Prinzips der Zweckbindung Daten nur für den Zweck verwenden, für den sie erhoben wurden – etwa zur Kaufabwicklung oder zur Zustellung einer Bestellung. Eine Weitergabe an Dritte (z. B. für Werbenetzwerke oder Datenhändler) ist nur mit ausdrücklicher Einwilligung erlaubt. So bleibt der Einkauf ein Geschäft zwischen Kund*in und Anbieter, nicht zwischen Datensubjekt und globalem Analysekonzern.
Ohne Zweckbindung könnten Kundendaten bspw. an Versicherungen, Kreditgeber oder Werbenetzwerke verkauft werden. Eine Krankenkasse könnte so z. B. aus Einkaufsdaten auf ungesunde Lebensweisen schließen; eine Bank könnte sie zur Bonitätsbewertung nutzen, mit der Folge, dass Beiträge steigen oder Leistungen verweigert werden.
Aufgrund des Prinzips der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) dürfen Unternehmen nur die personenbezogenen Daten erheben und verarbeiten, die für den jeweiligen Zweck erforderlich sind – nicht mehr und nicht weniger.
Ohne Beachtung dieses Prinzips könnten bspw. etwaige Bezahldaten Rückschlüsse auf Lebensgewohnheiten erlauben – etwa wann jemand regelmäßig einkauft oder in welcher Region er sich aufhält. Wenn Händler oder Zahlungsdienstleister diese Informationen z. B. länger speichern als nötig, entsteht ein aussagekräftiges Bewegungsprofil.
Dank der DSGVO müssen Händler auch offenlegen, welche Daten sie erheben und zu welchem Zweck (Transparenzpflichten). Verbraucher*innen können selbst entscheiden, ob sie einer Analyse ihres Einkaufsverhaltens zustimmen oder lieber anonym bezahlen. Datenschutzrechtliche Transparenzpflichten und das Verbot automatisierter Entscheidungen ohne menschliche Überprüfung (Art. 22 DSGVO) sorgen dafür, dass algorithmische Diskriminierung nicht zur Normalität wird.
Ohne Datenschutzrecht, könnte z. B. ein Supermarkt/Onlinehandel über Kundenkarten, Smartphone-Bewegungsdaten und Zahlungsmittel ein detailliertes Profil erstellen – wann jemand einkauft, welche Produkte bevorzugt werden, ob Alkohol, Diätartikel oder Medikamente im Korb landen und diese Informationen dann zur gezielten Beeinflussung nutzen – etwa für Preisgestaltung oder psychologisch zugeschnittene Produktempfehlungen, die nicht auf Angebot und Nachfrage, sondern auf Schwächen und Lebenssituationen reagiert. Wer bspw. oft spätabends einkauft, könnte gezielt mit „Jetzt kaufen, nur noch 2 Stück verfügbar“ oder „Jetzt bestellen, bevor es ausverkauft ist“-Botschaften gedrängt werden. Eine Online-Fluggesellschaft könnte erkennen, dass über ein teures Smartphone gebucht wird und deshalb höhere Preise anzeigen („Dynamic Pricing“). Ein Online-Shop könnte feststellen, dass regelmäßig teure Marken gekauft werden und deshalb keine Rabatte mehr anbieten. Umgekehrt könnten Menschen in ärmeren Wohngebieten von bestimmten Angeboten ausgeschlossen werden, weil Algorithmen ihre „Kaufkraft“ als gering einstufen. Diese Praktiken – systematische Diskriminierung aufgrund sozioökonomischer oder geografischer Merkmale, nicht vorhersehbares oder manipulierendes Profiling und Zusammentragen von personenbezogenen Daten aus unterschiedlichen Quellen – ist, datenschutzrechtlich unzulässig. ACHTUNG: Dynamische Preisstrategien werden dann zulässig, wenn Nutzer bspw. sog. Tracking-Cookies zustimmen (Einwilligung über Cookie-Banner). Die auch als Third-Party-Cookies bezeichneten Webtracking– und Analysecookies geben unter anderem Einblick in Suchanfragen, Klickzahlen, Standorte, verwendete Endgeräte und Betriebssysteme. Zulässig ist die Preisgestaltung auch, wenn Preise nur aufgrund von Angebot und Nachfrage, Saisonalität oder Wettbewerb angepasst werden.
Datenschutzbewusst einkaufen – worauf Kund*innen achten sollten
Datenschutz beim Einkaufen bedeutet nicht, auf Komfort zu verzichten. Es geht darum, bewusst zu entscheiden, welche Daten man preisgibt – und wem man sie anvertraut.
Beim Onlinekauf sollten nur jene Felder ausgefüllt werden, die für den Kauf wirklich erforderlich sind – etwa Lieferadresse und E-Mail. Geburtsdatum, Telefonnummer oder Interessen sind meist freiwillig. Gute Anbieter kennzeichnen optionale Felder klar oder begründen, warum sie zusätzliche Angaben benötigen. Kundenkarten wirken harmlos, sind aber oft der größte Datensammler im Alltag. Wer sie nutzt, sollte sich informieren, welche Daten tatsächlich erfasst werden, ob Einkäufe dauerhaft gespeichert und mit anderen Daten (z. B. Online-Verhalten) verknüpft werden. Einwilligungen in personalisierte Werbung oder Analyse-Tools sollten nur erteilt werden, wenn der Zweck nachvollziehbar ist und die Einwilligung jederzeit widerrufen werden kann. Wenn Datenschutzhinweise unverständlich oder übermäßig allgemein sind („Wir nutzen Ihre Daten zur Verbesserung unseres Angebots“), ist das ein Warnsignal. Bei Nutzung von Einkaufs-oder Liefer-Apps sollte in den Geräteeinstellungen der Zugriff auf Standort, Kamera oder Kontaktdaten eingeschränkt werden. Weniger Zugriffsrechte bedeuten automatisch weniger Möglichkeiten zur Profilbildung. Um die Erstellung personalisierter Preise zu vermeiden, sollten Tracking Cookies abgelehnt und der Browserverlauf regelmäßig gelöscht werden.Wenn Preise oder Empfehlungen stark auf das eigene Verhalten zugeschnitten erscheinen, kann das auf Profiling oder algorithmische Preissteuerung hindeuten. Datenschutzrechte wie Auskunft und Widerspruch (Art. 15, 21 DSGVO) erlauben, zu hinterfragen, ob persönliche Daten dafür genutzt werden.
Fazit
Datenschutz sorgt dafür, dass Einkaufen heute nicht gleichbedeutend mit totaler Transparenz ist. Es verpflichtet Händler, offen zu legen, welche Informationen sie verarbeiten und schützt Verbraucher*innen vor der Weitergabe oder missbräuchlichen Verknüpfung ihrer Daten. Wer sparsam mit persönlichen Angaben umgeht, Einwilligungen hinterfragt und digitale Bequemlichkeit mit etwas Aufmerksamkeit kombiniert, bleibt Kunde – und wird nicht zum Datensatz. Ohne die datenschutzrechtlichen Regeln wäre personalisierte Preisgestaltung, algorithmische Diskriminierung oder manipulative Werbung längst Alltag.