Betreiber von Online-Webshops möchten oft eine Bonitätsprüfung ihrer Kunden durchführen, um sich vor Zahlungsausfällen zu schützen – aber ist dies nach Datenschutz-Recht zulässig? Knappe Antwort: Verdeckte Bonitätsprüfungen sind stets unzulässig. Eine Bonitätsprüfung nach Einwilligung des Käufers im Online-Webshop ist nach Datenschutz-Recht meist zulässig. In einigen Fällen ist die datenschutzrechtliche Einwilligung sogar garnicht nötig. Im Einzelnen:
Grundlagen zur Erhebung von Kundendaten im Online-Webshop nach Datenschutz-Recht
Das Bundesdatenschutzgesetz (BDSG) stellt in § 4 den Grundsatz auf, dass personenbezogene Daten, also z.B. Bestelldaten eines Kunden im Online-Webshop, grundsätzlich überhaupt nicht erhoben werden dürfen. Ausnahmen gelten dann, wenn der Kunde einwilligt oder ein gesetzlicher Erlaubnistatbestand die Datenverarbeitung gestattet. (Anmerkung: Dieses sog. „Verbotsprinzip mit Erlaubnisvorbehalt“ halten selbst viele Juristen für abstrus.)
Solche gesetzlichen Erlaubnisse für die Verarbeitung von Daten regelt z.B. § 28 Abs. 1 Satz 1 BDSG: Laut Nr. 1 dürfen solche Daten erhoben werden, die zur Abwicklung eines Vertrages notwendig sind. Also: Wenn ein Kunde im Webshop Waren bestellt, darf der Verkäufer Namen, Adress- und Rechnungsdaten speichern (muss er ja). Vor diesem Hintergrund ist auch die Bonitätsprüfung zu werten – da der Verkäufer die bestellte Ware auch liefern kann, wenn er Gefahr läuft, kein Geld vom Kunden zu erhalten, ist die Bonitätsprüfung nicht notwendig, um den Vertrag zu erfüllen. Aber es gibt weitere Erlaubnistatbestände – für diese sind die verschiedenen Bestellmöglichkeiten im Webshop zu unterscheiden:
Datenschutzrechtliche Zulässigkeit der Bonitätsprüfung bei Lieferung vor Zahlung der Ware
Wenn ein Webshop eine Bestellmöglichkeit anbietet, bei der die Ware versendet wird bevor der Kunde zahlt, wie z.B. auf Rechnung, so ist eine Bonitätsprüfung gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig. Denn der Verkäufer im Webshop hat ein berechtigtes Interesse daran zu wissen, ob er an einen solventen Kunden liefert. Allerdings ist zu beachten, dass dies nach Datenschutz-Recht nur zulässig ist, wenn der Kunde darüber informiert wird (§ 4 Abs. 3 BDSG), z.B. in den AGB des Webshop-Händlers. Daher kann festgehalten werden: Nach Datenschutz-Recht ist eine Bonitätsprüfung beim Webshop immer dann unzulässig, wenn sie verdeckt/geheim erfolgt.
Bonitätsprüfung bei Lieferung nach Zahlung der Ware
Wenn ein Kunde Bestellmöglichkeiten auswählen kann, bei denen er Vorkasse leisten muss, bevor ihm die Ware zugesendet wird, ist die Bonitätsprüfung unzulässig. Denn dann hat der Webshop-Betreiber kein unternehmerisches Risiko in Bezug auf die Zahlung.
Bonitätsprüfung bei automatischer Auswahl der Bezahlmöglichkeiten
Wenn in einem Webshop dem Kunden die Bezahlmöglichkeiten je nachdem vorgegeben werden, wie eine Bonitätsprüfung ausgefallen ist, er also anders als in den obigen Beispielen nicht die freie Wahl hat zwischen verschiedenen Bestellmöglichkeiten, kann ein Interesse des Webshop-Betreibers an der Bonitätsprüfung gegeben sein. Allerdings könnte er auch dem Kunden die Wahl lassen. Daher ist eine solche automatische Auswahl auf Basis einer Bonitätsprüfung dann zulässig, wenn der Kunde vorher eine Einwilligung erteilt hat. Die Anforderungen an eine Einwilligung sind jedoch streng, diese sollte durch einen fachkundigen Anwalt erfolgen. Denn wenn die Einwilligung unwirksam wäre, wären alle Bonitätsprüfungen unzulässig.
Fazit zur Zulässigkeit der Bonitätsprüfung beim Online-Webshop nach Datenschutz-Recht
Es gilt mal wieder der übliche Juristen-Spruch: „Es kommt darauf an“. Zu empfehlen ist folgendes Ausgestaltung des Webshops:
- Der Kunde sollte die freie Wahl haben, ob er per Vorkasse zahlen möchte.
- Für die Fälle, in denen auf Rechnung gezahlt wird, kann dann eine Bonitätsprüfung durchgeführt werden
- In diesem Fall reicht eine einfache Information aus, ohne dass eine Einwilligung des Kunden nötig ist.
Empfehlenswerter Link: Ausführungen des Berliner Datenschutzbeauftragten im Tätigkeitsbericht 2012 unter Punkt 13.1.4 (S. 133).