In den Fängen der Printus-Gruppe

Für viele Unternehmen ist der Handel mit den Adressen der Kunden schon lange ein florierendes Geschäft, und genauso lange ärgere ich mich auch schon darüber (was auch der Grund dafür ist, dass Adresshandel mit unseren eigenen Kundendaten nicht in Frage kommt).

In den positiven Fällen wird man im Verlauf einer Bestellung ausdrücklich gefragt, ob man damit einverstanden ist, dass die Daten auch an andere Unternehmen weitergegeben werden. Das ist ohne Frage die kundenfreundlichste Variante, insbesondere, wenn es hierbei um eine Checkbox geht, die nicht automatisch vorausgewählt wird.

Was aber ist, wenn das nicht der Fall war? Diese Frage stellte ich mir, nachdem ich letzte Woche überraschend einen anderthalb Zentimeter dicken Katalog von Printus ins Haus flatterte (sofern man bei diesem Umfang noch von „flattern“ sprechen kann), einen Tag darauf noch einer vom gleichen Kaliber von Büro Plus, und noch einige Tage später ein weiterer Wälzer von Office Discount. Insgesamt also rund 5 Zentimeter, die jetzt meinen Altpapiercontainer freuen. Auffällig ist, dass alle drei Kataloge praktisch die gleiche Dicke haben und auch eine vergleichbare Aufmachung. Auch ist das Anschriftenfeld jeweils in identischem Aufbau und identischer Qualität bedruckt; nur die ID-Nummern, die offensichtlich meinen Datensatz identifizieren, unterscheiden sich. Was wiederum identisch ist, ist die dreistellige Nummer in der rechten unteren Ecke, die, wie ich nun weiß, die Datenquelle angibt – in meinem Fall die Firma Tintenfux, bei der ich kürzlich Toner bestellt habe.

Ich muss Printus und Office Discount zugute halten, dass beide Unternehmen auf meine Anfrage nach der Herkunft meiner Daten zügig und vollumfänglich geantwortet haben. Der anfängliche Eindruck, dass die Unternehmen doch irgendwie zusammengehören müssen, bestätigte sich zumindest für diese beiden (Büro Plus hat bisher nicht geantwortet): Die Antwortschreiben beider Unternehmen, die mich darum bitten, noch die dreistellige Nummer aus dem Adressfeld mitzuteilen, sind bis aufs Wort identisch.

Spannend hierbei finde ich, wenn Unternehmen HTML-Mails erstellen und dabei ein wenig stümperhaft arbeiten. Ein im Text eingefügtes „www.office-discount.de“ wird nämlich offensichtlich automatisch zu einem Link – nur dass ein Link, dem die Protokollangabe http:// fehlt, nicht etwa den Host dieses Namens aufruft, sondern eine Datei dieses Namens, relativ zum aktuellen Verzeichnis. Und weil das Mailprogramm „schlau“ ist und weiß, dass beim Versand einer Mail das relative Verzeichnis unter die Räder käme … notiert es das mit im Link, der somit lautet:

file:///\\schmid.local\VOL1\daten\pr\ks\ZAB\Datenschutzformulierungen\www.office-discount.de

Und bei Printus ist es natürlich genauso falsch, und – Überraschung – bis ins vierte Unterverzeichnis völlig identisch:

file:///\\schmid.local\VOL1\daten\pr\ks\KrampfeS\www.printus.de

Etwas Recherche später ist auch klar: Printus, Office Discount und Büro Plus haben auch jeweils die selben Geschäftsführer, und auf Nachfrage bestätigte mir auch Office Discount, dass auch Tintenfux selbst zur Unternehmensgruppe gehört:

Ihre Anschrift haben wir von der Firma tintenfux erhalten. Die Firmen büroplus, Hamburg; office discount, Neufahrn; Printus, Offenburg und tintenfux, Offenburg gehören zu einer Unternehmensgruppe, sind jedoch rechtlich selbständige Unternehmen. Wir gingen davon aus, dass die Angebotspalette auch aus den Katalogen für Sie von Interesse sein könnte.

Sonderlich weit ist meine Adresse also nicht gereist.

Die Frage, die sich mir nun stellte, war: Dürfen die meine Daten weitergeben? Denn wie Office Discount selbst schreibt: Auch wenn alle Unternehmen die gleichen Geschäftsführer haben, so sind es ja dennoch unterschiedliche juristische Personen, deren Datenaustausch den Vorgaben des Bundesdatenschutzgesetzes genügen muss.

Wie so oft poltern in Foren genervte Werbeempfänger und kloppen sich mit Hobby-Anwälten, wobei sich das Niveau der Diskussion oft auf „Ich glaube“ und „Es gab da mal ein Urteil“ und „Mein Bekannter hat gesagt“ reduziert und das, was dann wirklich Klarheit bringen könnte, außen vor bleibt: Nämlich die Quelle. Deshalb bringe ich die jetzt. Erstmal den rohen Gesetzestext, § 28 Abs. 3a BDSG:

(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben.

(Was nun folgt, ist keine Rechtsberatung. Dazu wäre ich als Nicht-Jurist auch nicht befugt. Es ist vielmehr eine Auseinandersetzung mit einem Gesetzestext auf Basis gesunden Menschenverstands, nicht auf Basis juristischer Qualifikation.)

Zunächst einmal für mich ein wenig überraschend: Es ist durchaus legitim für ein Unternehmen, die Einwilligung in die Weitergabe von Adressen nicht explizit einholen zu müssen. Es scheint vielmehr ausreichend, in seinen Vertragsbedingungen zu vermerken, dass der Kunde mit Auftragserteilung auch in eine Adressweitergabe zu Werbezwecken einwilligt – zumindest sofern die Schriftform zum Einsatz kommt.

Etwas fraglich erschien mir die Definition der Schriftform: Sind AGB, die auf der Rückseite eines Papierformulars aufgedruckt sind, anders zu behandeln, als AGB, die sich – oft nur sehr versteckt – auf einer Website finden? Nun, offensichtlich ist das tatsächlich so. Der Gesetzestext unterscheidet hier nun mal ausdrücklich zwischen der Schriftform (für die die Vorgabe, die Einwilligung in eine Datenweitergabe deutlich hervorzuheben, wohl unzweifelhaft ist) und „anderen Formen“, wobei bei jenen anderen Formen die elektronische noch eine Sonderstellung einnimmt. Die Pflicht zur „schriftlichen Bestätigung des Inhalts der Einwilligung“ dürfte daher nach meinem Verständnis beispielsweise bei einer telefonischen Einwilligung zum Tragen kommen, wo es auch durchaus Sinn ergibt, weil eine telefonische Einwilligung anders kaum nachgewiesen werden könnte.

Die Anforderungen an eine elektronische Einwilligung sind dann aber dementsprechend erstaunlich gering: Sie muss protokolliert werden (kein Problem – ohne AGB-Bestätigung würde ja sowieso die ganze Bestellung nicht ausgeführt), der Inhalt muss abrufbar sein (kein Problem – AGB steht im Web), und der Einwilligung muss widersprochen werden können (kein Problem – einfach noch ein Feld in der Datenbank). Über eine gesonderte Hervorhebung ist hier nichts zu lesen.

Damit wird in dieser Frage aus meiner Sicht schwammiges Terrain betreten. Denn ich habe ja nun gerade keine Einwilligung in der Form „[X] Meine Daten dürfen weitergegeben“ erteilt, sondern lediglich „[X] Ich akzeptiere die AGB“ angeklickt. Für die Schriftform sieht der Gesetzestext einen ausdrücklichen Passus für den Fall vor, dass die Einwilligung nicht ausdrücklich im Bestellformular steht, sondern in den AGB „versteckt“ wird. Aus welchem Grund sollte das gleiche Prinzip bei AGB auf einer Website nicht gelten?

An diesem Punkt wird wohl nur ein Rechtsanwalt verbindlichere Informationen zur Auskunft geben können, wobei sich selbst juristisch ausgebildete Personen in meinem Bekanntenkreis in der Beurteilung nicht sicher sind. Es läge also durchaus im Bereich des Möglichen, dass der von mir durchgeführte Vorgang schon überhaupt nicht als eine Einwilligung im Sinne des Gesetzes betrachtet werden kann, denn die Einwilligung wurde mir ja sozusagen „untergeschoben“. In ähnlich gelagerten Fällen wie beispielsweise der Zusendung eines Newsletters wurde inzwischen oft genug geurteilt, dass die Einwilligung dazu eben gerade nicht in AGB untergebracht werden darf, sondern explizit angefragt werden muss, z.B. mit einer Checkbox – und diese Checkbox darf auch nicht automatisch vorausgewählt sein.

Wenn doch schon für die Zusendung eines eigenen Newsletters nach einer Bestellung recht hohe Hürden aufgestellt werden, so würde mich doch sehr wundern, wenn eine Weitergabe von Daten an andere viel geringere Hürden besitzt; handelt es sich hierbei doch um einen weitaus schwerwiegenderen Eingriff in meine Datenhoheit.

So oder so muss ich zumindest bei den Vorgaben zur Schriftform immer ein wenig schmunzeln: Offensichtlich geht der Gesetzgeber ganz pragmatisch davon aus, dass die meisten Leute die AGB ohnehin maximal kurz überfliegen. Andernfalls wäre mir nicht erklärbar, wieso einzelne Passagen von Gesetz wegen besonders hervorgehoben werden müssen.

Festzuhalten bleibt aber: Kundenfreundlich ist eine untergeschobene Einwilligung zur Weitergabe der Adressen in keinem Fall. Insofern habe ich wenig Verständnis dafür, wenn Tintenfux nun „bedauert“, dass ihr Vorgehen bei mir zu „Verärgerung“ geführt hat. Dass Kunden es typischerweise nicht wünschen, dass ihre Daten zum Zweck der Werbung weitergegeben werden, ist ja nun kein Geheimnis. Wäre Tintenfux und mit ihm die ganze Printus-Gruppe wirklich daran interessiert, Kunden nicht zu verärgern, müssten sie eben vielleicht einfach mal Zufriedenheit über Profit stellen.