Datenschutz bei Bonitätsprüfungen im Onlinehandel

Zahlungsausfälle stellen für Onlinehändler ein erhebliches Risiko dar. Es ist daher verständlich, dass Händler im Onlinegeschäft überprüfen möchten, ob potenzielle Vertragspartner fähig und willig sind, die geschuldete Gegenleistung zu erbringen. Doch die EU-Datenschutz-Grundverordnung (DSGVO) erlaubt es Onlinehändlern nicht, einfach bei jedem Kauf eine Bonitätsprüfung des Kunden vorzunehmen.

Um welche Daten geht es bei Bonitätsprüfungen?

Wenn Unternehmen die Kreditwürdigkeit eines Verbrauchers prüfen, werden zahlreiche personenbezogene und wirtschaftliche Daten berücksichtigt. In der Regel gibt ein Unternehmen Vor- und Zuname, Geburtsdatum sowie Anschrift an die Auskunftei weiter. Anhand dieser Daten ist der jeweilige Kunde eindeutig identifizierbar.

In sogenannten Scoring-Verfahren wird nicht die persönliche Zahlungsmoral untersucht, sondern es werden allgemeine statistische Informationen zu Grunde gelegt. Händler greifen auf die bei den Auskunfteien gespeicherten Daten zurück (z.B. von Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften). So glaubt die Auskunftei die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung – errechnen zu können. Der Händler erhält dann die Bonitätsauskunft in Form eines Scoring-Wertes, anhand dessen er seine Entscheidung fällt.

Was ist an Bonitätsprüfungen zu kritisieren?

Auch wenn es im Interesse der Auskunftei liegt, Daten auf dem aktuellen Stand zu halten, können Auskunfteien Fehler unterlaufen oder sie kommen z. B. mit der Löschung von Einträgen nicht hinterher. So können beispielsweise bestimmte Daten veraltet sein, getilgte Kredite wurden noch nicht gelöscht oder unrechtmäßige Mahnbescheide werden aufgeführt.

Um dem zu begegnen, wurde eigens Art. 22 DSGVO geschaffen. Danach hat der Betroffene zumindest das Recht, nicht einer Entscheidung unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruht. Das Profiling darf daher nur als Entscheidungsgrundlage dienen. Die abschließende Entscheidung muss eine natürliche Person, etwa ein Mitarbeiter der Auskunftei oder des Zahlungsdienstleisters, und keine Maschine vornehmen.

Wann darf eine Bonitätsprüfung überhaupt nur vorgenommen werden?

Die Zulässigkeit einer vorgelagerten Bonitätsabfrage kann schwerlich durch eine Einwilligung zu Beginn des Zahlungssteuerungsprozesses erreicht werden, da dies dem Grundsatz der Freiwilligkeit zuwiderlaufen würde. Eine Einwilligung in den Allgemeinen Geschäftsbedingungen (AGB) genügt wegen der mangelnden Bestimmtheit und Transparenz wiederum nicht den zivilrechtlichen Anforderungen, da der Kunde eine Bonitätsprüfung nicht erwartet und ihn eine solche Regelung unangemessen benachteiligt.

Als möglicher Erlaubnistatbestand zur Rechtfertigung von Bonitätsprüfungen kommt demnach die Verarbeitung zur Wahrung der berechtigten Interessen des Onlinehändlers gem. Art. 6 Abs. 1 lit. f DSGVO in Betracht. Dem berechtigten Interesse liegt wiederum eine Interessenabwägung zugrunde, bei der die Interessen des Händlers mit denen des Betroffenen unter objektiven Gesichtspunkten abgewogen werden.

Allzu leichtfertig bejahen viele Onlinehändler ihr überwiegendes berechtigtes Interesse an einer Bonitätsprüfung. Es genügt jedoch nicht, dass sich ein Händler auf sein individuell erhöhtes Bedürfnis nach Sicherheit beruft. Das berechtigte Interesse liegt darin, tatsächlich bestehenden Zahlungsausfallrisiken vorzubeugen. Dann muss aber bereits feststehen, dass der Kunde eine der Zahlungsarten wünscht, die ein Zahlungsausfallrisiko begründen. Das heißt: Ein berechtigtes Interesse umfasst nicht, dass zunächst die Bonitätsabfrage gestartet wird, um anschließend auf diese gestützt eine Vorauswahl unter den Zahlungsarten zu treffen!

Wann bestehen Zahlungsausfallrisiken für den Onlinehändler?

Zahlungsausfallrisiken bestehen ausschließlich, wenn Onlinehändler in Vorleistung treten und durch die Warenübergabe an den Empfänger ein unzumutbarer Nachteil entstehen könnte. Nur im Falle dieses finanziellen Ausfallrisikos für den Händler überwiegt das berechtigte Interesse im Rahmen der Interessenabwägung.

Ein Beispiel ist der Kauf auf Rechnung. Hierbei versendet der Händler die Ware ohne die Zahlungsdaten vom Verbraucher zu erhalten, versendet die Ware also bereits vor Zahlung. Gleiches gilt, wenn die Parteien eine Ratenzahlung vereinbaren. Eine Bonitätsprüfung bei einer Zahlungsart mit kreditorischem Risiko ist gemäß Art. 6 Abs. 1 lit. f – dem berechtigten Interesse –  demnach zulässig.

Streng abzugrenzen davon ist die Auswahl von Zahlung per Vorkasse oder Nachnahme, Kreditkarte, Lastschriftverfahren und PayPal. Diese Zahlungsformen sind mit dem originären Barkauf gleichzusetzen und haben bargeldersetzenden Charakter. In allen Fällen erwirbt der Zahlungsempfänger einen abstrakten Anspruch auf Forderungsausgleich. Auch beim Lastschriftverfahren besteht nur das allgemeine Risiko der Rückbuchung, das immer besteht, auch wenn die Versendung der Ware dem Zahlungseingang nachfolgt. In diesen Fällen besteht für den Onlinehändler keine Erforderlichkeit eine Bonitätsprüfung vorzunehmen.

Welche Pflichten entstehen bei Bonitätsprüfungen im Onlinehandel?

Zu Beginn des Bestellprozesses muss der Onlinehändler auf verständliche Weise darüber aufklären, welche Zahlungswege ein Ausfallsrisiko bedeuten und deshalb Bonitätsabfragen erforderlich machen. Zu den Informationen gehören gem. Art. 13 DSGVO zum Beispiel die Nennung der Rechtsgrundlage und des berechtigten Interesses sowie der Adressat der Kundendaten und der Zweck der Verarbeitung.

Fazit: Es gibt keinen Freibrief für Bonitätsprüfungen

Es besteht grundsätzlich kein Anspruch auf Prüfung der Bonität von möglichen Vertragspartnern im Onlinehandel. Stattdessen muss eine informierte Einwilligung des Betroffenen eingeholt werden. Alternativ darf eine Bonitätsprüfung ohne Einwilligung nur dann durchgeführt werden, wenn der Onlinehändler durch den Vertragsschluss tatsächlich ein finanzielles Risiko eingeht, weil er in Vorleistung tritt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.