Datenschutz: Zalando - Kein Grund zum Schreien

Das Recht auf Daten

Zuerst wollten wir anhand eines konkreten Beispiels wissen, welche Daten Zalando über seine Kunden speichert. Die Autorin dieses Artikels machte vom EU-weit geltenden Recht auf unentgeltliche Auskunft über die gespeicherten Kundendaten Gebrauch. Drei Tage nachdem die E-Mail samt Kopie des Reise­passes zur Identifikation an die vorgesehene Adresse geschickt worden war, lag der Brief mit der Auskunft in der Post.

Der Befund: ­Zalando speicherte in diesem Fall tatsächlich nur das Nötigste. Lediglich Bestellnummer, Zeitpunkt des Einkaufs, Name, Mail-, Rechnungs- und Versandadresse sowie die Höhe des Bestellwertes und die Zahlart waren im Datenblatt angeführt. Sofern man dem Onlinehändler Glauben schenken darf, hat er keine Angaben über die Bonität gespeichert, ebenso wenig Tiefendaten wie Alter, Familienstand, Hobbys oder bestimmte Vorlieben (etwa das Einkaufsverhalten betreffend).

Außerdem ­positiv anzumerken ist die Schnelligkeit. ­Während es beim Negativbeispiel Facebook monatelanger Geduld und Hartnäckigkeit ­bedarf, um an die Daten zu gelangen, war das Prozedere bei Zalando rasch und unkompliziert. Wer übrigens einem solchen Schreiben nicht glaubt, der hat die Möglichkeit, sich an die Österreichische Datenschutzbehörde zu wenden. Diese muss nach § 26 des Datenschutzgesetzes ein Verfahren einleiten.

AGB sind ok

Als Nächstes warfen wir einen Blick auf die AGB des Unternehmens. Die 13 A4-Seiten lange Datenschutzerklärung und Einwilligung zur Datennutzung ist geradezu mustergültig formuliert, wie der auf das Fachgebiet spezialisierte Rechtsanwalt Dr. Rainer Knyrim feststellt.

Einverständnis und Widerspruch

Nach den Erklärungen, welche Daten Zalando speichert und was die Firma mit ihnen unternimmt, ist stets eine Passage angebracht, in der dezidiert von einem Einverständnis die Rede ist: „Ich willige ein, dass Zalando die [...] Daten [...] verwendet, um [...].“ Darunter folgt in der Regel ein Absatz, der auf Möglichkeiten des Widerspruchs hinweist; man kann also bestimmte Ver­wendungs­arten der Daten unterbinden – beispiels­weise der Nutzung dieser Daten zu Werbezwecken (insbesondere für perso­nalisierte Werbung, Newsletter und Produktempfehlungen) widersprechen und die Weitergabe der Daten für die Marktforschung verweigern.

Ausschluss des Re-Targeting durch Cookie-Unterbindung

Außerdem wird nicht nur die Auskunft gegeben, dass eine Bonitätsprüfung des Kunden erfolgt, sondern auch, durch wen sie erfolgt. Hierzulande ist es die Firma CRIF GmbH. Ein ausführlicher Abschnitt klärt über die Verwendung von Cookies auf – darüber, wie langlebig sie sind und zu welchen Zwecken sie verwendet werden. Wobei auch erläutert wird, wie sich bestimmte Cookies in den Browser-Einstellungen blockieren lassen. Von Bedeutung ist das für all jene, die nicht mit Werbebannern für das immer gleiche Produkt bombardiert werden wollen, nachdem sie sich nach eben diesem im Netz ­erkundigt haben. Re-Targeting wird diese penetrante Form der Werbung in der Fachsprache genannt.

IP-Adresse nach Nutzung sofort gelöscht

Darüber hinaus fürs Mitprotokollieren zuständig sind die sogenannten Log-Dateien. Diese speichern Infos über die IP-Nummer (die „Adresse“ des Computers), den Zeitpunkt des Abrufes und den dafür verwendeten Browser. Den Zalando-AGB zufolge wird die IP-Adresse sofort nach Beendigung der Nutzung gelöscht. Ein wichtiger Punkt, zumal sich andernfalls ein Unternehmen jedes Smartphone, jedes Tablet und jeden PC merkt, mit dem sich der User einmal eingeloggt hat.

Facebook & Co mitlesen lassen

Ein wichtiger Datenschutzaspekt hat mit den sogenannten Social-Plug-ins zu tun. Dabei bauen Webseiten aller Art – seien es Onlinehändler, Onlinemedien oder der Internet­auftritt eines Fußballvereins – „Gefällt mir“-Buttons oder andere Verbindungen zu ­Social-Media-Seiten ein. Was viele nicht ­wissen: Besucht ein User eine Seite, auf der ein blaues Kästchen mit dem Daumen-hoch-Zeichen zu sehen ist, dann erhält Facebook die Information, dass er ebendort surft – auch wenn er zu dem Zeitpunkt nicht im sozialen Netzwerk angemeldet ist (er muss sich nur irgendwann einmal registriert haben). Damit können diese Firmen umfangreiche Surfprofile ihrer Nutzer erstellen.

Social-Media-Plug-ins: Zwei-Klick-Lösung

Eine datenschutzfreundlichere Variante in der Social-Plug-in-Welt ist die 2-Klick-Lösung, die auch bei Zalando zum Einsatz kommt. Dabei sind die eingebetteten Buttons von Facebook, Twitter & Co zunächst einmal deaktiviert. Erst wenn der Nutzer sie mit ­einem Klick aktiviert, stimmt er der Kom­munikation mit den Netzwerken zu und die Verbindung wird hergestellt. Mit einem zweiten Klick schließlich werden der Gefällt-mir-Button oder andere Möglich­keiten zum Teilen aktiviert.

Amazon nimmt’s weniger genau

Weniger konkret lesen sich demgegenüber die Datenschutzbestimmungen von Amazon. Im Abschnitt darüber, welche Informationen der Händler sammelt, wird angegeben, dass gelegentlich auch Informationen über den Kunden aus anderen Quellen genutzt werden, etwa von Versandhändlern oder Kreditauskunfteien. Anders als bei Zalando wird nicht näher darauf eingegangen, welche Firmen genau hier Bonitätsauskünfte erteilen. Außerdem erklärt Amazon, dass es die eindeutig dem Endgerät des Kunden ­zuordenbare Kennnummer speichert, ergo die IP-Adresse. Nicht angegeben wird indes, dass diese Nummer nach Beendigung der Nutzung wieder gelöscht wird – was bedeutet, dass Amazon sich theoretisch jedes ­Gerät merkt, mit dem sich der User einmal eingeloggt hat.

Wem gibt Amazon Kundendaten?

Zu vage sind auch jene Passagen formuliert, in denen Amazon erklärt, wem es die Kunden­daten weitergibt. Von „verbundenen Unter­nehmen“ und deren Tochtergesellschaften ist die Rede; ebenso von „unseren Partnerunternehmen“ – Unternehmen, die auf die Vorbeugung und Minimierung von Missbrauch und Kreditkartenbetrug spe­zialisiert sind. "Da der Kunde nicht erfährt, welche Unternehmen konkret gemeint sind, entspricht die Klausel nicht dem Trans­parenzgebot bei Zustimmungsklauseln und der Judikatur des österreichischen Obersten Gerichtshofes“, gibt Rainer Knyrim zu be­denken.

• Start-up: Zalando ist ein 2008 in Berlin gegründetes Start-up-Unternehmen, das mittlerweile zu den größten Online-Versendern Europas zählt.
• Schuhe: Verkauft wurden zunächst Schuhe, später kamen Kleidung und Accessoires dazu.
• Markt: Der Markt umfasst 15 Länder.
• Börse: Im Oktober letzten Jahres ging das Unternehmen an die Börse; zu den Anteilseignern zählen die schwedische Beteiligungs­gesellschaft Kinnevik, Rocket Internet, Anders Holch Povlsen (Modekette "Bestseller“) und der Tengelmann-Konzern.
• Irland: Im April kündigte Zalando an, den ersten Technologiestandort außerhalb Deutschlands in Irland zu eröffnen. Irland ist für die für Internetunternehmen niedrigen Steuern und – leider – auch für lockere Datenschutzbestimmungen bekannt.

Wer sich im Wunsch nach mehr Datenschutz nicht überhaupt von Amazon & Co abmelden möchte, der kann mit einigen Tricks möglichem Datenmissbrauch entgegenwirken:

• Cookies entfernen: Den Internetbrowser so konfigurieren, dass Cookies nach dem Schließen des Browsers gelöscht und Drittanbieter-Cookies überhaupt blockiert werden.
• Adblock und Ghostery installieren: Mit diesen Browsererweiterungen blockieren Sie einen Großteil der Werbung und verringern die Nachverfolgung Ihrer Internetaktivitäten.
• Keine Passwörter im Browser speichern: Löschen Sie bereits gespeicherte Passwörter und konfigurieren Sie Ihren Browser so, dass er immer nach dem Benutzernamen und dem Passwort fragt.
• Unterschiedliche Passwörter: Nicht für alle Websites dasselbe Kennwort verwenden.
• Registrierung: Immer nur das Allernötigste angeben.

• Datenhandel: Milliardengeschäft - Postprivates Zeitalter? (6/2018)

• Datenschutz: Persönliche Spuren beseitigen - Löschen allein ist zu wenig (10/2016)

• Datenschutz: Adresshandel - Für eine Handvoll Cent (1/2016)

• Datenschutz: Virenscanner - Wölfe im Schafspelz (11/2015)

• Datenschutz: Spotify - Abgehört (9/2015)

• Datenschutz: Booking.com - Datendeals unter der Decke (9/2015)

• Datenschutz: Runtastic - Der große Daten-Run (8/2015)

• Datenschutz: Freemail-Dienste - Mehr Komfort, mehr Werbung (7/2015)

• Datenschutz: PayPal - Mit Sicherheit indiskret (6/2015)

• Datenschutz: Zalando - Kein Grund zum Schreien (5/2015)

• Datenschutz: Mjam und die Telefonkeiler - Essen mit Folgen (4/2015)

• Datenschutz: WhatsApp - Chat mit Risiko (3/2015)

• Datenschutz: Amazon - Der unheimliche Riese (2/2015)

• Datenschutz: Facebook - Surfverhalten genau erforscht (1/2015)

• Datenschutz: Google - Einer liest mit (12/2014)

• Zalando: VKI klagt gesetzwidrige Klauseln - Wer „Lieferbar“ schreibt, muss liefern (12/2013)