Das Check24-Deutschland-Trikot: Harmloser Marketing-Coup oder datenschutzrechtlich heikel?

Check24, ein bekanntes Vergleichsportal, hatte zur Uefa-Fußball-EM eine großangelegte Marketing-Aktion gestartet, bei der Teilnehmer kostenlose Deutschlandtrikots erhalten konnten. Rund fünf Millionen Stück hat die Firma insgesamt nach eigenen Angaben verschickt.

Von manchen in den Sozialen Netzwerken dafür gelobt, auch einkommensschwächeren Menschen ein Gefühl der Zugehörigkeit zu vermitteln (das offizielle Deutschlandtrikot von Adidas kostet 100 Euro), ergibt sich für andere die Frage nach den wahren Kosten des Trikots. Denn was man nicht mit Geld bezahlt, bezahlt man häufig mit seinen Daten. Check24 hat geschätzt 100 Millionen Euro für diese Kampagne investiert. Wie geht das Portal mit der enormen Menge an Daten um, die sie damit gesammelt haben?

Das Datenleck von 2021

Warum sich diese Frage stellt, dafür braucht es einen Blick zurück ins Jahr 2021. Damals machten Check24 und andere Online-Marktplätze Schlagzeilen, weil einer ihrer Dienstleister gehackt wurde und so 700.000 Nutzerdaten seit 2018 offen lagen – zum Beispiel die vergangenen Bestellungen, ihre Anschriften und teilweise ihre Bankverbindungen. So offen, dass man sie theoretisch über eine Google-Suche hätte finden können. Auch pikant: Der IT-Experte, der damals auf die Sicherheitslücke aufmerksam machte, wurde vom Dienstleister angezeigt und im Januar dieses Jahres verurteilt.

Könnte es vor diesem Hintergrund also passieren, dass auch die persönlichen Daten der Trikot-Beschenkten irgendwo ungeschützt im Netz landen? Das haben wir den Rechtsanwalt Christian Solmecke gefragt. Er ist Experte für IT- und Medienrecht.

Solmecke sagt: Jede Datenübermittlung birgt erst einmal Risiken. Aber: Die Rechtslage in Deutschland bietet guten Schutz. Denn die sogenannte Datenschutz-Grundverordnung (DSGVO) sorgt dafür, dass eine Firma erhobene persönliche Daten nicht einfach weitergeben darf – selbst dann nicht, wenn man im Gegenzug ein schönes Stück Stoff geschenkt bekommt.

Solmecke stellt klar, es gebe keinen Grund für ein grundsätzliches Misstrauen gegenüber speziell der Firma Check24. Denn das Datenleck von 2021 sei nicht direkt auf einen Fehler bei der Firma zurückzuführen gewesen – sondern auf eine Sicherheitslücke bei deren Dienstleister Modern Solution. Check24 hat seitdem die Zusammenarbeit mit diesem Anbieter beendet und nach eigenen Angaben diese Schwachstelle im Datenschutz behoben.

Solmecke rät dennoch zur Vorsicht: Allgemein gelte, dass man immer nur so viel persönliche Daten angeben solle, wie zwingend erforderlich ist – und natürlich starke Passwörter verwenden.

Wir haben Check24 gefragt, welche Daten sie denn konkret im Gegenzug für die Trikots erhoben haben – und auch, was die Firma damit vorhat und wie sie den Datenschutz für solche persönlichen Angaben ihrer Nutzer seit dem Datenleck von 2021 verbessert hat. Check 24 hat uns diese Fragen aber alle nicht beantwortet. Der Pressesprecher verwies stattdessen lediglich auf ein Interview des Gründers. In diesem wurden die gestellten Fragen aber gar nicht besprochen.

Was, wenn man die Daten wieder löschen möchte?

Die Frage ist: Was, wenn man als Trikot-Beschenkter im Nachhinein nicht mehr möchte, dass die persönlichen Daten bei Check24 liegen? Grundsätzlich gilt: Nutzer können die Löschung ihrer personenbezogenen Daten beantragen. 

Die Verbraucherzentrale klärt hier über verschiedene Arten von personenbezogenen Daten auf und bietet verschiedenen Musterbriefe für den Widerspruch gegen deren Verwendung und deren Löschung an.

Wenn sich ein Minderjähriger ein Check24-Trikot bestellt hat, sieht es aber rechtlich anders aus: Hier greift Artikel 8 der DSGVO aufgrund des besonderen Schutzbedarfs von Kindern und Jugendlichen. Das heißt praktisch, dass der Anspruch auf Löschung der Daten deutlich schneller erfolgen muss.