Online-Bankrotteur darf keine Kundendaten verkaufen

Hehre Ziele verfolgte der Pleite gegangene Internet-Spielzeugladen Toysmart mit seiner Privacy-Politik: "Ihre persönlichen Daten werden wir niemals an eine dritte Partei weiterreichen", versprach die Firma, mehrheitlich im Besitz des Mediengiganten Disney. Daran muss sich Toysmart nun auch halten.

Ende Mai verfolgten die Kunden des Online-Spielzeughändlers entsetzt eine Anzeigenkampagne im Wall Street Journal. Dort bot Toysmart offenbar seine künftige Konkursmasse feil. Neben Inventar und Büromaterial gab es auch "immaterielle Güter, wie zum Beispiel Namen, Datenbankinhalte, Kundenlisten, Marketingpläne und Website-Content" zu erwerben. Den Verkauf der Kundendaten hat die US-amerikanische Federal Trade Commission (FTC) nun aber verboten – außer, der Online-Laden hält einige Bedingungen ein. In der Vereinbarung, die die FTC veröffentlichte, heißt es, die Kundendaten dürften nicht alleine verkauft werden, sondern nur im Rahmen eines Gesamtpakets, das unter anderem den gesamten Web-Auftritt von Toysmart enthält.

Zudem muss sich der Käufer als qualified buyer ausweisen – dies konkretisiert die FTC dahingehend, dass die Firma, die Kundendaten und Website von Toysmart übernimmt, in einer vergleichbaren Branche tätig sein muss. Außerdem muss der neue Besitzer explizit zustimmen, die Verpflichtungen von Toysmart gegenüber seinen ehemaligen Kunden zu übernehmen, und zudem die Bestimmungen in der Privacy Policy von Toysmart einhalten. Falls er an dieser Erklärung zum Schutz der Privatsphäre von Kunden Änderungen vornehmen will, hat er bestimmte Verfahren einzuhalten: So darf er Änderungen an dem Umgang mit den Kundendaten nur nach Bekanntgabe gegenüber den Shoppern realisieren, und auch nur dann, wenn diese explizit zustimmen (Opt-In).

Dieses Vorgehen soll von einem Gericht überwacht werden, bei dem Toysmart eine Bankruptcy Order hinterlegen muss. Kommt dieses Gericht zur Ansicht, der beabsichtigte Verkauf der Kundendaten entspreche nicht den von der FTC vorgesehenen Restriktionen, hat Toysmart alle Kundendaten zu löschen. Die Festlegungen der FTC wurden bekannt, kurz nachdem 39 US-Staaten eine Klage bei einem Bundesgericht eingereicht hatten, die dem Online-Shop den Verkauf der Kundendaten verbieten sollte.

Toysmart ist darüber hinaus der erste Online-Händler, der wegen Verstößen gegen das Gesetz zum Schutz der Privatsphäre von Kindern im Internet (Children's Online Privacy Protection Act, COPPA) belangt wird. Dieses Gesetz untersagt es Internet-Anbietern, Daten von Kindern und Jugendlichen – Informationen also, die gerade für Online-Spielzeughändler von hohem Interesse sind – ohne ausdrückliche Einwilligung der Eltern zu sammeln . Toysmart muss nun alle Daten löschen, die die Firma unter Verletzung von COPPA gewonnen hat.

Ob die FTC auch gegen andere Dot.Com-Bankrotteure vorgehen will, die versuchen, ihre Kundendaten zu verkaufen, ließ die amerikanische Behörde zunächst offen. Immerhin ist die Entscheidung gegen den Händler Toysmart, der besonders dreist vorging, das erste Verfahren in dieser Richtung. Zwar hat sich beispielsweise auch Fashionmall.com nach der Übernahme des bankrotten Online-Modehändlers Boo.com deren Kundenstamm und alle zugehörigen Nutzerdaten einverleibt, dies ist im Zuge eines Aufkaufs aber nicht wirklich ungewöhnlich – diese Übernahme würde zudem ziemlich genau den Auflagen der FTC für Toysmart entsprechen.

Der Vorfall macht jedenfalls klar, dass sichere Transaktionen, Verschlüsselungsstandards und Privacy-Versprechen nicht darüber hinwegtäuschen können, wie unsicher Personendaten im Internet aufgehoben sind. Wenn die Dot.Coms wie im Moment unter enormen finanziellen Druck stehen oder gar nichts mehr zu verlieren haben, dürften alle Versprechen, die Privatsphäre der Kunden zu schützen, die Festplatten nicht wert sein, auf denen sie gespeichert sind. Bleibt zu hoffen, dass auch die Gerichte und Aufsichtsbehören in Europa ein wachsames Auge auf bankrotte oder unter finanziellen Druck geratene Internet-Firmen haben. (jk)