Der Trend zu sogenannten „Secret Packs“ oder „Mystery Boxen“ ist in Deutschland seit dem vergangenen Jahr unübersehbar. Käufer hoffen auf besondere Schnäppchen und Überraschungen, während Händler und Automatenbetreiber neue Umsatzmöglichkeiten erschließen. Doch hinter der Faszination des Überraschungskaufs verbirgt sich ein datenschutzrechtliches Problem. Retourenpakete, die noch personenbezogene Informationen der ursprünglichen Adressaten enthalten, können beim Weiterverkauf in fremde Hände gelangen. Die Landesbeauftragte für den Datenschutz in Sachsen-Anhalt (LDSB) klärt deshalb in einer Pressemitteilung vom 15.08.2025 über die Datenschutzrisiken beim Weiterverkauf von Retourenpaketen auf.
Weiterlesen: LDSB: Datenschutzrisiken beim Weiterverkauf von RetourenpaketenWas sind „Secret Packs“ und „Mystery Boxen“?
Bei „Secret Packs“ oder „Mystery Boxen“ handelt es sich um Retouren, die als Pakete von Händlern oder Zwischenhändlern weiterverkauft werden. Käufer wissen vor dem Erwerb nicht genau, welche Artikel enthalten sind. Der Reiz liegt also im Überraschungseffekt und der möglichen wertvollen Retoure, die man für einen Schnäppchenpreis erhält. Solche Retourenpakete können über verschiedene Kanäle erworben werden. Häufig werden sie von spezialisierten Händlern, Online-Plattformen oder automatisierten Verkaufsstellen, , etwa in Form von Automaten, angeboten. Teilweise lassen sich die Pakete auch über Auktions- oder B2B-Plattformen erwerben, auf denen Händler überschüssige Ware oder Retouren bündeln und weiterverkaufen.
Datenschutzrechtliche Relevanz von Retourenpakete
Retourenpakete enthalten laut der LDSB oft mehr als bloß die zurückgesandten Waren. Lieferscheine, Rechnungen oder Verpackungsaufdrucke können Namen, Anschriften, E-Mail-Adressen und Telefonnummern preisgeben. Zudem könne in Kombination mit dem Inhalt der Pakete, insbesondere bei Kleidung, Elektronik oder Produkten aus dem Erotikbereich, noch detailliertere Rückschlüsse auf persönliche Vorlieben, Lebensgewohnheiten oder sogar intime Details gezogen werden. Diese Daten können laut der LDSB beim Weiterverkauf an Dritte gelangen, die keinerlei Berechtigung zum Zugriff haben.
Praktische Mängel bei der Datenanonymisierung
Die LDSB habe von entsprechenden datenschutzrechtlich relevanten Fällen Kenntnis erlangt und eine Prüfung gestartet. Die Landesbeauftragte, Maria Christina Rost, hat laut ihrer Pressemitteilung festgestellt, dass die Endkundenverkäufer Retourenpakete häufig mit Stiften, Aufklebern oder Stempeln anonymisieren. Sie selbst würden die Pakete mit den vollständigen personenbezogenen Informationen erhalten. In der Praxis erweise sich diese Maßnahmen jedoch als unzureichend. Stempel würden verblassen, Aufkleber könne man rückstandsfrei entfernen und durch Beleuchtung könne man geschwärzte Daten wieder sichtbar machen. Selbst im Inneren der Pakete würden oft personenbezogene Informationen erhalten bleiben, die den ursprünglichen Empfänger zugeordnet werden können.
Verantwortung entlang der Lieferkette
Die Datenschutzproblematik beginne nicht erst beim Händler oder Automatenbetreiber, sondern bereits beim ursprünglichen Verkäufer. Laut Erkenntnissen der Landesbeauftragten würden die meisten Retourenpakete aus einem großen Versandzentrum außerhalb Sachsen-Anhalts stammen. Dort würden sie über Zwischenhändler weitergegeben, ohne dass der Datenschutz konsequent umgesetzt wird. Frau Rost betont, dass die Verantwortung nicht an das „kleinste Glied“ der Handelskette abgegeben werden darf. Bereits beim ersten Versand müsse sichergestellt sein, dass personenbezogene Daten entfernt oder unkenntlich gemacht werden. Insofern hat sie nun die zuständige Landesdatenschutzbehörde eingeschaltet.
Fazit
Die LDSB weist auf ein nicht zu unterschätzendes Datenschutzrisiken beim Weiterverkauf von Retourenpaketen hin. Namen, Kontaktdaten und persönliche Informationen dürfen nicht unkontrolliert in fremde Hände geraten. Wichtig ist hier, bereits bestehende Schutzpflichten konsequent umzusetzen. Das gilt von den Versandzentren über Zwischenhändler bis zu den Betreibern von Verkaufsautomaten.
Dabei ist zu beachten, dass nur weil die LDSB darauf hinweist, dass bereits die großen Versandzentren schon die Datenschutzpflichten umsetzen müssen, dies nicht von den Pflichten der letzten Unternehmen in der Handelskette entbindet. Unabhängig von den Vorgaben für große Versandzentren müssen auch diese stets kontrollieren und im Zweifel dafür sorgen, dass beim Verkauf an den Endkunden keine personenbezogenen Daten in oder auf den Retourenpaketen mehr vorhanden sind.
