Datenschutzkonferenz: Onlinehändler müssen Kunden Gastzugang anbieten

privacy policy g585c47a1a 640Die Datenschutzkonferenz (kurz: DSK) als Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder veröffentlichte am 24.03.2022 neue Vorgaben für Onlinehändler (https://datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf). Unter anderem müssen Onlinehändler ihren Kunden grundsätzlich einen Gastzugang für die Bestellung bereitstellen.

Rechtsgrundlage für den Beschluss der DSK

Der Beschluss der DSK basiert auf dem Rechtsgedanken von Art. 5 Abs. 1 lit. c DSGVO. Danach müssen personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der „Datenminimierung“).
Dieser Grundsatz gilt für alle Bereiche, die dem Datenschutz unterliegen und somit auch im Onlinehandel. Der Online-Händler darf also nur solche Daten erheben, die für die Abwicklung der zwischen Ihm und dem Kunden getroffenen Vereinbarungen und Verträge erforderlich sind.
Je nach Einzelfall hängt die Zulässigkeit der Verarbeitung der personenbezogenen Daten also davon ab, ob Kunden einmalig einen Vertrag abschließen wollen (einmalige Bestellung) oder eine dauerhafte Geschäftsbeziehung (Abo-Verträge, Kundenkonto) anstreben.
Der Kunde muss daher nach Ansicht des Gerichts frei entscheiden können, ob sie er seine personenbezogenen Daten (Name, E-Mail, Anschrift, Liefer- und Rechnungsadresse) für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchte oder ob der Kunde bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.

Onlinehändler müssen Gastzugang für Kunden bereitstellen

Die DSK formuliert in ihrem Beschluss, dass:
„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, […] ihren Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen [müssen].“
Im Onlinehandel ist das zeitlich unbegrenzte derzeit bei vielen Unternehmen noch der Standard.
Unter der Vergabe von Zugangsdaten können Kunden dort ihre Daten ändern oder anpassen, aktuelle Bestellungen überprüfen oder Retouren einrichten. Bei einer erneuten Bestellung bei demselben Händler müssen die Kunden kein neues Konto einrichten, sondern können direkt das bestehende Konto nutzen. Im Gegenzug kann der Onlinehändler dann - je nach datenschutzrechtlicher Grundlage - auf Basis der Bestellhistorie des Kunden und weiterer ggf. aggregierter Daten gezieltere Produktwerbung einblenden.
Gemäß Art. 6 Abs.1 Satz 1 lit. b DSGVO istdie Verarbeitung der personenbezogenen Daten nur zulässig, wenn die Daten für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kunden für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf.
Für die Einrichtung eines fortlaufenden Kundenkontos ist einebewusste Willenserklärung der Kunden erforderlich. Für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, muss der Händler nach Ansicht der DSK daher grundsätzlich ein Gastzugang zur Verfügung stellen.
Der Gastzugang ist dadurch gekennzeichnet, dass der Kunde keine dauerhaften Anmeldedaten (Benutzername und Kennwort) zur Bestellung hinterlegen muss
Der Verantwortliche muss Daten, die nach Vertragserfüllung nicht mehr benötigt werden gemäß Art. 17 Abs. 1 lit. a DSGVO löschen. Muss der Verantwortliche die Daten im Rahmen gesetzlicher Aufbewahrungspflichten weiterverarbeiten, so muss er technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit gibt es keine Gewährleistung der Freiwilligkeit einer Einwilligung

Die Einrichtung eines fortlaufenden Kundenkontos ist nur mit der ausdrücklichen Einwilligung des Nutzers möglich, dass seine Daten auch für zukünftige Bestellvorgänge gespeichert werden sollen, bzw. durch die bewusste Registrierung des Nutzers auf der Seite des Online-Händlers.
Für die Fälle, in denen ein Kundenkonto im Rahmen der Bestellung angelegt werden soll, empfiehlt sich die explizite Einwilligung des Nutzers im Hinblick auf die Anlage. Diese muss vom Kunden auch bewusst und informiert vorgenommen werden.
Aufgrund des Kopplungsverbotes in Art. 7 Abs. 4 DSGVO darf die Einwilligung nicht zwingend notwendig sein, um den Vertrag mit dem Online-Händler abzuschließen.
Der Online-Händler muss daher eine gleichwertige Alternative schaffen, damit der Kunde bestellen kann. Dies wird durch das Gastkonto gewährleistet.

Transparente Verarbeitung

Verantwortliche müssen bei der Einrichtung des Gastzugangs und bei der Einrichtung des fortlaufenden Kundenkontos ihre Informationspflichten bei erstmaliger Datenerhebung erfüllen. Die Einrichtung des fortlaufenden Kundenkontos im Wege einer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO setzt zusätzlich voraus, dass diese in informierter Weise erfolgt. Bei der Einwilligung gem. Art. 7 DSGVO und bei einer für die Vertragserfüllung erforderlichen Datenverarbeitung sind die Kunden in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren.


Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz

Bildquelle:Bild von Schluesseldienst auf Pixabay

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Autoren-Info:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de