Datenschutzkonferenz: Onlinehändler müssen Kunden Gastzugang anbieten

Die Datenschutzkonferenz (kurz: DSK) als Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder veröffentlichte am 24.03.2022 neue Vorgaben für Onlinehändler (https://datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf). Unter anderem müssen Onlinehändler ihren Kunden grundsätzlich einen Gastzugang für die Bestellung bereitstellen.

Rechtsgrundlage für den Beschluss der DSK

Der Beschluss der DSK basiert auf dem Rechtsgedanken von Art. 5 Abs. 1 lit. c DSGVO. Danach müssen personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der „Datenminimierung“).
Dieser Grundsatz gilt für alle Bereiche, die dem Datenschutz unterliegen und somit auch im Onlinehandel. Der Online-Händler darf also nur solche Daten erheben, die für die Abwicklung der zwischen Ihm und dem Kunden getroffenen Vereinbarungen und Verträge erforderlich sind.
Je nach Einzelfall hängt die Zulässigkeit der Verarbeitung der personenbezogenen Daten also davon ab, ob Kunden einmalig einen Vertrag abschließen wollen (einmalige Bestellung) oder eine dauerhafte Geschäftsbeziehung (Abo-Verträge, Kundenkonto) anstreben.
Der Kunde muss daher nach Ansicht des Gerichts frei entscheiden können, ob sie er seine personenbezogenen Daten (Name, E-Mail, Anschrift, Liefer- und Rechnungsadresse) für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchte oder ob der Kunde bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.

Onlinehändler müssen Gastzugang für Kunden bereitstellen

Die DSK formuliert in ihrem Beschluss, dass:
„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, […] ihren Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen [müssen].“
Im Onlinehandel ist das zeitlich unbegrenzte derzeit bei vielen Unternehmen noch der Standard.
Unter der Vergabe von Zugangsdaten können Kunden dort ihre Daten ändern oder anpassen, aktuelle Bestellungen überprüfen oder Retouren einrichten. Bei einer erneuten Bestellung bei demselben Händler müssen die Kunden kein neues Konto einrichten, sondern können direkt das bestehende Konto nutzen. Im Gegenzug kann der Onlinehändler dann - je nach datenschutzrechtlicher Grundlage - auf Basis der Bestellhistorie des Kunden und weiterer ggf. aggregierter Daten gezieltere Produktwerbung einblenden.
Gemäß Art. 6 Abs.1 Satz 1 lit. b DSGVO istdie Verarbeitung der personenbezogenen Daten nur zulässig, wenn die Daten für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kunden für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf.
Für die Einrichtung eines fortlaufenden Kundenkontos ist einebewusste Willenserklärung der Kunden erforderlich. Für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, muss der Händler nach Ansicht der DSK daher grundsätzlich ein Gastzugang zur Verfügung stellen.
Der Gastzugang ist dadurch gekennzeichnet, dass der Kunde keine dauerhaften Anmeldedaten (Benutzername und Kennwort) zur Bestellung hinterlegen muss
Der Verantwortliche muss Daten, die nach Vertragserfüllung nicht mehr benötigt werden gemäß Art. 17 Abs. 1 lit. a DSGVO löschen. Muss der Verantwortliche die Daten im Rahmen gesetzlicher Aufbewahrungspflichten weiterverarbeiten, so muss er technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit gibt es keine Gewährleistung der Freiwilligkeit einer Einwilligung

Die Einrichtung eines fortlaufenden Kundenkontos ist nur mit der ausdrücklichen Einwilligung des Nutzers möglich, dass seine Daten auch für zukünftige Bestellvorgänge gespeichert werden sollen, bzw. durch die bewusste Registrierung des Nutzers auf der Seite des Online-Händlers.
Für die Fälle, in denen ein Kundenkonto im Rahmen der Bestellung angelegt werden soll, empfiehlt sich die explizite Einwilligung des Nutzers im Hinblick auf die Anlage. Diese muss vom Kunden auch bewusst und informiert vorgenommen werden.
Aufgrund des Kopplungsverbotes in Art. 7 Abs. 4 DSGVO darf die Einwilligung nicht zwingend notwendig sein, um den Vertrag mit dem Online-Händler abzuschließen.
Der Online-Händler muss daher eine gleichwertige Alternative schaffen, damit der Kunde bestellen kann. Dies wird durch das Gastkonto gewährleistet.

Transparente Verarbeitung

Verantwortliche müssen bei der Einrichtung des Gastzugangs und bei der Einrichtung des fortlaufenden Kundenkontos ihre Informationspflichten bei erstmaliger Datenerhebung erfüllen. Die Einrichtung des fortlaufenden Kundenkontos im Wege einer Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO setzt zusätzlich voraus, dass diese in informierter Weise erfolgt. Bei der Einwilligung gem. Art. 7 DSGVO und bei einer für die Vertragserfüllung erforderlichen Datenverarbeitung sind die Kunden in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren.

Co-Autor: Wissenschaftlicher Mitarbeiter – Ref. jur. Philipp Schmelz

Bildquelle:Bild von Schluesseldienst auf Pixabay