DSK-Beschluss zu Gastzugang und Kundenkonto: Viele Onlineshops verstoßen im Checkout gegen DSGVO

DSK-Beschluss zu Gastzugang und Kundenkonto: Viele Onlineshops verstoßen im Checkout gegen DSGVO

Viele Händler bieten noch immer keinen Gastzugang als Alternative zur Einrichtung eines Kundenkontos an. Dabei war der Beschluss der Datenschutzkonferenz vor sechs Monaten eindeutig: Vor dem Hintergrund der DSGVO muss so gut wie jeder Onlineshop seinen Kunden die Möglichkeit einräumen, ihre persönlichen Daten nur für die Abwicklung eines einzigen Kaufvorgangs einzugeben. Und auch für den Umgang mit personenbezogenen Daten in Kundenkonten hat die DSK klare Vorgaben definiert, die noch immer längst nicht jeder Shopbetreiber im Checkout umgesetzt hat.

Der DSK-Beschluss zum Datenschutz für Kundenkonten und Gastzugänge

Am 2. März hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) einen Beschluss zur Datenminimierung im Onlinehandel gefasst, der am 26. April 2022 veröffentlicht wurde. Darin wurden für Händler klare Vorgaben für die Verarbeitung von personenbezogenen Daten in Kundenkonten und bei der Abwicklung von Transaktionen über Gastzugänge festgehalten. Da die Argumentation der DSK sich sehr eng an der Datenschutzgrundverordnung (DSGVO) der Europäischen Union orientiert, ist zu betonen: Es handelt sich bei diesem Beschluss nicht um unverbindliche Empfehlungen oder Best Practices für den Checkout. Auf die darin vorgetragene Auslegung europaweit geltenden Rechts werden auch Gerichte als Leitfaden bei der Urteilsfindung zurückgreifen. Gerade im Hinblick auf die Option „Als Gast bestellen“ dürfen Shopbetreiber dieses Thema nicht auf die leichte Schulter nehmen, um Abmahnungen und rechtlichen Auseinandersetzungen vorzubeugen.

Gastzugang für (so gut wie) jeden Shop Pflicht

In ihrem Beschluss stellt die Datenschutzkonferenz eine weitreichende Pflicht zum Anbieten eines Gastzugangs für Onlinehändler fest:

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Händler dürfen also nicht frei darüber entscheiden, ob sie ihren Kunden die Möglichkeit, als Gast zu bestellen, einräumen wollen, oder nicht. Sie sind laut DSK-Beschluss vielmehr dazu verpflichtet, Gastbestellungen zu ermöglichen, so dass die Kunden frei entscheiden können, ob sie ein dauerhaft geführtes Kundenkonto einrichten möchten, oder lieber nicht. Begründet wird das mit dem in der DSGVO verankerten Grundsatz der „Datenminimierung“ oder auch „Datensparsamkeit“ und den Vorgaben für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten: Laut DSGVO Artikel 5, Absatz 1, Buchstabe c gilt: Personenbezogene Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Gebot der Datenminimierung

Das heißt für diesen Fall konkret: Wenn jemand etwas in einem Onlineshop bestellt, darf der Shopbetreiber dazu nur diejenigen personenbezogenen Daten erheben und speichern, die für die Abwicklung des Kaufs nötig sind. Das sind neben Name und E-Mail-Adresse die Rechnungs- und eventuell eine abweichende Lieferadresse. Wenn für ein Kundenkonto darüber hinaus keine weiteren personenbezogenen Daten wie das Geburtsdatum, sondern lediglich ein Passwort benötigt wird, ist das mit dem Grundsatz der Datenminimierung zwar noch vereinbar. Aber im Hinblick auf die Rechtmäßigkeit der Verarbeitung der Daten wird es problematisch. Denn nach DSGVO Artikel 6, Absatz 1, Buchstabe b ist die nur dann gegeben, wenn gilt: „[D]ie Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen“.

Grundsatz der Freiwilligkeit

Das wiederum bedeutet: Die Daten in Form eines dauerhaften Kundenkontos zu speichern, ist nur dann zulässig, wenn das für die Abwicklung des Vertrags zwingend notwendig ist – was nur in seltenen Ausnahmefällen zutrifft – oder wenn der Kunde das ausdrücklich wünscht. Die DSK formuliert das so: „Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf“. Wenn aber die Einrichtung eines Kundenkontos die einzige angebotene Möglichkeit ist, um in den Checkout zu gelangen, kann er sich in Ermangelung von Alternativen nicht freiwillig für ein Kundenkonto entscheiden. Die DSK schreibt dazu:

Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.

Damit Nutzer frei entscheiden können, ob sie ein Kundenkonto einrichten möchten, muss es dazu eine Alternative wie „Als Gast bestellen“ geben.

Gastzugang als vollwertige Alternative zum Kundenkonto mit hohem Datenschutzniveau

Der Gastzugang muss insofern eine „gleichwertige“ Alternative sein, als auch dafür ein angemessenes Datenschutzniveau gewährleistet werden und der Aufwand für diesen Bestellweg mit dem über ein festes Kundenkonto vergleichbar sein muss. Wichtiger Unterschied zum dauerhaft eingerichteten Kundenkonto sind die abweichenden Fristen für das Löschen beziehungsweise Sperren der für die Kaufabwicklung gespeicherten Daten. Im DSK-Beschluss heißt es dazu:

Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Welche Ausnahmen von der Gastzugangs-Pflicht gibt es?

Wenn die DSK schreibt, dass Shopbetreiber „grundsätzlich einen Gastzugang“ bereitstellen müssen, heißt das: So verhält es sich üblicherweise, es gibt aber auch Ausnahmen. Die Kriterien für solche Ausnahmen sind aber denkbar eng definiert. Von der Verpflichtung, einen Gastzugang anzubieten, sind Händler nur dann entbunden, wenn bei ihnen im Shop für jede denkbare Bestellung „ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann“. Das heißt: Nur wer ausschließlich Abo-Produkte verkauft, die mit einer dauerhaften Kundenbeziehung einhergehen oder als reiner B2B-Händler ausnahmslos laufende Kundenbeziehungen pflegt und die Daten etwa für kundenindividuelle Preise dauerhaft vorhalten muss, kann die Einrichtung eines Kundenkontos als einzigen Weg zur Kasse anbieten. Alle anderen – also wirklich so gut wie alle Onlineshops – müssen einen „gastfreundlichen“ Checkout bereitstellen.

Kundenkonto: Informierte Einwilligung für Werbemaßnahmen

Auch in Bezug auf den Umgang mit personenbezogenen Daten, die in Kundenkonten gespeichert sind, hat die Datenschutzkonferenz in ihrem Beschluss wichtige Punkte festgehalten. Wer das Hinterlegen von Zahlungsinformationen wie Kreditkartendaten für spätere Bestellungen ermöglicht oder Kundendaten zu werblichen Zwecken weiterverarbeiten möchte, muss dabei sehr umsichtig agieren:

Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.

Auch wer der Einrichtung eines dauerhaften Kundenkontos (freiwillig) zugestimmt hat, hat damit noch nicht automatisch sein OK für die Verwendung seiner Daten zu Werbezwecken gegeben. Sollten entsprechende Maßnahmen vorgesehen sein, muss also vorab auch hierüber transparent informiert und eine entsprechende Einwilligung eingeholt werden.

Kundenkonto: Informierte Einwilligung für Hinterlegen von Zahlungsinformationen

Im Hinblick auf hinterlegte Zahlungsinformationen stellt die DSK fest: „Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten“ und verweist in diesem Zusammenhang auf die „Empfehlungen 02/2021 zur Rechtsgrundlage für die Speicherung von Kreditkartendaten ausschließlich zum Zweck der Erleichterung weiterer Online-Transaktionen“ des Europäischen Datenschutzausschusses vom 19. Mai 2021, in denen es heißt:

Die Speicherung von Kreditkartendaten im Anschluss an eine Transaktion zur Erleichterung weiterer Käufe kann weder für die Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1 Buchstabe c DSGVO) noch zum Schutz lebenswichtiger Interessen einer natürlichen Person (Artikel 6 Absatz 1 Buchstabe d DSGVO) als notwendig angesehen werden.

Kunden müssen also auch für oder gegen das dauerhafte Hinterlegen ihrer Kreditkarteninformationen nach der ersten Bestellung eine freiwillige und informierte Entscheidung treffen können. Dass sie sich für die Einrichtung eines Kundenkontos entschieden haben, reicht als Rechtsgrundlage für die Speicherung noch nicht aus.

Allgemeine Informationspflicht zur Verarbeitung personenbezogener Daten im Checkout

Der letzte Punkt im DSK-Beschluss betrifft sowohl Kundenkonten als auch Gastzugänge:

Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.

Ob sie ein Kundenkonto einrichten oder als Gast bestellen, „sind die Kund*innen in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren“. Das ist im Licht der DSGVO nicht überraschend – aber aus datenschutzrechtlicher Sicht ein sehr wichtiger Punkt. Wer einen Onlineshop betreibt, muss an allen relevanten Stellen im Checkout die Datenschutzerklärung mit einem einzigen Klick erreichbar machen und darin transparent und verständlich darüber informieren, welche Daten bei einer Bestellung in welcher Weise zu welchem Zweck verarbeitet werden.

Können wir Sie unterstützen?

Sollten Sie Beratung und Unterstützung für die Einrichtung eines Gastzugangs in Ihrem Onlineshop benötigen, sprechen Sie uns einfach an. Wir begleiten Sie auf dem Weg zum gastfreundlichen Checkout.

Jetzt Kontakt aufnehmen!

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.