Ende März gab es einen spannenden Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (abgekürzt Datenschutzkonferenz bzw. DSK), der Aufschluss zum Thema „Bestellung mit einem Gastaccount beim Online-Shopping“ gibt. Bisher gab es nicht wenige Online-Shops, denen daran gelegen war, dass die Kunden im Rahmen ihrer Bestellung auch gleich ein Kundenkonto mit einrichten. In einem solchen Konto sind üblicherweise dieselben Angaben gespeichert, die auch bei einer Gastbestellung abgefragt werden (z.B. Name, Lieferanschrift, Rechnungsadresse, E-Mail-Adresse). Jedoch bringt ein Kundenkonto für den Shop-Betreiber die grundsätzliche Option mit sich, die Bestellhistorie eines Kunden zu hinterlegen und die Daten auf Vorrat zu speichern. Aus dieser lassen sich Rückschlüsse ziehen, wie z.B. aus welcher Kategorie der Kunde gerne Produkte kauft, zu welchem Zeitpunkt oder in welcher Frequenz er diese kauft. Eine solche Bestellhistorie kann folglich einfach zur Grundlage für eine Profilbildung und zielgerichtete Werbung sein. Unabhängig davon, dass für solche Maßnahmen natürlich rein rechtlich zunächst einmal die ausdrückliche Einwilligung eines Kunden in seine Ansprache zu Werbezwecken vorliegen muss, wollen sich viele Webseitenbetreiber diese Möglichkeiten nicht entgehen lassen. Unter anderem aus genau diesen Gründen haben viele Webshops ihren Kunden bisher gar keine Möglichkeit angeboten auch als Gast zu bestellen.
Die Datenschutzkonferenz hat nun zu diesem Vorgehen Stellung bezogen und es als unzulässig eingestuft. Onlineshops müssen nun grundsätzlich die Möglichkeit für einen Interessenten schaffen, auch ohne Kundenkonto Bestellungen tätigen zu können. Ebenso muss die „Bestellung als Gast“ in ihrer Art und Weise gleichwertig sein. Laut der Datenschutzkonferenz ist dies gegeben, „wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.“
Zum einen liegt dem DSK-Beschluss der Grundsatz der Datenminimierung gemäß Art. 5 DSGVO zugrunde. Dieser besagt, dass grundsätzlich nur Daten erhoben werden dürfen, die für eine Verarbeitung auch zwingend notwendig sind. Das Anlegen eines Kundenkontos ist definitiv keine erforderliche Datenverarbeitung, um den Kunden die Waren zukommen zu lassen. Jede Verarbeitung die nicht für die Vertragserfüllung erforderlich ist, benötigt wiederum eine Einwilligung vom Kunden. Eine Einwilligung zieht wiederum gewisse Anforderungen mit sich. Eine davon ist, dass diese freiwillig erteilt wurde. Würde der Online-Shop schlichtweg keine Gastbestellung anbieten, wäre der Kunde dazu „gezwungen“ sich ein Konto anzulegen, weil er sonst gar keine Bestellung tätigen könnte. Dies widerspricht natürlich grundsätzlich der Freiwilligkeit der Einwilligung, weswegen ein solches Vorgehen schon in der Natur ihrer Sache datenschutzrechtlich zweifelhaft ist und war.
Insbesondere dann, wenn ein Kunde wirklich bewusst nur einmal in einem bestimmten Shop bestellen möchte und kein Kundenkonto einrichten möchte, da er es schlichtweg in der Zukunft nicht nutzen möchte, darf er auf keinen Fall dazu gezwungen werden.
Aus all diesen Gründen (Grundsatz der Datenminimierung, Notwendigkeit einer Einwilligung bei der Erstellung eines Kundenkontos, Anforderungen an eine gültige Einwilligung (Freiwilligkeit), Notwendigkeit einer zusätzlichen Werbeeinwilligung, etc.) hat die Datenschutzkonferenz ausgegeben, dass in Zukunft immer die Möglichkeit einer Gastbestellung bestehen muss. Nachzulesen ist dieser Beschluss auch bei der DSK direkt (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang).
Quellenangaben:
- Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang, abgerufen am 12.05.2022 unter https://datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf