Die Datenschutzkonferenz (DSK) hat am 24.3.2022 einen Beschluss veröffentlicht, wonach Webshops Bestellungen über ein Gastkonto (also ohne Pflicht zum Anlegen eines Kunden-Accounts) anbieten müssen um datenschutzkonform unterwegs zu sein.
Die DSK führt hierbei 4 Punkte aus:
1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.
2. Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
3. Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
4. Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.
https://datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf
Die DSK ist der Auffassung, dass sich dies aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit c DSGVO ergeben würde. Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kund*innen einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen Kund*innen jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kund*innenkonto verbunden ist.
Alle Onlineshopbetreiber sollten daher ihre Shops prüfen, ob und inwieweit sie den Vorgaben der DSK entsprechen.
Wie ich schon immer auf meinen Vorträgen (zuletzt heute) ausführe: Kundenfreundlichkeit und Kundenzufriedenheit kennt die DSGVO nicht. Aber ich bin der Auffassung, dass die DSK hier irrt und es aus meiner Sicht möglich sein muss, das Kundenkonto als Vertragsbestandteil zu definieren und somit nach Art. 6 Abs. 1 lit. b DSGVO zu legitimieren.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530