In den letzten Jahren wurde es mehr und mehr zu einem Trend, dass der Besteller im Online-Shop zwingend ein Kundenkonto eröffnen muss, wenn er seine Bestellung platzieren will. Ab 25. Mai kann dies vom Besteller nicht mehr zwingend verlangt werden. Er muss auch als Gast bestellen können. Wir erklären Ihnen, warum.

Die Zusammenführung von Kundendaten in einem Kundenkonto ist eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung, die ab dem 25. Mai 2018 gilt.

Was heißt Datenverarbeitung?

Die DSGVO definiert in Art. 4 verschiedene Begriffe, darunter auch die „Verarbeitung“:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Das Anlegen eines Kundenkontos im Online-Shop ist ganz klar die Organisation oder auch das Ordnen von personenbezogenen Daten, außerdem auch die Speicherung von Daten.

Damit ist also klar, dass das Anlegen eines Kundenkontos eine Verarbeitung ist.

Rechtmäßigkeit der Verarbeitung

Nach Art. 6 der DSGVO ist eine Verarbeitung aber nur unter bestimmten Voraussetzungen zulässig. Diese Möglichkeiten sind in Art. 6 Abs. 1 DSGVO abschließend aufgeführt:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Prüft man nun durch, wann die Anlegung eines Kundenkontos zulässig ist, kommt man zu dem Ergebnis, dass ausschließlich Nummer 1 die Zulässigkeit sicherstellt. Das bedeutet also, ein Kundenkonto darf nur mit Einwilligung des Betroffenen angelegt werden.

Einwilligung und Kopplungsverbot

Der Besteller muss also z.B. im Rahmen des Bestellprozesses klar auf den Button „Kundenkonto anlegen“ (oder ähnlich eindeutig beschriftet) klicken, dann liegt die Einwilligung vor.

Nun ist eine solche Einwilligung aber an bestimmte Wirksamkeitsvoraussetzungen geknüpft, unter anderem gilt ab 25. Mai das sog. Kopplungsverbot.

Eine Einwilligung ist nämlich nur wirksam, wenn sie freiwillig erteilt wurde. Und den Aspekt der Freiwilligkeit beschreibt Art. 7 Abs. 4 DSGVO näher:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Eröffnung eines Kundenkontos erforderlich?

Es stellt sich also die Frage, ob für die Vertragserfüllung die Eröffnung eines Kundenkontos erforderlich ist.

Oder andersherum formuliert: Kann der Vertrag nicht erfüllt werden, wenn es kein Kundenkonto gibt?

Und hier lautet die Antwort eindeutig, dass das Anlegen eines Kundenkontos nicht zur Vertragserfüllung notwendig ist. So ein Kundenkonto mag zwar ganz Zweckmäßig sein, aber das allein reicht nicht, um die Erforderlichkeit zu bejahen.

Es mag (sehr, sehr wenige) Ausnahmefälle geben, also Shops, bei denen aufgrund der Ware oder angebotenen Dienstleistung etwas anderes gelten mag. Für den „normalen“ Online-Shop aber gilt: Der Kunde muss auch als Gast bestellen können, das Anlegen eines Kundenkontos darf keine zwingende Voraussetzung zur Abgabe einer Bestellung sein.

Fazit

Der 25. Mai rückt immer näher, alle Unternehmen müssen sich bis dahin auf das neue Datenschutzrecht eingestellt haben. Es sind viele kleine Punkte bei der Umsetzung zu beachten. Die Umsetzung der DSGVO im eigenen Shop bedeutet wesentlich mehr, als nur die Datenschutzerklärung zu aktualisieren. Sprechen Sie uns an, wir helfen Ihnen gerne bei der Umsetzung. (mr)

Bildnachweis: Bloomicon/shutterstock.com