Nach Art. 5 Abs. 1 c) DSGVO gilt der Grundsatz der Datenminimierung. Danach dürfen nur solche Daten erhoben werden, die für die Abwicklung des Geschäftes erforderlich sind. Für eine Bestellung ist es grundsätzlich nicht erforderlich, die Daten des Kunden dauerhaft in einem Kundenkonto zu speichern. Die Datenschutzkonferenz (DSK, Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat nun ihre Einschätzung zur Bereitstellung eines Gastzugangs veröffentlicht.

Die DSK geht davon aus, dass Kunden frei entscheiden können müssen, ob sie ihre Bestellung als Gast aufgeben oder ein Kundenkonto eröffnen möchten.

Grundsatz: Gastbestellung muss möglich sein

Die DSK geht in ihrem Beschluss davon aus, dass Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, ihren Kunden unabhängig davon, ob sie ihnen ein registriertes Kundenkonto zur Verfügung stellen, grundsätzlich einen Gastzugang für die Bestellung bereitstellen müssen. Der DSK ist bewusst, dass das Kundenkonto gängige Praxis ist. Es biete den Kunden einerseits eine vereinfachte Bestellmöglichkeit, andererseits ermögliche es dem Verantwortlichen auch eine Möglichkeit zur Profilbildung und für Werbezwecke.

Kund*innen können damit auf ein bei dem Verantwortlichen geführtes Kund*innenkonto selbst und aktiv zugreifen, um ggf. ihre Daten zu ändern oder Bestellungen zu prüfen. Fortlaufende Kund*innenkonten werden über den erstmaligen Geschäftsabschluss hinaus im Aktivdatenbestand gepflegt. Sie dienen den Kund*innen zur vereinfachten wiederkehrenden Bestellmöglichkeit ohne die nochmalige Eingabe aller personenbezogenen Daten. Darüber hinaus kann ein fortlaufendes Kund*innenkonto eine Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur Profilbildung und für Werbezwecke ermöglicht.

Für die Eröffnung eines Kundenkontos sei daher die Einwilligung des Kunden erforderlich. Für Kunden, die die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, müsse der Verantwortliche hingegen einen Gastzugang ermöglichen.

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung.

Grundsätze für Gastbestellung und Kundenkonto

Die DSK stellt auch noch einmal die datenschutzrechtlichen Grundsätze dar, die für die Gastbestellung gelten:

Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kund*innen erfasst werden. Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung). Ein Zugriff der Kund*innen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.

Falls ausnahmsweise die Erstellung eines Kundenkontos für die Erfüllung des Vertrags erforderlich sein sollte und keine Einwilligung erforderlich sei, müsse dieses bei Inaktivität nach einer kurzen Frist gelöscht werden.

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Ohne Gastbestellung keine Freiwilligkeit der Einwilligung

Die DSK geht davon aus, dass die fehlende Möglichkeit einer Gastbestellung oder einer gleichwertigen Bestellmöglichkeit der Freiwilligkeit der Einwilligung in die Eröffnung eines Kundenkontos entgegenstehe.

Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt, müssen die Kund*innen im Online-Shop auch die gleichen Angebote auf anderem gleichwertigen Wege als über das fortlaufende Kund*innenkonto bestellen können (vgl. Rn. 37 f. der Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 des Europäischen Datenschutzausschusses vom 04.05.2020). Gleichwertig ist eine Bestellmöglichkeit, wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.

Mögliche Auswertung des Kundenkontos zu Werbezwecken bedarf der Einwilligung

Zudem weist die DSK darauf hin, dass Auswertungen und Verarbeitungen der im Kundenkonto gespeicherten Daten, die über die bloße Einrichtung und Führung des Kundenkontos hinausgehen, der Einwilligung bedürfen.

Sollen in einem fortlaufenden Kund*innenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten, ggf. einschließlich der Vertragsdaten der Bestellungen, für Werbezwecke (Profiling der Kundenhistorien, Zusammenführung mit Daten aus anderen Quellen) ausgewertet und verarbeitet werden, sind darauf bezogen Einwilligungen der Kund*innen nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DS-GVO einzuholen. Da dies eine Verarbeitung ist, die über die bloße Einrichtung und Führung eines fortlaufenden Kund*innenkontos hinausgeht, ist diese nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kund*innenkontos abgedeckt. Da Kund*innen, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten. Siehe dazu die Empfehlungen des EDSA 02/2021 zur Rechtsgrundlage für die Speicherung von Kreditkartendaten ausschließlich zum Zweck der Erleichterung weiterer Online-Transaktionen.

Erfüllung der Informationspflichten

Auch erinnert die DSK an die Informationspflichten nach der DSGVO, die der Verantwortliche erfüllen muss – sowohl bei Eröffnung eines Kundenkontos als auch bei einer Gastbestellung.

Verantwortliche haben sowohl bei Einrichtung eines Gastzugangs als auch bei Einrichtung des fortlaufenden Kund*innenkontos ihre Informationspflichten bei erstmaliger Datenerhebung zu erfüllen. Die Einrichtung des fortlaufenden Kund*innenkontos im Wege einer Einwilligung nach Art. 6 Abs. 1 S. 1 Buchstabe a) DS-GVO setzt zusätzlich voraus, dass diese in informierter Weise erfolgt.

Sowohl für die Einwilligung gemäß Art. 7 DS-GVO, als auch bei einer für die Vertragserfüllung erforderlichen Datenverarbeitung sind die Kund*innen in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren (Art. 7 Abs. 2 und Art. 12 – 14 DS-GVO).

Fazit

Mit dem Beschluss hat die Datenschutzkonferenz für eine kontroverse Diskussion in der Fachwelt gesorgt. Dabei überwogen die negativen Reaktionen deutlich. „Juristisch kaum haltbar“ war noch die freundlichste Bewertung. Doch ganz so einfach ist es nicht. Zwar ist die Ansicht vertretbar, dass der Grundsatz der Datenminimierung nicht gegen ein verpflichtendes Kundenkonto spricht, da hierfür keine zusätzlichen personenbezogenen Daten benötigt werden – sieht man vom Passwort für das Kundenkonto einmal ab. Dadurch wird die Verarbeitung aber nicht automatisch zulässig. Da ein Kundenkonto objektiv betrachtet nicht für die Erfüllung des zwischen Online-Shop und Kunden geschlossenen Kaufvertrages erforderlich ist, wird für die zusätzliche Verarbeitung, selbst wenn hierfür dieselben personenbezogenen Daten verwendet werden, die zwingend für die Vertragserfüllung erhoben werden müssen, eine zusätzliche Rechtsgrundlage nach Art. 6 DSGVO benötigt. Hierfür kommen grundsätzlich drei infrage:

1. Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung wird von vielen als zweckmäßige Rechtsgrundlage erachtet, ist nach der hier vertretenen Auffassung für ein zwingend zu erstellendes Kundenkonto aber untauglich, da die Einwilligung in diesem Fall eher nicht freiwillig im Sinne des Art. 7 Abs. 4 DSGVO abgegeben werden würde. Schließlich ist sie für die Erfüllung des Kaufvertrages gerade nicht erforderlich. Wäre sie hierfür erforderlich, so bräuchte es keine Einwilligung, sondern die Verarbeitung ließe sich auf die Vertragserfüllung stützen. Dieses sogenannte Kopplungsverbot ist allerdings in der Fachwelt umstritten. Abgesehen davon sind mit der Einwilligung viele Stolpersteine verbunden. Im Falle einer unwirksamen Einwilligung, etwa bei Formfehlern, wäre die Verarbeitung nämlich rechtswidrig. Auch ist das jederzeitige Widerrufsrecht zu berücksichtigen, auf das die betroffene Person hinzuweisen ist. Empfehlenswert ist die Einwilligung daher nicht.

2. Die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Rechtsgrundlage der Vertragserfüllung scheidet nach hier vertretener Auffassung dann aus, wenn mit dem Käufer keine gesonderte Vereinbarung über die Erstellung und Bereitstellung eines Kundenkontos getroffen wird. Möchte man also vertraglich vereinbaren, dass ein Kundenkonto angelegt werden muss, um eine Bestellung zu tätigen, so müsste dies explizit in den AGB geregelt werden. Erfahrungsgemäß wird dies nicht immer gemacht. Wichtig dabei ist, dass Kündigungsfristen und eine automatische Deaktivierung nach Inaktivität geregelt werden. Ohne eine solche Regelung gerät man als Online-Shop nämlich in den Zielkonflikt, vertraglich einerseits das Kundenkonto bereitstellen zu müssen – und es daher nicht ohne Weiteres eigenständig löschen zu dürfen –, andererseits aus Datenschutzgründen nach einer angemessenen Frist eine Löschung herbeizuführen. Fraglich ist, ob eine Regelung in den AGB der Inhaltskontrolle standhalten würde, wenn man davon ausgeht, dass sie datenschutzrechtlichen Vorgaben widerspricht. Dies wäre jedenfalls dann der Fall, wenn man der Ansicht der DSK folgt, dass ein zwingendes Kundenkonto dem Grundsatz der Datenminimierung widerspricht. Keinesfalls sollte ein Kundenkonto erstellt werden, ohne dass der Kunde im Rahmen der Bestellung gesondert darüber informiert wird. Auch muss das gesetzliche 14-tägige Widerrufsrecht beachtet werden, das ein Kunde für diese zusätzliche Dienstleistung hat und über das er gemäß den gesetzlichen Vorgaben aufgeklärt werden muss. Davon ausgehend, dass die Erstellung eines Kundenkontos vom Online-Shop gefordert werden kann, so ist eine Regelung über die AGB somit grundsätzlich möglich. Es müssen jedoch die hier beschriebenen Hürden genommen werden.

3. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Eine andere Option ist die Rechtsgrundlage des berechtigten Interesses. Der Vorteil daran ist, dass keine Regelung in den AGB erforderlich ist. Vielmehr ist durch den Verantwortlichen in den Datenschutzhinweisen darzulegen, worin das berechtigte Interesse liegt, dass ein Kundenkonto anzulegen ist. Die Hürden für das berechtigte Interesse sind nicht hoch. Eine Begründung kann bereits darin liegen, den Geschäftsbetrieb einheitlich und effizient zu gestalten und das Kundenkonto dafür zu nutzen, dem Käufer Informationen und Kontaktmöglichkeiten zur Bestellung bereitzustellen. Sollte beispielsweise ein Käufer alle E-Mails zur Bestellung aus dem Posteingang gelöscht haben, bietet ein Kundenkonto gute Möglichkeiten, dem Kunden einen zusätzlichen Service zu bieten. Auch die Abwicklung von Rücksendungen und Gewährleistungsfällen lässt sich über ein Kundenkonto leichter und sicherer darstellen. Fraglich bleibt allerdings, ob tatsächlich eine Erforderlichkeit besteht, da der Online-Shop dies alles auch bei einem freiwilligen Kundenkonto anbieten könnte und diese Vorteile eher als vertragliche Leistung verstanden werden könnten, für die dann als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO zweckhaft wäre.

Im Rahmen der Interessenabwägung ist auch zu berücksichtigen, dass ein Kundenkonto ein Sicherheitsrisiko darstellen kann, da ein Login durch Dritte im Falle von Sicherheitslücken möglich wäre. Eine Interessenabwägung sollte stets gut dokumentiert sein, um bei Rückfragen der Aufsichtsbehörden angemessen reagieren zu können. Außerdem haben betroffene Personen ein Widerspruchsrecht hinsichtlich der Verarbeitung, wobei der Widerspruch durch die betroffene Person begründet werden muss. In der Praxis würde der Widerspruch ins Leere laufen, wenn eine Bestellung ohne Erstellung des Kundenkontos nicht möglich ist. Der Widerspruch hätte dann nämlich zur Konsequenz, dass eine Durchführung der Bestellung nicht möglich ist. Diese Folge führt nicht automatisch dazu, dass die Interessenabwägung negativ ausgeht, sie fällt aber zumindest negativ ins Gewicht. Somit scheidet die Interessenabwägung nicht generell als Rechtsgrundlage für die Erstellung eines Kundenkontos aus, es müssen aber die genannten Anforderungen beachtet werden. Es ist dabei nicht auszuschließen, dass bei einer gut dokumentierten Interessenabwägung herauskommt, dass die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen und die Verarbeitung damit unzulässig wird.

Alles in allem ist man als Online-Shop auf der sicheren Seite, wenn man eine Gastbestellung anbietet. Sofern ein Kundenkonto Pflicht ist, damit Verbraucher eine Bestellung tätigen können, sollte sowohl intern als auch nach außen transparent dokumentiert werden, welche Rechtsgrundlage hierfür gewählt wurde und warum diese Rechtsgrundlage zulässig ist. Im Falle eine Beschwerde hat man dann gute Möglichkeiten, sich gegen die Aufsichtsbehörde zu wehren.

peterschreiber.media/Shutterstock.com

image_pdfPDFimage_printDrucken