Gastbestellung: Pflicht oder nicht?

Inhaltsverzeichnis:

1. Zunächst: Was sagt die DSGVO? Wann dürfen Daten verarbeitet werden?
2. Ist die Datenverarbeitung bei der Gastbestellung und beim Kundenkonto nicht dieselbe?
3. Welche Erlaubnistatbestände zieht die Datenschutzkonferenz in Betracht?
4. Wie muss eine Einwilligung eingeholt werden?
5. Muss in der Datenschutzerklärung informiert werden?
6. Was ist das Risiko bei Verstößen?
7. Unser Tipp

Diesen Artikel jetzt als Podcast anhören

 

Vorangekreuzte Checkboxen, Schaltflächen, „Registrieren“-Buttons, Gastbestellungen und Kundenkonten. Die Gestaltungen, denen Neukunden in Online-Shops begegnen, sind vielfältig. Häufiger Einstieg: Neukundenregistrierung und dann Einkaufen. Wir schauen heute einmal genauer hin. Ist die Möglichkeit, als Gast zu bestellen, Pflicht in Online-Shops? Und wenn ja, warum? Gibt es bei der Erstellung eines Kundenkontos etwas zu beachten? 

Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich mit diesen Fragen befasst und am 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Was die Datenschutzkonferenz zu Gastzugängen sagt und was daran kritisiert wird, zeigen wir Ihnen in unserem Tipp der Woche.

 

Zunächst: Was sagt die DSGVO? Wann dürfen Daten verarbeitet werden?

Nach der DSGVO gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Datenverarbeitung zunächst grundsätzlich verboten ist, es sei denn, es gibt eine Erlaubnis des Betroffenen. Die verschiedenen Erlaubnistatbestände sind in Artikel 6 Abs. 1 DSGVO normiert. Stark verkürzt sind Datenverarbeitungen dann zulässig, wenn mindestens einer der folgenden Erlaubnistatbestände vorliegt:

  1. Einwilligung des Betroffenen
  2. Verarbeitung ist zur Vertragserfüllung erforderlich
  3. Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  4. Lebenswichtige Interessen
  5. Öffentliches Interesse
  6. Überwiegendes berechtigtes Interesse des Verarbeitenden

Bei der Erstellung eines Kundenkontos muss also mindestens einer dieser Gründe vorliegen. Aber ist das bei der Gastbestellung nicht auch so?

 

Ist die Datenverarbeitung bei der Gastbestellung und beim Kundenkonto nicht dieselbe?

Die Erstellung eines Kundenkontos bedeutet, dass die eingegebenen Daten des Kunden vom Online-Shop gespeichert werden. Bei einer reinen Gastbestellung dürfen die Daten im Rahmen der handels- und steuerrechtlichen Verpflichtungen aufbewahrt werden (Artikel 6 Abs. 1 c) DSGVO). Im Übrigen müssen die Daten nach der Vertragserfüllung gelöscht werden. Bei einer Gastbestellung ist die Datenerhebung notwendig für die Vertragserfüllung. Klar, ohne die Adresse kann das Paket nicht geliefert werden.

Die Datenspeicherung bei der Erstellung eines Kundenkontos geht hierüber hinaus: Die Kundendaten werden gespeichert, solange das Kundenkonto besteht. Und hierfür wird eine Erlaubnis aus der DSGVO benötigt.

 

Welche Erlaubnistatbestände zieht die Datenschutzkonferenz in Betracht?

Die Erstellung eines Kundenkontos ist für die Vertragserfüllung nicht notwendig (Art. 6 Abs. 1 b) DSGVO). Der Verantwortliche kann nach Ansicht der DSK nicht per se unterstellen, dass er Daten der Kundschaft für mögliche, aber ungewisse zukünftige Bestellungen auf Vorrat behalten darf. Bei Vorliegen besonderer Umstände im Einzelfall kann ein fortlaufendes Kundenkonto jedoch ausnahmsweise als für die Erfüllung des Vertrags erforderlich angesehen werden. 

Eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Online-Shops (Art. 6 Abs. 1 c)) sowie lebenswichtige oder öffentliche Interessen (Art. 6 Abs. 1 d), e)) sind als Grund für die zwingende Erstellung eines Kundenkontos abwegig. Die DSK zieht sie gar nicht erst in Betracht.

Auch auf ein überwiegendes berechtigtes Interesse des Shops an der Erstellung eines Kundenkontos (Art. 6 Abs. 1 f)) als mögliche Rechtsgrundlage für die Datenverarbeitung geht die DSK nicht ein, stößt damit aber auf Kritik von Seiten der juristischen Literatur. 

Die DSK fordert für die Errichtung eines fortlaufenden Kundenkontos eine entsprechende bewusste Willenserklärung, also eine Einwilligung des Betroffenen (Art. 6 Abs. 1 a) DSGVO).

 

Wie muss eine Einwilligung eingeholt werden?

Eine Einwilligung muss stets aktiv, freiwillig und informiert eingeholt werden. Das bedeutet, dass der Nutzer aktiv etwas tun muss, um einzuwilligen und dass er wissen muss, in was er einwilligt.

Aktive Handlung:

Ein Opt-Out genügt nicht. Häufig anzutreffen sind Gestaltungen mit vorangekreuzten Checkboxen oder Gestaltungen, bei denen der Nutzer aktiv ankreuzen muss, dass er kein Kundenkonto wünscht. Beide Gestaltungen genügen nicht den Anforderungen an eine aktive Einwilligung.

Freiwillige Einwilligung:

Der Nutzer darf nicht zur Erstellung eines Kundenkontos gezwungen werden. Für die Beurteilung, ob eine Einwilligung freiwillig erfolgt, ist es gem. Art. 7 Abs. 4 DSGVO maßgeblich, ob die Erfüllung des Vertrags von der Einwilligung in die Verarbeitung personenbezogener Daten, die nicht für die Vertragserfüllung erforderlich sind, abhängig gemacht wird.

Auf dieses sog. Kopplungsverbot stützt die DSK ihre Argumentation. Damit die für die Einrichtung eines fortlaufenden Kundenkontos erforderliche Einwilligung nicht gegen Art. 7 Abs. 4 DSGVO verstößt, muss die Kundschaft die Möglichkeit haben, im Online-Shop die gleichen Angebote auf anderem gleichwertigem Wege als über das Kundenkonto zu bestellen. 

Eine Bestellmöglichkeit ist laut DSK gleichwertig, wenn keinerlei Nachteile für den Nutzer entstehen: Der Bestellaufwand und der Zugang zu diesen Möglichkeiten müssen also denen eines Kundenkontos entsprechen. Dies ist beim Gastzugang der Fall. Außerdem müssen technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten. 

Diese Ansicht teilt ein Teil der Literatur jedoch nicht. Die Datenschutzkonferenz lege Art. 7 Abs. 4 DSGVO zu streng aus. Zum anderen sei es bereits nicht richtig, von einer Einwilligungspflicht auszugehen. Würde man die Datenverarbeitung auf einen anderen Erlaubnistatbestand stützen – was möglich sei – käme Art. 7 Abs. 4 DSGVO gar nicht erst in Betracht.

Informierte Einwilligung:

Der Nutzer muss wissen, in was er einwilligt. Er muss mindestens wissen, wer der Verantwortliche der Datenverarbeitung ist und für welche Zwecke welche personenbezogenen Daten erhoben werden. Sollen in einem fortlaufenden Kundenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten für Werbezwecke verarbeitet werden, geht dies nach Ansicht der DSK über die Einrichtung und Führung eines Kundenkontos hinaus. Deshalb sind dann auch darauf bezogene Einwilligungen der Kunden einzuholen. 

Auch ist die Literatur teils anderer Meinung und kritisiert die pauschale Einwilligungspflicht für Datenverarbeitungen zu Werbezwecken.

 

Muss in der Datenschutzerklärung informiert werden?

Ja, wenn der Nutzer ein Kundenkonto erstellen kann, müssen Sie in der Datenschutzerklärung entsprechend über die zugrundeliegenden Datenverarbeitungen informieren. Einen rechtskonformen Text können Sie mit dem Trusted Shops Rechtstexter erstellen.

 

Was ist das Risiko bei Verstößen?

Am 28. April 2022 entschied der EuGH, dass es den Mitgliedstaaten freistehe, den Verbraucherschutzverbänden eine Befugnis zu erteilen, gegen rechtswidrige Datenverarbeitungen vorzugehen. Zumindest Verbraucherschutzverbände dürfen daher DSGVO-Verstöße abmahnen. Ob auch Mitbewerbern solche Befugnisse zustehen, hat der EuGH nicht entschieden. 

Auf der anderen Seite steht die mögliche Verfolgung durch die Datenschutzbehörden, zuvorderst die Gefahr von Bußgeldern. Auch hier kann ein Risiko nicht ausgeschlossen werden.

 

Unser Tipp

Obwohl die Hinweise der Datenschutzkonferenz umstritten sind, empfehlen wir Ihnen, Ihrer Kundschaft grundsätzlich die Möglichkeit zu geben, als Gast oder auf einem anderen gleichwertigen Wege zu bestellen. Wenn Sie in Ihrem Shop kein Kundenkonto anbieten: Kein Problem. Wenn es jedoch die Möglichkeit gibt, ein Konto zu erstellen, überprüfen Sie, ob die Einwilligung zur Erstellung des Kontos aktiv, informiert und freiwillig eingeholt wird. Im Rahmen des Legal Enterprise überprüfen wir, ob die Einwilligungen in Ihrem Bestellprozess sauber sind. 

 

Update: Wir haben diesen Blogpost im August 2019 erstmals veröffentlicht und nun für Sie aktualisiert.

 

Über den Autor

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

 

18.08.22

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies