In vielen Online-Shops muss man sich verpflichtend ein Kundenkonto anlegen, also sich registrieren, bevor man eine Bestellung durchführen kann. Die Datenschutzbehörden sehen diese Pflicht als unzulässig an und verlangen, dass ein Kund eine Gastbestellung durchführen kann.
Die Datenschutzkonferenz (DSK) hat einen Beschluss gefasst, nach dem in Online-Shops Kunden auch als Gast bestellen können müssen.
Gastbestellung ist Grundsatz der Datenminimierung
Hierzu heißt es am Anfang dieses Beschlusses:
Auch im Online-Handel gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO). Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.
Erforderlichkeit zur Vertragserfüllung
Weiter heißt es in dem Papier, dass eine Datenverarbeitung nach Art. 6 Abs. 1 lit. b DSGVO nur zulässig ist, soweit diese zur Vertragserfüllung unbedingt erforderlich ist.
Eine solche Erforderlichkeit sehen die Behörden bei einmaligen Geschäftsvorgängen, z.B. bei einem einfachen Kaufvertrag, nicht als gegeben an. Für die Erfüllung eines solchen Vertrages genügen die Daten, die dafür notwendig sind. Eine Einrichtung eines Kundenkontos, auf das der Kunde Zugriff hat und ggfs. Daten ändern oder einzuspeichern kann, sei für die Erfüllung solcher Verträge nicht erforderlich.
Man könne auch. nicht unterstellen, dass Kunden, die einmal einkauften, immer wieder kommen und weitere Einkäufe tätigen.
Die Schlussfolgerung der Datenschutzbehörden:
Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.
Daraus folgt eine weitere Schlussfolgerung. In Online-Shops muss grundsätzlich die Bestellung per Gastzugang ermöglicht werden.
Kundenkonto bei Dauerschuldverhältnissen
Schließen Kunden dagegen ein Dauerschuldverhältnis ab, kann die Eröffnung eines solchen Kundenkontos aber auch ohne Einwilligung gerechtfertigt sein. Hier ist eine Einzelfallprüfung erforderlich.
Auch beim Abschluss bestimmter Kaufverträge ergibt sich manchmal die Notwendigkeit der Eröffnung eines Kundenkontos. Hier verlangen die Behörden die Löschung dieses Kundenkontos nach relativ kurzer Frist bei Inaktivität.
Keine Freiwilligkeit der Einwilligung
Wird der Kunde dazu verpflichtet, ein Kundenkonto zu eröffnen – besteht also keine Möglichkeit einer Gastbestellung – so fehlt es nach Ansicht der Behörden an der Freiwilligkeit der Einwilligung.
Diese Freiwilligkeit ist aber eine Wirksamkeitsvoraussetzung: Einwilligungen, die nicht freiwillig erfolgen, sind unwirksam.
Weitergehende Datenverarbeitungen
Und die Datenschutzbehörden gehen noch einen Schritt weiter: Sollen in dem fortlaufenden Kundenkonto weitere Daten als die reinen Kontaktdaten gespeichert werden (z.B. Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel) wird hierfür ebenfalls eine (zusätzliche!) Einwilligung benötigt.
Diese Art der Datenverarbeitung sei nicht von der Einwilligung zur bloßen Eröffnung eines Kundenkontos gedeckt.
Ob man die Einwilligung in die Eröffnung eines Kundenkontos mit dieser weitergehenden Einwilligung verknüpfen kann, dazu sagt der Beschluss leider nichts.
Es ist aber durchaus denkbar, dass man die Eröffnung eines Kundenkontos mit einer solchen Einwilligung zur Auswertung zu Werbezwecken verbindet.
Fazit
Online-Shops stehen in letzter Zeit häufiger im Fokus der Aufsichtsbehörden. Ob diese nun auch die Ermöglichung von Gastbestellungen überprüfen und notfalls per Anordnung erzwingen werden, bleibt abzuwarten.
Dann stellt sich auch die weitere Frage, was mit den Kundenkonten geschieht, die in der Vergangenheit ohne gleichzeitiger Möglichkeit einer Gastbestellung eröffnet wurden. Da diese Einwilligungen – folgt man der Auffassung der Datenschutzbehörden – unwirksam waren, müssten diese Kundenkonten gelöscht werden. (mr)
Hinweis: Es geht bei dem Beschluss nicht um das Kundenkonto im internen CRM, sondern um Kundenkonten, in die sich der Verbraucher selbst einloggen und dann ggfs. Daten einsehen, anpassen oder hinzufügen kann.
Wie kann ich Ihnen helfen?
Nehmen Sie gerne Kontakt auf:
Tel.: +49 6131 30290460
Mail: mraetze@tcilaw.com
www.tcilaw.de
- Neue Produktsicherheitsverordnung: Was kommt auf Händler zu? - 19. April 2024
- Der Widerrufsbutton kommt - 27. März 2024
- Darf die Abfrage des Geburtsdatums im Online-Shop verpflichtend sein? - 26. Februar 2024