Datenschutzkonferenz: Online-Shops müssen Kunden Bestellung mittels Gast-Zugang ermöglichen / Kundenkonto darf keine Pflicht sein

27.04.2022

Nach Auffassung der Datenschutzkonferenz (DSK)  (Beschl. v. 24.03.2022) ist es datenschutzrechtlich verpflichtend, Kunden eine Bestellung mittels Gast-Zugang zu ermöglichen. Es soll nicht erlaubt sein, den Kunden  zur Anlage eines Kundenkontos zu zwingend.

Die wichtigsten Punkte aus den Ausführungen sind:

"1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen.

2.  Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden."

Die DSK begründet ihre Ansicht wie folgt:

"Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind.

Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kundinnen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat Vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kundinnen erforderlich. Für Kundinnen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen.

Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung. Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kundinnen erfasst werden. Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung). Ein Zugriff der Kundinnen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird."

Anmerkung von RA Dr. Bahr:
Wie immer an dieser Stelle unser Hinweis: Die Aussagen der DSK  haben keine rechtsverbindliche Wirkung. Vielmehr werden die im Zweifelsfall angerufenen Gerichte das letzte Wort haben. Der Ausgang eines Gerichtsverfahrens ist damit nicht selten vollkommen offen. 

Dies gilt auch für den vorliegenden Beschluss der DSK, der inhaltlich wenig überzeugend ist.