Die DSK – das Gremium der Datenschutzbehörden des Bundes und der Länder – hat am 24. März 2022 entschieden, dass Bestellungen im Online-Handel grundsätzlich nicht von der Einrichtung eines Kundenkontos abhängig gemacht werden dürfen. Der Shop-Betreiber muss einzelne Bestellungen auch ohne eine auf gewisse Dauer angelegte Geschäftsverbindung ermöglichen – in der Praxis durch das temporäre Konto als „Gast“.
Kundenkonten sollen es dem Besteller ermöglichen, für eine unbestimmte Vielzahl von Geschäften seine für die Geschäftsabwicklung erforderlichen Daten (je nach Geschäft in der Regel Name, Adresse, weitere Lieferdaten, Daten zur Zahlungsabwicklung) nur einmal anzulegen. Für Folgegeschäfte muss der Besteller solche Daten nicht erneut eingeben, der Online-Händler hat sie im virtuellen Kundenkonto des Bestellers gespeichert. Der Besteller wiederum erhält durch Zugangsdaten (in der Regel Benutzername und Passwort) Zugriff auf sein Konto. Bereits durch Generieren und Speichern dieser Zugangsdaten aber werden mehr personenbezogene Daten verarbeitet, als für die Abwicklung eines Geschäfts erforderlich sind. Art. 6 Abs 1 S.1 Buchst. b) DSGVO gestattet zum Zweck der Vertragsabwicklung demgegenüber die Verarbeitung nur der erforderlichen personenbezogenen Daten. Der Online-Händler muss den Bestellerinnen daher die Bestellung als Gast ermöglichen. Die für die Bestellabwicklung erforderlichen personenbezogenen Daten des Gastes sind nach Vertragserfüllung zu löschen.
Soweit gesetzliche Aufbewahrungspflichten bestehen (insbesondere § 147 AO und § 257 HGB) sind die Daten der Bestellerinnen von den operativen Datensätzen zu trennen und dem Zugriff der Kundinnen zu entziehen. Gleiches dürfte gelten, soweit der Online-Händler zur Wahrung seiner Interessen in Anwendung von Art. 6 Abs 1 S.1 Buchst. f) DSGVO Daten zur Abwehr von (Gewährleistungs-)Ansprüchen der Bestellerinnen speichert.
Will der Online-Händler anders verfahren und seine Bestellerinnen Kundinnenkontos anlegen lassen, benötigt er deren Einwilligung. Denn personenbezogene Daten hält der Online-Shop zum Zweck des Zugriffs der Kundinnen in der Praxis für eine größere Dauer (als für die einzelne Bestellabwicklung erforderlich wäre) zur Verfügung und er verarbeitet mehr Daten als erforderlich (mindestens die in der Praxis gängigen Benutzernamen und Passwörter).
Eine entsprechende Einwilligung ist aber wiederum nach Auffassung der DSK nur dann wirksam erteilt, wenn der Shop-Betreiber dem Besteller die Möglichkeit einräumt, entweder ein Kundenkonto oder ein Gästekonto einzurichten. Böte der Shop-Betreiber nämlich nur die Möglichkeit, per Einrichtung eines Kundenkontos bei ihm zu bestellen, verstieße er gegen Art. 7 Abs.4 DSGVO: Die Einwilligung (zur Anlage eines Kundenkontos) ist dann nicht freiwillig, wenn die Erfüllung eines Vertrages von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die Erfüllung nicht erforderlich ist. Für eine Gastbestellung braucht es aber weder Zugangsdaten zu einem Kundenkonto noch längere Speicherzeiträume (wie sie Kundenkontos gegenüber Gastkonten in der Praxis vorsehen können).
Datenschutz / E-Commerce