Alle Onlineshopper kennen das: Nachdem man sich bei einem neuen Anbieter durch die Artikelgalerie gequält, die gewünschten Gegenstände in den Warenkorb gelegt und auf „Zur Kasse“ geklickt hat, wird man zum Anlegen eines Kundenkontos aufgefordert. Wer darauf keine Lust oder dafür keine Zeit hat, der ist dem Shopbetreiber sehr dankbar, wenn auch die Option „Als Gast bestellen“ oder ähnlich ausgewählt werden kann.
Die Frage ist nur: Ist dies eine Nettigkeit des Onlineshops oder entspricht der Gastzugang einer datenschutzrechtlichen Verpflichtung? Hierzu hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit Stand vom 24.03.2022 einen Hinweis erteilt, der nachfolgend dargestellt werden soll.
Die Auffassung der DSK
Die Datenschutzkonferenz sieht den Verantwortlichen im Onlinehandel klar in der Pflicht. Die Begründung liegt in dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO): Daten dürfen nur und solange verarbeitet werden, wie sie für den vorgesehenen Zweck erforderlich sind. Wenn man nur auf die einzelne Bestellung sieht, darf man annehmen, dass der Verkäufer als Verantwortlicher nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO berechtigt ist, Daten wie Name, Anschrift, gewisse Kontaktdaten sowie die Bankverbindung zu verarbeiten und solange zu speichern, wie dies vertraglich oder aus gesetzlichen Gründen erforderlich ist. Nicht mehr benötigte Daten müssen nach Art. 17 Abs. 1 lit. a DSGVO gelöscht werden.
Der Unterschied zwischen dem Gastzugang und dem Kundenkonto liegt nun zum einen darin, dass bei letzterem noch Zugangsdaten (Benutzername und Passwort) anfallen, zum anderen bleiben die Kundendaten ohne Rücksicht auf weitere Transaktionen in der Regel für einen langen Zeitraum und damit über die Grenze der Erforderlichkeit hinaus gespeichert. Bei mehreren Bestellungen entsteht im Zweifel noch eine Vertragshistorie, der Begriff Profiling liegt in der Luft.
Letztlich muss man diese überschießenden Verarbeitungen aus der Sicht der DSK grundsätzlich auf einer Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO fußen lassen. Einwilligungen sind nach Art. 7 DSGVO allerdings nur dann wirksam, wenn diese nachweislich freiwillig erfolgt – und dafür müsse der Betroffene eben auch eine Wahl haben, ob er weitere Daten länger zur Verfügung stellt, obwohl er vielleicht nur einmalig im Shop bestellen will.
Der Vergleich zur Kundenbindung offline
Man stelle sich den Vorgang im stationären Handel vor: an der Supermarkt-Kasse würde dann nicht gefragt, ob man eine Kundenkarte hat – sie würde schlicht vorausgesetzt, d.h. der wöchentliche Lebensmitteleinkauf erfolgte dann nur bei vorheriger Registrierung. Es würde sich berechtigter Widerstand bilden, wenn man beim Einkauf seiner Lebensmittel immer erst zum Dauerkunden des Markts avancieren muss.
Im Onlineshop darf aus der Sicht der DSK daher nichts anderes gelten: Wer eine engere Kundenbindung durch Anlegen eines Kontos mit Zugangsdaten wünscht, könne sich bei der Rechtfertigung der Datenverarbeitung nicht auf die Durchführung eines Kaufvertrags stützen und müsse die Einwilligung der Betroffenen einholen. Wer dann aber nur zur Wahl stellt, entweder das Kundenkonto anzulegen oder eben auf den Einkauf zu verzichten, der stellt aus der Sicht der DSK eine nach Art. 7 Abs. 4 DSGVO unzulässige Bedingung auf. Es sind Ausnahmen denkbar, bei denen ein Gastzugang nicht obligatorisch ist, die DSK nennt hier Fachhändler für bestimmte Berufsgruppen.
Der Vergleich mit dem Offline-Geschäft hinkt derweil: Die User beim Onlineshopping erwarten bei einem Onlineshop geradezu, dass man die Möglichkeit der Registrierung bekommt, um bei späteren Bestellungen nicht alle Daten wieder eingeben zu müssen und um einzelne Bestellungen besser nachhalten zu können. Das Verständnis der Verbraucher für die Registrierung vor dem Kauf ist also online ein ganz anderes als im stationären Handel.
Einwilligung – die einzige Rechtsgrundlage?
Die Auffassung der DSK, die die Datenschutzbehörden regelmäßig übernehmen, wird in Fachkreisen rege diskutiert, insbesondere im Hinblick darauf, dass der Fokus allein auf der Einwilligung liegt.
Denkbar ist zunächst, dass die geringfügig gesteigerte Verarbeitung der Daten durch Vorhalten eines Kundenkontos dem berechtigten Interesse des Shopbetreibers entspricht; eine Rechtfertigung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO erscheint möglich. Es ist je nach Fallgestaltung durchaus denkbar, dass in der Abwägung der widerstreitenden Interessen von Shopbetreiber und Besteller letzterer nicht behaupten kann, sein Interesse am Schutz seiner Daten überwiege. Schließlich entspricht es eben einer Erwartungshaltung beim Onlinegeschäft, dass mit der Bestellung die Einrichtung eines Kundenkontos einhergehen kann; diese Üblichkeit ist in der Abwägung am Ende entscheidend. Wenn man nun bedenkt, dass sogar die Datenverarbeitung zu Zwecken der Direktwerbung auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO basieren kann, muss man die strikte Haltung der DSK anzweifeln.
Zusätzlich darf man nicht vergessen, dass jedenfalls die Masse der personenbezogenen Daten, die der Kunde bei der Bestellung angibt, ohnehin vom Unternehmer wegen gesetzlicher Aufbewahrungspflichten und wegen möglicher Ansprüche des Käufers für einen längeren Zeitraum gespeichert werden. Die Nutzung der Daten ist zwar wegen des besagten Datenschutzgrundsatzes nur eingeschränkt möglich, aber was spricht eigentlich dagegen, dem Verbraucher die Möglichkeit zu geben, die ohnehin gespeicherten Daten durch die Einrichtung eines Kundenkontos für sich nutzbar zu machen? Dass das Kundenkonto bei Inaktivität nach einer gewissen Zeit automatisch gelöscht werden muss, gilt dabei als zwingende Voraussetzung.
Kein überzeugendes Argument ist hingegen, dass es dem Kunden regelmäßig ohne Nachteil möglich ist, den begehrten Artikel anderweitig zu erwerben. Schließlich sind ausreichend Gründe denkbar, die dazu führen, dass der Verbraucher gerade bei dem ausgewählten Shop kaufen will, sei es eine beschränkte Verfügbarkeit, der günstigste Preis oder der Ruf des Verkäufers aufgrund bester Bewertungen. Solange hohe Anreize für den Kaufabschluss wahrscheinlich sind, ist die Freiwilligkeit einer Einwilligung in Frage zu stellen – wenn ich sie denn wirklich brauche.
Was ist zu tun?
Es ist einerseits zu erwarten, dass die Datenschutzbehörden die Auffassung der DSK auch durchsetzen werden. Ob dies am Ende auch zu Geldbußen führen wird, bleibt abzuwarten. Andererseits muss man annehmen, dass Mitbewerber einen fehlenden Gastzugang beim Konkurrenten wettbewerbsrechtlich abmahnen werden, da natürlich die längerfristige Datenverarbeitung und Kundenbindung ein echter Vorteil auf dem Markt sein kann.
Wenn also nicht erhebliche unternehmerische Gründe für eine Zwangsregistrierung sprechen, sollte die Möglichkeit zur Gastbestellung im Shop eingeräumt werden. Wer sich gegen die von der DSK präferierte Einwilligungslösung entscheidet und auf die berechtigten Interessen setzen will, dem sei eine ordnungsgemäße Dokumentation der Interessenabwägung empfohlen. Die Entscheidung im Einzelfall sollte derweil nicht ohne datenschutzrechtliche Expertise gefällt werden.
Wir von MKM bieten Ihnen in allen Fragen zum Recht der Onlineshops professionelle Hilfe an – egal ob AGB, Fernabsatz- und E-Commerce-Recht oder Datenschutz. Sprechen Sie uns jederzeit an!
Autor: Andree Hönninger (Fachanwalt für IT-Recht)