Datenschutz und Webshops: Bestellung mit Gastzugang

Wer kennt es nicht – man möchte ein Produkt über einen Webshop bestellen, doch bevor es dazu kommt, wird man faktisch dazu gezwungen einen neuen Account zu erstellen, ansonsten kommt man im Bestellvorgang nicht weiter.
Nicht nur, dass dies oftmals sehr nervig sein kann, denn schließlich will nicht jeder bei sämtlichen Webshops ein Kundenkonto haben. Ebenso sollte dabei die Tatsache nicht unberücksichtigt bleiben, dass damit oftmals viele Daten über die Person gespeichert werden. Denn mit einem solchen Account kann der Betreiber des Webshops beispielsweise die Bestellhistorie eines Kunden nachvollziehen, aus dieser sich wiederum Rückschlüsse über das Kaufverhalten ziehen lassen.

Dies könnte nun aber ein Ende haben, denn Ende März 2022 gab es in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) genau zu dieser Problematik eine Äußerung, die Aufschluss zu dem Umgang mit dem Thema gibt.

Erfordernis eines Gastzugangs

Auf dieser Konferenz kam man zu dem Ergebnis, dass einem potentiellen Kunden beim Kauf über einen Webshop zumindest eine Alternative zu einem Kundenkonto angeboten werden muss. Künftig sollte also zumindest die Möglichkeit für einen Interessenten geschaffen werden, auch ohne ein Kundenkonto Bestellungen tätigen zu können. Dabei muss vor allem eine „Bestellung als Gast“ in gleicher Art und Weise ohne Nachteile möglich sein.

Dies hat vor allem auch den Hintergrund, dass der Datenschutzkonferenz der Grundsatz der Datenminimierung gemäß Art. 5 DSGVO zugrunde liegt, der zum Inhalt hat, dass grundsätzlich nur solche Daten erhoben werden dürfen, die auch wirklich für eine Verarbeitung zwingend erforderlich sind.

Um dem Kunden seine Ware zukommen zu lassen, ist eine Datenverarbeitung, ebenso wie das Anlegen eines Accounts eigentlich nicht nötig. Auch das Argument, dass ein Nutzer oder einmalig Bestellender an einer Fortführung der Geschäftsbeziehung interessiert ist, ist nicht überzeugend und der DSK ist diesbezüglich zuzustimmen.

Einwilligung, Freiwilligkeit & Transparenz

Dabei hebt die DSK auch nochmal explizit hervor, dass bei der Einwilligung zum Anlegen eines Kundenkontos die Freiwilligkeit sichergestellt sein muss. Dies ergibt sich vor allem auch aus Art. 7 Abs. 4 DSGVO.

Würde man keine Alternative zu einem Kundenkonto haben, so könnten potentielle Kunden einer Situation ausgesetzt sein, bei denen sie sich gezwungen fühlen könnten, eine solche Einwilligung abzugeben, was gerade gegen den Sinn und Zweck einer freiwilligen Einwilligung spricht.

Bezüglich der Einwilligung wird auch noch einmal klargestellt, dass grundsätzlich Verarbeitungen, die nicht unmittelbar mit der Erfüllung eines Vertrags zusammenhängen, nur mit einer Einwilligung möglich sein sollen. Darunter zählen beispielsweise nicht nur die Analyse des Kaufverhaltens, sondern auch das Speichern von Zahlungsmitteln zur Vereinfachung zukünftiger Bestellungen.

Ebenso betont die DSK, dass die Betreiber von Webshops bei der erstmaligen Erhebung von jeglichen personenbezogenen Daten über die Datenverarbeitung zu informieren haben. Vor allem bei der Einwilligung für das Anlegen eines Nutzerkontos ist dies auch relevant.

Das mögliche Umgehen der Ausführungen der DSK

Allerdings ist die von der DSK erwähnte (freiwillige) Einwilligung wohl nicht die einzige Möglichkeit in Zukunft Daten des Kunden zu speichern oder ihn zu kontaktieren.

Denn zum einen sollte man berücksichtigen, dass bereits jetzt das Gesetz gegen den unlauteren Wettbewerb Fälle vorsieht, in denen es auch ohne ausdrückliche Einwilligung des Kunden möglich ist, dass beispielsweise eine Werbung unter der Verwendung elektronischer Post stattfinden kann (§ 7 Abs. 3 UWG).

Auch Art. 6 Abs. 1 S. 1 lit. f DSGVO könnte gegen das Erfordernis einer expliziten Einwilligung sprechen. Denn wenn die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Personen überwiegen sollten, so ist eine Verarbeitung von Daten eben auch ohne vorherige Einwilligung möglich.

Interessant ist hierbei vor allem die Tatsache, dass gerade die Direktwerbung explizit von dem Erwägungsgrund 47 der DSGVO genannt wird. Aber auch die Vereinfachung zukünftiger Kaufvorgänge, wie die Speicherung von Zahlungsarten, kann ein derartiges Interesse darstellen. Argumentieren lässt es sich wohl damit, dass damit die entstehenden Risiken wohl überschaubar bleiben, schließlich erfolgt gerade keine weitergehende Erhebung von Daten, sondern vielmehr „nur“ eine Weiterverarbeitung bestehender Daten.

Dies widerspricht im Ergebnis allerdings gerade den Ausführungen der Konferenz, die gerade darauf hinweisen, dass Verarbeitungen, die nicht unmittelbar mit der Erfüllung eines Vertrags zusammenhängen, nur mit einer Einwilligung möglich sein sollen (siehe oben).

Fazit

Dies sollte nicht unberücksichtigt bleiben und bedarf einer Klärung oder zumindest einer Stellungnahme durch die DSK.

Zum anderen ist es nicht abwegig, dass dann sogenannte Plattformverträge angeboten werden könnten, in denen vertraglich die Nutzung von Daten vereinbart wird und damit auch kein Widerspruchsrecht nach Art. 21 DSGVO bestünde, da wohl ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO zu verneinen wäre.

Dies berücksichtigt die DSK ebenso nicht in ihren Erwägungen, obwohl es insbesondere unter verbraucherschutzrechtlichen Gesichtspunkten nicht ignoriert werden kann. Schließlich sollte mit der Stellungnahme der DSK zu der Thematik „Bestellung mit einem Gastzugang beim Online-Shopping“ gerade das Niveau des Datenschutzes verbessert werden und nicht umgangen oder gar verschlechtert werden.

Es bleibt abzuwarten, ob die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder noch einmal hierzu Stellung nimmt.

Kommentare sind geschlossen.

Das Verfassen eines Kommentars ist ohne Angabe personenbezogener Daten möglich. Mehr Informationen in der Datenschutzerklärung.