Online-Händler müssen Gastzugang anbieten
Auch im Online-Handel gilt der Grundsatz der Datensparsamkeit nach Artikel 5 Absatz 1 Buchstabe c Datenschutzgrundverordnung (DSGVO). Deshalb müssen Online-Händler für Bestellungen ihren Kunden einen Gastzugang anbieten.
Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, DSK) hat im Beschluss vom 24. März 2022 darauf hingewiesen, dass Online-Händler ihren Kunden einen Gastzugang (ohne dauerhafte Registrierung) für Bestellungen anbieten müssen.
Nach Auffassung der DSK hängt die zulässige Verarbeitung der personenbezogenen Daten im Einzelfall davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Kunden müssten deshalb frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben oder ob sie eine dauerhafte Geschäftsbeziehung eingehen möchten und damit ein fortlaufendes Kundenkonto führen wollen.
Nach Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Deshalb muss den Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen, ein Gastzugang zur Verfügung gestellt werden, der auf Registrierung- beziehungsweise Zugangsdaten (zum Beispiel Benutzername / Passwort) verzichtet.
Die Einrichtung eines fortlaufenden Kundenkontos bedarf der Einwilligung des Betroffenen. Deren Freiwilligkeit sei nicht gewährleistet, wenn es neben dem Kundenkonto keinen Gastzugang oder gleichwertige Bestellmöglichkeit gäbe, so die Datenschützer. Außerdem sei eine weitere Einwilligung erforderlich, wenn zusätzlich Daten hinzugespeichert werden (zum Beispiel über verwendete Zahlungsmittel) bzw. wenn die Vertragshistorie zu Werbezwecken ausgewertet werde.
Zudem müssten bei der Datenerhebung die Informationspflichten erfüllt werden; Kunden müssten über die Datenverarbeitung transparent informiert werden. Dies gilt sowohl für die Datenverarbeitung mittels Gastzugang als auch für die Einwilligung in ein laufendes Kundenkonto oder in weitere Datenverarbeitungen.
Die DSK hat keine aufsichtsrechtlichen Befugnisse. Auch die Datenschutzaufsichtsbehörde muss sich nicht an diesen Beschluss halten.
Wenn die Aufsichtsbehörde eines Bundeslandes den Beschluss allerdings mitgetragen hat, wird sie dessen Einhaltung auch gegenüber den Unternehmen einfordern.
Auch Gerichte sind an den Beschluss nicht gebunden (sicherlich hat er jedoch Indizwirkung).
Ob ein Unternehmen anders agieren möchte als im Beschluss festgelegt, ist eine strategische Frage. Es hängt zum Beispiel davon ab, welche Auffassung die Datenschutzaufsichtsbehörde des Bundeslandes, in dem das Unternehmen sitzt, vertritt.
Quelle: IHK Regensburg/Oberpfalz; DIHK