Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 24. März 2022 in einem knappen Beschluss zum datenschutzkonformen Onlinehandel mittels Gastzugang geäußert. Dieser Beschluss ist im Rahmen der allgemeinen Auseinandersetzung auch bei Datenschutzexperten nicht unumstritten und wurde als „praxisfern“ bezeichnet. Zwar stellt der Beschluss der DSK keine rechtliche verbindliche untergesetzliche Regelung dar, allerdings ist ihm weit mehr Bedeutung beizumessen als einer bloßen Wohlverhaltensempfehlung. Es kann vermutet werden, dass sich Datenschutzaufsichtsbehörden, wie gewohnt, an den Beschlüssen der DSK orientieren und zumindest eine entsprechende Rechtsauffassung einnehmen werden. In diesem Beitrag ordnen wir die 4 Kernaussagen des Beschlusses ein.
1. Die Erstellung eines Kundenkontos erfordert regelmäßig eine Einwilligung
Zunächst ist die DSK der Auffassung, dass die Eröffnung eines Kundenkontos nicht auf Art. 6 Abs. 1 b) DSGVO gestützt werden kann. Ein solches Kundenkonto sei zur Erfüllung des Vertrages schon nicht erforderlich. Insbesondere könne der Onlinehändler bei einer erstmaligen Bestellung nicht per se unterstellen, dass die Daten der Kunden für mögliche, aber ungewisse zukünftige Geschäfte benötigt werden. Deshalb geht die DSK im Rahmen des Beschlusses davon aus, dass eine solches Kundenkonto nur mittels einer Einwilligung geöffnet werden kann:
„Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.“
„Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt,…“
Nur wenn in Einzelfällen besondere Umstände vorliegen, bei denen ein solches Kundenkonto als für die Erfüllung eines Vertrages erforderlich angesehen werden kann, soll eine Einwilligung entbehrlich sein. Dies nimmt die DSK beispielsweise im Rahmen des B2B-Geschäfts bei Fachhändlern an. Dabei verlangt die DSK allerdings bei Inaktivität des Kontos, dass eine automatisierte Löschung nach einer kurzen Frist erfolgt.
Diese Annahmen sind aus unserer Sicht schon deswegen rechtlich problematisch, da sie die verschiedenen Konstellationen im Rahmen des Onlinehandels nicht hinreichend berücksichtigen. Zudem wird erkennbar, dass die DSK ebenso wie der Europäische Datenschutzausschuss die Rechtsgrundlage des Art. 6 Abs. 1 b) DSGVO eng auslegen. Dabei geht es im Kern um die Frage, wie weit das Datenschutzrecht die privatautonome Vertragsgestaltung einschränken kann. So können Allgemeine Geschäftsbedingungen (AGB) von Onlineshops vorsehen, dass dem Kunden einen Kundenkonto zur Verfügung gestellt wird bei dem er beispielsweise seine Bestellhistorie einsehen, Artikel erneut bestellen oder das Retourenmanagement steuern kann.
Aber selbst wenn man davon ausgehen würde, dass hier noch keine Erforderlichkeit gegeben ist, könnte eine Verarbeitung immer noch auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 f) DSGVO gerechtfertigt sein. Dies wird von der DSK nicht einmal diskutiert.
2. Onlinehändler müssen einen Gastzugang bereitstellen
Ausgehend von dem Einwilligungserfordernis im Hinblick auf die Einrichtung eines Kundenkontos ist die DSK der Auffassung, dass deswegen auch stets ein Gastzugang bereitgestellt werden muss:
„Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen.“
Dabei gehen die Behörden davon aus, dass ohne einen Gastzugang oder eine gleichwertige Bestellmöglichkeit die Freiwilligkeit der Einwilligung zur Erstellung eines Kundenkontos nicht gewährleistet werden kann. Ansonsten würde man gegen das sogenannte Kopplungsverbot nach Art. 7 Abs. 4 DSGVO verstoßen.
Ist man als Onlinehändler also mit der DSK der Auffassung, dass es für die Eröffnung eines Kundenkontos einer Einwilligung bedarf, muss man auch diesen Punkt zwingend mit in Betracht ziehen. Hier wäre dann also genau zu prüfen, ob ein solches Kopplungsverbot in der jeweiligen Konstellation überhaupt vorliegen kann und wie man sicherstellen kann, dass eine möglicherweise notwendige Einwilligung freiwillig ist.
Zu beachten ist des Weiteren, dass die DSK bei Gastbestellungen verlangt, dass nach Vertragserfüllung nicht mehr benötigte Daten unverzüglich gelöscht werden müssen. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).
3. Einwilligung für Auswertung von Daten zu Werbezwecken und einer Speicherung von Informationen über Zahlungsmittel
Fortgeführt wird der „Siegeszug der Einwilligung“ im Beschluss der DSK mit der Auswertung von Daten zu Werbezwecken und einer Speicherung von Informationen über Zahlungsmittel. Der Beschluss der DSK geht pauschal davon aus, dass Datenverarbeitungen zu Werbezwecken immer einer separaten Einwilligung bedürfen. Gleiches gilt für die Speicherung von Zahlungsinformationen.
Dabei sollen Kunden, die einen Gastzugang wählen, damit regelmäßig zu erkennen geben, dass sie eine Werbeansprache ablehnen. Eine andere Rechtsgrundlage sei für diese Datennutzung nicht ersichtlich.
Diese pauschale Annahme kann schon vor der Möglichkeit, die § 7 Abs. 3 UWG bietet, nicht richtig sein. Sind die dortigen Voraussetzungen erfüllt, ist wettbewerbsrechtlich eine werbliche Ansprache auf elektronischem Wege zulässig. Diese ist dann regelmäßig auch nach einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO datenschutzrechtlich zulässig.
Unklar bleibt, was die DSK mit dem Hinweis auf die Speicherung von Zahlungsinformationen aussagen möchte, insbesondere, warum auch hier nur die Einwilligung in Betracht kommen soll.
4. Transparente Datenschutzinformationen
Im letzten Absatz des Beschlusses weist die DSK darauf hin, dass der Verantwortliche sein Informationspflichten nach Art. 13, 14 DSGVO zu erfüllen hat. Dabei soll insbesondere auf die Transparenz im Hinblick auf die Einholung der Einwilligung geachtet werden, damit diese in informierter Weise erfolgt.
5. Fazit
Der Beschluss der DSK zum Onlinehandel ist sicher einer der weniger überzeugenden Veröffentlichungen der DSK. Nicht zuletzt auf Grund der flächendeckenden Kritik bleibt abzuwarten, wie sich die Datenschutzaufsichtsbehörden in der täglichen Praxis dazu positionieren werden.
Onlinehändler sollten in jedem Fall noch einmal gemeinsam mit ihrem Datenschutzbeauftragten ihre Prozesse analysieren und die in Betracht kommenden Rechtsgrundlagen dafür prüfen. Gegebenenfalls sind die Hinweise der DSK an der eine andere Stelle zu berücksichtigen, was dazu führen kann, dass Dokumentationen und Datenschutzhinweise angepasst werden müssen.
- BGH-Urteil zum Facebook-Datenleck: Schadensersatz bei Kontrollverlust - 19. November 2024
- Erstes KI-Urteil in Deutschland: LG Hamburg entscheidet im Urheberrechtsstreit um KI-Trainingsdaten - 9. Oktober 2024
- EuGH: Datenschutzbehörden müssen nicht in jedem Fall Bußgelder verhängen - 26. September 2024