E-Commerce: Online-Händler müssen Gastzugang anbieten
Hier finden Sie Hinweise zur Umsetzung des Beschlusses in den Unternehmen.
Die Datenschutzkonferenz, ein Zusammenschluss aller Datenschutzaufsichten Deutschlands, hat beschlossen, dass im E-Commerce das Anlegen eines Kundenkontos nicht mehr verpflichtend sein darf. Kunden müssen jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.
Daraus ergeben sich für Betreiber von Online-Shops folgende Punkte:
- Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen.
- Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
- Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
- Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kunden transparenten Weise verarbeitet werden.
Details zum Beschluss
Auch im E-Commerce gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DSGVO). Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Die zulässige Verarbeitung der personenbezogenen Daten hängt im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Die Datenschutzaufsicht eines Bundeslandes ist nicht an einen Beschluss der Datenschutzkonferenz gebunden. Hat diese Datenschutzaufsicht diesen Beschluss allerdings so mitgetragen, wird sie diese konsequenterweise auch so befolgen. Gerichte sind an diese Auslegung nicht gebunden. Ob ein Unternehmen anders agieren möchte als im Beschluss festgelegt, ist eine strategische Frage. Es hängt z. B. davon ab, ob der Beschluss mehrstimmig gefasst wurde und ob das Unternehmen z. B. in dem Bundesland sitzt, dessen Aufsicht anderer Auffassung war.
Links und Downloads
- Datenschutzkonferenz Beschlüsse (Link: https://datenschutzkonferenz-online.de/beschluesse-dsk.html)
- Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (nicht barrierefrei, PDF-Datei · 497 KB) (Nr. 5523762)