Datenschutzkonferenz: Zwingendes Kundenkonto ist problematisch!

Datenschutzkonferenz: Zwingendes Kundenkonto ist problematisch!
23.05.2022 | Lesezeit: 10 min

Wir empfehlen Online-Händlern bereits seit Geltung der DSGVO (also seit Mai 2018), in ihren Shops auch Gastbestellungen zu ermöglichen. Die meisten Shopbetreiber machen inzwischen auch kein zwingendes Anlegen eines Kundenkontos mehr zur Voraussetzung für eine Bestellung. Auf diejenigen, die nach wie vor keine Gastbestellung ermöglichen, könnte schon bald vermehrt Ärger zukommen. Die Datenschutzkonferenz hat sich kürzlich positioniert.

Worum geht es?

Jeder Onlineshopper kennt es:

Es gibt Onlineshops, da kann man schnell und unkompliziert als Gast bestellen und alternativ auch gleich ein Kundenkonto eröffnen. Die Eröffnung eines Kundenkonto bedeutet, die vom Kunden bei der Bestellung angegebenen Stammdaten wie Name, Anschrift und Email-Adresse werden als Datensatz einem Kundenkonto zugeordnet und die Kundendaten dauerhaft vom Händler gespeichert.

Dieses kann beim nächsten Besuch dieses Shops erneut verwendet werden und der Nutzer wird in aller Regel anhand seiner Email-Adresse und eines von ihm vergebenen Passworts identifiziert.

Daneben gibt es aber auch Shops, bei denen zwingend ein Kundenkonto eröffnet werden muss, damit überhaupt bestellt werden kann.

Der primäre Vorteil der Anlage eines Kundenkontos dürfte für den Kunen darin bestehen, dass sich der Besteller bei künftigen, weiteren Bestellungen in diesem Shop die erneute, manuelle Eingabe der Bestelldaten erspart. Daneben ermöglicht ein Kundenkonto meist die genaue Statusabfrage bezüglich der vorgenommenen Bestellung, etwa ob diese bereits bearbeitet wurde oder der Versand schon erfolgt ist.

Für den Händler schafft ein eingerichtetes Kundenkonto eine Art „Bindungswirkung“. Aber auch in puncto Werbung ist ein solches für Händler von Interesse: Bereits nach wenigen Bestellungen lässt sich ein aussagekräftiges Profil zu dem jeweiligen Kunden bilden. Hat sich der Kunde in seinem Kontobereich eingeloggt, kann er etwa gezielt durch zu seinem Profil passende Angebote und Aktionen angesprochen werden.

Der größte Nachteil für den Nutzer dürfte darin zu sehen sein, dass Händlerdatenbanken immer wieder gehackt werden. Ein solches Kundenkonto kann dann für weitere, ungewollte und ggf. umgelenkte Bestellungen zu Lasten des eigentlichen Inhabers missbraucht werden. Zu befürchten ist bei einem „gehackten“ Kundenkonto dann nicht nur, dass die persönlichen Daten in falsche Hände geraten, sondern ggf. auch noch ein schlimmstenfalls gar nicht bzw. nicht sicher verschlüsseltes Passwort.

Damit kann, wird dieses vom Nutzer öfter im Zusammenhang mit der Email-Adresse im Internet genutzt, weiterer Schaden angerichtet werden. Auch scheinen manche Händler die Bereitschaft des Nutzers, ein Kundenkonto anzulegen, mit der Einwilligung in den Erhalt von Email-Werbung („Newsletter“) zu verwechseln. Es kommt daher immer wieder vor, dass Email-Werbung an solche Kunden versendet wird, die zwar ein Kundenkonto eröffnet, aber nie in den Erhalt von Email-Werbung ausdrücklich eingewilligt hatten.

Nicht zuletzt aus diesen Gründen gibt es Nutzer, die das Anlegen eines Kundenkontos strikt ablehnen und ausschließlich im Wege der Gastbestellung bestellen möchten. Bietet ein Händler dann keine solche Gastbestellung an, sondern beharrt auf der Eröffnung eines Kundenkontos, führt dies immer wieder zu Streitigkeiten. Mancher Nutzer geht sogar soweit, den Händler deswegen bei der für diesen zuständigen Datenschutzbehörde anzuschwärzen.

Banner Premium Paket

Grundsatz der Datenminimierung ist zu beachten

Nach Art. 5 Abs. 1 Buchstabe c) der DSGVO gilt der Grundsatz der Datenminimierung.

Dieser schreibt vor, dass die zu erhebenden Daten auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken sind. Mit anderen Worten: Es sollen also nur so viel Daten erhoben werden, die für die Zweckerreichung bzw. Vertragserfüllung unbedingt erforderlich sind.

Dieser Grundsatz gilt ohne Weiteres auch im Onlinehandel und ist damit auch bei der Gestaltung des Bestellablaufs / Checkouts in einem Onlineshop zu beachten.

Anzumerken ist, dass es in aller Regel nicht erforderlich sein wird, die Kundendaten dauerhaft im Rahmen eines Kundenkontoprofils zu speichern, um eine Online-Bestellung abzuwickeln und den mit dem Kunden geschlossenen Vertrag zu erfüllen.

Aktuelle Einschätzung der Datenschutzkonferenz

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (kurz DSK) teilt in einem aktuellen Beschluss vom 24.03.2022 ihre Einschätzung der Rechtslage mit.

Vorweg: Die DSK-Beschlüsse haben weder Gesetzescharakter, noch sind diese für die Markteilnehmer verbindlich. Dennoch bilden diese meist eine verlässliche Richtschnur, wie sich Datenschutzbehörden und auch Gerichte künftig zu (umstrittenen) Rechtsfragen aus dem Bereich des Datenschutzrechts positionieren könnten.

Mit anderen Worten: Online-Händler sind gut beraten, sich an entsprechenden, für sie relevante DSK-Beschlüssen im Rahmen ihres Handelns zu orientieren bzw. sich andernfalls zumindest im Klaren darüber zu sein, dass dann voraussichtlich früher oder später Ärger drohen wird.

Die DSK kommt in dem vorgenannten Beschluss zu dem Ergebnis, dass eine datenschutzkonforme Ausgestaltung des Bestellvorgangs nur dann gegeben ist, wenn der Kunde frei entscheiden kann, ob er seine Bestellung als Gast oder unter gleichzeitiger Eröffnung eines Kundenskontos tätigen möchte.

Die Eröffnung eines Kundenkontos bleibt – will dies der Kunde und willigt in dessen Eröffnung ausdrücklich ein – also weiterhin zulässig. Dies jedoch nur dann, wenn der Kunde – um seine Bestellung abzuschließen, nicht zur Eröffnung eines Kundenkontos gezwungen ist. Vielmehr muss der Händler dem Kunden daneben auch die Bestellung als Gast, also ohne Eröffnung eines Kundenkontos anbieten.
Selbstverständlich ist und bleibt es auch zulässig, ausschließlich eine Bestellung als Gast anzubieten (also gar nicht die Möglichkeit der Eröffnung eines Kundenkontos einzuräumen).

Was teilt die DSK in ihrem Beschluss mit?

Zur Einordnung eines Kundenkontos:

"Im Online-Handel ist das fortlaufende Kund*innenkonto regelmäßige Praxis. Es wird
unter Vergabe von Zugangsdaten (z.B. Benutzername/Passwort) eingerichtet, um sich
gegenüber dem Verantwortlichen eindeutig zu identifizieren. Kund*innen können damit
auf ein bei dem Verantwortlichen geführtes Kund*innenkonto selbst und aktiv zugreifen,
um ggf. ihre Daten zu ändern oder Bestellungen zu prüfen. Fortlaufende
Kund*innenkonten werden über den erstmaligen Geschäftsabschluss hinaus im
Aktivdatenbestand gepflegt. Sie dienen den Kund*innen zur vereinfachten
wiederkehrenden Bestellmöglichkeit ohne die nochmalige Eingabe aller
personenbezogenen Daten. Darüber hinaus kann ein fortlaufendes Kund*innenkonto eine
Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur
Profilbildung und für Werbezwecke ermöglicht."

Zur Einwilligung für die Eröffnung eines Kundenkontos und zur Notwendigkeit und Natur der Gastbestellung:

"Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der
personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages
erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se
unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige
Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden
Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen
erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen
oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist
daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf
Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute
Nutzung."

Ferner erfolgt auch eine Klarstellung für die Datenverarbeitung bei Gastbestellungen:

"Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur
Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und
Informationen der Kund*innen erfasst werden. Nach Vertragserfüllung nicht mehr
benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht
werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter
Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, sind
technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im
operativen Zugriff zu trennen (Datensperrung). Ein Zugriff der Kund*innen auf die Daten
oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem
Gastzugang nicht vorgesehen."

Zur Ausnahme des zwingenden Kundenkontos (etwa bei abgabebeschränkten Waren, die nur an Fachpublikum abgegeben werden können bzw. reinen B2B-Shops, bei denen sich Kunden als Unternehmer identifizieren müssen) und damit verbundener Löschverpflichtung bei Inaktivität:

"Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes
Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich
angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei
bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung
erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B.
das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird."

Zur Notwendigkeit der Einwilligung bei Auswertung des Kundenkontos zu Werbezwecken:

"Sollen in einem fortlaufenden Kund*innenkonto die über die Kontaktdaten
hinausgehenden personenbezogenen Daten, ggf. einschließlich der Vertragsdaten der
Bestellungen, für Werbezwecke (Profiling der Kundenhistorien, Zusammenführung mit
Daten aus anderen Quellen) ausgewertet und verarbeitet werden, sind darauf bezogen
Einwilligungen der Kund*innen nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DS-GVO einzuholen.
Da dies eine Verarbeitung ist, die über die bloße Einrichtung und Führung eines
fortlaufenden Kund*innenkontos hinausgeht, ist diese nicht bereits durch eine
Einwilligung zur Einrichtung und Führung des fortlaufenden Kund*innenkontos abgedeckt.
Da Kund*innen, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen
geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese
Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie
Kreditkarten. Siehe dazu die Empfehlungen des EDSA 02/2021 zur Rechtsgrundlage für die 
Speicherung von Kreditkartendaten ausschließlich zum Zweck der Erleichterung weiterer
Online-Transaktionen.2

Wie lautet die wichtigste Aussage der DSK?

Viele Händler berufen sich derzeit darauf, dass der Kunde ja einwillige, bevor das Kundenkonto eröffnet wird (in der Regel durch das Betätigen einer entsprechenden Schaltfläche bzw. Anhaken einer Checkbox). Dadurch sei die Datenverarbeitung bei der Anlage des Kundenkontos gerechtfertigt.

Da eine Einwilligung im Rechtssinne aber nicht nur rein das tatsächliche Handeln des Kunden erfordert, sondern auch eine Freiwilligkeit dieses Handelns, geht die DSK davon aus, dass bei der Gestaltung des Bestellablauf ohne Gastbestellmöglichkeit mangels Freiwilligkeit die vom Kunden erteilte Einwilligung in die Eröffnung eines (dann ja zwingenden) Kundenkontos unwirksam ist. Denn der Kunde muss ja einwilligen, ein Kundenkonto zu eröffnen, will er in einem solchen Shop bestellen.

Mit anderen Worten: Auch wenn dann faktisch eine Einwilligung erfolgt ist, ist diese rechtlich mangels Freiwilligkeit nichts wert und juristisch nicht existent. In der Konsequenz würde die mit dem Kundenkonto verbundene Datenverarbeitung dann widerrechtlich (und somit rechtlich angreifbar) erfolgen!

Die DSK dazu im Detail:

"Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche
Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt,
müssen die Kund*innen im Online-Shop auch die gleichen Angebote auf anderem

gleichwertigen Wege als über das fortlaufende Kund*innenkonto bestellen können (vgl. Rn.
37 f. der Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 des Europäischen
Datenschutzausschusses vom 04.05.2020). Gleichwertig ist eine Bestellmöglichkeit, wenn
keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten,
wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und
technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes
Datenschutzniveau gewährleisten."

Neben der freiwilligen Einwilligung kämen als Rechtsgrundlagen für eine Datenverarbeitung im Rahmen eines Kundenkontos grundsätzlich auch noch die Vertragserfüllung nach Art. 6 Abs. 1 Buchstabe b) DSGVO und das berechtigte Interesse nach Art. 6 Abs. 1 Buchstabe f) DSGVO in Betracht.

Bei näherer Betrachtung scheiden aber neben einer Einwilligung bei „zwingender“ Kundenkontoanlage auch diese beiden Rechtsgrundlagen bei nahezu allen Konstellationen in der Praxis aus.

Was muss ich als Online-Händler nun also unternehmen?

Vorweg: Händler, die derzeit schon die Möglichkeit der Gastbestellung anbieten, haben dahingehend keinen Handlungsbedarf.

Angesichts des aktuellen DSK-Beschlusses wird die Luft für zwingende Kundenkonten jedoch dünn (davon ausgenommen sind Sonderkonstellationen, in denen die Einrichtung eines Kundenkontos zur Wahrung gesetzlicher Vorgaben zwingend ist, etwa bei abgabebeschränkten Waren nur für bestimme Berufsgruppen).

Damit muss jedem Händler geraten werden, sofern noch nicht der Fall, seinen Bestellablauf so umzugestalten, dass Kunden (auch) per Gastbestellung ordern können. Ausnahmen sind nur dann zu rechtfertigen, wenn zwingende (!) Gründe für die Anlage eines Kundenkontos bestehen.

Die meisten Shopsysteme unterstützen Gastbestellungen bereits, da eigentlich schon seit Geltung der DSGVO im Jahres 2018 absehbar gewesen ist, dass die Gastbestellung zum „Muss“ wird.

Der DSK-Beschluss hat zwar nur Empfehlungscharakter. Abmahner wie Verbände und Mitbewerber könnte die eindeutige Positionierung der DSK jedoch zum Anlass nehmen, abweichende Gestaltung von Bestellabläufen anzugreifen. Die besseren Gründe sprechen jedenfalls dafür, dass die Gerichte solche Gestaltungen als nicht datenschutzkonform und damit im Regelfall auch als abmahnfähig einstufen werden.

Sie möchten Ihren Internetauftritt nicht nur in wettbewerbsrechtlicher Hinsicht „sauber“ gestalten sondern legen auch Wert auf ein datenschutzkonformes Handeln? Wir unterstützen Sie gerne im Rahmen unserer Schutzpakete für Online-Händler und Betreiber von Internetpräsenzen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle:
Matej Kastelic / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Weitere News

LG München I: „Jetzt Mitglied werden“ ist unzulässige Beschriftung für Bestellbutton
(12.12.2023, 07:47 Uhr)
LG München I: „Jetzt Mitglied werden“ ist unzulässige Beschriftung für Bestellbutton
Frage des Tages: Kann auch eine Bestelleingangsbestätigung schon zum Vertrag führen?
(22.09.2023, 09:44 Uhr)
Frage des Tages: Kann auch eine Bestelleingangsbestätigung schon zum Vertrag führen?
AGB für Online-Shops: Was ist aus rechtlicher Sicht zu beachten?
(31.07.2023, 08:03 Uhr)
AGB für Online-Shops: Was ist aus rechtlicher Sicht zu beachten?
OLG Frankfurt a.M.: In Online-Shops muss das dritte Geschlecht als Anrede angeboten werden
(22.06.2022, 17:09 Uhr)
OLG Frankfurt a.M.: In Online-Shops muss das dritte Geschlecht als Anrede angeboten werden
Keine Speicherbarkeit der AGB = Verstoß gegen Informationspflicht!
(15.02.2022, 12:31 Uhr)
Keine Speicherbarkeit der AGB = Verstoß gegen Informationspflicht!
Diskriminierung durch nur zwei Geschlechteroptionen beim Shopping
(26.01.2022, 19:59 Uhr)
Diskriminierung durch nur zwei Geschlechteroptionen beim Shopping
© 2004-2024 · IT-Recht Kanzlei