Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 24.03.2022 Hinweise für den Online-Handel mittels Gastzugang veröffentlicht.

Auch im Online-Handel gilt der Grundsatz der Datenminimierung nach Art. 5 Abs 1 c) DSGVO. Danach dürfen nur solche Daten erhoben werden, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Welche Daten zulässigerweise verarbeitet werden dürfen, hängt im Einzelfall davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Die Kunden müssen dabei jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und so als temporärer Gast geführt werden oder ob sie eine dauerhafte Geschäftsbeziehung eingehen wollen.

Die DSK hat hierfür folgende Hinweise veröffentlicht:

1. Neben der Möglichkeit der Erstellung und Nutzung eines fortlaufenden Kundenkontos muss den Kunden grundsätzlich auch die Möglichkeit eines Gastzugangs für eine Bestellung bereitgestellt werden. Nach Art. 6 Abs. 1 S. 1 b) DSGVO ist nur die Verarbeitung derjenigen personenbezogenen Daten zulässig, die für die Erfüllung eines einzelnen Vertrages erforderlich sind. Bei der Erstellung eines Kundenkontos werden jedoch zusätzliche Daten verarbeitet, wie etwa Benutzername und Passwort, sowie auch die Bestellhistorie. Weiterhin werden die Daten - anders als bei einem Gastzugang - über längere Zeiträume verarbeitet und gespeichert. Für die Einrichtung eines fortlaufenden Kundenkontos ist demnach eine bewusste Willenserklärung notwendig, sodass für Kunden, die eine solche Einwilligung ablehnen bzw. keine dauerhafte Geschäftsbeziehung eingehen wollen, ein Gastzugang ermöglicht werden muss.

2. Ohne einen Gastzugang bzw. eine gleichwertige Bestellmöglichkeit, kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden. Grund hierfür ist, dass damit eine für die Einrichtung eines fortlaufenden Kundenkontos erforderliche Einwilligung freiwillig ist (vgl. Art. 7 Abs. 4 DSGVO), die Kunden im Online-Handel auch die Möglichkeit haben sollen, die gleichen Angebote auf anderem gleichwertigen Weg als über ein fortlaufendes Kundenkonto zu bestellen.

3. Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung. Da dies eine Verarbeitung darstellt, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht, ist diese nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt. Da Kunden, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten.

4. Die verarbeiteten Daten müssen in einer für die Kunden transparenten Weise verarbeitet werden. Das heißt, dass die Verantwortlichen stets bei der erstmaligen Datenerhebung ihre Informationspflichten zu erfüllen haben. Sowohl für die Einwilligung gemäß Art. 7 DSGVO, als auch bei einer für die Vertragserfüllung erforderlichen Datenverarbeitung sind die Kunden in verständlicher Sprache über die Einzelheiten der Datenverarbeitung zu informieren.