Unternehmensführung / Datenschutz – Beschluss der DSK zum datenschutzkonformen Online-Handel mittels Gastzugang
Die Datenschutzkonferenz (DSK) hat sich in einem aktuellen Beschluss vom 24.03.2022 dazu geäußert, was nach deren Ansicht bei einem datenschutzkonformen Online-Handel zu beachten ist.
1. Wirkung von DSK-Beschlüssen
Die DSK ist ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Dabei haben die Stellungnahmen der DSK (wie z.B. der vorgenannte Beschluss) zwar keine bindende Wirkung für die Gerichte und zuständigen Aufsichtsbehörden. Trotzdem ist u.a. eine einheitliche Anwendung des Datenschutzrechts in Deutschland das Ziel der DSK, so dass Äußerungen der DSK einerseits richtungsweisend für die Entwicklung des nationalen Datenschutzrechts sind und andererseits bei den Unternehmen im Rahmen des Datenschutzes Beachtung finden sollten.
2. Gastzugang im Onlinehandel für den lediglich einmaligen Abschluss eines Vertrags
Nach eben diesem aktuellen DSK-Beschluss muss von Unternehmen mit einem Online-Handel insbesondere sichergestellt werden, dass ein Zugang zum Online-Shop nicht nur mittels eines registrierten Nutzungszugangs sondern auch mittels eines Gastzugangs möglich ist. Denn auch im Online-Handel gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO), sind auch dort nur solche Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.
Die zulässige Verarbeitung der personenbezogenen Daten hängt im Einzelfall vor allem auch davon ab, ob Kunden nur einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dies ist nach Auffassung der DSK jedoch nur möglich, wenn Kunden frei entscheiden können, ob sie ihre Daten für jede Bestellung erneut eingeben wollen und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie zur Begründung einer dauerhaften Geschäftsbeziehung bereit sind – verbunden mit einem fortlaufenden Kundenkonto.
Zum Online-Handel sind der DSK-Beschluss folgende interessante datenschutzrechtliche Hintergrundinformationen zu entnehmen:
a) Online-Handel mit fortlaufendem Kundenkonto
Im Online-Handel wird das „fortlaufende Kundenkonto“ regelmäßig unter Vergabe von Zugangsdaten
(z.B. Benutzername/Passwort) eingerichtet, um sich gegenüber dem Verantwortlichen eindeutig zu identifizieren. Kunden können damit im Rahmen eines aktiven Zugriffs ihre Daten selbst ändern oder Bestellungen prüfen. Vor allem dienen solche im Aktivdatenbestand geführten fortlaufenden Kundenkonten auch zur vereinfachten wiederkehrenden Bestellmöglichkeit ohne Neueingabe aller personenbezogenen Daten. Ebenso ist eine Auswertung der Daten zur Profilbildung und für Werbezwecke möglich, wenn eine Bestell- oder Geschäftshistorie für dieses Konto vorgesehen ist. Insoweit kann der Online-Unternehmer bei einer erstmaligen Bestellung nämlich nicht von einer grundsätzlichen Erlaubnis des Kunden gem. Art. 6 Abs. 1 b) DS-GVO ausgehen, dass dessen Kundendaten auf Vorrat für ungewisse zukünftige Geschäfte vorgehalten werden dürfen. Vielmehr ist für ein fortlaufendes Kundenkonto eine bewusste Willenserklärung des Kunden erforderlich.
b) Zugang zum Online-Shop mittels Gastkonto
Für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z.B. Benutzername/Passwort) für eine erneute Nutzung. Vielmehr dürfen über den Gastzugang nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Kunden erfasst werden. Dagegen ist dort ein Datenzugriff des Kunden oder das Hinzuspeichern weiterer Daten nicht vorgesehen. Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 a) DS-GVO unverzüglich gelöscht werden. Schließlich müssen technisch-organisatorische Maßnahmen zur Trennung von Daten aus dem operativen Zugriff (Datensperrung) ergriffen werden, wenn gewisse Daten bei einem Gastzugang noch im Rahmen spezialgesetzlicher Aufbewahrungsplichten (z.B. aus dem Handels- oder Steuerrecht) verarbeitet werden müssen.
3. Schlussfolgerungen für den Datenschutz beim Online-Handel
Aus den vorstehenden Grundsätzen zum Online-Handel leitet die DSK folgende grundlegenden Folgen bzw. Grundsätze ab:
- Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kunden unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen.
- Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit (d.h. keinerlei Nachteile ggü. Kundenkonto) kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
- Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke sowie die Speicherung von Informationen über Zahlungsmittel bedürfen einer gesonderten informierten Einwilligung. Denn eine solche Verarbeitung geht über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinaus. Insbesondere gilt dies für das Speichern etwaiger Zahlungsmittel (z.B. Kreditkarten).
- Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kunden transparenten Weise verarbeitet werden. Über die für die Vertragserfüllung erforderliche Datenverarbeitung sind Kunden in verständlicher Sprache und in den notwendigen Einzelheiten zu informieren.
4. Fazit
Kfz-Unternehmen mit einem eigenen Online-Handel bzw. Online-Shop sollten den aktuellen DSK-Beschluss zum „Gastzugang im Online-Handel“ kennen. Nach Meinung der obersten deutschen Aufsichtsbehörden müssen Online-Shops ihren Kunden neben einem fortlaufenden Kundenkonto auch die Bestellmöglichkeit über einen Gastzugang ermöglichen.
Insoweit müssen solche Kfz-Unternehmen mit einem Online-Shop selbst entscheiden, ob sie in Übereinstimmung mit der Verwaltungsauffassung absolut datenschutzkonform agieren wollen und ggf. Gastzugänge neu einrichten oder ob sie möglicherweise wirtschaftlich begründet mit der Einrichtung von Gastzugängen warten, bis die Behördenentscheidungen gerichtlich bestätigt werden.