Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang

by|28. April 2022|Aktuelles

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat mit Beschluss vom 24.03.2022 Hinweise zur Datenminimierung im Onlinehandel veröffentlicht.

Worum geht es?

Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Die DSK weist darauf hin, dass Kund*innen im Onlinehandel, unabhängig von der Bereitstellung eines Kundenkontos auch die Möglichkeit haben sollen, über einen Gastzugang zu bestellen.

Laut DSK ist die Einrichtung eines dauerhaften Kundenkontos, mit wenigen Ausnahmen, nämlich nicht für die Vertragserfüllung erforderlich. Rechtsgrundlage für ein solches Kundenkonto kann demnach nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO sein.

Die Einwilligung gilt gem. Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Demnach darf die Bestellung im Onlinehandel (Vertragserfüllung) nicht von der Anlage eines dauerhaften Kundenkontos (Einwilligung) abhängig gemacht werden und eine gleichwertige Bestellmöglichkeit bzw. ein Gastzugang muss angeboten werden.

Ein Gastkonto verzichtet nicht nur auf Zugangsdaten (Benutzername/Passwort), sondern auch auf die fortlaufende Speicherung von Kundendaten und Bestellhistorie sowie weitere optionale Daten im produktiven Shopsystem.

Die Erfüllung von gesetzlichen Aufbewahrungspflichten im Zusammenhang mit einer Bestellung soll ohnehin in einem getrennten System (Sperrung) stattfinden.

Die Auswertung der Vertragshistorie für Werbezwecke sowie die fortgesetzte Speicherung der Zahlungsmittel kann ebenfalls nur mit informierter Einwilligung im Rahmen eines dauerhaften Kundenkontos erfolgen.

Die Unterscheidung zwischen Gastzugang und fortgesetztem (dauerhaften) Kundenkonto sowie die jeweils dafür anwendbare Rechtsgrundlage (Vertragserfüllung / Einwilligung) müssen den Kund*innen bei Erhebung der Daten in transparenter Weise dargestellt werden.

Neben den Informationspflichten gem. Art. 13 DSGVO muss die Einwilligung in ein dauerhaftes Kundenkonto, einschließlich der Auswertung der Vertragshistorie für Werbezwecke sowie der dauerhaften Speicherung von Zahlungsmitteln, in informierter Weise erfolgen.

Wen betrifft es?

Grundsätzlich ist jeder Verantwortliche, der Waren oder Dienstleistungen online anbietet, von diesem Beschluss betroffen.

Selbstverständlich gibt es Fälle, in denen ein dauerhaftes Kundenkonto Gegenstand des Vertrages und somit zur Vertragserfüllung erforderlich sein kann. Die DSK führt hier jedoch keine konkreten Beispiele an.

Handlungsempfehlung

Sofern Sie Waren oder Dienstleistungen online anbieten, empfehlen wir folgende Vorgehensweise:

  • Prüfen Sie, ob Sie neben einem dauerhaften Kundenkonto bereits einen Gastzugang / Gastkonto anbieten.
  • Falls Sie noch keinen Gastzugang oder alternative „Einmal-„Bestellmöglichkeiten anbieten, richten Sie diese ein.
  • Stellen Sie sicher, dass alle personenbezogenen Daten im Rahmen der Gastbestellung ausschließlich für die Vertragserfüllung erforderlich sind.
  • Stellen Sie sicher, dass alle Kunden- und Bestelldaten, insbesondere auch das genutzte Zahlungsmittel nach Abschluss der vertraglichen Beziehung (Vertragserfüllung Lieferung/Zahlung) nicht mehr im Shopsystem gespeichert sind.
  • Stellen Sie sicher, dass aufbewahrungspflichtige Informationen (z.B. Rechnung, Lieferschein etc.) getrennt vom Shopsystem gespeichert werden.
  • Stellen Sie sicher, dass vor der Anlage eines dauerhaften Kundenkontos die Einwilligung in informierter Weise erfolgt;
  • Erläutern Sie den Unterschied zwischen der freiwilligen Anlage des Kundenkontos auf Grundlage der Einwilligung und der davon getrennten Vertragserfüllung;
  • Erläutern Sie die Gleichwertigkeit von Kundenkonto und Gastzugang, ohne Auswirkung auf den Vertragsabschluss.
  • Passen Sie die Datenschutzinformationen / Datenschutzhinweise in Ihrem Onlineshop an.
  • Stellen Sie sicher, dass personenbezogene Daten der Betroffenen, die Ihre Einwilligung in ein dauerhaftes Kundenkonto widerrufen, nicht mehr im Shopsystem gespeichert werden. Für aufbewahrungspflichtige Informationen gilt ohnehin die getrennte Speicherung (s. 5.).

Beschluss im Volltext

Den Beschluss finden Sie als Volltext auf der Website der DSK unter diesem externen Link.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)

Sichere KommunikationSichere KommunikationDas Versenden einer Rechnung per E-Mail