Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat mit Beschluss vom 24.03.2022 Hinweise zur Datenminimierung im Onlinehandel veröffentlicht.

Worum geht es?

Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Die DSK weist darauf hin, dass Kund*innen im Onlinehandel, unabhängig von der Bereitstellung eines Kundenkontos auch die Möglichkeit haben sollen, über einen Gastzugang zu bestellen.

Laut DSK ist die Einrichtung eines dauerhaften Kundenkontos, mit wenigen Ausnahmen, nämlich nicht für die Vertragserfüllung erforderlich. Rechtsgrundlage für ein solches Kundenkonto kann demnach nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO sein.

Die Einwilligung gilt gem. Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Demnach darf die Bestellung im Onlinehandel (Vertragserfüllung) nicht von der Anlage eines dauerhaften Kundenkontos (Einwilligung) abhängig gemacht werden und eine gleichwertige Bestellmöglichkeit bzw. ein Gastzugang muss angeboten werden.

Ein Gastkonto verzichtet nicht nur auf Zugangsdaten (Benutzername/Passwort), sondern auch auf die fortlaufende Speicherung von Kundendaten und Bestellhistorie sowie weitere optionale Daten im produktiven Shopsystem.

Die Erfüllung von gesetzlichen Aufbewahrungspflichten im Zusammenhang mit einer Bestellung soll ohnehin in einem getrennten System (Sperrung) stattfinden.

Die Auswertung der Vertragshistorie für Werbezwecke sowie die fortgesetzte Speicherung der Zahlungsmittel kann ebenfalls nur mit informierter Einwilligung im Rahmen eines dauerhaften Kundenkontos erfolgen.

Die Unterscheidung zwischen Gastzugang und fortgesetztem (dauerhaften) Kundenkonto sowie die jeweils dafür anwendbare Rechtsgrundlage (Vertragserfüllung / Einwilligung) müssen den Kund*innen bei Erhebung der Daten in transparenter Weise dargestellt werden.

Neben den Informationspflichten gem. Art. 13 DSGVO muss die Einwilligung in ein dauerhaftes Kundenkonto, einschließlich der Auswertung der Vertragshistorie für Werbezwecke sowie der dauerhaften Speicherung von Zahlungsmitteln, in informierter Weise erfolgen.

Wen betrifft es?

Grundsätzlich ist jeder Verantwortliche, der Waren oder Dienstleistungen online anbietet, von diesem Beschluss betroffen.

Selbstverständlich gibt es Fälle, in denen ein dauerhaftes Kundenkonto Gegenstand des Vertrages und somit zur Vertragserfüllung erforderlich sein kann. Die DSK führt hier jedoch keine konkreten Beispiele an.

Handlungsempfehlung

Sofern Sie Waren oder Dienstleistungen online anbieten, empfehlen wir folgende Vorgehensweise:

  • Prüfen Sie, ob Sie neben einem dauerhaften Kundenkonto bereits einen Gastzugang / Gastkonto anbieten.
  • Falls Sie noch keinen Gastzugang oder alternative „Einmal-„Bestellmöglichkeiten anbieten, richten Sie diese ein.
  • Stellen Sie sicher, dass alle personenbezogenen Daten im Rahmen der Gastbestellung ausschließlich für die Vertragserfüllung erforderlich sind.
  • Stellen Sie sicher, dass alle Kunden- und Bestelldaten, insbesondere auch das genutzte Zahlungsmittel nach Abschluss der vertraglichen Beziehung (Vertragserfüllung Lieferung/Zahlung) nicht mehr im Shopsystem gespeichert sind.
  • Stellen Sie sicher, dass aufbewahrungspflichtige Informationen (z.B. Rechnung, Lieferschein etc.) getrennt vom Shopsystem gespeichert werden.
  • Stellen Sie sicher, dass vor der Anlage eines dauerhaften Kundenkontos die Einwilligung in informierter Weise erfolgt;
  • Erläutern Sie den Unterschied zwischen der freiwilligen Anlage des Kundenkontos auf Grundlage der Einwilligung und der davon getrennten Vertragserfüllung;
  • Erläutern Sie die Gleichwertigkeit von Kundenkonto und Gastzugang, ohne Auswirkung auf den Vertragsabschluss.
  • Passen Sie die Datenschutzinformationen / Datenschutzhinweise in Ihrem Onlineshop an.
  • Stellen Sie sicher, dass personenbezogene Daten der Betroffenen, die Ihre Einwilligung in ein dauerhaftes Kundenkonto widerrufen, nicht mehr im Shopsystem gespeichert werden. Für aufbewahrungspflichtige Informationen gilt ohnehin die getrennte Speicherung (s. 5.).

Beschluss im Volltext

Den Beschluss finden Sie als Volltext auf der Website der DSK unter diesem externen Link.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • Am 27. März 2025 hat der Bundesgerichtshof (BGH) mit drei wegweisenden Urteilen (I ZR 186/17, I ZR 222/19, I ZR 223/19) die Verbraucherrechte gestärkt und klargestellt, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) auch als wettbewerbswidrige Handlungen einzustufen sind. Damit können künftig nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände und Mitbewerber Datenschutzverstöße zivilrechtlich verfolgen. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf Unternehmen und deren rechtliche Risikolage.

  • Ein ehemaliger, angestellter Werbetechniker klagte gegen seinen früheren Arbeitgeber auf Schadensersatz. Während des laufenden Arbeitsverhältnisses hatte der Arbeitgeber Fotos und Videos des Klägers zu Werbezwecken auf der Firmenwebsite verwendet. Nach seinem Wechsel zu einem direkten Wettbewerber im Mai 2019 forderte der Kläger die Entfernung dieser Bildaufnahmen. Der ehemalige Arbeitgeber kam dieser Aufforderung jedoch erst im Februar 2020 vollständig nach.

  • Ein Webdesigner hatte einen Zahnarzt per E-Mail auf angebliche DSGVO-Verstöße hingewiesen – verbunden mit einem kostenpflichtigen Dienstleistungsangebot. Als der Zahnarzt nicht reagierte, machte der Webdesigner Auskunfts- und Schadensersatzansprüche geltend (1.160,25 € für ein Gutachten seines Bruders).
    Das Amtsgericht Mainz (Urteil vom 27.03.2025 – Az. 88 C 200/24) wies die Klage ab: Das Vorgehen sei rechtsmissbräuchlich (§ 242 BGB). Der Kläger habe keine echte Betroffenheit i.S.d. DSGVO dargelegt, sondern den Datenschutz nur vorgeschoben, um Kunden zu akquirieren.
    Ein Auskunftsanspruch nach Art. 15 DSGVO sowie ein Schadenersatzanspruch nach Art. 82 DSGVO bestünden nicht. Auch das Gutachten sei unnötig und geschäftlich motiviert gewesen.

  • Das Bundesarbeitsgericht (Urteil vom 20.02.2025 – 8 AZR 61/24) hat entschieden: Eine verspätete Auskunft nach Art. 15 DSGVO reicht allein nicht aus, um immateriellen Schadenersatz nach Art. 82 DSGVO zu begründen.
    Im zugrunde liegenden Fall hatte ein Arbeitnehmer geklagt, weil sein früherer Arbeitgeber die Auskunft erst nach längerer Verzögerung erteilte. Er machte seelische Belastung und Kontrollverlust geltend. Das BAG wies die Klage ab: Ein Schaden müsse konkret dargelegt und bewiesen werden – bloßer Ärger oder abstrakte Sorgen genügen nicht.
    Damit folgt das BAG der strengen Linie des EuGH zur Auslegung von Art. 82 DSGVO

Schlagwörter