Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang

by|28. April 2022|Aktuelles

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat mit Beschluss vom 24.03.2022 Hinweise zur Datenminimierung im Onlinehandel veröffentlicht.

Worum geht es?

Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Die DSK weist darauf hin, dass Kund*innen im Onlinehandel, unabhängig von der Bereitstellung eines Kundenkontos auch die Möglichkeit haben sollen, über einen Gastzugang zu bestellen.

Laut DSK ist die Einrichtung eines dauerhaften Kundenkontos, mit wenigen Ausnahmen, nämlich nicht für die Vertragserfüllung erforderlich. Rechtsgrundlage für ein solches Kundenkonto kann demnach nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO sein.

Die Einwilligung gilt gem. Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Demnach darf die Bestellung im Onlinehandel (Vertragserfüllung) nicht von der Anlage eines dauerhaften Kundenkontos (Einwilligung) abhängig gemacht werden und eine gleichwertige Bestellmöglichkeit bzw. ein Gastzugang muss angeboten werden.

Ein Gastkonto verzichtet nicht nur auf Zugangsdaten (Benutzername/Passwort), sondern auch auf die fortlaufende Speicherung von Kundendaten und Bestellhistorie sowie weitere optionale Daten im produktiven Shopsystem.

Die Erfüllung von gesetzlichen Aufbewahrungspflichten im Zusammenhang mit einer Bestellung soll ohnehin in einem getrennten System (Sperrung) stattfinden.

Die Auswertung der Vertragshistorie für Werbezwecke sowie die fortgesetzte Speicherung der Zahlungsmittel kann ebenfalls nur mit informierter Einwilligung im Rahmen eines dauerhaften Kundenkontos erfolgen.

Die Unterscheidung zwischen Gastzugang und fortgesetztem (dauerhaften) Kundenkonto sowie die jeweils dafür anwendbare Rechtsgrundlage (Vertragserfüllung / Einwilligung) müssen den Kund*innen bei Erhebung der Daten in transparenter Weise dargestellt werden.

Neben den Informationspflichten gem. Art. 13 DSGVO muss die Einwilligung in ein dauerhaftes Kundenkonto, einschließlich der Auswertung der Vertragshistorie für Werbezwecke sowie der dauerhaften Speicherung von Zahlungsmitteln, in informierter Weise erfolgen.

Wen betrifft es?

Grundsätzlich ist jeder Verantwortliche, der Waren oder Dienstleistungen online anbietet, von diesem Beschluss betroffen.

Selbstverständlich gibt es Fälle, in denen ein dauerhaftes Kundenkonto Gegenstand des Vertrages und somit zur Vertragserfüllung erforderlich sein kann. Die DSK führt hier jedoch keine konkreten Beispiele an.

Handlungsempfehlung

Sofern Sie Waren oder Dienstleistungen online anbieten, empfehlen wir folgende Vorgehensweise:

  • Prüfen Sie, ob Sie neben einem dauerhaften Kundenkonto bereits einen Gastzugang / Gastkonto anbieten.
  • Falls Sie noch keinen Gastzugang oder alternative „Einmal-„Bestellmöglichkeiten anbieten, richten Sie diese ein.
  • Stellen Sie sicher, dass alle personenbezogenen Daten im Rahmen der Gastbestellung ausschließlich für die Vertragserfüllung erforderlich sind.
  • Stellen Sie sicher, dass alle Kunden- und Bestelldaten, insbesondere auch das genutzte Zahlungsmittel nach Abschluss der vertraglichen Beziehung (Vertragserfüllung Lieferung/Zahlung) nicht mehr im Shopsystem gespeichert sind.
  • Stellen Sie sicher, dass aufbewahrungspflichtige Informationen (z.B. Rechnung, Lieferschein etc.) getrennt vom Shopsystem gespeichert werden.
  • Stellen Sie sicher, dass vor der Anlage eines dauerhaften Kundenkontos die Einwilligung in informierter Weise erfolgt;
  • Erläutern Sie den Unterschied zwischen der freiwilligen Anlage des Kundenkontos auf Grundlage der Einwilligung und der davon getrennten Vertragserfüllung;
  • Erläutern Sie die Gleichwertigkeit von Kundenkonto und Gastzugang, ohne Auswirkung auf den Vertragsabschluss.
  • Passen Sie die Datenschutzinformationen / Datenschutzhinweise in Ihrem Onlineshop an.
  • Stellen Sie sicher, dass personenbezogene Daten der Betroffenen, die Ihre Einwilligung in ein dauerhaftes Kundenkonto widerrufen, nicht mehr im Shopsystem gespeichert werden. Für aufbewahrungspflichtige Informationen gilt ohnehin die getrennte Speicherung (s. 5.).

Beschluss im Volltext

Den Beschluss finden Sie als Volltext auf der Website der DSK unter diesem externen Link.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • 5 Jahre der Datenschutz-Grundverordnung25. Mai 2023 - 8:03

    Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.

  • Datenschutzkonforme Nutzung von ChatGPT – Ist das möglich?24. Mai 2023 - 0:00

    In den letzten Jahren hat sich Künstliche Intelligenz (KI) immer weiterverbreitet und wird zunehmend in verschiedenen Branchen und Anwendungen eingesetzt. Einer der neuesten KI-Anwendungen ist die KI-Chat-Technologie GPT („ChatGPT“) von der Firma OpenAI OpCo, LLC („Open AI“). ChatGPT ermöglicht es dem Nutzer, Fragen oder Aufgaben zu stellen, welche anschließend von der künstlichen Intelligenz beantwortet oder erledigt werden. Das kann etwa das Schreiben eines Artikels beinhalten, aber auch kreativere textbasierte Ideen, wie das Brainstormen von Firmennamen umfassen. Nicht nur für Privatpersonen, sondern auch für Unternehmen kann diese Technologie dementsprechend von Vorteil sein. So kann beispielsweise auch die Kommunikation mit Kunden verbessert und durch eine Automatisierung eine personalisierte und effektive Kundenbetreuung geboten werden

  • Künstliche Intelligenz und Datenschutz – Einführung24. Mai 2023 - 0:00

    Künstliche Intelligenz – Nicht umsonst findet dieser Begriff immer öfter seinen Raum sowohl in privaten als auch in öffentlichen Diskussionen.
    Doch was genau verbirgt sich hinter künstlicher Intelligenz eigentlich? Ist schon das Navi im Auto künstlich intelligent oder fängt eine solche Intelligenz doch erst bei neuen Entwicklungen, wie etwa bei ChatGPT oder ausgeklügelten Algorithmen an? Ist die künstliche Intelligenz eine Bedrohung oder eher eine Chance, die Zukunft besser zu gestalten?

  • Das Verzeichnis von Verarbeitungstätigkeiten11. Mai 2023 - 13:50

    Daten sind in der heutigen Zeit mit das wichtigste Gut – nicht nur für Tech-Giganten, sondern auch für den Großteil von kleineren Unternehmen spielen sie eine immer wichtigere Rolle. Nicht umsonst entflammen also immer wieder Diskussionen rund um das Thema personenbezogene Daten und deren Schutz: denn schließlich werden Tag ein, Tag aus Daten gesammelt, verkauft und missbraucht. Unternehmen tragen heutzutage folglich eine weitere Verantwortung; die des Schutzes der verarbeiteten Daten. Dafür muss eine Auseinandersetzung damit stattfinden, wie die Sicherheit dieser Daten gewährleistet werden kann. Einer der wichtigsten Schritte dafür, ist das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (nachfolgend „VVT“).

Schlagwörter

5 Jahre Abmahnwelle Algorithmen ChatGPT Datenminimierung Datenschutz Datenschutz-Grundverordnung Deep Learning Dominika Juszczyk DSK Beschluss E-Mail Extended Reality (XR)-Technologien Google Fonts IT-Sicherheit Kurzbeitrag Künstliche Intelligenz Machine Learning Natural Language Processing Patrick Vieregge PRev Rechnungen Verschlüsselung Verzeichnis von Verarbeitungstätigkeiten VVT Zoran Popovic Zukunft

Sichere KommunikationSichere KommunikationDas Versenden einer Rechnung per E-Mail