Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat mit Beschluss vom 24.03.2022 Hinweise zur Datenminimierung im Onlinehandel veröffentlicht.

Worum geht es?

Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Die DSK weist darauf hin, dass Kund*innen im Onlinehandel, unabhängig von der Bereitstellung eines Kundenkontos auch die Möglichkeit haben sollen, über einen Gastzugang zu bestellen.

Laut DSK ist die Einrichtung eines dauerhaften Kundenkontos, mit wenigen Ausnahmen, nämlich nicht für die Vertragserfüllung erforderlich. Rechtsgrundlage für ein solches Kundenkonto kann demnach nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO sein.

Die Einwilligung gilt gem. Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.

Demnach darf die Bestellung im Onlinehandel (Vertragserfüllung) nicht von der Anlage eines dauerhaften Kundenkontos (Einwilligung) abhängig gemacht werden und eine gleichwertige Bestellmöglichkeit bzw. ein Gastzugang muss angeboten werden.

Ein Gastkonto verzichtet nicht nur auf Zugangsdaten (Benutzername/Passwort), sondern auch auf die fortlaufende Speicherung von Kundendaten und Bestellhistorie sowie weitere optionale Daten im produktiven Shopsystem.

Die Erfüllung von gesetzlichen Aufbewahrungspflichten im Zusammenhang mit einer Bestellung soll ohnehin in einem getrennten System (Sperrung) stattfinden.

Die Auswertung der Vertragshistorie für Werbezwecke sowie die fortgesetzte Speicherung der Zahlungsmittel kann ebenfalls nur mit informierter Einwilligung im Rahmen eines dauerhaften Kundenkontos erfolgen.

Die Unterscheidung zwischen Gastzugang und fortgesetztem (dauerhaften) Kundenkonto sowie die jeweils dafür anwendbare Rechtsgrundlage (Vertragserfüllung / Einwilligung) müssen den Kund*innen bei Erhebung der Daten in transparenter Weise dargestellt werden.

Neben den Informationspflichten gem. Art. 13 DSGVO muss die Einwilligung in ein dauerhaftes Kundenkonto, einschließlich der Auswertung der Vertragshistorie für Werbezwecke sowie der dauerhaften Speicherung von Zahlungsmitteln, in informierter Weise erfolgen.

Wen betrifft es?

Grundsätzlich ist jeder Verantwortliche, der Waren oder Dienstleistungen online anbietet, von diesem Beschluss betroffen.

Selbstverständlich gibt es Fälle, in denen ein dauerhaftes Kundenkonto Gegenstand des Vertrages und somit zur Vertragserfüllung erforderlich sein kann. Die DSK führt hier jedoch keine konkreten Beispiele an.

Handlungsempfehlung

Sofern Sie Waren oder Dienstleistungen online anbieten, empfehlen wir folgende Vorgehensweise:

  • Prüfen Sie, ob Sie neben einem dauerhaften Kundenkonto bereits einen Gastzugang / Gastkonto anbieten.
  • Falls Sie noch keinen Gastzugang oder alternative „Einmal-„Bestellmöglichkeiten anbieten, richten Sie diese ein.
  • Stellen Sie sicher, dass alle personenbezogenen Daten im Rahmen der Gastbestellung ausschließlich für die Vertragserfüllung erforderlich sind.
  • Stellen Sie sicher, dass alle Kunden- und Bestelldaten, insbesondere auch das genutzte Zahlungsmittel nach Abschluss der vertraglichen Beziehung (Vertragserfüllung Lieferung/Zahlung) nicht mehr im Shopsystem gespeichert sind.
  • Stellen Sie sicher, dass aufbewahrungspflichtige Informationen (z.B. Rechnung, Lieferschein etc.) getrennt vom Shopsystem gespeichert werden.
  • Stellen Sie sicher, dass vor der Anlage eines dauerhaften Kundenkontos die Einwilligung in informierter Weise erfolgt;
  • Erläutern Sie den Unterschied zwischen der freiwilligen Anlage des Kundenkontos auf Grundlage der Einwilligung und der davon getrennten Vertragserfüllung;
  • Erläutern Sie die Gleichwertigkeit von Kundenkonto und Gastzugang, ohne Auswirkung auf den Vertragsabschluss.
  • Passen Sie die Datenschutzinformationen / Datenschutzhinweise in Ihrem Onlineshop an.
  • Stellen Sie sicher, dass personenbezogene Daten der Betroffenen, die Ihre Einwilligung in ein dauerhaftes Kundenkonto widerrufen, nicht mehr im Shopsystem gespeichert werden. Für aufbewahrungspflichtige Informationen gilt ohnehin die getrennte Speicherung (s. 5.).

Beschluss im Volltext

Den Beschluss finden Sie als Volltext auf der Website der DSK unter diesem externen Link.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.

  • Bilderkennungstechnologien haben in den letzten Jahren enorme Fortschritte gemacht. Durch den Einsatz von künstlicher Intelligenz („KI“) und maschinellem Lernen sind Systeme entstanden, die in der Lage sind, Personen, Objekte und sogar Emotionen auf Fotos oder in Echtzeit-Videos zu erkennen. Während diese Technologien viele positive Anwendungen finden, wie zum Beispiel in der Medizin oder im Verkehrswesen, gibt es auch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Privatsphäre von Personen, welche durch solche Systeme identifiziert werden können. In diesem Beitrag wird erläutert, wie Bilderkennungstechnologien genutzt werden können, um Personen zu identifizieren, und welche Datenschutzprobleme damit verbunden sind.

  • Vertrauen braucht Konsistenz. Es wird durch viele Handlungen im Laufe der Zeit aufgebaut und bewahrt. Es erfordert ein echtes Interesse und sichtbare Beispiele.

  • Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.

Schlagwörter