Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang
Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat mit Beschluss vom 24.03.2022 Hinweise zur Datenminimierung im Onlinehandel veröffentlicht.
Worum geht es?
Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Die DSK weist darauf hin, dass Kund*innen im Onlinehandel, unabhängig von der Bereitstellung eines Kundenkontos auch die Möglichkeit haben sollen, über einen Gastzugang zu bestellen.
Laut DSK ist die Einrichtung eines dauerhaften Kundenkontos, mit wenigen Ausnahmen, nämlich nicht für die Vertragserfüllung erforderlich. Rechtsgrundlage für ein solches Kundenkonto kann demnach nur eine Einwilligung gem. Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO sein.
Die Einwilligung gilt gem. Art. 7 Abs. 4 DSGVO i.V.m. Erwägungsgrund 43 nicht als freiwillig erteilt, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Demnach darf die Bestellung im Onlinehandel (Vertragserfüllung) nicht von der Anlage eines dauerhaften Kundenkontos (Einwilligung) abhängig gemacht werden und eine gleichwertige Bestellmöglichkeit bzw. ein Gastzugang muss angeboten werden.
Ein Gastkonto verzichtet nicht nur auf Zugangsdaten (Benutzername/Passwort), sondern auch auf die fortlaufende Speicherung von Kundendaten und Bestellhistorie sowie weitere optionale Daten im produktiven Shopsystem.
Die Erfüllung von gesetzlichen Aufbewahrungspflichten im Zusammenhang mit einer Bestellung soll ohnehin in einem getrennten System (Sperrung) stattfinden.
Die Auswertung der Vertragshistorie für Werbezwecke sowie die fortgesetzte Speicherung der Zahlungsmittel kann ebenfalls nur mit informierter Einwilligung im Rahmen eines dauerhaften Kundenkontos erfolgen.
Die Unterscheidung zwischen Gastzugang und fortgesetztem (dauerhaften) Kundenkonto sowie die jeweils dafür anwendbare Rechtsgrundlage (Vertragserfüllung / Einwilligung) müssen den Kund*innen bei Erhebung der Daten in transparenter Weise dargestellt werden.
Neben den Informationspflichten gem. Art. 13 DSGVO muss die Einwilligung in ein dauerhaftes Kundenkonto, einschließlich der Auswertung der Vertragshistorie für Werbezwecke sowie der dauerhaften Speicherung von Zahlungsmitteln, in informierter Weise erfolgen.
Wen betrifft es?
Grundsätzlich ist jeder Verantwortliche, der Waren oder Dienstleistungen online anbietet, von diesem Beschluss betroffen.
Selbstverständlich gibt es Fälle, in denen ein dauerhaftes Kundenkonto Gegenstand des Vertrages und somit zur Vertragserfüllung erforderlich sein kann. Die DSK führt hier jedoch keine konkreten Beispiele an.
Handlungsempfehlung
Sofern Sie Waren oder Dienstleistungen online anbieten, empfehlen wir folgende Vorgehensweise:
- Prüfen Sie, ob Sie neben einem dauerhaften Kundenkonto bereits einen Gastzugang / Gastkonto anbieten.
- Falls Sie noch keinen Gastzugang oder alternative „Einmal-„Bestellmöglichkeiten anbieten, richten Sie diese ein.
- Stellen Sie sicher, dass alle personenbezogenen Daten im Rahmen der Gastbestellung ausschließlich für die Vertragserfüllung erforderlich sind.
- Stellen Sie sicher, dass alle Kunden- und Bestelldaten, insbesondere auch das genutzte Zahlungsmittel nach Abschluss der vertraglichen Beziehung (Vertragserfüllung Lieferung/Zahlung) nicht mehr im Shopsystem gespeichert sind.
- Stellen Sie sicher, dass aufbewahrungspflichtige Informationen (z.B. Rechnung, Lieferschein etc.) getrennt vom Shopsystem gespeichert werden.
- Stellen Sie sicher, dass vor der Anlage eines dauerhaften Kundenkontos die Einwilligung in informierter Weise erfolgt;
- Erläutern Sie den Unterschied zwischen der freiwilligen Anlage des Kundenkontos auf Grundlage der Einwilligung und der davon getrennten Vertragserfüllung;
- Erläutern Sie die Gleichwertigkeit von Kundenkonto und Gastzugang, ohne Auswirkung auf den Vertragsabschluss.
- Passen Sie die Datenschutzinformationen / Datenschutzhinweise in Ihrem Onlineshop an.
- Stellen Sie sicher, dass personenbezogene Daten der Betroffenen, die Ihre Einwilligung in ein dauerhaftes Kundenkonto widerrufen, nicht mehr im Shopsystem gespeichert werden. Für aufbewahrungspflichtige Informationen gilt ohnehin die getrennte Speicherung (s. 5.).
Beschluss im Volltext
Den Beschluss finden Sie als Volltext auf der Website der DSK unter diesem externen Link.