Ihre Kontakte
Die Konferenz der deutschen Datenschutzbehörden (DSK) hat im März 2022 festgehalten, dass Online-Shop-Betreiber ihren Kunden grundsätzlich einen Gastzugang bereitstellen müssen. Mit anderen Worten muss nach der DSK eine Bestellung auch möglich sein, ohne ein Kundenkonto anzulegen. Begründet wird diese Haltung unter anderem mit dem Prinzip der Datenminimierung in der EU-Datenschutzgrundverordnung (DSGVO). Ausnahmen sollen nur in engen, aber leider nicht näher spezifizierten Grenzen möglich sein. Deshalb hat die Stellungnahme eine erhebliche praktische Reichweite und erfasst den gesamten «Online-Handel». Auch wenn das geltende und künftige Schweizer Datenschutzrecht im Ansatz etwas weniger streng ausgestaltet ist, wird die Beachtung der Stellungnahme und daher die Bereitstellung eines Gastzugangs auch für Schweizer Online-Shops oftmals empfehlenswert sein.
Neue Stellungnahme als Bekräftigung eines altbekannten Standpunkts
Die Frage, inwieweit in Online-Shops Gastbestellungen ermöglicht werden müssen, wird bereits seit vielen Jahren diskutiert. Dies gilt besonders für Deutschland, wo bereits vor der Anwendung der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 ein vergleichbar strenges Datenschutzrecht existierte. Die in der neuen Stellungnahme der Datenschutzkonferenz (DSK) enthaltenen Argumente sind im Wesentlichen die gleichen, wie sie bereits unter dem früheren deutschen Recht vorgebracht wurden.
Ein besonderer Anlass dafür, wieso die Stellungnahme veröffentlicht wurde, wird nicht genannt. Die DSK betrachtet das Kundenkonto aber als «regelmäßige Praxis» im Online-Handel. Für Shop-Betreiber erhält das Thema jedenfalls wieder zusätzliche Brisanz, indem die Standpunkte nun vom obersten Gremium der Datenschutzbehörden in Deutschland nochmals bekräftigt und publiziert wurden.
DSGVO verlangt Datenminimierung und Freiwilligkeit der Einwilligung
Die DSK verweist in ihrer kurzen Stellungnahme einerseits auf den Grundsatz der Datenminimierung. Dieser verlangt, dass die personenbezogenen Daten «dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein» müssen. Vereinfacht ausgedrückt dürfen deshalb nicht mehr Daten erhoben und weiterbearbeitet werden, als für den angestrebten Zweck nötig ist.
Die DSK nimmt ferner auch Bezug auf den Grundsatz der Rechtmässigkeit, wonach jede Datenverarbeitung auf einen Erlaubnistatbestand abgestützt sein muss. Einer dieser Erlaubnistatbestände ist die Einwilligung der betroffenen Person. Diese muss, wie die DSK betont, freiwillig erteilt werden, damit sie überhaupt gültig ist.
Übertragung auf die Bestellung in Online-Shops – Grundsatz des Gastzugangs
Ausgehend davon dürfen Shop-Betreiber nach Ansicht der DSK «nur die Daten erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.» In der (unstrukturiert aufgebauten) Stellungnahme wird zum Ausdruck gebracht, dass die Registrierungs- und Zugangsdaten (z.B. Benutzername und Passwort) nicht zu den erforderlichen Daten gerechnet werden. Damit verbunden dürfte auch der Hinweis der DSK auf den sogenannten «Erlaubnistatbestand Vertrag» sein. Dieser greift mitunter für Datenverarbeitungen, die zur Abwicklung eines Vertrags mit der betroffenen Person notwendig sind. Der Erlaubnistatbestand wird von den Datenschutz-Behörden sehr restriktiv interpretiert (vgl. dazu MLL-News vom 31.5.2019) und es überrascht deshalb nicht, dass die DSK diesen im Fall des Kundenkontos nicht greifen lassen will.
Als einschlägigen Erlaubnistatbestand für die Datenbearbeitungen zur Bereitstellung des Kundenkontos sieht die DSK folglich nur die Einwilligung. Für die Einrichtung eines fortlaufenden Kundenkontos ist folglich eine bewusste Willenserklärung der Kunden erforderlich. Daraus folgt gemäss Stellungnahme umgekehrt, dass für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von Daten ablehnen, die nicht zur Abwicklung eines einzelnen Geschäfts benötigt werden, regelmässig ein Gastzugang zu ermöglichen ist.
Gleichwertigkeit des Gastzugangs
Denn damit eine Einwilligung in die Bearbeitungen zum Betrieb des Kundenkontos gültig ist, müssen die Kunden gemäss DSK jeweils frei entscheiden können. Die Einwilligung muss demnach freiwillig sein. Dies ist nach Ansicht der DSK aber nur der Fall, wenn in Form eines Gastzugangs eine gleichwertige Bestellmöglichkeit besteht (vgl. zu diesem Thema des Koppelungsverbots auch: MLL-News vom 15.06.2020).
Gleichwertig ist eine Bestellmöglichkeit nach der sehr weitgehenden Auffassung dann, wenn «keinerlei Nachteile» entstehen. Mit anderen Worten wird Folgendes vorausgesetzt:
- der Bestellaufwand und Zugang zu diesen Möglichkeiten muss denen eines laufenden Kundenkontos entsprechen;
- es müssten technisch organisatorische Massnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten;
- es müssen die gleichen Angebote wie über das Kundenkonto bestellt werden können.
Weitere Anforderungen an die Einwilligung und Gastbestellungen
Die DSK betont weiter, dass für die Auswertung des Bestellverlaufs («Vertragshistorie») für Werbezwecke so wie die Speicherung Zahlungsmittel ebenfalls eine informierte Einwilligung notwendig ist. Diese Aspekte gehen über die blosse Einrichtung und Führung des Kontos hinaus und sind durch die Einwilligung in diese noch nicht abgedeckt. Inwieweit damit gesonderte Erklärungen der Kunden erforderlich sind, also z.B. durch den Klick auf verschiedene Checkboxen, führt die DSK jedoch nicht aus. Zentral ist für die Gültigkeit der Einwilligung aber auch die transparente und verständliche Information über die einzelnen Datenverarbeitungen, die mit dem Kundenkonto verbunden sind.
Bei Bestellungen mit dem Gastzugang sind gemäss der Stellungnahme nach der Vertragserfüllung alle nicht mehr benötigten Daten unverzüglich zu löschen. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, seien technisch-organisatorische Massnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).
Ausnahmen vom Grundsatz des Gastzugangs
Die DSK räumt schliesslich ein, dass Ausnahmen vom Grundsatz des Gastzugangs möglich sein können. Hierfür müssten im Einzelfall aber «besondere Umstände» vorliegen. Spezifiziert werden diese Umstände einzig mit der Ergänzung, so «z.B. für Fachhändler bei bestimmten Berufsgruppen». Für die Praxis ist damit allerdings kaum etwas gewonnen. Ergänzt wird in der Stellungnahme nur, dass auch in diesen Fällen dem Grundsatz der Datenminimierung Rechnung zu tragen sei, indem z.B. das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.
Fazit und Anmerkungen
In ihrer Stellungnahme erläutert die DSK einige zentrale datenschutzrechtliche Anforderungen rund um Bereitstellung von Kunden-Kontos in Online-Shops. Auch wenn die darin zum Ausdruck gebrachte Haltung nicht neu ist, geht sie potentiell sehr weit. Soll doch im gesamten, nicht näher spezifizierten «Online-Handel» generell ein Grundsatz des Gastzugangs gelten.
Die Stellungnahme ist in dieser Hinsicht auch unstrukturiert und unzureichend begründet. Zur Frage, inwieweit ein solcher Grundsatz mit der Wirtschafts- und Vertragsfreiheit der Händler im Einklang steht, wird darin nicht erläutert. So räumt die DSK zwar immerhin ein, dass Ausnahmen bestehen können. Diese werden jedoch nicht näher spezifiziert. Gerade auch mit Blick auf den in der Praxis wichtigen, aber noch konturlosen Grundsatz der Datenminimierung wären detailliertere Ausführungen angezeigt gewesen.
Unabhängig davon, ob man den Standpunkt der DSK teilt oder nicht, birgt es Risiken, sich über diesen hinweg zu setzen. Durch die jüngste Stellungnahme der DSK, immerhin das Gremium aller deutschen Datenschutzbehörden, werden diese bereits bekannten Risiken nochmals akzentuiert. Wer also im Online-Handel auf die Bereitstellung eines Gastzugangs verzichten und seine Kunden zur Eröffnung eines Kundenkontos zwingen will, sollte dies zuvor sorgfältig prüfen.
Dies gilt auch für sämtliche Schweizer Anbieter und zwar nicht nur solche, die aufgrund der Ausrichtung auf Kunden in der EU, namentlich in Deutschland, den Vorschriften der DSGVO unterstellt sind. Denn selbst wenn die massgeblichen Vorschriften im (geltenden und künftigen) Schweizer Datenschutzgesetz (DSG) im Ansatz weniger streng sind (vgl. zur DSG-Revision allgemein: MLL-News vom 19.10.2020), empfiehlt sich auch den übrigen Schweizer Online-Händlern eine gründliche Auseinandersetzung mit der Stellungnahme und den Risiken der Nichtbeachtung.
Weitere Informationen
- Beschluss der DSK: Datenschutzkonformer Online-Handel mittels Gastzugang (Stand 24. März 2022)
- MLL-News vom 31.5.2019: Europäischer Datenschutzausschuss veröffentlicht Leitlinien zur DSGVO-Rechtsgrundlage «Vertrag» bei Online-Dienstleistungen
- MLL-News vom 15.06.2020: EDSA Leitlinien zur Einwilligung nach der DSGVO – Cookie-Walls unzulässig
- MLL-News vom 19.10.2020: Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick