DSK zum Gastzugang Online-Handel – Bestellung ohne Kontoeröffnung muss möglich sein


Ihr Kontakt

Die Konferenz der deutschen Datenschutzbehörden (DSK) hat im März 2022 festgehalten, dass Online-Shop-Betreiber ihren Kunden grundsätzlich einen Gastzugang bereitstellen müssen. Mit anderen Worten muss nach der DSK eine Bestellung auch möglich sein, ohne ein Kundenkonto anzulegen. Begründet wird diese Haltung unter anderem mit dem Prinzip der Datenminimierung in der EU-Datenschutzgrundverordnung (DSGVO). Ausnahmen sollen nur in engen, aber leider nicht näher spezifizierten Grenzen möglich sein. Deshalb hat die Stellungnahme eine erhebliche praktische Reichweite und erfasst den gesamten «Online-Handel». Auch wenn das geltende und künftige Schweizer Datenschutzrecht im Ansatz etwas weniger streng ausgestaltet ist, wird die Beachtung der Stellungnahme und daher die Bereitstellung eines Gastzugangs auch für Schweizer Online-Shops oftmals empfehlenswert sein.

Neue Stellungnahme als Bekräftigung eines altbekannten Standpunkts

Die Frage, inwieweit in Online-Shops Gastbestellungen ermöglicht werden müssen, wird bereits seit vielen Jahren diskutiert. Dies gilt besonders für Deutschland, wo bereits vor der Anwendung der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 ein vergleichbar strenges Datenschutzrecht existierte. Die in der neuen Stellungnahme der Datenschutzkonferenz (DSK) enthaltenen Argumente sind im Wesentlichen die gleichen, wie sie bereits unter dem früheren deutschen Recht vorgebracht wurden.

Ein besonderer Anlass dafür, wieso die Stellungnahme veröffentlicht wurde, wird nicht genannt. Die DSK betrachtet das Kundenkonto aber als «regelmäßige Praxis» im Online-Handel. Für Shop-Betreiber erhält das Thema jedenfalls wieder zusätzliche Brisanz, indem die Standpunkte nun vom obersten Gremium der Datenschutzbehörden in Deutschland nochmals bekräftigt und publiziert wurden.

DSGVO verlangt Datenminimierung und Freiwilligkeit der Einwilligung

Die DSK verweist in ihrer kurzen Stellungnahme einerseits auf den Grundsatz der Datenminimierung. Dieser verlangt, dass die personenbezogenen Daten «dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein» müssen. Vereinfacht ausgedrückt dürfen deshalb nicht mehr Daten erhoben und weiterbearbeitet werden, als für den angestrebten Zweck nötig ist.

Die DSK nimmt ferner auch Bezug auf den Grundsatz der Rechtmässigkeit, wonach jede Datenverarbeitung auf einen Erlaubnistatbestand abgestützt sein muss. Einer dieser Erlaubnistatbestände ist die Einwilligung der betroffenen Person. Diese muss, wie die DSK betont, freiwillig erteilt werden, damit sie überhaupt gültig ist.

Übertragung auf die Bestellung in Online-Shops – Grundsatz des Gastzugangs

Ausgehend davon dürfen Shop-Betreiber nach Ansicht der DSK «nur die Daten erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.» In der (unstrukturiert aufgebauten) Stellungnahme wird zum Ausdruck gebracht, dass die Registrierungs- und Zugangsdaten (z.B. Benutzername und Passwort) nicht zu den erforderlichen Daten gerechnet werden. Damit verbunden dürfte auch der Hinweis der DSK auf den sogenannten «Erlaubnistatbestand Vertrag» sein. Dieser greift mitunter für Datenverarbeitungen, die zur Abwicklung eines Vertrags mit der betroffenen Person notwendig sind. Der Erlaubnistatbestand wird von den Datenschutz-Behörden sehr restriktiv interpretiert (vgl. dazu MLL-News vom 31.5.2019) und es überrascht deshalb nicht, dass die DSK diesen im Fall des Kundenkontos nicht greifen lassen will.

Als einschlägigen Erlaubnistatbestand für die Datenbearbeitungen zur Bereitstellung des Kundenkontos sieht die DSK folglich nur die Einwilligung. Für die Einrichtung eines fortlaufenden Kundenkontos ist folglich eine bewusste Willenserklärung der Kunden erforderlich. Daraus folgt gemäss Stellungnahme umgekehrt, dass für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von Daten ablehnen, die nicht zur Abwicklung eines einzelnen Geschäfts benötigt werden, regelmässig ein Gastzugang zu ermöglichen ist.

Gleichwertigkeit des Gastzugangs

Denn damit eine Einwilligung in die Bearbeitungen zum Betrieb des Kundenkontos gültig ist, müssen die Kunden gemäss DSK jeweils frei entscheiden können. Die Einwilligung muss demnach freiwillig sein. Dies ist nach Ansicht der DSK aber nur der Fall, wenn in Form eines Gastzugangs eine gleichwertige Bestellmöglichkeit besteht (vgl. zu diesem Thema des Koppelungsverbots auch: MLL-News vom 15.06.2020).

Gleichwertig ist eine Bestellmöglichkeit nach der sehr weitgehenden Auffassung dann, wenn «keinerlei Nachteile» entstehen. Mit anderen Worten wird Folgendes vorausgesetzt:

  • der Bestellaufwand und Zugang zu diesen Möglichkeiten muss denen eines laufenden Kundenkontos entsprechen;
  • es müssten technisch organisatorische Massnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten;
  • es müssen die gleichen Angebote wie über das Kundenkonto bestellt werden können.

Weitere Anforderungen an die Einwilligung und Gastbestellungen

Die DSK betont weiter, dass für die Auswertung des Bestellverlaufs («Vertragshistorie») für Werbezwecke so wie die Speicherung Zahlungsmittel ebenfalls eine informierte Einwilligung notwendig ist. Diese Aspekte gehen über die blosse Einrichtung und Führung des Kontos hinaus und sind durch die Einwilligung in diese noch nicht abgedeckt. Inwieweit damit gesonderte Erklärungen der Kunden erforderlich sind, also z.B. durch den Klick auf verschiedene Checkboxen, führt die DSK jedoch nicht aus. Zentral ist für die Gültigkeit der Einwilligung aber auch die transparente und verständliche Information über die einzelnen Datenverarbeitungen, die mit dem Kundenkonto verbunden sind.

Bei Bestellungen mit dem Gastzugang sind gemäss der Stellungnahme nach der Vertragserfüllung alle nicht mehr benötigten Daten unverzüglich zu löschen. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z.B. aus dem Handels- oder Steuerrecht, seien technisch-organisatorische Massnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung).

Ausnahmen vom Grundsatz des Gastzugangs

Die DSK räumt schliesslich ein, dass Ausnahmen vom Grundsatz des Gastzugangs möglich sein können. Hierfür müssten im Einzelfall aber «besondere Umstände» vorliegen. Spezifiziert werden diese Umstände einzig mit der Ergänzung, so «z.B. für Fachhändler bei bestimmten Berufsgruppen». Für die Praxis ist damit allerdings kaum etwas gewonnen. Ergänzt wird in der Stellungnahme nur, dass auch in diesen Fällen dem Grundsatz der Datenminimierung Rechnung zu tragen sei, indem z.B. das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.

Fazit und Anmerkungen

In ihrer Stellungnahme erläutert die DSK einige zentrale datenschutzrechtliche Anforderungen rund um Bereitstellung von Kunden-Kontos in Online-Shops. Auch wenn die darin zum Ausdruck gebrachte Haltung nicht neu ist, geht sie potentiell sehr weit. Soll doch im gesamten, nicht näher spezifizierten «Online-Handel» generell ein Grundsatz des Gastzugangs gelten.

Die Stellungnahme ist in dieser Hinsicht auch unstrukturiert und unzureichend begründet. Zur Frage, inwieweit ein solcher Grundsatz mit der Wirtschafts- und Vertragsfreiheit der Händler im Einklang steht, wird darin nicht erläutert. So räumt die DSK zwar immerhin ein, dass Ausnahmen bestehen können. Diese werden jedoch nicht näher spezifiziert. Gerade auch mit Blick auf den in der Praxis wichtigen, aber noch konturlosen Grundsatz der Datenminimierung wären detailliertere Ausführungen angezeigt gewesen.

Unabhängig davon, ob man den Standpunkt der DSK teilt oder nicht, birgt es Risiken, sich über diesen hinweg zu setzen. Durch die jüngste Stellungnahme der DSK, immerhin das Gremium aller deutschen Datenschutzbehörden, werden diese bereits bekannten Risiken nochmals akzentuiert. Wer also im Online-Handel auf die Bereitstellung eines Gastzugangs verzichten und seine Kunden zur Eröffnung eines Kundenkontos zwingen will, sollte dies zuvor sorgfältig prüfen.

Dies gilt auch für sämtliche Schweizer Anbieter und zwar nicht nur solche, die aufgrund der Ausrichtung auf Kunden in der EU, namentlich in Deutschland, den Vorschriften der DSGVO unterstellt sind. Denn selbst wenn die massgeblichen Vorschriften im (geltenden und künftigen) Schweizer Datenschutzgesetz (DSG) im Ansatz weniger streng sind (vgl. zur DSG-Revision allgemein: MLL-News vom 19.10.2020), empfiehlt sich auch den übrigen Schweizer Online-Händlern eine gründliche Auseinandersetzung mit der Stellungnahme und den Risiken der Nichtbeachtung.

Weitere Informationen


Artikel teilen



meistgelesen


Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 02/22 mit Beiträgen zur Revision des EU-Vertriebskartellrechts, zum EU-Data-Act, zu den neuen deutschen Vorschriften für den Einsatz von Cookies, der zukünftigen Nutzung von Google Analytics und zur Auslagerung von Personendaten.

Zugang MLL-News 02/22

Jetzt anmelden!

Unsere Geschichte

MLL ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL on Social Media

Folgen  Sie uns auf LinkedIn und Twitter.