Kundendaten im Online-Handel – Pflicht eines Gastzugangs und starke Tendenz zur Einwilligung
Online-Händler müssen den Kunden einen Gastzugang für Bestellungen zur Verfügung stellen. Dies hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einen Beschluss mit Hinweisen für den Online-Handel veröffentlicht. Die Einrichtung eines fortlaufenden Kundenkontos ist nur mit Einwilligung des Kunden zulässig. Möchte der Online-Händler die Bestell-Historie der Kunden auswerten, bedarf es hierzu einer (weiteren) Einwilligung. Gleiches gilt für die Speicherung von Zahlungsmitteldaten.
Kundenkonto in der Regel nur mit Einwilligung
Nach Ansicht der DSK darf der Online-Händler den Kunden in der Regel nur dann ein fortlaufendes Kundenkonto einrichten, wenn die Kunden hierzu eine Einwilligung erteilt haben. Die Datenverarbeitung im Rahmen des Kundenkontos kann aus Sicht der DSK in der Regel nicht auf die Durchführung eines Vertrags gestützt werden. Eine Ausnahme kann z. B. für Fachhändler bei bestimmten Berufsgruppen bestehen. Allerdings sei in diesen Fällen das Kundenkonto bei Inaktivität automatisiert nach einer kurzen Frist zu löschen.
Die Ansicht der DSK überrascht. Sie stellt einen erheblichen Einschnitt in die unternehmerische Freiheit des Online-Händlers dar. Dabei lassen die Hinweise eine vertiefte Auseinandersetzung mit den weiteren möglichen Rechtsgrundlagen für die Datenverarbeitung vermissen, insbesondere die Verarbeitung der personenbezogenen Daten zur Durchführung eines Plattform-Vertrags (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO). Bei registrierten Kunden kann unter Umständen ein von den einzelnen Kaufverträgen unabhängiger Plattformvertrag vorliegen. In dem Plattformvertrag kann der Online-Händler die geduldeten Verhaltensweisen der Kunden und seine Pflichten im Rahmen des Kundenkontos regeln.
Pflicht zur Bereitstellung eines Gastzugangs
Nach Ansicht der DSK sind Online-Händler zudem stets verpflichtet, ihren Kunden einen Gastzugang zur Verfügung stellen. Die Kunden müssten ohne Registrierungs- und Zugangsdaten wie Benutzername und Passwort Bestellungen aufgeben können. Die Bestellmöglichkeit über den Gastzugang müssten zudem gleichwertig sein. Das heißt, es dürfen dem Kunden der als Gast bestellt keinerlei Nachteile entstehen.
Die DSK begründet ihre Ansicht damit, dass die Einwilligung für das Kundenkonto nicht freiwillig sei, wenn der Kunde keine andere Wahl habe, als ein Kundenkonto anzulegen. Wie bereits gezeigt, kann aber durchaus argumentiert werden, dass die Verarbeitung der Kundenkontodaten auf die Rechtsgrundlage der Vertragsdurchführung gestützt werden kann. Leider lassen die Hinweise der DSK auch an dieser Stelle eine vertiefte Auseinandersetzung mit weiteren Rechtsgrundlagen missen. Dies ist sehr bedauerlich, insbesondere da die Pflicht zur Bereitstellung eines Gastzugangs erhebliche Auswirkungen auf die Online-Branche haben kann. Online-Händler haben ein hohes Interesse, die Kunden an den Online-Shop und damit an die Marke des Online-Händlers zu binden und die Angebote so genau wie möglich auf die Interessen des jeweiligen Kunden zuzuschneiden.
Auswertung der Bestell-Historie für Werbezwecke bedarf einer Einwilligung
Nach Ansicht der DSK darf die Bestell-Historie im Kundenkonto nur zu Werbezwecke ausgewertet werden (Profiling), wenn der Online-Händler hierfür eine zusätzliche Einwilligung einholt.
Richtig an der Ansicht ist, dass es Arten des Profilings gibt, die einer separaten Einwilligung bedürfen. Die Ansicht der DSK geht aber zu weit, wenn sie für jede Auswertung der Bestell-Historie zu Werbezwecken pauschal eine Einwilligung fordert. Es geht aber zu weit, wenn man für jegliche Auswertung der Bestellhistorie für Werbezwecke pauschal eine Einwilligung fordert. Hierbei wird auch übersehen, dass § 7 Abs. 3 UWG gerade die Möglichkeit sieht, Kunden auch ohne Einwilligung Werbung für ähnliche Waren oder Dienstleistungen per E-Mail zu schicken. Um Wertungswidersprüche zu vermeiden, wird in der Regel angenommen, dass ein berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO vorliegt, wenn die Voraussetzungen des § 7 Abs. 3 UWG erfüllt sind.
Keine Werbeansprache von Gastbestellern
Die DSK ist weiter der Ansicht, dass Kunden, die über einen Gastzugang bestellen in der Regel zu erkennen geben, dass sie eine Werbeansprache ablehnen.
Ausgehend von dieser Ansicht der DSK, könnten Online-Händler an Gastbesteller keine E-Mail-Werbung auf Grundlage des § 7 Abs. 3 UWG mehr senden, vielmehr wäre dies nur noch bei Vorliegen einer Einwilligung zulässig. Diese strenge Ansicht lässt sich nicht mit Erwägungsgrund 47 in Einklang bringen, nach welchem Unternehmer ein berechtigtes Interesse an der Datenverarbeitung zum Zwecke der Direktwerbung haben können.
Speicherung von Zahlungsdaten in der nur bei Einwilligung
Auch das Speichern von Informationen über das Zahlungsmittel ist nach Ansicht der DSK nur bei Vorliegen einer Einwilligung zulässig. Dies betrifft nicht nur die Zahlungsdaten als solche, sondern bereits die Information, welches Zahlungsmittel der Kunde verwendet hat, z. B. Kreditkarte oder Kauf auf Rechnung.
Die DSK behandelt die Speicherung der Zahlungsdaten gemeinsam mit der Verarbeitung der Bestellhistorie zu Werbezwecken. Die Aussage der DSK ist an dieser Stelle wiederum sehr knapp. Insbesondere bleibt offen, ob sich die Aussage lediglich auf die Speicherung im Kundenkonto oder insgesamt auf die Speicherung der Zahlungsdaten bezieht.
Handlungsbedarf
Die Hinweise der DSK sind nicht zwingendes Recht, sondern lediglich eine Empfehlung für die Praxis. Auch die Gerichte und Aufsichtsbehörden sind an die Beschlüsse der DSK nicht gebunden. In der Praxis sind die Hinweise der DSK auf erhebliche Kritik gestoßen. Gleichwohl haben die Aufsichtsbehörden bereits angekündigt, dass sie die Umsetzung der DSK Hinweise Unternehmen überprüfen werden. Online-Händler sollten sich daher detailliert mit den neuen Anforderungen auseinandersetzen und dies für den Fall einer behördlichen oder gerichtlichen Auseinandersetzung ausreichend dokumentieren.
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang (Stand 24. März 2022)