Gastbestellung: Pflicht oder nicht?

Vorangekreuzte Checkboxen, Schaltflächen, „Registrieren“-Buttons, Gastbestellungen und Kund*innenkonten. Die Gestaltungen, denen Neukund*innen in Online-Shops begegnen, sind vielfältig. Häufiger Einstieg: Neukundenregistrierung und dann Einkaufen.

Wir schauen heute einmal genauer hin. Ist die Möglichkeit, als Gast zu bestellen, Pflicht in Online-Shops? Und wenn ja, warum? Gibt es bei der Erstellung eines Kund*innenkontos etwas zu beachten? 

Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich mit diesen Fragen befasst und am 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Was die Datenschutzkonferenz zu Gastzugängen sagt und was daran kritisiert wird, verraten wir dir in unserem Tipp der Woche.

Zunächst: Was sagt die DSGVO? Wann dürfen Daten verarbeitet werden?

Nach der DSGVO gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Datenverarbeitung zunächst grundsätzlich verboten ist, es sei denn, es gibt eine Erlaubnis der Betroffenen. Die verschiedenen Erlaubnistatbestände sind in Artikel 6 Abs. 1 DSGVO normiert. Stark verkürzt sind Datenverarbeitungen dann zulässig, wenn mindestens einer der folgenden Erlaubnistatbestände vorliegt:

1. Einwilligung der Betroffenen
2. Verarbeitung ist zur Vertragserfüllung erforderlich
3. Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
4. Lebenswichtige Interessen
5. Öffentliches Interesse
6. Überwiegendes berechtigtes Interesse des Verarbeitenden

Bei der Erstellung eines Kund*innenkontos muss also mindestens einer dieser Gründe vorliegen. Aber ist das bei der Gastbestellung nicht auch so?

Ist die Datenverarbeitung bei der Gastbestellung und beim Kund*innenkonto nicht dieselbe?

Die Erstellung eines Kund*innenkontos bedeutet, dass die eingegebenen Daten der*des Kund*in vom Online-Shop gespeichert werden. Bei einer reinen Gastbestellung dürfen die Daten im Rahmen der handels- und steuerrechtlichen Verpflichtungen aufbewahrt werden (Artikel 6 Abs. 1 lit. c DSGVO). Im Übrigen müssen die Daten nach der Vertragserfüllung gelöscht werden. Bei einer Gastbestellung ist die Datenerhebung notwendig für die Vertragserfüllung. Klar, ohne die Adresse kann das Paket nicht geliefert werden.

Die Datenspeicherung bei der Erstellung eines Kund*innenkontos geht hierüber hinaus: Die Kund*innendaten werden gespeichert, solange das Konto besteht. Zudem müssen zusätzliche Login-Daten erhoben und gespeichert werden – hierfür wird eine Erlaubnis aus der DSGVO benötigt.

Welche Erlaubnistatbestände zieht die Datenschutzkonferenz in Betracht?

Die Erstellung eines Kund*innenkontos ist für die Vertragserfüllung nicht notwendig (Art. 6 Abs. 1 lit. b DSGVO). Verantwortliche können nach Ansicht der DSK nicht per se unterstellen, dass die Daten der Kundschaft für mögliche, aber ungewisse zukünftige Bestellungen auf Vorrat behalten werden dürfen. Bei Vorliegen besonderer Umstände im Einzelfall kann ein fortlaufendes Kund*innenkonto jedoch ausnahmsweise als für die Erfüllung des Vertrags erforderlich angesehen werden. 

Eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Online-Shops (Art. 6 Abs. 1 lit. c DSGVO) sowie lebenswichtige oder öffentliche Interessen (Art. 6 Abs. 1 lit. d, e DSGVO) sind als Grund für die zwingende Erstellung eines Kund*innenkontos abwegig. Die DSK zieht sie gar nicht erst in Betracht.

Auch auf ein überwiegendes berechtigtes Interesse des Shops an der Erstellung eines Kund*innenkontos (Art. 6 Abs. 1 lit. f DSGVO) als mögliche Rechtsgrundlage für die Datenverarbeitung geht die DSK nicht ein, stößt damit aber auf Kritik von Seiten der juristischen Literatur. 

Die DSK fordert für die Errichtung eines fortlaufenden Kund*innenkontos eine entsprechende bewusste Willenserklärung, also eine Einwilligung der Betroffenen (Art. 6 Abs. 1 lit. a DSGVO).

Wie muss eine Einwilligung eingeholt werden?

Eine Einwilligung muss stets aktiv, freiwillig und informiert eingeholt werden. Das bedeutet, dass Nutzende aktiv etwas tun müssen, um einzuwilligen und dass sie wissen müssen, in was sie einwilligen.

Aktive Handlung:

Ein Opt-Out genügt nicht. Häufig anzutreffen sind Gestaltungen mit vorangekreuzten Checkboxen oder Gestaltungen, bei denen Nutzende aktiv ankreuzen müssen, dass sie kein Kund*innenkonto wünschen. Beide Gestaltungen genügen nicht den Anforderungen an eine aktive Einwilligung.

Freiwillige Einwilligung:

Nutzende dürfen nicht zur Erstellung eines Kund*innenkontos gezwungen werden. Für die Beurteilung, ob eine Einwilligung freiwillig erfolgt, ist es gem. Art. 7 Abs. 4 DSGVO maßgeblich, ob die Erfüllung des Vertrags von der Einwilligung in die Verarbeitung personenbezogener Daten, die nicht für die Vertragserfüllung erforderlich sind, abhängig gemacht wird.

Auf dieses sog. Kopplungsverbot stützt die DSK ihre Argumentation. Damit die für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen Art. 7 Abs. 4 DSGVO verstößt, muss die Kundschaft die Möglichkeit haben, im Online-Shop die gleichen Angebote auf anderem gleichwertigem Wege als über das Kund*innenkonto zu bestellen. 

Eine Bestellmöglichkeit ist laut DSK gleichwertig, wenn keinerlei Nachteile für Nutzende entstehen: Der Bestellaufwand und der Zugang zu diesen Möglichkeiten müssen also denen eines Kund*innenkontos entsprechen. Dies ist beim Gastzugang der Fall. Außerdem müssen technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten. 

Diese Ansicht teilt ein Teil der Literatur jedoch nicht. Die Datenschutzkonferenz lege Art. 7 Abs. 4 DSGVO zu streng aus. Zum anderen sei es bereits nicht richtig, von einer Einwilligungspflicht auszugehen. Würde man die Datenverarbeitung auf einen anderen Erlaubnistatbestand stützen – was möglich sei – käme Art. 7 Abs. 4 DSGVO gar nicht erst in Betracht.

Informierte Einwilligung:

Nutzende müssen wissen, in was sie einwilligen. Sie müssen zumindest wissen, wer verantwortlich für die Datenverarbeitung ist und für welche Zwecke welche personenbezogenen Daten erhoben werden. Sollen in einem fortlaufenden Kund*innenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten für Werbezwecke verarbeitet werden, geht dies nach Ansicht der DSK über die Einrichtung und Führung eines Kund*innenkontos hinaus. Deshalb sind dann auch darauf bezogene Einwilligungen der Kundschaft einzuholen. 

Auch hier ist die Literatur teils anderer Meinung und kritisiert die pauschale Einwilligungspflicht für Datenverarbeitungen zu Werbezwecken.

Auffassung der Hamburger Aufsichtsbehörde und des LG Hamburg

In einer gerichtlichen Verhandlung des LG Hamburgs (Urteil vom 22.2.2024 – 327 O 250/22) wurde geurteilt, dass der beklagte Online-Marktplatz nicht zwingend einen Gastzugang anbieten muss. Im Zuge einer Befragung stellte die Hamburger Aufsichtsbehörde fest, dass bei einem großen Marktplatz mit tausenden angeschlossenen Dritthändlern das Kund*innenkonto ein zentrales Informationsportal darstellen kann, damit Betroffene ihre Bestellungen und Händlerinformationen nachvollziehen und können.

Der sonst durch den Marktplatz zu erbringende erhebliche Kommunikationsaufwand und die nahezu gleichen verarbeiteten Daten wie bei der Bestellung an sich seien Grund genug, dass in diesem Fall ein zwingend anzulegendes Kund*innenkonto rechtmäßig ist.

Insgesamt erscheint die doch sehr unternehmerfreundliche Einschätzung der Hamburger Aufsichtsbehörde in Teilen fraglich und für unsere Shopbetreiber*innen nicht einschlägig.

Weiterführende Inhalte zu dem Urteil findest du auch in unserem Shopbetreiber-Blog.

Muss in der Datenschutzerklärung informiert werden?

Ja, wenn Nutzende ein Kund*innenkonto erstellen können, muss in der Datenschutzerklärung entsprechend über die zugrundeliegenden Datenverarbeitungen informiert werden. Einen rechtskonformen Text kannst du mit dem Trusted Shops Rechtstexter erstellen.

Unser Tipp

Obwohl die Hinweise der Datenschutzkonferenz umstritten sind, empfehlen wir, der Kundschaft grundsätzlich die Möglichkeit zu geben, als Gast oder auf einem anderen gleichwertigen Wege zu bestellen. Auch um nicht auf dem Radar von Aufsichtsbehörden zu landen, die immer mal wieder Untersuchungen zu Gastzugängen durchführen und um sich vor möglichen Bußgeldern zu schützen, sollten Gastzugänge vorhanden sein.

Wenn in deinem Shop kein Kund*innenkonto angeboten wird: kein Problem. Wenn es jedoch die Möglichkeit gibt, ein Konto zu erstellen, überprüfe, ob die Einwilligung zur Erstellung des Kontos aktiv, informiert und freiwillig eingeholt wird. Im Rahmen des Produkts Legal Ultimate profitierest du von unserer datenschutzrechtlichen Beratung und wir prüfen, ob die Einwilligungen im Bestellprozess rechtmäßig eingeholt werden. 

Update: Wir haben diesen Blogbeitrag zuletzt im August 2022 veröffentlicht und im August 2025 aktualisiert.