Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
1. Zunächst: Was sagt die DSGVO? Wann dürfen Daten verarbeitet werden?
2. Ist die Datenverarbeitung bei der Gastbestellung und beim Kundenkonto nicht dieselbe?
3. Welche Erlaubnistatbestände zieht die Datenschutzkonferenz in Betracht?
4. Wie muss eine Einwilligung eingeholt werden?
5. Muss in der Datenschutzerklärung informiert werden?
6. Was ist das Risiko bei Verstößen?
7. Unser Tipp
Vorangekreuzte Checkboxen, Schaltflächen, „Registrieren“-Buttons, Gastbestellungen und Kundenkonten. Die Gestaltungen, denen Neukunden in Online-Shops begegnen, sind vielfältig. Häufiger Einstieg: Neukundenregistrierung und dann Einkaufen. Wir schauen heute einmal genauer hin. Ist die Möglichkeit, als Gast zu bestellen, Pflicht in Online-Shops? Und wenn ja, warum? Gibt es bei der Erstellung eines Kundenkontos etwas zu beachten?
Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich mit diesen Fragen befasst und am 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Was die Datenschutzkonferenz zu Gastzugängen sagt und was daran kritisiert wird, zeigen wir Ihnen in unserem Tipp der Woche.
Nach der DSGVO gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass jede Datenverarbeitung zunächst grundsätzlich verboten ist, es sei denn, es gibt eine Erlaubnis des Betroffenen. Die verschiedenen Erlaubnistatbestände sind in Artikel 6 Abs. 1 DSGVO normiert. Stark verkürzt sind Datenverarbeitungen dann zulässig, wenn mindestens einer der folgenden Erlaubnistatbestände vorliegt:
Bei der Erstellung eines Kundenkontos muss also mindestens einer dieser Gründe vorliegen. Aber ist das bei der Gastbestellung nicht auch so?
Die Erstellung eines Kundenkontos bedeutet, dass die eingegebenen Daten des Kunden vom Online-Shop gespeichert werden. Bei einer reinen Gastbestellung dürfen die Daten im Rahmen der handels- und steuerrechtlichen Verpflichtungen aufbewahrt werden (Artikel 6 Abs. 1 c) DSGVO). Im Übrigen müssen die Daten nach der Vertragserfüllung gelöscht werden. Bei einer Gastbestellung ist die Datenerhebung notwendig für die Vertragserfüllung. Klar, ohne die Adresse kann das Paket nicht geliefert werden.
Die Datenspeicherung bei der Erstellung eines Kundenkontos geht hierüber hinaus: Die Kundendaten werden gespeichert, solange das Kundenkonto besteht. Und hierfür wird eine Erlaubnis aus der DSGVO benötigt.
Die Erstellung eines Kundenkontos ist für die Vertragserfüllung nicht notwendig (Art. 6 Abs. 1 b) DSGVO). Der Verantwortliche kann nach Ansicht der DSK nicht per se unterstellen, dass er Daten der Kundschaft für mögliche, aber ungewisse zukünftige Bestellungen auf Vorrat behalten darf. Bei Vorliegen besonderer Umstände im Einzelfall kann ein fortlaufendes Kundenkonto jedoch ausnahmsweise als für die Erfüllung des Vertrags erforderlich angesehen werden.
Eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Online-Shops (Art. 6 Abs. 1 c)) sowie lebenswichtige oder öffentliche Interessen (Art. 6 Abs. 1 d), e)) sind als Grund für die zwingende Erstellung eines Kundenkontos abwegig. Die DSK zieht sie gar nicht erst in Betracht.
Auch auf ein überwiegendes berechtigtes Interesse des Shops an der Erstellung eines Kundenkontos (Art. 6 Abs. 1 f)) als mögliche Rechtsgrundlage für die Datenverarbeitung geht die DSK nicht ein, stößt damit aber auf Kritik von Seiten der juristischen Literatur.
Die DSK fordert für die Errichtung eines fortlaufenden Kundenkontos eine entsprechende bewusste Willenserklärung, also eine Einwilligung des Betroffenen (Art. 6 Abs. 1 a) DSGVO).
Eine Einwilligung muss stets aktiv, freiwillig und informiert eingeholt werden. Das bedeutet, dass der Nutzer aktiv etwas tun muss, um einzuwilligen und dass er wissen muss, in was er einwilligt.
Aktive Handlung:
Ein Opt-Out genügt nicht. Häufig anzutreffen sind Gestaltungen mit vorangekreuzten Checkboxen oder Gestaltungen, bei denen der Nutzer aktiv ankreuzen muss, dass er kein Kundenkonto wünscht. Beide Gestaltungen genügen nicht den Anforderungen an eine aktive Einwilligung.
Freiwillige Einwilligung:
Der Nutzer darf nicht zur Erstellung eines Kundenkontos gezwungen werden. Für die Beurteilung, ob eine Einwilligung freiwillig erfolgt, ist es gem. Art. 7 Abs. 4 DSGVO maßgeblich, ob die Erfüllung des Vertrags von der Einwilligung in die Verarbeitung personenbezogener Daten, die nicht für die Vertragserfüllung erforderlich sind, abhängig gemacht wird.
Auf dieses sog. Kopplungsverbot stützt die DSK ihre Argumentation. Damit die für die Einrichtung eines fortlaufenden Kundenkontos erforderliche Einwilligung nicht gegen Art. 7 Abs. 4 DSGVO verstößt, muss die Kundschaft die Möglichkeit haben, im Online-Shop die gleichen Angebote auf anderem gleichwertigem Wege als über das Kundenkonto zu bestellen.
Eine Bestellmöglichkeit ist laut DSK gleichwertig, wenn keinerlei Nachteile für den Nutzer entstehen: Der Bestellaufwand und der Zugang zu diesen Möglichkeiten müssen also denen eines Kundenkontos entsprechen. Dies ist beim Gastzugang der Fall. Außerdem müssen technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.
Diese Ansicht teilt ein Teil der Literatur jedoch nicht. Die Datenschutzkonferenz lege Art. 7 Abs. 4 DSGVO zu streng aus. Zum anderen sei es bereits nicht richtig, von einer Einwilligungspflicht auszugehen. Würde man die Datenverarbeitung auf einen anderen Erlaubnistatbestand stützen – was möglich sei – käme Art. 7 Abs. 4 DSGVO gar nicht erst in Betracht.
Informierte Einwilligung:
Der Nutzer muss wissen, in was er einwilligt. Er muss mindestens wissen, wer der Verantwortliche der Datenverarbeitung ist und für welche Zwecke welche personenbezogenen Daten erhoben werden. Sollen in einem fortlaufenden Kundenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten für Werbezwecke verarbeitet werden, geht dies nach Ansicht der DSK über die Einrichtung und Führung eines Kundenkontos hinaus. Deshalb sind dann auch darauf bezogene Einwilligungen der Kunden einzuholen.
Auch ist die Literatur teils anderer Meinung und kritisiert die pauschale Einwilligungspflicht für Datenverarbeitungen zu Werbezwecken.
Ja, wenn der Nutzer ein Kundenkonto erstellen kann, müssen Sie in der Datenschutzerklärung entsprechend über die zugrundeliegenden Datenverarbeitungen informieren. Einen rechtskonformen Text können Sie mit dem Trusted Shops Rechtstexter erstellen.
Am 28. April 2022 entschied der EuGH, dass es den Mitgliedstaaten freistehe, den Verbraucherschutzverbänden eine Befugnis zu erteilen, gegen rechtswidrige Datenverarbeitungen vorzugehen. Zumindest Verbraucherschutzverbände dürfen daher DSGVO-Verstöße abmahnen. Ob auch Mitbewerbern solche Befugnisse zustehen, hat der EuGH nicht entschieden.
Auf der anderen Seite steht die mögliche Verfolgung durch die Datenschutzbehörden, zuvorderst die Gefahr von Bußgeldern. Auch hier kann ein Risiko nicht ausgeschlossen werden.
Obwohl die Hinweise der Datenschutzkonferenz umstritten sind, empfehlen wir Ihnen, Ihrer Kundschaft grundsätzlich die Möglichkeit zu geben, als Gast oder auf einem anderen gleichwertigen Wege zu bestellen. Wenn Sie in Ihrem Shop kein Kundenkonto anbieten: Kein Problem. Wenn es jedoch die Möglichkeit gibt, ein Konto zu erstellen, überprüfen Sie, ob die Einwilligung zur Erstellung des Kontos aktiv, informiert und freiwillig eingeholt wird. Im Rahmen des Legal Enterprise überprüfen wir, ob die Einwilligungen in Ihrem Bestellprozess sauber sind.
Update: Wir haben diesen Blogpost im August 2019 erstmals veröffentlicht und nun für Sie aktualisiert.
Frieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.
18.08.22
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.