News
Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufend geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.
I. Einwilligung für Erstellung eines Kundenkontos erforderlich
Dass die DSK von einer Pflicht zum Einholen einer Einwilligung für die Einrichtung eines Kundenkontos im Online-Shop ausgeht, wird an folgender Passage deutlich: „Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt (…)“.
Laut den Behörden müssen „besondere Umstände vorliegen“, damit für die Erstellung des Kontos „ausnahmsweise keine Einwilligung erforderlich ist“. Die vertragliche Erforderlichkeit gemäß Art. 6 Abs. 1 lit. b DSGVO sei bspw. für „Fachhändler bei bestimmten Berufsgruppen“ denkbar. Die Aussagen sind inhaltlich durchaus bemerkenswert. Denn wenn ein Online-Händler seinen Kunden ein Kundenkonto anbietet, kann er dies (entgegen der Behördenansicht) ohne Einwilligung auf Art. 6 Abs. 1 lit. b DSGVO stützen, sofern er einen Plattformvertrag mit seinen Kunden abschließt und für die Erfüllung dieses Vertrages die Datenverarbeitungen erforderlich sind.
Ein Plattformvertrag kann ganz unterschiedlich ausgestaltet sein. Solange er nicht gegen die allgemeinen Vorgaben für AGB verstößt, kann hierin auch detailliert beschrieben werden, zu welchen Handlungen ein Online-Shop-Anbieter verpflichtet ist. Im Plattformvertrag kann bspw. geregelt sein, dass der Anbieter das Kundenkonto mitsamt Stammdaten (Name, Adresse, Kontaktdaten etc.) und Bestellhistorie für Inhaber des Kundenkontos bereitstellen muss. In diesem Fall sind auch die hierfür erforderlichen Datenverarbeitungen ohne Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt. Es ist daher sicher diskutabel, warum die Behörden davon ausgehen, dass im Regelfall eine Einwilligung notwendig sei. Selbst wenn darüber hinaus weitere für die Erfüllung des Plattformvertrags nicht erforderliche Datenverarbeitungen vorgenommen werden sollen, kann neben einer Einwilligung auch noch die Interessenabwägung (die von der DSK überhaupt nicht erwähnt wird) nach Art. 6 Abs. 1 lit. f DSGVO Datenverarbeitungen rechtfertigen.
II. Pflicht zum Anbieten eines Gastzugangs
Eine Kernaussage des Beschlusses lautet, dass jeder Online-Händler seinen Kunden eine Möglichkeit zum Abschluss eines Vertrages ohne Einrichtung eines Kundenkontos anbieten muss. Es wäre nach Ansicht der DSK somit nicht zulässig, wenn ein Online-Händler ausschließlich Bestellmöglichkeiten für registrierte Nutzer anbieten würde.
Die DSK argumentiert:
„Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist (…) regelmäßig ein Gastzugang zu ermöglichen.“ (…) „Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt, müssen die Kund*innen im Online-Shop auch die gleichen Angebote auf anderem gleichwertigen Wege als über das fortlaufende Kund*innenkonto bestellen können.“
Dass ein Gastzugang laut der DSK verpflichtend anzubieten ist, hängt damit zusammen, dass die Behörden von einer Einwilligungspflicht für die Erstellung von Kundenkonten ausgehen. Es wird auf das sogenannte „Kopplungsverbot“ aus Art. 7 Abs. 4 DSGVO verwiesen. Dessen Existenz wird jedoch kontrovers diskutiert. Selbst unter den Vertretern der Ansicht, dass es ein solches Verbot überhaupt gibt, ist dessen Reichweite stark umstritten. Weil die DSK von einer Einwilligungspflicht ausgeht, gelangt sie zum Ergebnis, dass wegen der Vorgaben aus Art. 7 Abs. 4 DSGVO auch eine andere, gleichwertige Bestellmöglichkeit angeboten werden muss. Würde man die Datenverarbeitungen im Zusammenhang mit dem Kundenkonto auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO rechtfertigen, wäre Art. 7 Abs. 4 DSGVO von vornherein irrelevant. Schließlicht gilt diese Bestimmung nur in Fällen, in denen eine Einwilligung erteilt wird. Wenn Online-Händler sich der Argumentation unter 1. entgegen der Behördenansicht anschließen, müssen sie also auch im Einklang mit der Ansicht der DSK nicht wegen datenschutzrechtlicher Vorgaben einen Gastzugang immer als alternative Bestellmethode anbieten.
Selbst wenn man mit einer Einwilligung arbeiten würde, kann man Art. 7 Abs. 4 DSGVO auch so interpretieren, dass in dieser Vorschrift lediglich die bei der Abgabe einer Einwilligung erforderliche Freiwilligkeit betont wird. Bei diesem gut zu argumentierenden Verständnis, würde auch noch nicht „automatisch“ eine Pflicht zum Anbieten eines Gastzugangs aus dem Datenschutzrecht heraus entstehen.
III. Datennutzung für Werbezwecke nur mit Einwilligung
Zudem geht die DSK davon aus, dass im Zusammenhang mit einem Kauf im Online-Shop erhobene Daten für Werbezwecke nur mit einer Einwilligung verwendet werden dürfen. Laut dem Beschluss „kann ein fortlaufendes Kund*innenkonto eine Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur Profilbildung und für Werbezwecke ermöglicht.“ In dem Zusammenhang ist zu betonen, dass nicht ein Kundenkonto an sich solche Datenverarbeitungen „ermöglicht“, sondern der Umstand, dass die Daten beim Online-Händler vorhanden sind. Somit besteht diesbezüglich kein Unterschied zwischen einer Bestellung mit Gastzugang einerseits und mit einem Kundenkonto andererseits.
Im Beschluss geht die DSK pauschal davon aus, dass Datenverarbeitungen für Werbezwecke immer einer Einwilligung bedürfen. An der entsprechenden Stelle heißt es wie folgt: „Sollen in einem fortlaufenden Kund*innenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten, ggf. einschließlich der Vertragsdaten der Bestellungen, für Werbezwecke (Profiling der Kundenhistorien, Zusammenführung mit Daten aus anderen Quellen) ausgewertet und verarbeitet werden, sind darauf bezogen Einwilligungen (…) einzuholen.“
Die DSK erwähnt nicht, dass es in § 7 Abs. 3 UWG für die Nutzung von Daten zu Werbezwecken auch Ausnahmen vom Einwilligungserfordernis gibt. Sofern die Voraussetzungen von § 7 Abs. 3 UWG erfüllt sind, folgt daraus ggf. noch nicht „automatisch“, dass die Datenverarbeitung auch keiner Einwilligung bedarf. Wenn für die werbliche Ansprache aber keine Einwilligung aus dem UWG heraus erforderlich ist, dann kann man jedenfalls gut argumentieren, dass auch für die Datenverarbeitung keine Einwilligung erforderlich ist. In diesen Fällen wird die Datenverarbeitung häufig auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO vorgenommen. Es mag sein, dass manche Arten von Profiling der Kundenhistorien und der Zusammenführung mit Daten aus anderen Quellen auch eine Einwilligung erfordern. Das ändert jedoch nichts daran, dass der Ruf nach einer Einwilligung für Werbezwecke in seiner Pauschalität nicht richtig ist.
Bemerkenswert ist auch, dass die Nutzung eines Gastzugangs laut den Behörden auch immer implizieren soll, dass eine Ablehnung gegen Werbung geäußert wird. Diese Schlussfolgerung widerspricht aber der gesetzgeberischen Intention des § 7 Abs. 3 UWG zur Bestandskundenwerbung. Denn danach können auch Kunden, die etwa nur einmal ein Produkt erwerben, unter den in Abs. 3 genannten Voraussetzungen mit Werbung per E-Mail nachfolgend angesprochen werden.
IV. Speicherung von Zahlungsdaten nur mit Einwilligung
Im Beschluss wird die Speicherung von Kreditkartendaten in einem Zug mit dem Erhalt von Werbung genannt: „Da Kund*innen, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten.“
Aus der Aussage wird nicht ganz klar, worauf sich die DSK bezieht. Geht es um die Speicherung der Daten an sich beim Online-Händler oder geht es darum, dass man bei einer erneuten Bestellung mit einem Gastzugang die Kreditkarten-Daten hinterlegt und dem Bestellenden anzeigt? Die zweite Option ist zumindest in der Praxis unüblich. Wenn jemand mit einem Gastzugang bestellt, dann wird bei einer erneuten Bestellung über den Gastzugang wohl eher nicht die schon einmal verwendete Kreditkarte wieder angezeigt. Würde die DSK sich auf die Speicherung von Zahlungsdaten allgemein beziehen, so ist nicht verständlich, warum dafür wieder nur eine Einwilligung die einzige Option sein soll. Schließlich sind alle Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO gleichrangig. Die Einwilligung ist nicht privilegiert und nicht höherwertiger.
V. Aussagen zu Informationspflichten
Zudem befasst sich die DSK mit Informationspflichten, die unter „4.“ thematisiert werden. Es ist vollkommen richtig, dass bei einer Einwilligung im besonderen Umfang informiert werden muss und dass auch bei Nutzung einer anderen Rechtsgrundlage Informationspflichten bestehen.
VI. Zusammenfassende Aussagen
Der Hang der Datenschutzbehörden zur Einwilligung und die Betonung dieser Rechtsgrundlage als in einer Art und Weise „höherwertigere“ Rechtsgrundlage ist sicher diskutabel. Von außen ist es schwer verständlich, warum die DSK sich dazu entschieden hat, den Beschluss in der konkreten Form zu fassen. Die Aussagen der Behörden werden wahrscheinlich nicht von vielen Datenschutzrecht‘lern geteilt und könnten in Zukunft, bei einer entsprechenden Durchsetzung der Vorgaben durch die Behörden, zu streitigen Auseinandersetzungen führen.
News
Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 03/2023) wurde der Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Wichtige Entscheidung der Vergabekammer des Bundeskartellamtes - Neue Argumente für den zulässigen Einsatz von EU-Tochtergesellschaften US-amerikanischer Unternehmen
Im letzten Jahr hatte die Entscheidung der Vergabekammer Baden-Württemberg zur Gleichsetzung einer theoretischen Zugriffsmöglichkeit bzw. des Zugriffsrisikos aus einem Drittland (z.B. den USA) mit einer Datenübermittlung im Sinne der DSGVO für Diskussionen gesorgt.
Dr. Carlo Piltz erneut als einer der führenden Namen in der aktuellen Ausgabe des Legal 500 Deutschland erwähnt
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland erneut unter den führenden Namen im Bereich Datenschutz vertreten ist.
Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?
Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission).
Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO
Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt.
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.