News

Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufend geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.

I. Einwilligung für Erstellung eines Kundenkontos erforderlich

Dass die DSK von einer Pflicht zum Einholen einer Einwilligung für die Einrichtung eines Kundenkontos im Online-Shop ausgeht, wird an folgender Passage deutlich: „Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt (…)“.

Laut den Behörden müssen „besondere Umstände vorliegen“, damit für die Erstellung des Kontos „ausnahmsweise keine Einwilligung erforderlich ist“. Die vertragliche Erforderlichkeit gemäß Art. 6 Abs. 1 lit. b DSGVO sei bspw. für „Fachhändler bei bestimmten Berufsgruppen“ denkbar. Die Aussagen sind inhaltlich durchaus bemerkenswert. Denn wenn ein Online-Händler seinen Kunden ein Kundenkonto anbietet, kann er dies (entgegen der Behördenansicht) ohne Einwilligung auf Art. 6 Abs. 1 lit. b DSGVO stützen, sofern er einen Plattformvertrag mit seinen Kunden abschließt und für die Erfüllung dieses Vertrages die Datenverarbeitungen erforderlich sind.

Ein Plattformvertrag kann ganz unterschiedlich ausgestaltet sein. Solange er nicht gegen die allgemeinen Vorgaben für AGB verstößt, kann hierin auch detailliert beschrieben werden, zu welchen Handlungen ein Online-Shop-Anbieter verpflichtet ist. Im Plattformvertrag kann bspw. geregelt sein, dass der Anbieter das Kundenkonto mitsamt Stammdaten (Name, Adresse, Kontaktdaten etc.) und Bestellhistorie für Inhaber des Kundenkontos bereitstellen muss. In diesem Fall sind auch die hierfür erforderlichen Datenverarbeitungen ohne Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt. Es ist daher sicher diskutabel, warum die Behörden  davon ausgehen, dass im Regelfall eine Einwilligung notwendig sei. Selbst wenn darüber hinaus weitere für die Erfüllung des Plattformvertrags nicht erforderliche Datenverarbeitungen vorgenommen werden sollen, kann neben einer Einwilligung auch noch die Interessenabwägung (die von der DSK überhaupt nicht erwähnt wird) nach Art. 6 Abs. 1 lit. f DSGVO Datenverarbeitungen rechtfertigen.

II. Pflicht zum Anbieten eines Gastzugangs

Eine Kernaussage des Beschlusses lautet, dass jeder Online-Händler seinen Kunden eine Möglichkeit zum Abschluss eines Vertrages ohne Einrichtung eines Kundenkontos anbieten muss. Es wäre nach Ansicht der DSK somit nicht zulässig, wenn ein Online-Händler ausschließlich Bestellmöglichkeiten für registrierte Nutzer anbieten würde.

Die DSK argumentiert:

Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist (…) regelmäßig ein Gastzugang zu ermöglichen.“ (…) „Damit eine für die Einrichtung eines fortlaufenden Kund*innenkontos erforderliche Einwilligung nicht gegen die in Art. 7 Abs. 4 DS-GVO erwähnte Konditionalität verstößt, müssen die Kund*innen im Online-Shop auch die gleichen Angebote auf anderem gleichwertigen Wege als über das fortlaufende Kund*innenkonto bestellen können.“

Dass ein Gastzugang laut der DSK verpflichtend anzubieten ist, hängt damit zusammen, dass die Behörden von einer Einwilligungspflicht für die Erstellung von Kundenkonten ausgehen. Es wird auf das sogenannte „Kopplungsverbot“ aus Art. 7 Abs. 4 DSGVO verwiesen. Dessen Existenz wird jedoch kontrovers diskutiert. Selbst unter den Vertretern der Ansicht, dass es ein solches Verbot überhaupt gibt, ist dessen Reichweite stark umstritten. Weil die DSK von einer Einwilligungspflicht ausgeht, gelangt sie zum Ergebnis, dass wegen der Vorgaben aus Art. 7 Abs. 4 DSGVO auch eine andere, gleichwertige Bestellmöglichkeit angeboten werden muss. Würde man die Datenverarbeitungen im Zusammenhang mit dem Kundenkonto auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO rechtfertigen, wäre Art. 7 Abs. 4 DSGVO von vornherein irrelevant. Schließlicht gilt diese Bestimmung nur in Fällen, in denen eine Einwilligung erteilt wird. Wenn Online-Händler sich der Argumentation unter 1. entgegen der Behördenansicht anschließen, müssen sie also auch im Einklang mit der Ansicht der DSK nicht wegen datenschutzrechtlicher Vorgaben einen Gastzugang immer als alternative Bestellmethode anbieten.

Selbst wenn man mit einer Einwilligung arbeiten würde, kann man Art. 7 Abs. 4 DSGVO auch so interpretieren, dass in dieser Vorschrift lediglich die bei der Abgabe einer Einwilligung erforderliche Freiwilligkeit betont wird. Bei diesem gut zu argumentierenden Verständnis, würde auch noch nicht „automatisch“ eine Pflicht zum Anbieten eines Gastzugangs aus dem Datenschutzrecht heraus entstehen.

III. Datennutzung für Werbezwecke nur mit Einwilligung

Zudem geht die DSK davon aus, dass im Zusammenhang mit einem Kauf im Online-Shop erhobene Daten für Werbezwecke nur mit einer Einwilligung verwendet werden dürfen. Laut dem Beschluss „kann ein fortlaufendes Kund*innenkonto eine Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur Profilbildung und für Werbezwecke ermöglicht.“ In dem Zusammenhang ist zu betonen, dass nicht ein Kundenkonto an sich solche Datenverarbeitungen „ermöglicht“, sondern der Umstand, dass die Daten beim Online-Händler vorhanden sind. Somit besteht diesbezüglich kein Unterschied zwischen einer Bestellung mit Gastzugang einerseits und mit einem Kundenkonto andererseits.

Im Beschluss geht die DSK pauschal davon aus, dass Datenverarbeitungen für Werbezwecke immer einer Einwilligung bedürfen. An der entsprechenden Stelle heißt es wie folgt: „Sollen in einem fortlaufenden Kund*innenkonto die über die Kontaktdaten hinausgehenden personenbezogenen Daten, ggf. einschließlich der Vertragsdaten der Bestellungen, für Werbezwecke (Profiling der Kundenhistorien, Zusammenführung mit Daten aus anderen Quellen) ausgewertet und verarbeitet werden, sind darauf bezogen Einwilligungen (…) einzuholen.“

Die DSK erwähnt nicht, dass es in § 7 Abs. 3 UWG für die Nutzung von Daten zu Werbezwecken auch Ausnahmen vom Einwilligungserfordernis gibt. Sofern die Voraussetzungen von § 7 Abs. 3 UWG erfüllt sind, folgt daraus ggf. noch nicht „automatisch“, dass die Datenverarbeitung auch keiner Einwilligung bedarf. Wenn für die werbliche Ansprache aber keine Einwilligung aus dem UWG heraus erforderlich ist, dann kann man jedenfalls gut argumentieren, dass auch für die Datenverarbeitung keine Einwilligung erforderlich ist. In diesen Fällen wird die Datenverarbeitung häufig auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO vorgenommen. Es mag sein, dass manche Arten von Profiling der Kundenhistorien und der Zusammenführung mit Daten aus anderen Quellen auch eine Einwilligung erfordern. Das ändert jedoch nichts daran, dass der Ruf nach einer Einwilligung für Werbezwecke in seiner Pauschalität nicht richtig ist.

Bemerkenswert ist auch, dass die Nutzung eines Gastzugangs laut den Behörden auch immer implizieren soll, dass eine Ablehnung gegen Werbung geäußert wird. Diese Schlussfolgerung widerspricht aber der gesetzgeberischen Intention des § 7 Abs. 3 UWG zur Bestandskundenwerbung. Denn danach können auch Kunden, die etwa nur einmal ein Produkt erwerben, unter den in Abs. 3 genannten Voraussetzungen mit Werbung per E-Mail nachfolgend angesprochen werden.

IV. Speicherung von Zahlungsdaten nur mit Einwilligung

Im Beschluss wird die Speicherung von Kreditkartendaten in einem Zug mit dem Erhalt von Werbung genannt: „Da Kund*innen, die einen Gastzugang wählen, damit regelmäßig zugleich zu erkennen geben, dass sie eine Werbeansprache ablehnen, ist eine andere Rechtsgrundlage für diese Datennutzung nicht ersichtlich. Gleiches gilt für das Speichern etwaiger Zahlungsmittel wie Kreditkarten.“

Aus der Aussage wird nicht ganz klar, worauf sich die DSK bezieht. Geht es um die Speicherung der Daten an sich beim Online-Händler oder geht es darum, dass man bei einer erneuten Bestellung mit einem Gastzugang die Kreditkarten-Daten hinterlegt und dem Bestellenden anzeigt? Die zweite Option ist zumindest in der Praxis unüblich. Wenn jemand mit einem Gastzugang bestellt, dann wird bei einer erneuten Bestellung über den Gastzugang wohl eher nicht die schon einmal verwendete Kreditkarte wieder angezeigt. Würde die DSK sich auf die Speicherung von Zahlungsdaten allgemein beziehen, so ist nicht verständlich, warum dafür wieder nur eine Einwilligung die einzige Option sein soll. Schließlich sind alle Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO gleichrangig. Die Einwilligung ist nicht privilegiert und nicht höherwertiger.

V. Aussagen zu Informationspflichten

Zudem befasst sich die DSK mit Informationspflichten, die unter „4.“ thematisiert werden. Es ist vollkommen richtig, dass bei einer Einwilligung im besonderen Umfang informiert werden muss und dass auch bei Nutzung einer anderen Rechtsgrundlage Informationspflichten bestehen.

VI. Zusammenfassende Aussagen

Der Hang der Datenschutzbehörden zur Einwilligung und die Betonung dieser Rechtsgrundlage als in einer Art und Weise „höherwertigere“ Rechtsgrundlage ist sicher diskutabel. Von außen ist es schwer verständlich, warum die DSK sich dazu entschieden hat, den Beschluss in der konkreten Form zu fassen. Die Aussagen der Behörden werden wahrscheinlich nicht von vielen Datenschutzrecht‘lern geteilt und könnten in Zukunft, bei einer entsprechenden Durchsetzung der Vorgaben durch die Behörden, zu streitigen Auseinandersetzungen führen.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden

Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.

Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO

In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.

Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten

Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.

Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an

In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert.

Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023

Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).

Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer

Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.