Zwingt die DSGVO Onlinehändler zu Gast-Accounts?

Veröffentlicht am 28. März 2018 von Maximilian Greger | Datenschutz E-Commerce | 3 Kommentare

DSGVO gast-account onlinehändlerEin Beitrag eines anderen Blogs sorgt für Furore. Demnach soll die am 25.05.2018 in Kraft tretende DSGVO Onlinehändler dazu zwingen, Gast-Accounts zur Verfügung zu stellen. Bei einem Großteil der Onlineshops ist es bislang üblich, dass die Käufer vor ihrer ersten Bestellung einen Account anlegen müssen.

Der zitierte Beitrag behauptet, als Rechtsgrundlage für ein Kundenkonto komme nur eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) in Betracht. Wäre der Kunde gezwungen, einen Account zu erstellen, stünde dem das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO entgegen.

Wir meinen allerdings, dass diese Auffassung nicht zutrifft, sondern vielmehr der Panikmache dient:

Anstelle einer Einwilligung kann Rechtsgrundlage für ein Kundenkonto auch Art. 6 Abs. 1 S. 1 lit. f DSGVO sein, wenn die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist. Im Rahmen eines Online-Kaufvertrags muss der Verkäufer ohnehin die für die Abwicklung des Vertrags notwendigen personenbezogenen Daten speichern, also Daten wie Namen, Adresse, Bankdaten, E-Mail-Adresse und ggf. das Alter erheben. Darüber hinaus sind bilanzierungspflichtige Unternehmen gehalten, Kunden- bzw. Debitorenkonten anzulegen. Rechnungen, Gutschriften, Retouren etc. müssen schließlich zugeordnet werden können. Zudem müssen vertragsbezogene Daten 10 Jahre lang für das Finanzamt aufbewahrt werden.

Anstelle einer Einwilligung kann Rechtsgrundlage für ein Kundenkonto auch ein berechtigtes Interesse des Verantwortlichen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO sein, soweit es um das Passwort und den Benutzernamen geht. Denn das erleichtert in der Regel die Abwicklung des Vertrags, macht die Information des Kunden über den Status des Kaufs etc. effizienter und transparenter. Solange der Verantwortliche das Passwort in verschlüsselter Form und ausreichend sicher speichert (wichtig sind die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO), dürfte kein berechtigtes Interesse des Betroffenen überwiegen.

Fazit: Die DSGVO zwingt Onlinehändler nicht dazu, Gast-Accounts anzubieten. Denn nicht erst die Verpflichtung, ein Kundenkonto anzulegen, „zwingt“ den Betroffenen dazu, seine personenbezogenen Daten an den Verkäufer zu übermitteln, sondern bereits die Bestellung als solche. Und zur Abwicklung der Bestellung ist die Datenverwendung gemäß Art. 6 Abs. 1 Satz 1 lit. b bzw. f. DSGVO ohnehin zulässig.

Beitragsfoto: © Alexander Limbach / Fotolia

Abonniert meinen Newsletter IPticker!

Maximilian Greger ist Partner und Fachanwalt für Urheber- und Medienrecht bei SNP Schlawien in München. Er berät vorwiegend mittelständische Unternehmen und Startups im Marken-, Wettbewerbs-, Online- und Datenschutzrecht.

IPticker abonnieren!

3 Gedanken zu "Zwingt die DSGVO Onlinehändler zu Gast-Accounts?"

Hallo,

nach Ihrer Argumentation kann man die Anlage des Kundenkontos durch berechtigtes wirtschaftliches Interesse begründen. Das leuchtet ein.

Wie verhält es sich aber mit dem Kopplungsverbot? In Art. 7 DSGVO, Satz 4 wird eine Kopplung ja nur erlaubt wenn es der Vertragserfüllung dient. Dort ist nichts gesagt ob die Kopplung erlaubt wird, wenn lediglich ein berechtigtes Interesse vorliegt.

Können Sie da vielleicht Licht ins Dunkeln bringen?

Viele Grüße,
Stanislaw Lorenz

Hallo Herr Lorenz,
vielen Dank für Ihre Frage. Was ich mit dem Artikel sagen wollte: Man braucht m. E. gar keine Einwilligung (Art. 6 I 1 lit a. DSGVO), denn es hilft bereits das „berechtigte Interesse“ im Sinne von Art. 6 I 1 lit f. DSGVO weiter (das berechtigte Interesse ist ja neben der Einwilligung ebenfalls ein Erlaubnis-Tatbestand zur Datenverarbeitung). Ich glaube nicht, dass eine Abwägung der Interessen des Betroffenen mit denen des verantwortlichen dazu führt, dass ein Nutzeraccount nicht angelegt werden darf. Denn – wie bereits im Artikel geschrieben – speichert der Verantwortliche ohnehin sämtliche Vertragsdaten. Das einzige Datum, das hinzu kommt, ist ein Passwort und gegebenenfalls ein Benutzername. Solange durch technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO sichergestellt sind, dass das Passwort verschlüsselt und sicher gespeichert wird, sehe ich keine Beeinträchtigung der Rechte des Betroffenen.

Was nun Ihre Frage betrifft: Sie haben darüber hinaus völlig Recht, dass es das Kopplungsverbot verbietet, eine Einwilligung einzufordern, wenn es für die Vertragserfüllung nicht erforderlich ist.

Beste Grüße, Maximilian Greger

Hallo Herr Greger,

Ihre Ausführungen decken sich mit der aktuellen Mehrheitsmeinung zu dem Thema.
Allerdings zielt die Diskussion um die reine Erfordernis eines Gast-Accounts oder nicht an dem eigentlichen wirtschaftlichen Interesse vorbei:

die Intention der DSGVO und der tatsächlich Mehrwert des Speicherns dieser Kundendaten liegt
1. in der Auswertung und
2. in der Wiederverwendung dieser Daten insbesondere für die „Wiedererkennung“.

Diese beiden Schritte sind in der DSGVO klar geregelt und ohne explizite Zustimmung des Kunden verboten bzw. von einer konditionalen Kopplung mit der Dienstleistung oder dem Vertragsabschluss ausgeschlossen.

Beste Grüße