DSGVO: Müssen Bestellungen künftig auch ohne Anlegen eines Kundenkontos möglich sein?

In zahlreichen Shops müssen Kunden vor einer Bestellung zwingend ein Kundenkonto anlegen. Zurzeit mehren sich Nachfragen, ob diese gängige Praxis mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 noch rechtlich zulässig ist. Ob Händler ab diesem Zeitpunkt die Möglichkeit einer Gastbestellung schaffen müssen und welche alternativen Möglichkeiten es dazu gibt, erfahren Sie im Folgenden.

A. Zur Erinnerung: DSGVO gilt ab dem 25. Mai wie nationales Recht

Anders als EU-Richtlinien, die durch die einzelnen Mitgliedstaaten erst noch in nationales Recht umgesetzt werden, sind EU-Verordnungen unmittelbar anwendbar. Das bedeutet: Die DSGVO gilt ab dem 25. Mai 2018 in Deutschland wie nationales Recht, Shop-Betreiber müssen die Regelungen ab diesem Zeitpunkt umsetzen.

Dabei hat die DSGVO enormen Einfluss auf das Datenschutzrecht. Einige Vorschriften des das Datenschutzrecht bislang regelnden Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) werden durch die DSGVO ergänzt, andere werden weitgehend bestehen bleiben. Wiederum andere Regelungen des bisherigen Datenschutzrechts werden durch die DSGVO vollständig ersetzt.

B. Das Anlegen eines Kundenkontos als „Verarbeitung personenbezogener Daten“

Art. 2 DSGVO steckt den Anwendungsbereich der DSGVO ab. Nach Art. 2 Abs. 1 DSGVO gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also, ob durch die erhobenen Daten ein Personenbezug hergestellt werden kann. Bei Daten, die typischerweise bei dem Anlegen eines Kundenkontos abgefragt werden (wie Name, Adresse, E-Mail-Adresse etc.), liegt ein Personenbezug eindeutig vor.

„Verarbeitung“ meint dabei nach Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Das Anlegen eines Kundenkontos in einem Shop fällt dabei eindeutig unter „Verarbeitung“.

Daraus folgt: Das Anlegen eines Kundenkontos in einem Online-Shop stellt eine Verarbeitung von personenbezogenen Daten i. S. d. DSGVO dar.

C. Rechtfertigung der Datenerhebung nur bei ausdrücklicher Einwilligung

Damit die Verarbeitung von personenbezogenen Daten und damit auch das Anlegen eines Kundenkontos im Online-Shop rechtmäßig sind, muss mindestens eine der Voraussetzungen des Art. 6 Abs. 1 UAbs. 1 DSGVO vorliegen. Danach ist die Verarbeitung von Daten nur zulässig, wenn

• sie durch einen der gesetzlichen Tatbestände ausdrücklich erlaubt ist oder
• der Nutzer eingewilligt hat.

Die DSGVO schreibt damit – genau wie schon das BDSG – ein Verbot mit Erlaubnisvorbehalt fest.

Da die Datenerhebung und -verarbeitung bei dem Anlegen eines Kundenkontos nicht durch einen der in der DSGVO genannten gesetzlichen Tatbestände erlaubt ist, ist auch nach der DSGVO eine Einwilligung des betroffenen Kunden notwendig. Konkret normiert Art. 6 Abs. 1 Uabs. 1 lit. a DSGVO, dass die Datenverarbeitung rechtmäßig ist, wenn der Kunde seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Doch was bedeutet das nun konkret?

D. Der Knackpunkt: Obligatorisches Anlegen eines Kundenkontos als freiwillige Einwilligung?

Was die DSGVO konkret unter einer Einwilligung versteht, wird in Art. 4 Nr. 11 DSGVO definiert. Danach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Und hier liegt genau der Knackpunkt. Denn: Ist das Anlegen eines Kundenkontos zwingend, um eine Bestellung abzuschließen, stellt sich die Frage, ob die Einwilligung des Kunden in die damit einhergehende Datenverarbeitung tatsächlich freiwillig ist. Anders gesagt: Wie freiwillig ist eine Einwilligung, wenn diese zwingend erteilt werden muss, um überhaupt eine Bestellung durchführen zu können?

Um diese Frage zu beantworten, lohnt ein näherer Blick in die DSGVO. Diese schreibt für die Datenerhebung in Art. 7 Abs. 4 das sog. Kopplungsverbot fest. Dort heißt es: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Ein bisschen Licht in diese doch recht umständliche Formulierung bringt Erwägungsgrund 43 Satz 2 zur DSGVO. Dieser lautet: “Die Einwilligung gilt nicht als freiwillig erteilt, (...) wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.”

Das bedeutet: Ist das Anlegen eines Kundenkontos für die Erfüllung des Vertrags erforderlich, gilt die Einwilligung des Kunden als freiwillig erteilt. Ist das Anlegen eines Kundenkontos für die Erfüllung des Vertrags hingegen nicht notwendig, gilt die Einwilligung des Kunden auch nicht als freiwillig erteilt. Salopp gesagt geht es um die Frage, ob die Bestellung auch ohne ein Kundenkonto abgewickelt werden kann.

In der Regel wird dies wohl mit „Ja“ zu beantworten sein. Zwar sind für die Abwicklung einer Kundenbestellung Name, Adresse sowie Kontodaten des Kunden erforderlich. Diese können jedoch auch im Rahmen einer Gastbestellung abgefragt und lediglich für die einzelne Bestellung erhoben und verarbeitet werden. Das Anlegen eines Kundenkontos ist im Regelfall nicht zwingend erforderlich.

E. Exkurs: Sonderkonstellationen denkbar

In bestimmten Fällen dürfte die Eröffnung eines Kundenkontos jedoch als zur Vertragserfüllung erforderlich angesehen werden können. Die Folge: Die Einwilligung des Kunden in das Anlegen eines Kundenkontos gilt dann als freiwillig erteilt. Diese Sonderfälle betreffen Konstellationen, in denen eine „Zugangskontrolle“ zur Erfüllung des Vertragszwecks erforderlich ist, wie etwa bei

• reinen B2B-Shops, die den Nachweis der Unternehmereigenschaft des Käufers erfordern,
• speziellen Shops für beschränkte Zielgruppen (bspw. Nutzer von Bonussystemen; bei Rabattaktionen, die den Nachweis einer bestimmten Mitgliedschaft erfordern; bei Shops, die sich an Mitglieder von Vereinen, Körperschaften und Gewerkschaften richten) und
• dem Verkauf von Artikeln, die eine vorherige Altersverifikation bedürfen.

In diesen Fällen muss der Käufer sich durch entsprechende Nachweise für den Kauf legitimieren. Dies setzt in aller Regel die Eröffnung eines Kundenkontos voraus. Nachdem der Händler die Angaben des Käufers geprüft und anhand der Nachweise bestätigt hat, gibt er das Nutzerkonto für die Bestellung frei.

F. Alternative Bestellmöglichkeit als Lösung?

Doch was bedeutet das nun für alle anderen Online-Shops? Müssen diese ab dem 25. Mai Gastbestellungen zwingend ermöglichen?

Nach Auffassung der IT-Recht Kanzlei ist die Ermöglichung von Gastbestellungen nur eine Möglichkeit, um auf die Anforderungen der DSGVO zu reagieren. Die rechtliche „Misere“ lässt sich auch auf alternativem Wege lösen. Viele Shops lassen alternative Bestellmöglichkeiten, etwa im Wege individueller Kommunikation, zu. So können Kunden in zahlreichen Shops auch per E-Mail, per Telefon oder per Fax bestellen. Die Folge: Ein Kunde ist dann nicht mehr „gezwungen“ ein Kundenkonto zu eröffnen, um seine Bestellung aufzugeben. Er kann seine Bestellung – ebenso gut – per E-Mail oder Telefon abgeben. Die Erfüllung des Vertrages hängt dann nicht mehr von dem Anlegen eines Kundenkontos ab. Die Einwilligung in die Eröffnung eines solchen Kundenkontos dürfte also als freiwillig erteilt gelten.

Das bedeutet: Wer als Händler ab dem 25. Mai keine Gastbestellungen in seinem Shop ermöglichen möchte, sollte bis zur rechtlichen Klärung dieser Problematik (mindestens) einen alternativen Bestellweg (per Online-Formular, E-Mail, Telefon, Fax etc.) bereitstellen und bei der Eröffnung des Kundenkontos auf diese Möglichkeit verweisen.

G. Fazit

Händler, die z.B. aufgrund technischer Beschränkungen keine Gastbestellungen im Rahmen des Checkouts einrichten können, müssen weder ihre Shops zum 25. Mai 2018 schließen noch mehrere tausend Euro in eine entsprechende Umprogrammierung investieren. Nach Auffassung der IT-Recht Kanzlei ist die Ermöglichung von Gastbestellungen nur eine Möglichkeit, um auf die Anforderungen der DSGVO zu reagieren. Alternativ erscheint es vertretbar, Kunden mindestens eine alternative Bestellmöglichkeit (bspw. per E-Mail, Fax, Telefon etc.) anzubieten und vor der Eröffnung eines Kundenkontos auf diese Möglichkeit zu verweisen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.