von RA Nicolai Amereller

Datenschutzgrundverordnung für Onlinehändler leicht verständlich – Teil 3: Sind Gastbestellungen künftig zwingend?

News vom 27.03.2018, 19:47 Uhr | 1 Kommentar 

Die Datenschutz-Grundverordnung (DSGVO) lässt aktuell die Köpfe vieler Onlinehändler rauchen. Derzeit mehren sich Nachfragen, ob ab dem 25.05.2018 zwingend im eigenen Shop die Möglichkeit einer Gastbestellung geschaffen werden muss. Die IT-Recht Kanzlei möchte im Rahmen einer News-Serie Onlinehändlern komprimiertes Praxiswissen zu den wichtigsten für die DSGVO relevanten Vorgängen des Tagesgeschäfts vermitteln und zugleich aufzeigen, dass die DSGVO auch für kleine Verkäufer eine lösbare Herausforderung ist.

Kundenkonto bei Onlineshops weit verbreitet

Etliche Onlineshops setzen auf die Eröffnung eines Kundenkontos, soll über den klassischen Checkoutvorgang eine Bestellung abgesendet werden.

Dies hat für den Händler Vorteile, kann er den Kunden auf diese Weise binden und ihn mit gezielten Informationen bzw. Werbung ansprechen. Auch für den Kunden kann ein solches Kundenkonto Vorteile schaffen, etwa in Bezug auf die Verfolgung des Bestell- und Lieferstatus, bei Wiederbestellungen oder um die Bestelldetails später nochmals einzusehen.

Dennoch ist die Eröffnung eines Kundenkontos nicht jedermanns Sache.

Verschärfung durch die DSGVO

Mit der ab dem 25.05.2018 zwingend zu beachtenden DSGVO werden die datenschutzrechtlichen Vorgaben auch für Onlinehändler verschärft.

Doch bedeutet die DSGVO auch, dass Betreiber von Onlineshops künftig zwingend eine Gastbestellung ermöglichen müssen? Wenn dem so wäre, würde dies für viele Händler einen erheblichen Umstellungsaufwand bedeuten, insbesondere, wenn die Shopsoftware gar keine Gastbestellungen unterstützt.

Bündelung der Kundendaten in einem Kundenkonto = Datenverarbeitung

Sieht der Onlineshop die Eröffnung eines Kundenkontos vor, liegt in dieser Zusammenführung der „gesammelten“ Kundendaten eine Datenverarbeitung im Sinne von Art. 4 DSGVO.

Der Kunde gibt dabei – in aller Regel im Rahmen des Checkouts - in die vom Shopbetreiber vorgehaltene Eingabemaske seine personenbezogenen Daten wie Name, Anschrift, Telefon, Email, Bankverbindung etc. ein und vergibt zudem einen Login sowie ein Passwort.

Die Shopsoftware fasst diese Daten daraufhin zu einem Nutzerdatensatz zusammen. Die vom Kunden eingegebenen Daten werden damit geordnet und in einem Datensatz zusammengefasst. Ferner werden diese Daten dann vom Betreiber des Shops auch gespeichert.

Damit bleibt festzuhalten: Wer als Betreiber eines Onlineshops die Möglichkeit der Eröffnung eines Kundenkontos anbietet, der verarbeitet dann personenbezogene Daten im Sinne des Art. 4 DSGVO.

Ist diese Verarbeitung rechtmäßig?

Die Verarbeitung von personenbezogenen Daten (also auch das Anlegen eines Kundenkontos im eigenen Onlineshop) ist nach der DSGVO nur dann rechtmäßig, wenn eine der Zulässigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO gegeben ist.

Prüft man die dortigen Voraussetzungen in Bezug auf die Eröffnung eines Kundenkontos, gelangt man zu dem Fazit, dass diese Verarbeitung nicht durch einen der in der DSGVO genannten gesetzlichen Tatbestände erlaubt ist.

Damit bleibt hier nur der Weg, die Verarbeitung über eine Einwilligung des Kunden zu „legalisieren“.

Eine Einwilligung wird in aller Regel vom Kunden auch erholt, eben indem dieser durch Betätigen einer Schaltfläche unter entsprechendem textlichen Hinweisen zur Eröffnung eines Kundenkontos dessen Eröffnung zustimmt.

Erforderlich ist eine freiwillige Einwilligung des Kunden

Die erforderliche Einwilligung in die Datenverarbeitung ist nach der DSGVO nur wirksam, wenn diese vom Kunden auch freiwillig erteilt worden ist.

Dazu führt Art. 7 Abs. 4 DSGVO zudem aus:

"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind."

Ist die Eröffnung des Kundenkontos damit im Checkout verpflichtend, bestehen Bedenken hinsichtlich der notwendigen Freiwilligkeit der Einwilligung, die dann vom Kunden zur Eröffnung des Kundenkontos erteilt wird.

Denn ohne die Eröffnung wäre ja auf diesem Wege gar keine Bestellung möglich, er wird also gewissermaßen zur Einwilligung genötigt, will er im Shop bestellen.

Eröffnung Kundenkonto zur Vertragserfüllung erforderlich?

Wäre die Eröffnung eines Kundenkontos zur Erfüllung des zwischen Kunden und Shobetreiber zu schließenden Kaufvertrages erforderlich, dann gilt die Einwilligung des Kunden als freiwillig erteilt.

Ist die Eröffnung des Kundenkontos dagegen zur Vertragserfüllung gar nicht erforderlich und muss der Kunde zur Durchführung der Bestellung aber (zwingend, weil Bestellung nur via Checkout möglich und keine Gastbestellung angeboten wird) in diese einwilligen, dürfte die Freiwilligkeit der Einwilligung sehr kritisch zu sehen sein.

Ohne freiwillige Einwilligung läge dann keine rechtmäßige Verarbeitungstätigkeit des Onlinehändlers vor, was einen Verstoß gegen die Vorgaben der DSGVO bedeuten würde.

Es wird in aller Regel davon auszugehen sein, dass ein Vertrag zur Lieferung von Waren im Rahmen einer Onlinebestellung auch dann erfüllt werden kann, wenn kein Kundenkonto eröffnet wird. Die Eröffnung eines Kundenkontos ist bei Onlineshops mithin im Regelfall nicht zur Erfüllung des Vertrags erforderlich.

Exkurs: Sonderkonstellationen denkbar

Es wird darüber hinaus jedoch auch Konstellationen geben, in denen die Eröffnung eines Kundenkontos als zur Vertragserfüllung erforderlich angesehen werden kann (und damit die Freiwilligkeit der Einwilligung wesentlich unkritischer zu sehen sein dürfte).

An dieser Stelle zu nennen wären etwa:

  • Spezielle Shops für beschränkte Zielgruppen (etwa Nutzer von Bonussystemen, Mitglieder von Vereinen, Körperschaften oder Gewerkschaften)
  • Reine B2B-Shops, die eine Legitimation des Bestellers als Unternehmer erfordern
  • Rabattaktionen für bestimmte Käuferkreis (z.B. durch Nachweis einer bestimmten Mitgliedschaft)

In derartigen Fällen ist eine „Zugangskontrolle“ zur Erfüllung des Vertragszwecks erforderlich. Die entsprechende Legitimation setzt in aller Regel die Eröffnung eines Kundenkontos unter Angabe der legitimierenden Daten und ggf. Nachweise voraus. Nach erfolgter Prüfung gibt der Shopbetreiber dann dieses Nutzerkonto für die Bestellung frei.

Freiwillige Einwilligung, wenn keine Gastbestellung im Checkout möglich?

Auf den ersten Blick könnte man somit zur Ansicht gelangen, die Einwilligung zur Eröffnung eines Kundenkontos sei – bei Fehlen einer Möglichkeit zur Gastbestellung - damit gar keine freiwillige.

Dies deswegen, weil die Bestellung an dieser Stelle ja nur möglich scheint, wird auch in die Eröffnung eines Kundenkontos einwilligt. Andernfalls kann der Checkout nicht abgeschlossen und (dort) keine Bestellung abgesendet werden.

Hierauf kommt es nach Auffassung der IT-Recht Kanzlei aber gar nicht entscheidend an, wenn der Verkäufer neben der klassischen Bestellung via Warenkorbsystem mit Checkoutfunktion auch noch zumindest einen alternativen Bestellweg eröffnet. So ist es denkbar, dass der Kunde beim Verkäufer auch im Wege individueller Kommunikation bestellen kann, also z.B. per Email-Anfrage, über ein Online-Kontaktformular, per Telefon oder Fax. In aller Regel ermöglichen die Onlineshops bereits von sich aus, z.B. weil ältere Interessenten gerne per Telefon ordern. Im Falle der Eröffnung des Bestellwegs per Kontaktformular oder Email läge zudem auch kein Medienbruch vor.

Wird also neben dem klassischen Checkout ein weiterer Weg für die Bestellung im Shop eröffnet, besteht kein „Zwang“ mehr, für eine erfolgreiche Bestellung der gewünschten Ware ein Kundenkonto zu eröffnen. Die Vornahme einer Bestellung bzw. ein Vertragsschluss ist dann nicht mehr von der Einwilligung in die Eröffnung eines Kundenkontos abhängig.

Mithin kann davon ausgegangen werden, dass die Einwilligung in die Eröffnung eines solchen Kundenkontos dann als ausreichend freiwillig anzusehen ist.

Wer als Verkäufer also auch ab dem 25.05.2018 keine Gastbestellungen im Checkout zulassen möchte, sollte – bis hier eine Klärung durch die Rechtsprechung vorliegt – zumindest einen alternativen Bestellweg eröffnen (z.B. Email-Bestellung) und bei der Eröffnung des Kundenkontos auch diese Möglichkeit verweisen.

Also: Kein (echter) Zwang zum Vorhalten einer Gastbestellung im Rahmen des Checkouts

Dies verdeutlicht, dass auch diesbezüglich derzeit viel „Panikmache“ getrieben wird.

Kann ein Händler z.B. aufgrund technischer Restriktionen keine Gastbestellung im Rahmen des Checkouts einrichten, wird er ganz sicher nicht seinen Shop zum 25.05.2018 schließen oder mehrere tausend Euro in eine Umprogrammierung bzw. ein neues Shopsystem stecken müssen.

Rechtstexte der IT-Recht Kanzlei ermöglichen Eröffnung alternativer Bestellwege

Selbstverständlich berücksichtigten die Rechtstexte der IT-Recht Kanzlei (so z.B. diejenigen für den Verkauf über einen eigenen Onlineshop) die Eröffnung solcher alternativer Bestellwege z.B. per Email, Telefon.

Update-Service Mandanten können damit problemlos einen solchen alternativen Bestellkanal eröffnen wenn keine Gastbestellung im Rahmen des Checkouts realisiert werden kann.

Außendarstellung wird in der Praxis für Onlinehändler der wichtigste Punkt sein

Ein besonderes Augenmerk hinsichtlich der DSGVO sollten Onlinehändler auf ihre „Außenwirkung“ legen, also auf das, was im Rahmen der Verkaufspräsenzen in Bezug auf den Datenschutz nach außen hin erkennbar ist.

Denn: Das realistischste Bedrohungsszenario für Onlinehändler dürfte auch hinsichtlich der DSGVO die Abmahnung durch Mitwebewerber und Wettbewerbsverbände sein. Hier werden in aller Regel Umstände abgemahnt, die nach außen hin gut erkennbar sind (z.B. eine veraltete Datenschutzerklärung).

Die IT-Recht Kanzlei bereitet ihre Mandanten selbstverständlich mit einer speziell auf die Vorgaben der DSGVO angepassten Datenschutzerklärung sowie zahlreichen Mustern (etwa für die Erstellung eines Verarbeitungsverzeichnisses), Leitfäden und Newsbeiträgen lösungsorientiert auf den 25.05.2018 vor, so dass ein sorgenfreier „Umstieg“ für Onlinehändler auf das neue Datenschutzrecht nach der DSGVO gewährleistet ist.

Fazit

Onlinehändler sollten sich von der kommenden DSGVO nicht verunsichern lassen. Vieles, was derzeit in der Theorie problematisiert wird, dürfte vermutlich in der Praxis weit weniger relevant sein, als derzeit angenommen.

Solange, bis durch die Gerichte und Datenschutzbehörden keine eindeutigen Rechtsaufassungen geäußert wurden, erscheint es vertretbar die Gastbestellung nicht als zwingend erforderlich anzusehen, wenn der Betreiber des Onlineshops neben dem klassischen Checkout noch einen alternativen Bestellweg (z.B. per Email, Kontaktformular, Telefon oder Fax) eröffnet.

In diesem Fall dürften hinsichtlich der Freiwilligkeit einer Einwilligung zur Eröffnung eines Kundenkontos keine Bedenken bestehen, auch wenn daneben im Checkout keine Gastbestellung möglich ist.

Von einem Zwang zur Bereitstellung einer Gastbestellung im Checkout ab dem 25.05.2018 durch die DSGVO ist damit bei einer solchen Konstellation also nicht auszugehen. Es empfiehlt sich dann, den Kunden bei dem Punkt „Eröffnung Kundenkonto“ gleichzeitig auf die angebotenen alternativen Bestellwege hinzuweisen.

Generell vorzugswürdig dürfte es allerdings schon aus Gründen der Nutzerfreundlichkeit sein, die Gastbestellung im Checkout zu ermöglichen, sofern technisch realisierbar, da andernfalls viele Kunden, die kein Kundenkonto wünschen bzw. „es eilig“ haben, abspringen dürften.

Nutzer der Onlineshop-Rechtstexte der IT-Recht Kanzlei können entsprechende alternative Bestellwege bei der Konfiguration der AGB berücksichtigen.

Tipp: Über diesen Beitrag können Sie gerne in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook diskutieren.

Bildquelle:
© sdecoret - Fotolia.com
Autor:
Nicolai Amereller
Rechtsanwalt

Besucherkommentare

Unsinnig

04.04.2018, 20:29 Uhr

Kommentar von Petra

Kein Kundenkonto anlegen.... da werden trotzdem die Daten gespeichert und verarbeitet, nur mit dem Unterschied, dass der Kunde keinen Einblick in sein Kundenkonto hat. Die Aufbewahrungspflicht...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller