[ziesell]

Zitat:

Datenschutz: Sind Gastkunden für die Onlinehändler Kunden zweiter Klasse?

Onlinehändler wollen ihre Nutzer an sich binden und machen Gastzugänge deshalb oft extra kompliziert. Fraglich ist, ob sie das dürfen.



Viele Onlineshops, darunter auch große Versandhändler, verlangen, dass Nutzer ein Kundenkonto anlegen, um etwas bestellen zu können. Andere bieten einen Gastzugang an, der aber häufig gut versteckt ist. Zudem haben solche Gastzugänge oft Einschränkungen wie die, dass nicht auf Rechnung bezahlt werden kann oder unbedingt Vorkasse geleistet werden muss. Doch verstoßen Onlinehändler damit nicht gegen die Datenschutzgrundverordnung (DSGVO)?

Denn Art. 5 Abs. 1 Buchstabe c DSGVO sieht vor, dass die Betreiber von Onlineshops nur die personenbezogenen Daten verarbeiten dürfen, die für die Abwicklung des Bestellvorgangs erforderlich sind. Die Erhebung der Daten muss dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung").

Für eine einmalige Bestellung müssen weniger personenbezogene Daten erhoben werden als für eine dauerhafte Kundenbeziehung wie bei einem Nutzerkonto. Hier müssen beispielsweise Registrierungsdaten gespeichert werden – und darüber hinaus sämtliche personenbezogenen Nutzerdaten wie beispielsweise die Bankverbindung. Sie müssen zudem für einen längeren Zeitraum gespeichert werden, damit sie nicht erneut eingegeben werden müssen. Sämtliche Mitarbeiter müssen darauf Zugriff haben.

Es gibt noch keine einschlägigen Gerichtsentscheidungen, inwieweit die Pflicht zum Anlegen eines Kundenkontos oder das Erschweren einer Gastbestellung gegen Art. 5 Abs. 1 Buchstabe c DSGVO verstößt. Allerdings gibt es einen Beschluss der Datenschutzkonferenz (DSK) vom 24. März 2022, wonach Onlinehändler, die Waren oder Dienstleistungen anbieten, grundsätzlich einen Gastzugang für die Bestellung bereitstellen müssen.

Ausnahmen kommen bei Fachhändlern bestimmter Berufsgruppen in Betracht. Um welche Berufsgruppen es sich dabei handelt, wird nicht verraten.

Hinzu kommt laut dem Beschluss, dass die Bestellmöglichkeit über einen Gastzugang "gleichwertig" sein muss. Dazu heißt es wörtlich: "Gleichwertig ist eine Bestellmöglichkeit, wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten." Was das für Onlinehändler und Kunden konkret bedeutet, führt die Datenschutzkonferenz nicht aus.

Wann ist kein Gastzugang erforderlich?

Aufgrund der Formulierung "grundsätzlich" im DSK-Beschluss ist zunächst die Frage, wann Betreiber von Onlineshops keinen Gastzugang anbieten müssen. Der Verweis auf Fachhändler bestimmter Berufsgruppen ist vage. Deswegen hat Golem.de die Datenschutzbehörden mehrerer Bundesländer danach gefragt.

Nach Ansicht eines Sprechers der Landesbeauftragten für den Datenschutz Niedersachsen sowie der Sächsischen Datenschutz- und Transparenzbeauftragten kommt das vor allem dann infrage, wenn über den Onlineshop Produkte verkauft werden, zu deren Kauf nicht jeder berechtigt ist. Das sind zum Beispiel Produkte, die nicht an Minderjährige verkauft oder Lehrmaterialen für Lehrer, die nicht an Schüler abgegeben werden dürfen.

Eine Sprecherin des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit führt aus, dass eine Ausnahme von der Pflicht, einen Gastzugang vorzuhalten, in Übereinstimmung mit dem DSK-Beschluss dann möglich sei, wenn ein Händler Folgendes darlegen könne: dass ein fortlaufendes Kundenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann.

In Hamburg sei die Otto GmbH & Co. KG für ihren Onlinemarktplatz [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] an die Datenschutzaufsichtsbehörde herangetreten. Als Argument wurde im Wesentlichen angeführt, dass an otto.de sehr viele externe Händler angeschlossen seien.

Kunden, die auf otto.de einkaufen, schlössen daher regelmäßig Verträge mit verschiedenen Händlern ab, während die Otto GmbH & Co. KG häufig nur den Marktplatz als Plattform bereitstelle. Über den Kundenbereich auf otto.de werde für die Kunden transparent dargestellt, bei welchem Händler zu welchem Zeitpunkt welcher Artikel gekauft wurde.

Zudem werde dort eine Vielzahl von Self-Service-Dienstleistungen zur Kommunikation, für Retouren oder zur Geltendmachung von Gewährleistungs- und Garantierechten bereitgestellt. Die Otto GmbH & Co. KG habe anhand von Kennzahlen belegen können, dass es wegen der hohen Zahl an Kunden und Transaktionen erforderlich sei, dass diese Informationen und Dienstleistungen über das Kundenkonto angeboten werden. Und dass sie von den Kunden hierüber genutzt werden müssen, da eine individuelle Bearbeitung der E-Mail- und Telefonanfragen und damit eine manuelle Einzelfallzuordnung von Kunden zu Transaktionen und Händlern nicht zu leisten wäre.

In die Prüfungen hätten die Hamburger Datenschützer auch einbezogen, dass bei einer Bestellung über ein Kundenkonto regelmäßig die gleichen personenbezogenen Daten erhoben und aus gesetzlichen Gründen über die gleiche Zeitdauer gespeichert werden müssen wie bei einer Gastbestellung. Lediglich ein Passwort für den kundenseitigen Kontozugang werde zusätzlich erhoben.

Als einschränkende Maßnahme werde der Kontozugang bei längerer Inaktivität automatisch gelöscht; die Löschung des Kontozugangs könne nach Abwicklung einer Bestellung auch vom Kunden selbst beantragt werden. Deswegen habe die Hamburger Datenschutzaufsicht in diesem Fall die Erforderlichkeit eines fortlaufenden Kundenkontos und damit das Vorliegen einer Ausnahme bejaht.

Was bedeutet ''gleichwertiges Gastkonto''?

Wie bei den Ausnahmen ist der DSK-Beschluss etwas vage in der Frage, wann ein Gastzugang "gleichwertig" ist. Ist es zum Beispiel in Ordnung, wenn bei einem Gastzugang weniger Zahlungsmöglichkeiten als bei einem Kundenkonto zur Verfügung stehen?

Die Datenschutzaufsichtsbehörden der einzelnen Bundesländer vertreten hierzu unterschiedliche Auffassungen. Nach Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz liegt beispielsweise dann keine gleichwertige Bestellmöglichkeit vor, wenn für die Gastbestellung weniger Zahlungsoptionen zur Verfügung stehen als für die Bestellung über das Kundenkonto.

Auf Anfrage führt ein Sprecher aus, dass die Gleichwertigkeit insbesondere dann fraglich sei, wenn für eine Gastbestellung ausschließlich die Bezahlmethode der Vorkasse zur Verfügung steht, während für die Bestellung mit einem Kundenkonto auch viele weitere Bezahlmethoden (insbesondere Onlinebezahlmethoden wie Paypal) möglich sind.

Die Sprecher der Sächsischen Datenschutz- und Transparenzbeauftragten sowie der Landesbeauftragten für den Datenschutz Niedersachsen erklärten indes, dass dies nach ihrer Ansicht nicht von vornherein ausgeschlossen sei. Schließlich solle über ein Kundenkonto eine längere Geschäftsbeziehung aufgebaut werden. Das könne rechtfertigen, dass unterschiedliche Zahlungsmethoden angeboten werden.

Allerdings dürften die Zahlungsmöglichkeiten für einen Gast nicht ohne sachlichen Grund derart eingeschränkt werden, dass sie etwa ausschließlich per Überweisung und nicht zusätzlich über einen Onlinebezahldienst wie Paypal oder Giropay bezahlen können.

Nach Ansicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit müssen Kunden bei Gastbestellungen grundsätzlich die gleichen Zahlungsmöglichkeiten zur Verfügung gestellt werden wie Kunden mit einem Kundenkonto.

Es sei jedoch möglich, dass die in einem Kundenkonto hinterlegten personenbezogenen Daten in datenschutzkonformer Weise in eine Bonitätsprüfung einfließen, um bestimmte Zahlungsmöglichkeiten anzubieten, die mit einem hohen Zahlungsausfallrisiko behaftet sind, zum Beispiel mit dem Kauf auf Rechnung.

In einem solchen Fall sei denkbar, dass bei einer Gastbestellung eine bestimmte Zahlungsmöglichkeit nicht angeboten wird, obwohl derselbe Kunde diese Zahlungsmöglichkeit angeboten bekäme, wenn die Bestellung über ein Kundenkonto erfolgen würde. Dies bedürfe jedoch immer einer Einzelfallprüfung.

Jedenfalls dürften Gastbesteller nicht per se schlechter behandelt werden als Erstbesteller mit Kundenkonto, da in beiden Fällen keine Bestellhistorie vorhanden sei.

Der Leitende Beamte beim Landesbeauftragten Baden-Württemberg, Jan Wacke, sagte, dass der Begriff der "Gleichwertigkeit" dem Unternehmen – auch im Rahmen der allgemeinen Vertragsfreiheit – einen Gestaltungs- und Beurteilungsspielraum einräume. Letztlich müsse im Einzelfall entschieden werden, auch in Abhängigkeit vom jeweiligen Produkt oder der jeweiligen Dienstleistung.

Bei den technisch-organisatorischen Maßnahmen dürfe es im Allgemeinen keine Abstriche geben. Das bedeutet: Allzu strenge Vorgaben dürften nach seiner Ansicht nicht gemacht werden. Allerdings solle der Button für den Gastzugang nicht so unauffällig gestaltet werden, dass Nutzer ihn kaum finden können.

Ein Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen weist darauf hin, dass es nachvollziehbare Gründe für Abweichungen zwischen den einzelnen Bestellmöglichkeiten geben könnte. Dies werde daran deutlich, dass sich vor allem bei Gastkonten Fälle von Identitätsmissbrauch und Betrug häuften. Diese zu verhindern, werde von der DSGVO als wichtiges Interesse angesehen.

Der Rat an Onlinehändler gehe daher oft in die Richtung, insbesondere bei Erstbestellungen mit einem kreditorischen Risiko behaftete Zahlarten nur restriktiv anzubieten und in Kombination mit einer abweichenden Lieferadresse nach Möglichkeit ganz zu vermeiden.

Reicht ein unauffälliger Button für Gastbestellung aus?

Zur Frage, ob ein unauffälliger Button für eine Gastbestellung ausreicht, bezieht die DSK in ihrem Beschluss ebenfalls keine Stellung. Nach Auffassung des rheinland-pfälzischen Datenschutzbeauftragten kann aber nicht von einer gleichwertigen Bestellmöglichkeit gesprochen werden, wenn die Möglichkeit der Gastbestellung erheblich schwieriger aufzufinden ist als die Bestellung mit Kundenkonto.

Dem stimmen auf Nachfrage die Datenschutzaufsichtsbehörden mehrerer Bundesländer zu. Hierzu gehören die niedersächsische, die Berliner und die Sächsische Datenschutzbeauftragte. Die Sprecher machten jedoch keine Ausführungen dazu, wann dies der Fall ist.

Nach Aussage eines Sprechers des rheinland-pfälzischen Datenschutzbeauftragten ist das aber schon dann gegeben, wenn beim Bestellvorgang die Kundenkonto-Variante auffälliger oder größer ausgestaltet ist als das Fortfahren mit einem Gastzugang.

Was ist mit einer Gastbestellung per E-Mail?

Nach Auffassung der rheinland-pfälzischen Datenschutzaufsicht liegt keine gleichwertige Gastbestellung vor, wenn sie nur per E-Mail mit einem gesonderten Bestellformular möglich ist und nicht mit dem für die Bestellung über das Kundenkonto verwendeten Verfahren. Dazu gehören in der Regel ein Warenkorb und der Verkaufsabschluss direkt auf der Webseite, die zudem https-verschlüsselt ist.

Die Berliner Datenschutzaufsichtsbehörde erklärt dazu, dass bei der Bestellmöglichkeit per E-Mail zahlreiche unterschiedliche Bedingungen erfüllt sein müssen, um von einer gleichwertigen Bestellmöglichkeit ausgehen zu können. Es dürften den Kunden keine Nachteile durch einen Mehraufwand bei der Bestellung sowie eine längere Bearbeitungszeit entstehen.

Außerdem müssten alle Anforderungen an die Sicherheit der Datenverarbeitung erfüllt werden. Dabei müsse vor allem eine dem Stand der Technik entsprechende verschlüsselte Kommunikation sichergestellt werden.

Fazit

Verbraucher, die an einen Onlineshop ohne Gastzugang geraten, sollten nicht ohne Weiteres ein Kundenkonto anlegen. Sie sollten sich im Kleingedruckten vorab genau darüber informieren, welche personenbezogenen Daten gespeichert werden und wann sie gelöscht werden. Kritisch wäre es etwa, wenn E-Mail/Telefonnummer des Kunden, Registrierungsdaten oder sogar persönliche Bestellwünsche des Kunden über Jahre gespeichert werden. Das Gleiche gilt, wenn die AGB eine unbegrenzt lange Speicherung von Daten vorsehen.

Ebenso interessant ist, inwieweit ihre personenbezogenen Daten an Server übermittelt werden, die sich in Ländern außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums befinden. Eine Übermittlung ist hier nicht ohne Weiteres zulässig, wie sich aus Art. 45 DSGVO ergibt.

Eine Übermittlung der Daten in einen solchen Staat darf normalerweise nur erfolgen, wenn die EU-Kommission in einem Beschluss ein angemessenes Schutzniveau anerkannt hat. Das können Verbraucher prüfen, in dem sie unter diesem Link nachsehen.

Insbesondere in den USA ist das derzeit nicht der Fall. Der Onlinehändler darf hier normalerweise nur personenbezogene Daten übermitteln, wenn er die ausdrückliche Einwilligung des Betroffenen eingeholt und ihn darüber aufgeklärt hat.

Besonders, wenn dies nicht der Fall ist, ist bei einem fehlenden oder kaum auffindbaren Gastzugang eine Beschwerde bei der Datenschutz-Aufsichtsbehörde des Bundeslandes sinnvoll, in dem der Betreiber des Onlineshops seinen Sitz hat. Wo er seinen Sitz hat, kann im Impressum nachgelesen werden.

Aufgrund der rechtlichen Situation ist Onlinehändlern zu empfehlen, einen Gastzugang anzubieten. Er sollte gut für die Besucher der Webseite gefunden werden können, was eher nicht der Fall ist, wenn der Button für ein Kundenkonto besser erkennbar ist als der Button für den Gastzugang.

Hierbei kommt es neben Größe und Farbe auch auf die Platzierung der Buttons an. Ansonsten müssen Shop-Betreiber damit rechnen, dass die zuständige Datenschutzaufsichtsbehörde ein hohes Bußgeld nach Art. 83 DSGVO gegen sie verhängt. Unklar ist mangels einschlägiger Entscheidungen, inwieweit sich Onlinehändler gegen Bußgeldbescheide erfolgreich vor Gericht wehren können.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]