Icon Compliance
Compliance

Gastfreundlichkeit im Onlinehandel

Verfasst von: Michael Kühnel
Berater für Datenschutz und Informationssicherheit

Künftig sollen Onlinehändler noch „gastfreundlicher“ werden, darauf einigten sich zumindest die Teilnehmer der DSK am 24. März 2022. Onlineshops sind somit nur noch mit einem sogenannten Gastzugang DSGVO konform.

Das heißt, dass sich der Kunde künftig nicht bei jedem Onlinehändler registrieren muss. Vielmehr kann er – alternativ zum Anlegen eines Accounts im Onlineshop – als Gast bestellen. Hierfür muss der Kunde nur die für den konkreten Vertragsschluss notwendigen Daten angeben.

 

Im Onlinehandel war es bisher regelmäßige Praxis, sich beim erstmaligen Bestellvorgang zu registrieren – dadurch muss der Kunde bei weiteren Bestellungen nur seinen Benutzernamen und sein Passwort eingeben. Alle weiteren zur Bestellung nötigen Daten bleiben im Account gespeichert. In der Regel kann man dort auch seine Bestellhistorie einsehen und Zusatzfunktionen wie Wunschlisten, Merkzettel und unterschiedliche Lieferadressen werden oft angeboten. Viele Anbieter nutzen dies zur Profilbildung sowie für Werbezwecke, wenn hierfür eine Einwilligung vorliegt.

 

Die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO ist jedoch nur zulässig, soweit diese für die Erfüllung eines einzelnen Vertrages erforderlich ist. Nach Ansicht der DSK heißt das auch, dass bei der Datenverarbeitung bezüglich des Anlegens eines fortlaufenden Kundenkontos nicht per se davon ausgegangen werden kann, dass Daten für eventuelle spätere Geschäfte auf Vorrat vorgehalten werden müssen. Wer also einmalig bestellen möchte, muss sich nicht registrieren.

Außerdem kann ohne einen Gastzugang beziehungsweise einer gleichwertigen Bestellmöglichkeit nicht von der Freiwilligkeit einer Einwilligung nach Art. 7 Abs. 4 DSGVO ausgegangen werden. Der Kunde hatte bisher schlicht keine Wahl, wenn er in einem bestimmten Onlineshop bestellen wollte.

Verantwortliche im Onlinehandel müssen daher folgendes beachten:

  • Ein Gastzugang ist verpflichtend anzubieten.
  • Hierbei sind nur die absolut notwendigen Vertragsdaten einzuholen.
  • Diese müssen nach der Vertragserfüllung unverzüglich gelöscht werden (Ausnahme bei speziellen Aufbewahrungspflichten).
  • Registrierte Kundenkonten müssen nach Inaktivität innerhalb einer angemessenen Frist gelöscht werden (Datenminimierung).

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.