Viele Onlineshops haben sie schon längst, andere haben davon noch nie gehört: die Bestellung als Gast. In den meisten Onlineshops kann der Kunde ein Kundenkonto einrichten, über das er bequem seine Bestellungen verwalten kann. Dies stellt eine Erleichterung für den Kunden dar, der nun nicht mehr jedes Mal seine Adressdaten neu eingeben muss und der einfach und schnell seine Bestellungen oder Retouren einsehen kann.
Die Datenschutzkonferenz hat sich zu diesem Thema jetzt auch hinsichtlich der Möglichkeit als Gast zu bestellen positioniert:
Der Onlinehändler ist verpflichtet, die Bestellung als Gast, also ohne Eröffnung eines Kundenkontos möglich zu machen.
Dies entspricht dem Grundsatz der Datenminimierung aus der DSGVO. Danach sollen nur die personenbezogenen Daten verarbeitet werden dürfen, die für die Vertragserfüllung notwendig sind. Normalerweise sind das bei einer einfachen Warenbestellung Name, Rechnungsadresse, Lieferadresse und Email-Adresse.
Dies sind zwar auch die Daten, die üblicherweise im Kundenkonto gespeichert werden für weitere Bestellungen, doch werden diese Daten im Kundenkonto nicht nur für die Erfüllung eines konkreten Vertrages gespeichert, sondern auf Vorrat für weitere Verträge.
Dazu äußerte sich die Datenschutzkonferenz in ihrem Beschluss wie folgt: „Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich.“
Gleichzeitig ist in der DSGVO auch der Grundsatz der Freiwilligkeit verankert. Wenn ein Kunde ein Kundenkonto anlegt, werden dort keine erforderlichen Daten gespeichert, so dass der Kunde hier eine Einwilligung für die Speicherung erteilen muss. Diese muss freiwillig erfolgen, also ohne Druck zur Erteilung dieser Einwilligung. Hat der Kunde aber ohne Einrichtung eines Kundenkontos keine gleichwertige Bestellmöglichkeit, entfällt auch die Freiwilligkeit der Einwilligung zur Speicherung seiner Daten. Die Bestellmöglichkeit ist nach Ansicht der Konferenz nämlich nur dann freiwillig, „wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.“
Unter gewissen Ausnahmetatbeständen soll beispielsweise ein Fachhändler für bestimmte Berufsgruppen Bestellungen nur über ein Kundenkonto zulassen dürfen, denkbar wäre etwa medizinisches Fachpersonal. Auch hier gilt jedoch der Grundsatz der Datenminimierung. Darüber hinaus sollen dann Kundenkonten nach einer kurzen Frist automatisch gelöscht werden, wenn diese inaktiv sind.
Auch zu dem Thema der Werbung hat sich die Datenschutzkonferenz positioniert:
Bei fortlaufenden Kundenkontos sollen Onlinehändler eine grundsätzliche Möglichkeit der Auswertung von Benutzerverhalten der Kontobesitzer haben, um zielgerichtete Werbung zu schalten.
Auch hier gilt jedoch der Einwilligungsvorbehalt: „Da dies eine Verarbeitung ist, die über die bloße Einrichtung und Führung eines fortlaufenden Kund*innenkontos hinausgeht, ist diese nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kund*innenkontos abgedeckt“.