Die Datenschutzkonferenz (DSK) hat sich in einem aktuellen Beschluss dazu geäußert, was nach deren Ansicht bei einem datenschutzkonformen Online-Handel zu beachten ist.
Wer ist die DSK?
Die DSK ist ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die Stellungnahmen der DSK haben zwar keine bindende Wirkung für die Gerichte und zuständigen Aufsichtsbehörden, aber Ziel der DSK ist es, das Datenschutzrecht in Deutschland einheitlich anzuwenden. Daher sind die Äußerungen als richtungsweisend zu bewerten und sollten bei den Unternehmen im Rahmen des Datenschutzes Beachtung finden.
Aktueller Beschluss zum Datenschutz im Online-Handel
EinUnternehmen mit einem Online-Handel muss sicherstellen, dass ein Zugang zum Online-Shop nicht nur mittels eines registrierten Nutzungszugangs, sondern auch mittels eines Gastzugang möglich ist. Denn auch im Online-Handel gilt der Grundsatz der Datenminimierung, es sind auch dort nur solche Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.
Die zulässige Verarbeitung der personenbezogenen Daten hängt im Einzelfall vor allem auch davon ab, ob Kunden nur einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dies ist nach Auffassung der DSK jedoch nur möglich, wenn Kunden frei entscheiden können, ob sie ihre Daten für jede Bestellung erneut eingeben wollen und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie zur Begründung einer dauerhaften Geschäftsbeziehung bereit sind – verbunden mit einem fortlaufenden Kundenkonto.
Für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z. B. Benutzername/Passwort) für eine erneute Nutzung. Vielmehr dürfen über den Gastzugang nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Kunden erfasst werden. Dagegen ist dort ein Datenzugriff des Kunden oder das Hinzuspeichern weiterer Daten nicht vorgesehen. Nach Vertragserfüllung nicht mehr benötigte Daten müssen unverzüglich gelöscht werden. Schließlich müssen technisch-organisatorische Maßnahmen zur Trennung von Daten aus dem operativen Zugriff (Datensperrung) ergriffen werden, wenn gewisse Daten bei einem Gastzugang noch im Rahmen spezialgesetzlicher Aufbewahrungsplichten (z. B. aus dem Handels- oder Steuerrecht) verarbeitet werden müssen.
Fazit
- Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kunden grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen.
- Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit (d. h. keinerlei Nachteile ggü. Kundenkonto) kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
- Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke sowie die Speicherung von Informationen über Zahlungsmittel bedürfen einer gesonderten informierten Einwilligung.
- Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kunden transparenten Weise verarbeitet werden. Über die für die Vertragserfüllung erforderliche Datenverarbeitung sind Kunden in verständlicher Sprache und in den notwendigen Einzelheiten zu informieren.
- Kfz-Unternehmen mit einem eigenen Online-Handel bzw. Online-Shop sollten nun entscheiden, ob sie in Übereinstimmung mit der Verwaltungsauffassung absolut datenschutzkonform agieren wollen und ggf. Gastzugänge neu einrichten oder ob sie möglicherweise wirtschaftlich begründet mit der Einrichtung von Gastzugängen warten, bis die Behördenentscheidungen gerichtlich bestätigt werden.