DSK sieht Gast-Zugang als Voraussetzung für datenschutzkonformen Online-Handel
Der aktuelle Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder dürfte einige Online-Händler aufgeschreckt haben, da die Umsetzung dieses „Beschlusses“ (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) mit zusätzlichem Aufwand und somit auch mit zusätzlichen Kosten verbunden sein dürfte.
Im Kern fordert der Beschluss folgendes:
„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.„
Die Nutzer von solchen Gast-Konten und damit die Betroffenen dürften ein nachvollziehbares Interesse daran haben, dass der Beschluss in der Praxis Akzeptanz findet. Kundenkontos erleichtern die Bestellungen im Online-Handel, bedeuten aber für den Kunden, der „eben mal nur etwas bestellen möchte“, dass er den gewünschten Kauf nicht tätigen kann, ohne eine Reihe von personenbezogenen Daten zu hinterlassen und diese dann auch für längere Zeit gespeichert bleiben. Sieht der Onlineshop die Eröffnung eines Kundenkontos vor, lässt sich die Zusammenführung der gesammelten Kundendaten als Datenverarbeitung im Sinne von Art. 4 DS-GVO betrachten.
Sucht man nach einem Erlaubnistatbestand für diese Datenverarbeitung, gelangt man zu dem Fazit, dass diese Verarbeitung über eine Einwilligung des Kunden zu legitimieren ist. Die erforderliche Einwilligung in die Datenverarbeitung ist nach der DS-GVO nur wirksam, wenn diese vom Kunden auch freiwillig erteilt worden ist (vgl. Art. 7 Abs. 4 DS-GVO). Das ist zumindest die Herleitung der DSK für die von ihr aufgestellten weiteren Kernforderungen:
- Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
- Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
- Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.
(Foto: Song_about_summer – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Datenschutz in der medizinischen Forschung
Ddie Deutsche Gesellschaft für Innere Medizin (DGIM) und der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) haben im Dezember 2025 einen gemeinsam erarbeiteten Leitfaden zur datenschutzkonformen Nutzung von Gesundheitsdaten in der medizinischen Forschung vorgelegt. Ziel ist es, Forschenden eine praxisnahe und rechtssichere Anleitung zu bieten, damit Studien mit sensiblen Patientendaten im Einklang mit der Datenschutz‑Grundverordnung
Mehr erfahren -
Leitfaden für „moderne verteidigungsfähige IT-Architektur“
Das BSI hat Anfang November 2025 einen neuen Leitfaden veröffentlicht, der unter dem Begriff Modern Defensible Architecture (MDA) firmiert. Ziel ist es, Organisationen (öffentliche wie private) eine praxisnahe Orientierung für den Aufbau und Betrieb sicherer, resilienter IT‑Architekturen zu geben. Warum MDA wichtig ist In Zeiten zunehmender Cyberbedrohungen und wachsender Komplexität digitaler Infrastrukturen reichen traditionelle Sicherheitskonzepte
Mehr erfahren -
Sechs Empfehlungen für eine vertrauenswürdige ePA
Die Datenschutzbehörde des Landes Rheinland‑Pfalz und die Verbraucherzentrale Rheinland-Pfalz haben am 6. November 2025 mit der „Mainzer Erklärung“ sechs zentrale Anforderungen formuliert, die nach ihrer Auffassung erfüllt sein müssen, damit die elektronische Patientenakte (ePA) in Deutschland datenschutzgerecht, nutzerfreundlich und alltagstauglich umgesetzt wird. Zielsetzung der Erklärung Die Initiatoren betonen, dass die ePA nur dann erfolgreich sein
Mehr erfahren
