DSK sieht Gast-Zugang als Voraussetzung für datenschutzkonformen Online-Handel
Der aktuelle Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder dürfte einige Online-Händler aufgeschreckt haben, da die Umsetzung dieses „Beschlusses“ (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) mit zusätzlichem Aufwand und somit auch mit zusätzlichen Kosten verbunden sein dürfte.
Im Kern fordert der Beschluss folgendes:
„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.„
Die Nutzer von solchen Gast-Konten und damit die Betroffenen dürften ein nachvollziehbares Interesse daran haben, dass der Beschluss in der Praxis Akzeptanz findet. Kundenkontos erleichtern die Bestellungen im Online-Handel, bedeuten aber für den Kunden, der „eben mal nur etwas bestellen möchte“, dass er den gewünschten Kauf nicht tätigen kann, ohne eine Reihe von personenbezogenen Daten zu hinterlassen und diese dann auch für längere Zeit gespeichert bleiben. Sieht der Onlineshop die Eröffnung eines Kundenkontos vor, lässt sich die Zusammenführung der gesammelten Kundendaten als Datenverarbeitung im Sinne von Art. 4 DS-GVO betrachten.
Sucht man nach einem Erlaubnistatbestand für diese Datenverarbeitung, gelangt man zu dem Fazit, dass diese Verarbeitung über eine Einwilligung des Kunden zu legitimieren ist. Die erforderliche Einwilligung in die Datenverarbeitung ist nach der DS-GVO nur wirksam, wenn diese vom Kunden auch freiwillig erteilt worden ist (vgl. Art. 7 Abs. 4 DS-GVO). Das ist zumindest die Herleitung der DSK für die von ihr aufgestellten weiteren Kernforderungen:
- Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
- Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
- Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.
(Foto: Song_about_summer – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
