DSK sieht Gast-Zugang als Voraussetzung für datenschutzkonformen Online-Handel

Online Handel, Gast-Zugang

Der aktuelle Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder dürfte einige Online-Händler aufgeschreckt haben, da die Umsetzung dieses „Beschlusses“ (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) mit zusätzlichem Aufwand und somit auch mit zusätzlichen Kosten verbunden sein dürfte.

Im Kern fordert der Beschluss folgendes:
Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Die Nutzer von solchen Gast-Konten und damit die Betroffenen dürften ein nachvollziehbares Interesse daran haben, dass der Beschluss in der Praxis Akzeptanz findet. Kundenkontos erleichtern die Bestellungen im Online-Handel, bedeuten aber für den Kunden, der „eben mal nur etwas bestellen möchte“, dass er den gewünschten Kauf nicht tätigen kann, ohne eine Reihe von personenbezogenen Daten zu hinterlassen und diese dann auch für längere Zeit gespeichert bleiben. Sieht der Onlineshop die Eröffnung eines Kundenkontos vor, lässt sich die Zusammenführung der gesammelten Kundendaten als Datenverarbeitung im Sinne von Art. 4 DS-GVO betrachten.

Sucht man nach einem Erlaubnistatbestand für diese Datenverarbeitung, gelangt man zu dem Fazit, dass diese Verarbeitung über eine Einwilligung des Kunden zu legitimieren ist. Die erforderliche Einwilligung in die Datenverarbeitung ist nach der DS-GVO nur wirksam, wenn diese vom Kunden auch freiwillig erteilt worden ist (vgl. Art. 7 Abs. 4 DS-GVO). Das ist zumindest die Herleitung der DSK für die von ihr aufgestellten weiteren Kernforderungen:

  • Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
  • Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
  • Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.

    (Foto: Song_about_summer – stock.adobe.com)

Letztes Update:19.05.22

  • Online-Schulung: Websites datenschutzkonform gestalten

    Online-Schulung: Websites datenschutzkonform gestalten

    Online-Schulung

    574.20 € Mehr erfahren
  • Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Onlinedatenschutz auf dem Weg zur ePrivacy-Verordnung

    Seminar

    2022-09-27, 08:00 | Köln

    2022-09-12, 08:00 | Köln

    696.15 € Mehr erfahren
  • Ihr Dialog mit der Datenschutzaufsicht

    Ihr Dialog mit der Datenschutzaufsicht

    Seminar

    1032.40 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Mitarbeiterexzess Datenbankabfrage

    Datenschutzverstöße durch „Mitarbeiterexzess“

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren