Datenschutzkonformer Onlinehandel nur noch mittels Gastzugang?
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 24.03.2022 einen durchaus beachtenswerten Beschluss veröffentlicht.
Dieser Beschluss enthält 4 Thesen, welche wir im nachfolgenden kurz erörtern möchten:
1. Online-Händler müssen ihren Kunden grundsätzlich einen sog. Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für Bestellungen zur Verfügung stellen.
Nach dieser Kernthese der DSK soll eine grundsätzlich Pflicht zur Bereitstellung eines Gastzugangs bestehen. Es ist also nach Ansicht der DSK nicht zulässig, wenn ein Online-Händler ausschließlich eine Bestellmöglichkeit für registrierte Nutzer, also über ein Kundenkonto, anbietet. Begründet wird diese These recht pauschal mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 S. 1 lit. c) DSGVO. Was ist hiervon zu halten?
Auch wenn die Intention der Behörde datenschutzrechtlich betrachtet nachvollziehbar ist, muss man sich allerdings zivilrechtlich die Frage stellen, warum es unzulässig sein sollte, wenn ein Shopbetreiber vertraglich eine Registrierung zu seinem Shop-Portal verlangt.
Im Rahmen der zivilrechtlichen Vertragsfreiheit steht es dem Shopbetreiber nämlich grundsätzlich frei, wie er den Zugang zu seinem Shop ausgestaltet.
Ein Nutzungsverhältnis zu einer Online-Plattform (was ein Online-Shop eben auch ist) wird durch die Registrierung begründet. Die vertragliche Leistung ist der Zugang zu dem Shop. Hier ist eine Parallele zu social-media Plattformen, zu denen man sich ja ebenfalls registrieren muss, zu sehen. Diesbezüglich hat der BGH betreffend Facebook ja sogar entschieden, dass eine zumindest die Registrierung (wenn auch nicht Nutzung) mit Klarnamen verlangt werden kann. Zudem ist es seit langem üblich, dass Verbraucher mit ihren Daten „bezahlen“. Online-Angebote wie Facebook werden Nutzern ohne Zahlung eines Geldbetrages zur Verfügung gestellt. Dies erfolgt seitens der Unternehmen aber nicht ohne Hintergedanken, diese verdienen ihr Geld vielmehr damit, dass Nutzerdaten z.B. zu persönlichen Interessen, zu einer passgenauen Werbung und dem Verkauf teurer Werbeplätze weiterverwendet werden. Dieses „Bezahlen mit Daten“ wird nunmehr im BGB in § 312 Abs. 1a und § 327 Abs. 3 BGB ausdrücklich als Währung anerkannt, indem die Überlassung von Daten einer Geldzahlung gleichgestellt wird, was im Grunde die Verbraucherschutzrechte stärkt. Wenn allerdings schon ein Bezahlen mit Daten rechtlich anerkannt ist, kann ein „weniger“ nämlich eine bloße Registrierung zu einem Portal kaum rechtlich problematisch sein.
Im Grunde behauptet die DSK mit ihrem Beschluss, dass eine Klausel in AGBs eines Shopbetreibers, in der dieser eine Registrierungspflicht vorsieht, nach AGB-Recht unwirksam sei.
Zivilrechtlich kann nach AGB-Recht eine Klausel unwirksam sein, wenn sie „mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist“ (§ 307 Abs. 2 Nr. 1 BGB). Die wesentlichen Grundgedanken wären hier der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO. Gegen diesen Grundsatz müsste mit der Vorgabe der Registrierung zu einem Nutzerkonto verstoßen werden. Das ist aber vorliegend nicht gegeben. Bei einer Bestellung mittels einem Gastzugang werden im Ergebnis die gleichen Daten (Name, Anschrift, Zahlungsdaten) verarbeitet wie bei einer Bestellung über ein Kundenkonto. Das einzige, was sicher nicht erhoben würde (und zu einer Kaufvertragsabwicklung auch nicht erforderlich wäre) ist der Benutzername und ein Passwort.
Das sind aber nur marginal weniger Daten als bei einer Verarbeitung mittels eines Kundenkontos. Dies stellt damit keinen relevanten Beitrag zu einer Datenminimierung dar, vielmehr ist es Augenwischerei, wenn verlangt wird, Bestellungen in erster Linie über Gastzugänge abzuwickeln und dem Nutzer damit eine Datenminimierung vorzugaukeln, die de facto nicht erfolgt. Das ist nach datenschutzrechtlichen Vorgaben intransparent.
Unser Ansicht nach ist der bloße Rückgriff auf den unbestimmten Grundsatz der Datenminimierung, angesichts der Tiefe des Eingriffs in die unternehmerische Freiheit wirklich als gewagt anzusehen.
2. Ein Kundenkonto kann nur freiwillig eingerichtet werden
Die zweite These korreliert mit der ersten. Es soll zwar eine Pflicht zur Bestellung über einen Gastzugang bestehen, trotzdem soll es aber laut DSK möglich sein, Kundenkonten weiterhin anzubieten. Diese müssen die Nutzer aber freiwillig einrichten. Wird seitens des Shopbetreibers nicht zugleich auch die Möglichkeit einer Bestellung mittels Gastzugang angeboten, so erfolgt die Einwilligung der Nutzer Kundenkonten einzurichten laut DSK nicht freiwillig.
Dies ist aus den gleichen Gründen wie unter 1. genannt, abzulehnen. Es ist unserer Meinung nach ein Verstoß gegen die Vertragsfreiheit eines Shopbetreibers, wenn diesem verboten wird, eine Registrierung zu seinem Shop zu verlangen.
Die Registrierung begründet dann das Nutzungsverhältnis und dient der Begründung eines Vertragsverhältnisses, wobei die vertragliche Leistung der Zugang zum Shop ist. Daher können Shopbetreiber die Registrierung zum Shop auf Art. 6 Abs. 1 lit. b) DSGVO stützen.
3. Bei Werbung ist eine informierte Einwilligung erforderlich
Des Weiteren geht die DSK geht aus, dass Datenverarbeitungen für Werbezwecke immer einer Einwilligung bedürfen. Dies ist in dieser Pauschalität ebenfalls unrichtig. Werbung ist ein anerkanntes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Auch gibt es z.B. § 7 Abs. 3 UWG, welcher gesetzliche Ausnahmen vom Einwilligungserfordernis für die Nutzung von Daten zu Werbezwecken vorsieht.
Zudem ist die bloße Annahme der DSK, dass Nutzer, die kein Kundenkonto haben wollen auch keinesfalls Werbung möchten, nicht ganz eingängig.
4. Informationspflichten müssen erfüllt werden
Das Informationspflichten erfüllt werden müssen ist richtig.
Unsere Einschätzung:
Inhaltlich ist der Beschluss der DSK rechtlich wenig überzeugend. Es ist zudem zu beachten, dass die Aussagen der DSK keine rechtsverbindliche Wirkung haben. Über rechtliche Fragen entscheiden ausschließlich Gerichte. Da der Beschluss schon jetzt kontrovers diskutiert wird, sind hierzu Gerichtsentscheidungen zu erwarten. Andererseits ist ein DSK-Beschluss mehr als ein reiner Hinweis. Es steht zu erwarten, dass sich die Datenschutz-Aufsichtsbehörden hieran orientieren. Daher sollten Shop-Betreiber unbedingt prüfen, ob Bestellungen über Gastzugänge angeboten werden können. Über Neuerungen halten wie Sie auf dem Laufenden.