Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat beschlossen, dass Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, ihren Kunden grundsätzlich einen Gastzugang für die Bestellung bereitstellen müssen. Es ist danach nicht zulässig, dass ausschließlich die Möglichkeit geboten wird, Waren oder Dienstleistungen über einen registrierten Zugang (Nutzerkonto) einzukaufen.

Auch im E-Commerce gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c) DS-GVO). Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Die zulässige Verarbeitung der personenbezogenen Daten hängt im Einzelfall insbesondere davon ab, ob Kundinnen und Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen sie jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten, oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist. 

Daraus ergibt sich Folgendes:

1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kundinnen und Kunden grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kundenkontos) für die Bestellung bereitstellen, unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kundenkonto) zur Verfügung stellen.
2. Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
3. Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
4. Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kunden transparenten Weise verarbeitet werden.

Gerichte sind an die Beschlüsse der Datenschutzkonferenz nicht gebunden, sicherlich haben sie jedoch Indizwirkung für eine gesetzeskonforme Auslegung.

Quelle: DIHK