Europäische Datenschutzausschussleitlinien zu verpflichtenden Nutzerkonten im Online-Handel

Warum eine verpflichtende Kontoerstellung im Online-Handel nur ausnahmsweise zulässig ist, welche Risiken für Unternehmen bestehen und weshalb die Gastbestellung regelmäßig die datenschutzkonforme Lösung darstellt.

ecommerce gdpr Handlungsbedarf für Online-Handel: Wann ist eine Account-Pflicht DSGVO-konform? Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

Account-Pflicht als Standard im Online-Handel

Auf vielen digitalen Verkaufs- und Bestellplattformen ist es noch immer üblich, dass Kunden vor dem Kauf von Waren oder dem Zugriff auf Angebote ein persönliches Nutzerkonto anlegen müssen.

Der Europäische Datenschutzausschuss (EDSA) erkennt zwar an, dass Unternehmen grundsätzlich ein wirtschaftliches Interesse daran haben können, Nutzer zur Erstellung eines Kundenkontos zu bewegen. Dieses allein reicht jedoch nach seiner Auffassung regelmäßig nicht aus, um eine verpflichtende Kontoerstellung zu rechtfertigen.

Vor diesem Hintergrund hat der EDSA klare Leitlinien zur Erstellung von Benutzerkonten auf E-Commerce-Webseiten veröffentlicht.

Empfehlungen des EDSA

In ihrer Leitlinie zur Erstellung von Benutzerkonten auf E-Commerce-Webseiten informiert der EDSA darüber, dass eine verpflichtende Registrierung nur dann zulässig ist, wenn sie objektiv erforderlich ist. Maßgeblich ist dabei der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO.

Nach Auffassung des EDSA kann der mit der Registrierung verfolgte Zweck häufig auch mit weniger eingreifenden Mitteln erreicht werden, etwa durch

  • eine einmalige Datenerhebung mittels Webformular,
  • eine Gastbestellung oder
  • punktuelle Identitäts- oder Statusprüfungen.

Eine Verpflichtung zur Erstellung eines Nutzerkontos sei daher nur in eng begrenzten Ausnahmefällen zulässig, so zum Beispiel bei

  • echten Abonnement-Modellen oder dauerhaft wiederkehrenden Leistungen sowie
  • Angeboten, die tatsächlich nur einem abgegrenzten Nutzerkreis offenstehen, etwa aufgrund einer Mitgliedschaft oder eines Zugangs auf Einladung oder Empfehlung.
Die vollständigen Empfehlungen des EDSA zur Erstellung von Benutzerkonten auf E-Commerce-Webseiten finden Sie hier.

Hinweis auf bestehende Risiken für Nutzer

In diesem Zusammenhang warnt der EDSA deutlich vor den Risiken, die eine verpflichtende Registrierung für Verbraucher mit sich bringt. Insbesondere führt eine verpflichtende Kontoerstellung häufig dazu, dass

  • Nutzer dauerhaft identifizierbar sind und ihr Verhalten leichter nachverfolgt werden kann,
  • regelmäßig mehr personenbezogene Daten erhoben und gespeichert werden, als für einen einmaligen Kauf erforderlich ist und
  • personenbezogene Daten auch bei inaktiven Konten zu lange in aktiven Systemen verbleiben, wodurch das Risiko von Datenlecks, Kontoübernahmen und Identitätsmissbrauch erheblich steigt.

Gastbestellung als datenschutzfreundliche Lösung

Nach Auffassung des EDSA sollten Anbieter digitaler Verkaufs- und Bestellplattformen ihren Kunden grundsätzlich die Möglichkeit einer Gastbestellung anbieten. Dadurch wird die Datenerhebung auf das für die Vertragsabwicklung notwendige Maß beschränkt.

Eine Gastbestellung ermöglicht insbesondere:

  • den Verzicht auf dauerhafte Nutzerprofile,
  • geringere Risiken bei Datenschutzvorfällen sowie
  • eine bessere Wahrung der Betroffenenrechte.

Eine optionale Registrierung im Anschluss an den Kauf bleibt zulässig, darf jedoch nicht faktisch erzwungen werden.

Bedeutung für Unternehmen

  • Die Leitlinien des EDSA sind rechtlich nicht verbindlich, werden von den Datenschutzaufsichtsbehörden jedoch regelmäßig als maßgebliche Auslegungshilfe herangezogen und haben daher für die Praxis eine hohe Bedeutung.
  • Unternehmen, die Nutzer zur Erstellung eines Kundenkontos verpflichten, verarbeiten personenbezogene Daten unrechtmäßig, wenn ein Nutzerkonto für den jeweiligen Zweck nicht erforderlich ist.
  • Unternehmen sollten Ihre Prozesse daher an den Empfehlungen des EDSA ausrichten.

Fazit & Handlungsempfehlungen

Eine pauschale Pflicht zur Erstellung eines Nutzerkontos ist im Online-Handel nur in Ausnahmefällen zulässig.

Ist die Inanspruchnahme eines Angebots oder die Vertragsabwicklung auch ohne Konto möglich, müssen Anbieter auf datensparsame Alternativen wie zum Beispiel eine Gastbestellung zurückgreifen.

Praxis-Tipps:

  • Verlangen Sie die Erstellung eines Nutzerkontos nur dann, wenn sie für das konkrete Angebot oder die Vertragsdurchführung objektiv erforderlich ist. Komfort-, Organisations- oder Marketinginteressen genügen nicht.
  • Sollten Sie feststellen, dass eine Umsetzung auch mit weniger eingreifenden Maßnahmen möglich ist, passen Sie Ihre Prozesse entsprechend an. Der Gastmodus gilt nach Auffassung des EDSA als datenschutzfreundlichste Lösung.
  • Beschränken Sie die Datenerhebung im Checkout auf das notwendige Maß und vermeiden Sie eine zu lange Speicherung personenbezogener Daten.
  • Informieren Sie Nutzer klar und verständlich über die ihnen zur Verfügung stehenden Wahlmöglichkeiten.

Wir unterstützen Sie dabei, Ihr bestehendes Shop-System und Ihren Checkout-Prozess datenschutzrechtlich zu bewerten und DSGVO-konform auszugestalten.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt