Der Online-Handel spielt in unser aller Leben eine immer größere Rolle. Ein Haushaltsgerät geht kaputt und es muss schnell ein Ersatz(-teil) her, beim Einkaufen wurde eine Kleinigkeit vergessen, das Produkt ist nur online verfügbar oder es ist bequemer, weil es draußen momentan nass, kalt, windig oder auch zu warm ist. Der Online-Einkauf ist kaum noch wegzudenken.

Dabei hinterlassen wir immer – ob wir wollen oder nicht – personenbezogene Daten. Das merken wir besonders, wenn wir z.B. bei einem Shop bestellen, bei dem wir zuvor noch nichts bestellt haben. In dem Fall müssen wir unsere Daten (Name, Adresse, E-Mail oder Telefonnummer und Zahlungsinformationen) angeben. Oder man legt schnell ein Kundenkonto an, in dem dann all diese Daten hinterlegt sind und man in Zukunft mit wenigen Klicks einkaufen kann. Doch wie ist das, wenn Unternehmen mich dazu zwingen wollen, dass ich mir ein Konto anlege, weil ich sonst nicht auf der Website einkaufen kann? Dazu hat die Datenschutzkonferenz am 24.03.22 einen Beschluss[1] veröffentlicht.

Vor- und Nachteile eines Kundenkontos

Die Vorteile eines Kundenkontos für die NutzerInnen liegen auf der Hand: es ist gratis, es macht Bestellungen in der Zukunft bequemer, man kann sich häufig Waren in den „Einkaufswagen“ legen und so für später merken und man kann auch personalisierte Warenvorschläge bekommen.
Damit wären wir auch gleichzeitig bei den Nachteilen eines Kontos angelangt: Das Unternehmen kann jede Handlung (Was gucke ich mir wie lange und um welche Uhrzeit an und wie hängt das mit meinem Kaufverhalten zusammen?) nachvollziehen und durch das Benutzerkonto mir auch jahrelang zuordnen. Auf Grund dieser Daten kann man den NutzerInnen auf sie zugeschnittene Werbung oder Rabatte präsentieren, durch die sie im Durchschnitt noch häufiger bestellen.

Rechtliche Situation

Grundsatz der Datenminimierung

Ein Grundsatz der DSGVO ist, dass personenbezogene Daten „minimiert“ werden müssen. Das bedeutet, die Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ (Art. 5 Abs. 1 lit. c DSGVO). Zusätzlich dürfen nach Art. 6 Abs. 1 S. 1 lit. b DSGVO nur solche personenbezogenen Daten verarbeitet werden, die auch für die Abwicklung des einzelnen Vertrags notwendig sind.

Gibt man nun eine Online-Bestellung ab, ist es zweifelsfrei notwendig, dass das Unternehmen Name, Adresse und Zahlungsinformationen erhält, um die Bestellung zu erfüllen. Dabei kann das Unternehmen dem Kunden jedoch nicht unterstellen, dass es die Daten für potenzielle Geschäfte in der Zukunft unbefristet behalten darf. Außerdem müssen gem. Art. 17 Abs. 1 lit. a DSGVO alle nach Vertragserfüllung nicht mehr benötigten Daten unverzüglich gelöscht werden (sofern sich keine Aufbewahrungspflichten z.B. aus dem Steuerrecht ergeben). Folglich bildet Art. 6 Abs. 1 S. 1 lit. b DSGVO in dem Fall keine Rechtsgrundlage zur Speicherung der Kundendaten.

Rechtmäßige Einwilligung

Die NutzerInnen müssten demnach für eine rechtskonforme Nutzung ihrer Daten in die Verarbeitung einwilligen (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Nun kann die Erstellung eines Nutzerkontos (bei ordnungsgemäßer Aufklärung gem. Art. 7 Abs. 2 und Art. 12-14 DSGVO) durchaus als Einwilligung in die Speicherung und Verarbeitung der Daten gelten. Diese Einwilligung muss sich am Maßstab des Art. 7 Abs. 4 DSGVO messen lassen. Danach ist es verboten, gleichzeitig eine Einwilligung in Datenverarbeitung einzuholen, die nicht mit der konkreten Vertragserfüllung zusammenhängt. Und das Zusammenführen von Nutzerdaten und eine daraus resultierende Profilerstellung ist nicht für die konkrete Vertragserfüllung (der einen Bestellung) notwendig. Nach dem Beschluss der Datenschutzkonferenz liegt also keine rechtmäßige Einwilligung für die Erstellung eines dauerhaften Nutzerkontos vor. Deshalb soll den NutzerInnen eine gleichwertige (von Aufwand und Angebotsumfang) Gastzugangsmöglichkeit gegeben werden, bei der alle personenbezogenen Daten nur temporär für diesen einen Bestellvorgang aufbewahrt und danach wieder gelöscht werden.

Kritik am Beschluss der DSK

Zwar legt die Datenschutzkonferenz das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO relativ streng aus, aber u.a. mit Heranziehung des Erwägungsgrundes 43 Satz 2 DSGVO, der ein grundsätzliches Koppelungsverbot unterstützt, kann man dieser Auffassung gut folgen.

Schade ist allerdings, dass die Datenschutzkonferenz nicht auf eine mögliche Rechtsgrundlage für ein Kundenkonto aus Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse) eingeht. Insbesondere Erwägungsgrund 47 DSGVO nennt die Direktwerbung als ein berechtigtes Interesse. Die direkte Werbung könnte für ein Unternehmen der Hauptgrund sein, warum sie Nutzerkonten anbieten und folglich eine valide Rechtsgrundlage darstellen.

Fazit

Es ist lobenswert, dass die Datenschutzkonferenz versucht, den Datenhunger einiger Online-Unternehmen einzuschränken und die Konsequenzen unserer digitalen Handlungen transparent zu gestalten. Die Gefahr, durch umfassende Nutzerprofile „verwertet“ zu werden, ohne dass Betroffene die Kontrolle über ihre Daten behalten oder einen angemessenen Ausgleich zu erhalten, besteht tatsächlich. Allerdings ist die Gefahr eher bei großen, (quasi-)marktbeherrschenden Unternehmen präsent als bei einzelnen kleinen Online-Händlern. Deshalb kann der Beschluss vor allem für „Online-Riesen“ nachvollzogen werden.

Schwierig ist jedoch, dass die Fragen der Rechtsgrundlagen nicht abschließend geklärt wurden, sodass immer noch ein „Schlupfloch“ für das Datensammeln bestehen bleibt und sich im Endeffekt nichts an der jetzigen Situation ändert.

[1] https://www.datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf