Vor wenigen Tagen wurde ein Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 24. März 2022 veröffentlicht, der unter Datenschützerinnen und Datenschützern für reichlich Gesprächsstoff und Kritik sorgte.

Im Wesentlichen enthält der Beschluss einige Aussagen zu den Anforderungen an den Online-Handel bzw. den Bestellvorgang im Internet. So wird unter anderem von den Aufsichtsbehörden gefordert, dass bei der Online-Bestellung auch ein Gastzugang, sprich die Bestellung ohne die Registrierung eines Accounts/Nutzungszugangs möglich sein müsse. Dieses wird mittelbar mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO begründet. Ein fortlaufendes Nutzungskonto sei nur auf die Einwilligung der betroffenen Person zu stützen. Zudem wird von der DSK festgestellt, dass die Auswertung der Vertragshistorie für Werbezwecke eine informierte Einwilligung bedürfe.

Die vier Kernaussagen lauten wie folgt (Zitat):

  1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.
  2. Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.
  3. Die mit einem fortlaufenden Online-Konto verbundenen Möglichkeiten der Auswertung der Vertragshistorie für Werbezwecke so wie die Speicherung von Informationen über Zahlungsmittel bedürfen einer informierten Einwilligung.
  4. Die von den Verantwortlichen verarbeiteten Daten müssen in einer für die Kund*innen transparenten Weise verarbeitet werden.

Erste Einschätzung

Der DSK-Beschluss ist (zumindest nach derzeitiger Rechtslage) nicht rechtsverbindlich, aber weitaus mehr als nur ein Hinweis. Es ist stets zu vermuten, dass sich künftig die Datenschutz-Aufsichtsbehörden an den Beschlüssen und Aussagen der DSK orientieren und daher eine entsprechende Rechtsauffassung vertreten werden.

Gleichwohl erscheint dieses Papier der DSK, selbst wenn es in Teilen im Ergebnis zutreffend sein mag, angesichts der relativ kurzen Begründung und bisweilen auch unklaren Formulierung etwas missglückt. Eine Aussage wie:

„Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z.B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z.B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.“

dürfte für die Praxis wenig verständlich und insbesondere noch weniger hilfreich sein. Fraglich ist auch, wie es überhaupt nach diesem Verständnis zu einer „Inaktivität“ eines Kunden/Kundinnenkontos kommen kann, wenn dieses Konto tatsächlich erforderlich ist, um einen Vertrag zu erfüllen und dann eine dauerhafte Nutzung vorzusehen

Im Hinblick auf die Auswertung der Vertragshistorie, beispielsweise das Profiling zu Werbezwecken, wird die (zusätzliche) informierte Einwilligung der betroffenen Person gefordert. Dies ist im Ergebnis zu begrüßen, wird jedoch nicht weiter begründet und auch nicht näher im Hinblick auf die Umsetzung erläutert.

Insgesamt entsteht der Eindruck, dass das Dokument von einer praxisfernen Rechtsauffassung getragen ist, wie im Folgenden dargelegt wird:

Rechtliche Hintergrund

Zunächst gebietet sich eine Darstellung des datenschutzrechtlichen Hintergrunds dieser Diskussion.

Im Rahmen der Erstellung eines Nutzungskontos  vor/bei einer Erstbestellung in einem Online-Shop bieten sich grundsätzlich verschiedene Rechtsgrundlagen für die Datenverarbeitung (bzw. andauernde Speicherung der darin hinterlegten Daten) an. Denkbar wäre die Einwilligung der betroffenen Person nach Art. 6 Abs.1 S. 1 lit. a DSGVO sowie die Rechtsgrundlage der „Erfüllung des Vertrages“ bzw. „Durchführung vorvertraglicher Maßnahmen“ gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Daneben könnte ggfs. auch das „berechtigte Interesse“ des Verantwortlichen aus Art. 6 Abs. 1 S. 1 lit. f DSGVO für diese Datenverarbeitung herangezogen werden.

Einwilligung

So steht das Instrument der Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a DSGVO in Raume, auf die letztlich jedwede (rechtlich zulässige) Datenverarbeitung gestützt werden könnte. Hiernach kann die Person nach vorheriger Information/Aufklärung eine Verarbeitung ihrer Daten im festgelegten Umfang und letztlich für eine bestimmte oder gar unbestimmte Dauer bis zum Widerruf veranlassen. Rechtsdogmatisch wäre hiermit zunächst eine Zustimmung für die endlose Datenverarbeitung denkbar.

Dafür müssen jedoch die in Art. 4 Nr. 11 und Art. 7 DSGVO näher erläuterten Bedingungen wie die Freiwilligkeit der Entscheidung, die konkrete Abgabe der Einwilligung, die vorherige Informiertheit und auch der Hinweis auf das Widerrufsrecht erfüllt sein. Problematisch gestaltet sich zudem in vielen Szenarien die dokumentierte Einholung der ausdrücklichen Zustimmung der betroffenen Person. Im Internet wird häufig eine aktiv zu bestätigende Checkbox (Häkchen-Setzen) mit begleitender Einwilligungsklausel sowie ein Verweis auf die ausführlichen Datenschutzbestimmungen aufgegriffen. Diese Aktivierung und der Anmeldeprozess lassen sich zwar protokollieren, lösen aber nicht vollends das Dilemma auf, ob der Person auch tatsächlich die Folgen der damit einhergehenden Datenverarbeitung verständlich und bekannt sind (und sie im Übrigen auch einwilligungsfähig war) – oder ob einfach nur ganz schnell im Wege einer Online-Bestellung durch das System „durchgeklickt“ wurde. Der Vergleich mit den derzeitigen Cookie-Banner wäre denkbar, aber freilich etwas zu pessimistisch.

Vertragserfüllung

Im Hinblick auf die Abwicklung eines Kaufvertrages bzw. einer Dienstleistung dürfte primär die Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 lit. b DSGVO einschlägig sein, da diese Norm spezieller und ausdrücklich in der DSGVO geregelt ist und das Widerrufsrecht bei Einwilligungen in Bezug auf Käufe problematisch scheint. Nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO können all solche personenbezogenen Daten verarbeitet werden, die nach strengem Maßstab für die Erfüllung des Vertrages erforderlich sind, was vom konkreten Vertrag abhängig ist. Hierzu zählen einige personenbezogene Daten zur Person, Kontaktdaten und weitere, vertragsrelevante Informationen. Wird allerdings ein Produkt im Online-Shop eines Baumarktes oder Geschäfts bestellt, letztlich aber erst bei Auslieferung in bar bezahlt, bedarf es keiner zusätzlichen Zahlungsdienstleistung und erfolgt ebenso die Abholung vor Ort in der Filiale, wird keine Lieferadresse benötigt. Gleiches gilt bei einer Benachrichtigung, dass die Ware wieder verfügbar ist.

Berechtigtes Interesse

Sodann könnte die Abfrage und Speicherung von weiteren Informationen rund um die Bestellung im berechtigten Interesse des Online-Händlers im Sinne von Art. 6 Abs. 1 S. 1 lit. f DSGVO liegen, um beispielsweise eine Verifikation der Person vorzunehmen, einen Betrugsmissbrauch zu verhindern, den Bestellvorgang zu optimieren oder ggfs. auch Angebote passgenau zu erstellen bzw. letztlich den Umsatz dadurch zu steigern. Um diese Rechtsgrundlage heranziehen zu können, dürften jedoch keine Interessen bzw. Grundrechte und -freiheiten der betroffenen Personen überwiegen. Dieses führt zu einer komplexen und nachweisbaren Interessenabwägung.

Die richtige Ausgestaltung

Angesichts dieser denkbaren Rechtsgrundlagen sollten sich Unternehmen für eine einschlägige Rechtsgrundlage entscheiden und das Angebot entsprechend datenschutzrechtlich ausgestalten bzw. konsequenterweise dieses auch fortlaufend sicherstellen.

Im Zentrum der Umsetzung steht die Wahl der Rechtsgrundlage für den Bestellvorgang bis hin zur Erstellung von Nutzungskonten. Der Bestellvorgang als solcher dürfte in der Regel nach Art. 6 Abs. 1 S. 1 lit. b DSGVO, also dem Stadium der Durchführung vorvertraglicher Maßnahmen bis hin zur Erfüllung des Vertrages abbildbar sein, so dass für die sog. Pflichtfelder beim Online-Kauf eine hinreichende Rechtsgrundlage existiert. Soweit besteht auch Einigkeit mit dem Beschluss der DSK.

Allerdings verkennt die DSK offenbar die Möglichkeit, dass auch ein Kund*innenkonto als ein zusätzlicher Vertrag im Rahmen von Nutzungsbedingungen zwischen dem Kaufenden und dem Online-Händler geschlossen werden könnte, der sich konkret auf die Einrichtung eines solchen Kontos und das Vorhalten entsprechender Angaben zur Person (Adresse, Zahlungsdienstleistung), beispielsweise um eine Retoure der Ware oder eine zukünftige Bestellung zu erleichtern oder die Rechnungen/Bestellübersicht vorzuhalten, bezieht und somit diese Vertragsfreiheit zulässt. Auch das Hinterlegen der Adresse sowie Bankverbindungsdaten oder der Zahlungsweise für eine spätere Bestellung mit nur noch „einem Klick“ wäre hier ein denkbarer Leistungsgegenstand des Vertrages. Darüber hinaus könnten sogar noch weitere Vorteile angeboten werden (exklusive Angebote oder Rabatte), die ohnehin einen eigenständigen Vertrag begründen dürften.

Zwar spricht vieles dafür, dass bestimmte Angaben im Rahmen eines Profils wie die Schuhgröße, der Lieblingsspieler oder ein Link zum Instagram-Profil sicherlich nicht erforderlich sind für diese Vertragserfüllung und daher womöglich nur als freiwillige Zusatzangaben im Wege der Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO abzufragen wären, jedoch grundsätzlich die Einrichtung eines Nutzungskontos durch Registrierung mittels E-Mail-Adresse und Namen und der automatischen Ablage von Unterlagen aus einzelnen, zusätzlichen Bestellungen, ohne Weiteres auf Basis eines Vertrages abbildbar sein muss. Andernfalls würde man Unternehmen und Nutzern diese Möglichkeit eines solchen Nutzungsvertrages völlig beschneiden und diese Rechtslage komplett unterwandern. Allerdings müsste Personen, die ein Kund*innenkonto eröffnen, in der Praxis auch hinreichend klar gemacht werden, dass sie damit einen Vertrag mit dem jeweiligen Unternehmen eingehen und welche Konsequenzen daraus folgen (wie z. B. die dauerhafte Speicherung ihrer Daten über die einzelne Bestellung hinaus). Nur so kann der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO eingehalten werden. Darüber hinaus sollte auch deutlich über die „Kündigungsmodalitäten“ in der Datenschutzerklärung informiert werden, da Art. 6 Abs. 1 S. 1 lit. b DSGVO keinen Widerruf oder Widerspruch zulässt. Letzteres lässt sich auch technisch gestalten.

Die Wahl der Einwilligung als Basis eines Nutzungskontos hätte hingegen zahlreiche Nachteile für die Unternehmen, die Waren/Dienstleistungen in Online-Shops anbieten: Die höheren Anforderungen an die dokumentierte, beweissichere, freiwillige, aktive und vorab informierte Zustimmung, insbesondere auch die Datenschutzhinweise hierzu, sind von rechtlichen Risiken beeinflusst. Der Hinweis auf den jederzeitigen Widerruf, der dann – rechtsdogmatisch – noch aufgrund Art. 7 Abs. 3 S. 4 DSGVO „so einfach wie die Erteilung der Einwilligung sein“ muss, sprich genauso wenig Klicks bedürfe wie die Registrierung und dann automatisch zur Sperre und später zur Löschung des kompletten Kontos führen sollte, spielt auch hier eine wesentliche Rolle. Bestehen Zweifel an der Wirksamkeit der Einwilligung, z. B. mangels korrekter Checkbox, dürften das gesamte Konto und damit alle damit einhergehenden Datenverarbeitungsvorgänge rechtswidrig sein. Für die Nutzerinnen und Nutzer dürfte mit dieser Lösung jedoch ein hohes Maß an Transparenz einhergehen. Eine Möglichkeit, die Einwilligung in ein Nutzungskonto mit wenig Klicks widerrufen zu können, würde vermutlich auch zu einem geringeren Bestand inaktiver Nutzer*innen in den Unternehmen führen, da in der Praxis häufig vor proaktiven E-Mails mit aktiver Löschforderung zurückschreckt wird.

Weitgehend Einigkeit dürfte allerdings dahin gehend herrschen, dass zahlreiche Zusatzinformationen und vor allem eine Auswertung des Verhaltens der Person, sofern dieses als ein „Tracking“ zu verstehen ist und ein Profiling ermöglicht, auf die Einwilligung der betroffenen Person gestützt werden sollte. Dieser zusätzliche Prozess verfolgt in der Regel einen anderen Zweck (Marketing/Umsatzsteigerung) und sollte daher nur mit Zustimmung der Person erfolgen. Das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO ließe zwar diese legitimen Zwecke und Vorgänge zu, würde aber im Rahmen einer Interessenabwägung möglicherweise das schutzwürdige Interesse der betroffenen Person nicht hinreichend betrachten. Je komplexere Analysen zum Verhalten der Person erfolgt, wie z. B. ein klickbasiertes Tracking in einem Webshop zur Erkennung von Mustern und Interessen, desto mehr dürfte das schutzwürdige Interesse des Einzelnen überwiegen – und ohnehin durch entsprechende Tools auf einer Webseite nach der Rechtsprechung (u.a. zu Planet49) die Einwilligungsbedürfnis begründen.

Zuletzt stellt sich die Frage nach der Speicherdauer und etwaigen Löschpflichten/-routinen im Hinblick auf ein Nutzungskonto. Bei der Wahl der Einwilligung könnte für eine „endlose“ Speicherung (bis zum Widerruf) der personenbezogenen Daten durch dieses Konto argumentiert werden – das gleiche Argument könnte auch bei einer intakten Vertragsbeziehung angenommen werden, denn dann wäre die Erfüllung des Vertrages durch die Bereitstellung des Dienstes und der Inhalte bis zur Kündigung anzunehmen. Der Verdacht, dies führe im Ergebnis zu einer endlosen Datenhaltung, besteht also bei beiden Alternativen.

Sieht das Unternehmen jedoch eine Löschung des Kontos nach Nachricht der Benutzer*innen oder sogar eine integrierte Funktion („Das Konto löschen“) vor, bestünden in der Umsetzung kaum Unterschiede. Allerdings dürfte die Einwilligungslösung mit den Anforderungen, den Widerrufs gleich einfach zu gestalten (mit gleich vielen Klicks) eine integrierte (automatische) Löschfunktion verlangen, sodass die Schwelle für Nutzende zur Löschung gesenkt wird.

Fazit

Es lässt sich angesichts der abweichenden Rechtsfolgen, den Forderungen nach geeigneten Löschkonzepten und den datenschutzrechtlichen Grundsätzen wie dem der Datenminimierung aus Art. 5 Abs. 1 DSGVO diskutieren, welches Konzept nun genau zu mehr Rechtssicherheit aus der Perspektive des Verantwortlichen führt. Soweit überzeugt der Beschluss der DSK jedoch nicht, da dieser Spielraum komplett missachtet wird. Die Kritik von Datenschützerinnen und Datenschützern an dem Dokument ist somit nicht ganz unbegründet.

Nach hiesiger Ansicht wäre es denklogisch für Unternehmen und Online-Händler langfristig zielführender, wenn neben einem „Gastzugang“ auch ein Nutzungskonto auf Grundlage des Vertrages (Art. 6 Abs. 1 S. 1 lit. b DSGVO) ausgestaltet und hierüber weitere Datenverarbeitungen für eine längere Dauer abgebildet werden können. Gleichwohl sollte dies nicht zu einer uferlosen Datenabfrage führen. Für Nutzende scheint die Einwilligungslösung aufgrund der hohen Anforderungen an die Informiertheit ggf. zu einem höheren Maß informationeller Selbstbestimmung zu führen, da Unternehmen angehalten sind, bei Registrierung bzw. Abgabe der Einwilligung bereits konkret und ausdrücklich auf die Datenverarbeitungsvorgänge zu informieren. Jedoch bleiben weiterhin Zweifel an der Umsetzung.

Angesichts des DSK-Beschlusses sollten Unternehmen dennoch prüfen, ob und inwiefern eine Gastbestellung im Online-Shop möglich wäre und diese idealerweise dann auch anbieten.