Die Errichtung von Nutzerkonten gehört für viele Online-Shops zum Standard. Kundinnen und Kunden sollen sich registrieren, persönliche Daten hinterlegen und dauerhaft ein Konto anlegen – auch dann, wenn sie lediglich einen einmaligen Einkauf tätigen möchten. Genau diese Praxis nimmt der Europäische Datenschutzausschuss (EDSA) mit seinen Empfehlungen 2/2025 in den Blick und setzt damit einen klaren datenschutzrechtlichen Akzent zugunsten datensparsamer Bestellprozesse im E-Commerce.
Datenschutzrechtlicher Hintergrund
Ausgangspunkt der Empfehlungen sind die in der DSGVO verankerten Prinzipien der Rechtmäßigkeit und der Datenminimierung aus Art. 5 Abs. 1 lit. a und c DSGVO. Danach müssen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden und es dürfen nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Die Rechtmäßigkeit der Verarbeitung richtet sich dabei nach den Erlaubnistatbeständen in Art. 6 DSGVO.
Die verpflichtende Einrichtung eines Kundenkontos führt regelmäßig zu einer weitergehenden und dauerhaften Verarbeitung personenbezogener Daten, obwohl der Zweck, also der Abschluss und die Abwicklung eines einzelnen Kaufvertrags, auch ohne langfristige Speicherung erreicht werden kann. Damit stellt sich die Frage, ob eine Kontopflicht tatsächlich erforderlich oder datenschutzrechtlich unverhältnismäßig ist.
Empfehlungen des EDSA
Der EDSA ist das unabhängige Gremium der europäischen Datenschutzaufsichtsbehörden, das für eine einheitliche Anwendung der DSGVO in der EU sorgt und Leitlinien, Empfehlungen und verbindliche Beschlüsse erlässt.
Im Ergebnis stellt der EDSA fest, dass die Kontoerstellung sich nur in sehr begrenzten Fällen als zwingend rechtfertigen lässt. So etwa bei Betreiben eines „echten“ Abo-Modells mit exklusiven Angeboten, bei dem ein Konto für die Erfüllung des Vertragszwecks tatsächlich notwendig ist.
In den Empfehlungen spricht sich der EDSA daher unter anderem für folgende Grundsätze aus:
- Online-Händler sollen grundsätzlich eine Gastbestellung ermöglichen, ohne die verpflichtende Anlage eines Benutzerkontos zu verlangen.
- Die Pflicht zur Kontoerstellung ist nur dann zulässig, wenn sie objektiv erforderlich und für den verfolgten Zweck nachweisbar notwendig ist.
- Eine bloße Vereinfachung interner Prozesse oder Marketing-Interessen rechtfertigen keine Kontopflicht.
- Die Verarbeitung personenbezogener Daten im Rahmen eines Kundenkontos bedarf einer klaren Zweckbestimmung und einer tragfähigen Rechtsgrundlage.
- Nutzerinnen und Nutzer müssen transparent darüber informiert werden, welche zusätzlichen Verarbeitungen mit einem Kundenkonto verbunden sind.
Praktische Auswirkungen für Online-Shops
Für Shop-Betreiber bedeutet dies, dass bestehende Checkout-Prozesse kritisch überprüft werden müssen. Technisch und organisatorisch ist künftig sicherzustellen, dass Bestellungen auch ohne dauerhafte Registrierung möglich sind. Zudem gewinnen differenzierte Einwilligungs- und Informationskonzepte an Bedeutung, wenn optionale Kundenkonten angeboten werden. Für Verbraucherinnen und Verbraucher stärken die Empfehlungen die Wahlfreiheit und reduzieren den Zwang zur Preisgabe personenbezogener Daten bei einfachen Kaufvorgängen.
In diesem Zusammenhang hat auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss von 2022 klargestellt, dass Onlinehändler ihren Kunden grundsätzlich einen Gastzugang anbieten müssen, damit nicht unnötig Daten erhoben und gespeichert werden. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Versandhaus zur Einrichtung eines Gastzugangs verpflichtet. Allerdings zeigt ein Urteil des Hanseatischen Oberlandesgerichts (OLG Hamburg), dass es hiervon gut begründete Abweichungen geben kann.
Fazit
Mit den Empfehlungen macht der EDSA deutlich, dass die Pflicht zur Kontoerstellung im E-Commerce kein datenschutzrechtlicher Selbstläufer ist, sondern vielmehr die Ausnahme bildet. Gastkonten sind aus Sicht der Aufsichtsbehörden nicht „nice-to-have“, sondern bilden regelmäßig den datenschutzkonformen Standard. Online-Händler sollten die Empfehlungen ernst nehmen, um nicht nur rechtliche Risiken zu vermeiden, sondern auch das Vertrauen ihrer Kundschaft in einen verantwortungsvollen Umgang mit personenbezogenen Daten zu stärken.
Unternehmen, die auf die Einrichtung von Gastzugängen verzichten wollen, sollten deshalb genau überprüfen, ob sie die Anforderungen erfüllen. Eine Beratung durch Externe Datenschutzbeauftragte, kann hierbei Klarheit schaffen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
