Daten­schutz beim E‑Commerce: Gast­kon­to zwin­gend erforderlich?

Wer im Online-Handel Waren bestellt, legt dabei in der Regel wie selbst­ver­ständ­lich ein Kun­den­kon­to an. Neben der Mög­lich­keit zur ein­fa­chen Kon­takt­auf­nah­me zwi­schen Händ­ler und Kun­de dient das Kun­den­kon­to häu­fig auch zur Über­prü­fung des Bestell­sta­tus oder zur Anpas­sung der Bestel­lung. Zudem ermög­licht das Kun­den­kon­to die ein­fa­che erneu­te Bestel­lung, da nicht bei jedem wei­te­ren Bestell­vor­gang alle Anga­ben erneut getä­tigt wer­den müs­sen. Wegen der hier­durch geför­der­ten Kun­den­bin­dung machen man­che Händ­ler die Bestel­lung sogar von der Eröff­nung eines Kun­den­kon­tos abhän­gig. Nach einem kürz­lich ver­öf­fent­lich­ten Beschluss (PDF) der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (“Daten­schutz­kon­fe­renz” bzw. “DSK”) ist die­se Pra­xis aber daten­schutz­recht­lich unzulässig.

Die Auf­fas­sung der Datenschutzkonferenz

Aus der Rechts­grund­la­ge der Ver­trags­er­fül­lung und dem Grund­satz der Daten­mi­ni­mie­rung lei­tet die DSK in ihrem Beschluss für Ver­ant­wort­li­che, die Waren oder Dienst­leis­tun­gen im Online-Handel anbie­ten, die Pflicht ab, ihren Kun­den unab­hän­gig von der Mög­lich­keit eines regis­trier­ten Nut­zungs­zu­gangs grund­sätz­lich auch einen Gast­zu­gang für die Bestel­lung anzu­bie­ten. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Form eines regis­trier­ten Kun­den­kon­tos inklu­si­ve Benut­zer­na­me und Pass­wort kön­ne ledig­lich dann auf die Ver­trags­er­fül­lung gestützt wer­den, wenn der Kun­de tat­säch­lich wie­der­keh­ren­de Bestel­lun­gen vor­neh­men möch­te. Hier­für ist nach Auf­fas­sung der DSK eine bewuss­te Wil­lens­er­klä­rung des Kun­den durch eine Ein­wil­li­gung erfor­der­lich. Da die­se nach der DSGVO frei­wil­lig sein muss, bedarf es nach Auf­fas­sung der DSK einer Alter­na­ti­ve in Form eines Gast­zu­gangs, über den ledig­lich die zur Durch­füh­rung des Ver­tra­ges und zur Erfül­lung gesetz­li­cher Pflich­ten erfor­der­li­chen per­so­nen­be­zo­ge­nen Daten des Kun­den erfasst werden.

Ver­fas­sungs­wid­rig­keit des DSK-Beschlusses?

Die rein daten­schutz­recht­li­che Betrach­tung der DSK begeg­net erheb­li­chen ver­fas­sungs­recht­li­chen Beden­ken. So kann der Beschluss der DSK als Ein­griff in die ver­fas­sungs­recht­lich gewähr­leis­te­te Ver­trags­frei­heit als zen­tra­le Säu­le recht­li­cher Gestal­tungs­frei­heit gese­hen wer­den. Als Indi­vi­du­al­ga­ran­tie gewähr­leis­tet die Ver­trags­frei­heit, die eige­nen Rechts­be­zie­hun­gen durch Ver­trä­ge umfas­send zu regeln, und ver­kör­pert damit auch einen Anspruch auf Abwehr staat­li­cher Maß­nah­men, die die­se per­sön­li­che Gestal­tungs­frei­heit ohne ver­fas­sungs­recht­lich gerecht­fer­tig­ten Grund beein­träch­ti­gen. Neben der Abschluss- und Inhalts­frei­heit umfasst Ver­trags­frei­heit mit der Form­frei­heit, also der Frei­heit, ver­trag­li­che Abre­den ohne Beach­tung for­ma­ler Anfor­de­run­gen abzu­schlie­ßen, gera­de auch die Frei­heit, for­ma­le Anfor­de­run­gen – wie die Regis­trie­rung eines Kun­den­kon­tos – in Pri­vat­au­to­no­mie vorzusehen.

Selbst wenn eine daten­schutz­recht­li­che Beein­träch­ti­gung der Ver­trags­frei­heit im Ein­zel­fall gerecht­fer­tigt sein mag, bedarf die­se zumin­dest einer abwä­gen­den Betrach­tung aller Umstän­de des Sach­ver­halts, was im Fal­le der recht ein­sei­ti­gen Fokus­sie­rung der DSK auf die Rech­te der Kun­den sowie mit Blick auf die Berufs­aus­übungs­frei­heit und das Recht am ein­ge­rich­te­ten und aus­ge­üb­ten Gewer­be­be­trieb des Unter­neh­mers frag­wür­dig erscheint. Nicht zuletzt schützt das Recht am ein­ge­rich­te­ten und aus­ge­üb­ten Gewer­be­be­trieb ins­be­son­de­re die unge­stör­te Fort­set­zung der bis­he­ri­gen Tätig­keit auf­grund der bereits getrof­fe­nen betrieb­li­chen Vor­keh­run­gen und die Berufs­frei­heit gem. Art. 12 GG.

Fazit

Auch wenn die Erwä­gun­gen der DSK aus rein daten­schutz­recht­li­cher Sicht nach­voll­zieh­bar und ver­tret­bar sein mögen, lässt der Beschluss eine Abwä­gung mit den wirt­schaft­li­chen Inter­es­sen und Rech­ten von Unter­neh­mern ver­mis­sen. Hier wären die Nen­nung von Aus­nah­men bzw. die Dar­le­gung von Vor­aus­set­zun­gen für die aus­schließ­li­che Bereit­stel­lung von Kun­den­kon­ten durch Unter­neh­men wün­schens­wert gewe­sen. Ob die Bereit­stel­lung eines Gast­kon­tos erfor­der­lich ist, bedarf nach unse­rer Ein­schät­zung einer Bewer­tung im kon­kre­ten Ein­zel­fall. Mit der nahe­zu abso­lu­ten Auf­for­de­rung zur Ein­rich­tung eines Gast­zu­gangs erfolgt ein jeden­falls bedenk­li­cher Ein­griff in die ver­fas­sungs­recht­lich gewähr­leis­te­te Pri­vat­au­to­no­mie – eine Ten­denz, die ein­zel­ne Daten­schutz­auf­sichts­be­hör­den zuvor bereits im Rah­men von Pro­dukt­war­nun­gen erken­nen haben las­sen. Wir hal­ten eine von den Hin­wei­sen der DSK abwei­chen­de Pra­xis mit ent­spre­chen­der Begrün­dung daher für gut vertretbar.