Datenschutz beim E-Commerce: Gastkonto zwingend erforderlich?

Stefan Hessel

Wer im Online-Handel Waren bestellt, legt dabei in der Regel wie selbstverständlich ein Kundenkonto an. Neben der Möglichkeit zur einfachen Kontaktaufnahme zwischen Händler und Kunde dient das Kundenkonto häufig auch zur Überprüfung des Bestellstatus oder zur Anpassung der Bestellung. Zudem ermöglicht das Kundenkonto die einfache erneute Bestellung, da nicht bei jedem weiteren Bestellvorgang alle Angaben erneut getätigt werden müssen. Wegen der hierdurch geförderten Kundenbindung machen manche Händler die Bestellung sogar von der Eröffnung eines Kundenkontos abhängig. Nach einem kürzlich veröffentlichten Beschluss (PDF) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ("Datenschutzkonferenz" bzw. "DSK") ist diese Praxis aber datenschutzrechtlich unzulässig.

Die Auffassung der Datenschutzkonferenz

Aus der Rechtsgrundlage der Vertragserfüllung und dem Grundsatz der Datenminimierung leitet die DSK in ihrem Beschluss für Verantwortliche, die Waren oder Dienstleistungen im Online-Handel anbieten, die Pflicht ab, ihren Kunden unabhängig von der Möglichkeit eines registrierten Nutzungszugangs grundsätzlich auch einen Gastzugang für die Bestellung anzubieten. Die Verarbeitung personenbezogener Daten in Form eines registrierten Kundenkontos inklusive Benutzername und Passwort könne lediglich dann auf die Vertragserfüllung gestützt werden, wenn der Kunde tatsächlich wiederkehrende Bestellungen vornehmen möchte. Hierfür ist nach Auffassung der DSK eine bewusste Willenserklärung des Kunden durch eine Einwilligung erforderlich. Da diese nach der DSGVO freiwillig sein muss, bedarf es nach Auffassung der DSK einer Alternative in Form eines Gastzugangs, über den lediglich die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten des Kunden erfasst werden.

Verfassungswidrigkeit des DSK-Beschlusses?

Die rein datenschutzrechtliche Betrachtung der DSK begegnet erheblichen verfassungsrechtlichen Bedenken. So kann der Beschluss der DSK als Eingriff in die verfassungsrechtlich gewährleistete Vertragsfreiheit als zentrale Säule rechtlicher Gestaltungsfreiheit gesehen werden. Als Individualgarantie gewährleistet die Vertragsfreiheit, die eigenen Rechtsbeziehungen durch Verträge umfassend zu regeln, und verkörpert damit auch einen Anspruch auf Abwehr staatlicher Maßnahmen, die diese persönliche Gestaltungsfreiheit ohne verfassungsrechtlich gerechtfertigten Grund beeinträchtigen. Neben der Abschluss- und Inhaltsfreiheit umfasst Vertragsfreiheit mit der Formfreiheit, also der Freiheit, vertragliche Abreden ohne Beachtung formaler Anforderungen abzuschließen, gerade auch die Freiheit, formale Anforderungen – wie die Registrierung eines Kundenkontos – in Privatautonomie vorzusehen.

Selbst wenn eine datenschutzrechtliche Beeinträchtigung der Vertragsfreiheit im Einzelfall gerechtfertigt sein mag, bedarf diese zumindest einer abwägenden Betrachtung aller Umstände des Sachverhalts, was im Falle der recht einseitigen Fokussierung der DSK auf die Rechte der Kunden sowie mit Blick auf die Berufsausübungsfreiheit und das Recht am eingerichteten und ausgeübten Gewerbebetrieb des Unternehmers fragwürdig erscheint. Nicht zuletzt schützt das Recht am eingerichteten und ausgeübten Gewerbebetrieb insbesondere die ungestörte Fortsetzung der bisherigen Tätigkeit aufgrund der bereits getroffenen betrieblichen Vorkehrungen und die Berufsfreiheit gem. Art. 12 GG.

Fazit

Auch wenn die Erwägungen der DSK aus rein datenschutzrechtlicher Sicht nachvollziehbar und vertretbar sein mögen, lässt der Beschluss eine Abwägung mit den wirtschaftlichen Interessen und Rechten von Unternehmern vermissen. Hier wären die Nennung von Ausnahmen bzw. die Darlegung von Voraussetzungen für die ausschließliche Bereitstellung von Kundenkonten durch Unternehmen wünschenswert gewesen. Ob die Bereitstellung eines Gastkontos erforderlich ist, bedarf nach unserer Einschätzung einer Bewertung im konkreten Einzelfall. Mit der nahezu absoluten Aufforderung zur Einrichtung eines Gastzugangs erfolgt ein jedenfalls bedenklicher Eingriff in die verfassungsrechtlich gewährleistete Privatautonomie – eine Tendenz, die einzelne Datenschutzaufsichtsbehörden zuvor bereits im Rahmen von Produktwarnungen erkennen haben lassen. Wir halten eine von den Hinweisen der DSK abweichende Praxis mit entsprechender Begründung daher für gut vertretbar.

[Juni 2022]