In der heutigen Zeit spielt der Online-Handel eine wichtige Rolle. Die Möglichkeit, Dinge einfach von Zuhause aus zu bestellen, ist eine Erleichterung für viele Berufstätige. Gerade durch die Corona-Pandemie wurde der Trend des Onlinehandels deutlich verstärkt. Der E-Commerce ist für den stationären Handel eine Konkurrenz, was zur Folge hat, dass viele Händler sich im Onlinehandel etablieren möchten. Doch was gilt es hierbei in punkto Datenschutz zu beachten?
Zu den zahlreichen Anforderungen an einen professionellen Onlinehändler gesellt sich nun ein aktueller Beschluss der Datenschutzkonferenz. Laut Datenschutzkonferenz ist im Onlinehandel besonders auf die Datenminimierung zu achten (Art. 5 Abs. 1 c DSGVO). Dieser Grundsatz besagt, dass nur die notwendigen personenbezogenen Daten erhoben werden dürfen, die zu einem Vertragsschluss dienen (Art. 6 Abs. 1 S. 1 b DSGVO). Erstellt der Kunde beim Händler ein Kundenkonto, werden die Daten des Kunden in dem Kundenkonto auf Vorrat gespeichert. Vor diesem Hintergrund ist es wichtig, dem Kunden die Möglichkeit eines Gastkontos zu gewähren. Damit hat der Kunde die Möglichkeit der dauerhaften Speicherung seiner Daten zu entgehen. Die sofortige Löschung personenbezogener Daten, wenn diese nicht mehr benötigt werden lässt sich damit umsetzen (Art. 17 Abs. 1 a DSGVO). Der Nachteil hierbei ist, dass bei einer weiteren Bestellung bei dem Onlineshop alle Daten sowie Name, Anschrift und E-Mail seitens des Nutzers erneut eingegeben werden müssen.
Daten wie die Telefonnummer oder der Geburtstag des Nutzers sind für einen Vertragsschluss nicht maßgeblich. Natürlich sind Informationen, die weit über die nötigen hinausgehen, insofern für den Händler von Nutzen, dass er Kunden Angebote zukommen und diese evtl. telefonisch kontaktieren kann. Diese Nutzerinformationen dürfen demnach in einem Kontaktformular keine Pflichtfelder, sondern höchstens optional erfragt werden. Ferner sind bei geplanten Werbemaßnahmen die übrigen rechtlichen Voraussetzungen (§ 7 UWG) zu achten.
Im Beschluss der Datenkonferenz vom 24.03.2022 wird hierzu festgehalten, dass die Möglichkeit der Einwilligung für Nutzer unbedingt gewährt werden muss, da Verantwortliche aufgrund einer erstmaligen Bestellung nicht ohne bewusste Willenserklärung der Kunden dessen Daten speichern dürfen. Hierbei wird demnach nicht nur die Datenminimierung, sondern auch die Wichtigkeit der Freiwilligkeit des Nutzers hervorgehoben. Das Anlegen eines Kontos steht der Datenminimierung insofern entgegen, dass dies keine erforderliche Datenverarbeitung darstellt. Ein fortlaufendes Kundenkonto kann demnach nur mit einer expliziten Einwilligung des Nutzers gerechtfertigt werden.
Ebenfalls ist es wichtig, Gastzugängen dieselben Konditionen wie fortlaufenden Kundenkonten zu gewähren, da dies andernfalls eine Benachteiligung darstelle und das Erstellen eines Kundenkontos nicht mehr auf der Freiwilligkeit basiere, wie von der Datenschutzkonferenz erwartet wird (Art. 7 Abs. 4 DSGVO).
Es gibt Ausnahmen der beschriebenen Regelungen, die es bestimmten Bereichen, für die ein Kundenkonto für Vertragsschluss nötig ist, ermöglichen, Bestellungen ausschließlich über Kundenkontos abzuwickeln (Art. 6 Abs. 1 b DSGVO). Benötigt die gewünschte Ware z.B. eine Altersverifikation, ist diese für den Vertragsabschluss von Nöten und somit als Pflichtangabe erlaubt. Trotz dessen darf der Grundsatz der Datenminimierung nicht außer Acht gelassen werden. Um diese auch auf dieser Basis zu garantieren, sollen Kundenkontos, samt all ihrer Daten, bei Inaktivität nach kurzer Zeit automatisch gelöscht werden.
Besteht nun ein fortlaufendes Kundenkonto, sind noch weitere Aspekte bedeutend. Werden andere personenbezogene Daten als die nötigen Kontaktdaten erhoben, bedarf es hierfür unbedingt einer weiteren Einwilligung der Nutzer (Art. 6 Abs. 1 S. 1 a DSGVO).
Laut Erwägungsgrund 39 der DSGVO ist die Transparenz für Kunden von großer Wichtigkeit. Hierbei müssen Betroffene darüber informiert werden, wie personenbezogene Daten erhoben, verwendet und verarbeitet werden, in welchem Umfang und ob diese künftig noch verarbeitet werden sollen. Die darauffolgende Einwilligung des Nutzers ist entscheidend und muss nicht nur protokolliert werden, sondern für diesen auch jederzeit abruf- und widerrufbar sein.
Fakt ist: Nicht jeder Online-Shop hält sich an die Regeln der DSGVO. Es ist für den Nutzer demnach wichtig, seine Daten nicht wahllos an dubiose Webseiten weiterzugeben.