Die Datenschutzkonferenz hat im März beschlossen, dass die Datenschutzgrundverordnung (DSGVO) dahingehend auszulegen ist, dass die meisten Online-Shops Gastbestellungen ermöglichen müssen. Onlinehändler-News, das Newsportal des Händlerbundes hat dazu berichtet, dass die Datenschutzkonferenz diesen Beschluss auf den Grundsatz der Datensparsamkeit stützt. Hier klären wir nun die häufigsten Fragen von Online-Händlern.
Darf die Datenschutzkonferenz das entscheiden?
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie legt die Datenschutzgrundverordnung aus und gibt so einheitliche Anwendungsleitlinien heraus. In der Regel folgen die Datenschutzbehörden der Auslegung der Datenschutzkonferenz.
Warum sind Kundenkonten problematisch? Personenbezogene Daten müssen doch ohnehin gespeichert werden?
Bei dem Anlegen eines Kundenkontos werden die Bestelldaten auf Vorrat gespeichert, um mögliche Folgebestellungen für den Kunden zu erleichtern. Wer als Gast bestellt muss hingegen das Bestellformular immer wieder aufs neue ausfüllen. Die Datenschutzkonferenz hat nun herausgearbeitet, dass Unternehmen bei einer Bestellung nicht davon ausgehen dürfen, dass der Kunde wiederkommt. Entsprechend ist die Einrichtung eines fortlaufenden Kontos einwilligungsbedürftig.
Natürlich gibt es auch die Daten aus Gastbestellungen Aufbewahrungsfristen, beispielsweise aus dem Steuerrecht. Für diese Zwecke darf und muss der Online-Händler die Daten natürlich speichern. Diese Daten müssen aber im operativen Zugriff getrennt werden. Ein Zugriff durch die Kunden oder die Erweiterung um weitere Daten durch die Verantwortlichen muss also ausgeschlossen werden.
Gibt es Ausnahmen? Müssen auch B2B-Shops Gastbestellungen ermöglichen?
Ja, es gibt auch Ausnahmen: Beispielsweise kann es für Fachhändler für die Erfüllung von Verträgen notwendig sein, Bestellungen nur über Kundenkonten zuzulassen. Dies kann auch für B2B-Shops gelten, da diese die Unternehmereigenschaft des Kunden überprüfen müssen.
Allerdings muss auch bei den Ausnahmen der Grundsatz der Datenminimierung eingehalten werden. So sollen Kundenkonten bei Inaktivität bereits nach einer kurzen Frist automatisch gelöscht werden. Die Länge dieser kurzen Frist ist allerdings hoch variabel und kann beispielsweise von den gewöhnlichen Bestellintervallen von Kunden abhängen.
Zum Beispiel: Bei einem Fachhändler für Büroartikel wird ein Kunde häufiger einkaufen, als bei einem Händler, der schwere, teure Geräte anbietet. So wird die „kurze Frist“ im ersten Fall kürzer, als im zweiten Fall sein.
Wie muss die Möglichkeit der Gastbestellung gestaltet sein?
Fällt der Shop nicht in die Ausnahme, so muss der Bestellaufwand als Gast in etwa dem einer Bestellung über ein Kundenkonto entsprechen. Das heißt, dass die Möglichkeit als Gast zu bestellen nicht unnötig erschwert werden darf.
Dass der Gast seine Daten eingeben muss, gilt allerdings nicht als Erschwernis. Zum einen müsste er die Daten auch beim Erstellen eines Kundenkontos zumindest Erstmalig eingeben; zum anderen ist das Nicht-Speichern von personenbezogenen Daten für erneute Bestellungen gerade Sinn und Zweck einer Gastbestellung.
Datenschutz-Paket Pro
- Externer Datenschutzbeauftragter
- Anwaltliches Beratungsgespräch
- Rechtssichere Datenschutzdokumente
- Persönliche Datenschutzschulung
