Nach Ansicht der Datenschutzkonferenz sind Verantwortliche im Online-Handel verpflichtet, Kund*innen einen Gastzugang für ihre Bestellung anzubieten.
Die DSK, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden der Länder und des Bundes, geht in einem neueren Beschluss davon aus, dass Verantwortliche, die Waren oder Dienstleistungen im Online-Handel anbieten, ihren Kund*innen grds. einen Gastzugang (Geschäftsabschluss ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen müssen.
Die DSK begründet dies damit, dass für das Vorhalten personenbezogener Daten in einem fortlaufenden Kund*innenkonto auf Grundlage eines einzelnen Vertragsschlusses keine Rechtfertigung bestehe und ein fortlaufendes Konto daher einer Einwilligung der betroffenen Person als datenschutzrechtlicher Rechtsgrundlage bedürfe. Da die Einwilligung freiwillig erfolgen müsse, bedürfe es seitens der Kund*innen im Online-Handel einer freien Wahl zwischen einem fortlaufenden Kund*innenkonto und einem Gastzugang.
In diesem Zusammenhang positioniert sich die DSK auch dahingehend, dass die Datenverarbeitung zu Werbezwecken auf Basis eines Geschäftsabschlusses ebenfalls stets eine Einwilligung voraussetze und auch Zahlungsmitteldaten nur auf Grundlage einer Einwilligung verarbeitet werden dürften.
Pflicht zum Anbieten von Gastzugängen hat erhebliche Auswirkungen auf die E-Commerce-Branche
Online-Händler*innen wären danach stets verpflichtet, neben etwaigen Registrierungsmöglichkeiten auch Gastzugänge anzubieten.
Die Verpflichtung zur Einrichtung eines Gastzugangs führt neben infrastrukturellen Problemen nicht selten auch zu Konflikten mit den unternehmerischen Interessen von Online-Händler*innen. Im E-Commerce wird häufig darauf abgezielt, dass Kund*innen eine Bindung zu dem Unternehmen und der Marke aufbauen. Dem Aufbau einer Kund*innenbindung dient regelmäßig der persönliche Zuschnitt von Produkten und Dienstleistungen auf jede Kundin und jeden Kunden. Eine persönliche Angebotsanpassung ist auch wegen der Vielgestaltigkeit und des Umfangs des stetig wachsenden Sortiments im Online-Handel unerlässlich.
Für Nutzer*innen ist es mittlerweile nahezu unmöglich, die stetig ansteigende Informations- und Produktflut im E-Commerce zu überblicken, und sie sind auf die Selektion und Aggregation von Inhalten durch die Händler*innen angewiesen. Eine solche Selektion und Aggregation setzt die Bereithaltung eines fortlaufenden Kund*innenkontos voraus, in dem etwa der bisherige Bestellverlauf gespeichert und ausgewertet wird, um den Kund*innen möglichst passende und ansprechende Angebote zu präsentieren. Außerdem führt die Möglichkeit von personalisierten Inhalten und Angeboten, z.B. in Form von Vorschlägen für Kleidungsstücke in der passenden Größe, die am bisherigen Bestellverlauf und den vergangenen Retouren ausgerichtet werden, zu weniger Rücksendungen, womit auch die Umwelt geschont wird. Und dies entspricht auch einer modernen Unternehmensphilosophie und den Erwartungen junger und moderner Kund*innen. Schließlich kann die Kenntnis über Vorlieben und Einkaufsgewohnheiten der Nutzer*innen den Online-Plattformen darüber hinaus dabei helfen, Betrugsfälle, z.B. in Form von Konstellationen, in denen Konten von Dritten übernommen und zu Massenbestellungen missbraucht werden, schnell zu erkennen und schadensmindernd darauf zu reagieren. Auch um Compliance-Anforderungen zu genügen oder Kund*innen bestimmte Zahlungsmittel anzubieten, können ergänzende Hintergrundinformationen zu den Käufer*innen und ihre Speicherung im Rahmen eines fortlaufenden Kund*innenkontos erforderlich sein. Dass kein Gastzugang eingerichtet ist, ist damit oftmals die Konsequenz einer bewussten unternehmerischen Entscheidung, an deren Aufrechterhaltung sowohl ein ideelles als auch ein ökonomisches Interesse besteht.
Aufsichtsbehörden haben Rechtsdurchsetzung angekündigt
Ein Beschluss der DSK bindet grds. weder Aufsichtsbehörden noch Gerichte bei der Anwendung und Auslegung des Datenschutzrechts. Behörden und Gerichten steht es vielmehr frei, eine eigene Rechtsauffassung zu vertreten und das geltende Recht anders als die DSK auszulegen und anzuwenden. Gleichwohl entfalten die Verlautbarungen der DSK regelmäßig eine enorme faktische Bindungswirkung für die Aufsichtsbehörden. Dies folgt bereits aus der Zwecksetzung der DSK, die Anwendung und Durchsetzung des Datenschutzrechts zu vereinheitlichen und eine gemeinsame Position der Datenschutzaufsichtsbehörden zu finden und zu kommunizieren. Auch Gerichte orientieren sich bei schwierigen Rechtsfragen regelmäßig an Veröffentlichungen der DSK und berufen sich auf diese. Daraus folgt, dass im Falle eines Einschreitens der Datenschutzbehörde eine Inanspruchnahme gerichtlichen Rechtsschutzes grds. Aussicht auf Erfolg haben kann, da die Gerichte ein anderes Verständnis der Datenschutznormen haben können als die Datenschutzaufsichtsbehörden.
Mit Blick auf die jeweils zuständigen Datenschutzbehörden erscheint es jedoch nicht unwahrscheinlich, dass sich diese an dem Beschluss der DSK orientieren und deshalb gegen Betreiber*innen von E-Commerce-Plattformen vorgehen, die keinen Gastzugang anbieten. Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), äußerte sich auf der 103. Datenschutzkonferenz dazu dergestalt, dass Unternehmen nunmehr die in dem Beschluss vom 24. März 2022 zum Ausdruck kommende gemeinsame Rechtsauffassung der Datenschutzbehörden kennen müssten und ihnen daher im Falle von Beschwerden oder beschwerdelosen Untersuchungen der Vorwurf eines Datenschutzverstoßes gemacht werden könne, wobei die Datenschutzbehörden bereit seien, die ihnen zustehenden Maßnahmen, von der Beratung bis zum Bußgeld, auszuschöpfen, um auf solche Verstöße zu reagieren.
Daneben besteht die Möglichkeit, dass auch Mitbewerber*innen, die einen Gastzugang anbieten, unter Berufung auf diesen Beschluss Konkurrent*innen abmahnen und Unterlassungsansprüche geltend machen. Dadurch bekommt der Beschluss der DSK auch eine wettbewerbsrechtliche Bedeutung.
Breite Kritik am Beschluss der DSK und an der Einwilligungspriorisierung
Der Beschluss der DSK ist bereits auf breite Kritik aus den Reihen der Datenschutzexpert*innen gestoßen und wird kontrovers diskutiert. Dies liegt vor allem daran, dass die sehr knappen Thesen des Beschlusses nur oberflächlich oder gar nicht begründet werden und die Einwilligung als datenschutzrechtliche Rechtsgrundlage von der DSK über sämtliche Thesen des Beschlusses hinweg priorisiert wird, ohne dass sie die einzige oder die vorzugswürdige Datenverarbeitungsgrundlage der DSGVO darstellen würde. Der Beschluss und die dahinterstehende Forderung, im Internet ähnlich wie in einem Ladengeschäft anonym und einmalig einkaufen zu können, werden zudem zu Recht als praxisfern kritisiert. Es erscheint daher nicht unwahrscheinlich, dass sich der Beschluss in einem gerichtlichen Verfahren im Einzelfall als nicht haltbar erweist und etwaige datenschutzbehördliche Anordnungen und Verfügungen durch ein Gericht kassiert werden.
Hauptsächlich ist zu kritisieren, dass die DSK schwerpunktmäßig auf die Einwilligung als Rechtfertigung für eine Datenverarbeitung abstellt. Dabei verhält sich die DSK nicht dazu, dass es neben der Einwilligung noch weitere taugliche Rechtsgrundlagen gibt, die eine Datenverarbeitung ermöglichen können und die in ihrer Wertigkeit der einwilligungsbasierten Datenverarbeitung gleichrangig sind. Das heißt, die Einwilligung der Betroffenen stellt keinen besseren oder höherwertigen Rechtfertigungstatbestand dar. Vielmehr erlaubt die DSGVO auch solche Datenverarbeitungsvorgänge, die zur Durchführung (vor-)vertraglicher Maßnahmen oder zur Wahrung der berechtigten Interessen der verantwortlichen oder einer dritten Person erforderlich sind, sofern nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Insofern überzeugt es bereits nicht, dass die DSK mit knapper Begründung davon ausgeht, die Einrichtung eines fortlaufenden Kund*innenkontos könnte nicht als für die Vertragsdurchführung erforderlich angesehen werden und bedürfe stets einer Einwilligung.
Zunächst lässt sich nicht pauschal ausschließen, dass – je nach Ausgestaltung des Online-Kaufvertrages und der dazugehörigen AGB – das Vorhalten gewisser personenbezogener Daten während eines angemessenen Zeitraums in einem fortlaufenden Kund*innenkonto für die Vertragsdurchführung als erforderlich angesehen werden kann. Daneben könnte man sich auf den Standpunkt stellen, dass das Vorhandensein eines fortlaufenden Kund*innenkontos zur Erfüllung eines Plattformvertrags sui generis, der von der Abwicklung der einzelnen Kaufverträge unabhängig ist, erforderlich ist und damit keiner besonderen Einwilligung bedarf. Je nach Ausgestaltung des Services, den eine E-Commerce-Plattform bietet, nach Sensitivität der im fortlaufenden Kund*innenkonto gespeicherten personenbezogenen Daten und möglicher Vorteile, die das fortlaufende Konto für Kund*innen bietet, kann auch ein Rückgriff auf die überwiegenden Interessen als Rechtsgrundlage für die mit dem fortlaufenden Kund*innenkonto verbundenen Datenverarbeitungsvorgänge nicht pauschal ausgeschlossen werden. Die Datenverarbeitung im Zusammenhang mit einem fortlaufenden Kund*innenkonto hängt demnach nicht allein von einer Einwilligung ab, sondern lässt sich unter Umständen von vornherein auf andere datenschutzrechtliche Rechtsgrundlagen stützen.
Auch wenn man vom Erfordernis einer Einwilligung für die Einrichtung eines fortlaufenden Kontos ausgehen sollte, bestehen Zweifel an der pauschalen Feststellung der DSK, dass diese Einwilligung nur freiwillig sein könne, wenn auch ein Gastzugang zur Wahl stehe. Dies gilt umso mehr für die noch weiter einschränkende Auslegung des Datenschutzbeauftragten Rheinland-Pfalz, der unter Bezugnahme auf den DSK-Beschluss klargestellt hat, dass ein gleichwertiger Gastzugang u.a. stets dieselben Zahlungsoptionen bieten müsse wie ein fortlaufendes Kund*innenkonto. Das Erfordernis eines Gastzugangs zur Gewährleistung der Freiwilligkeit leitet die DSK aus dem sog. Koppelungsverbot des Art. 7 Abs. 4 DSGVO ab, dessen Reichweite und Existenz heftig umstritten sind. Die DSK legt ihren Thesen jeweils die strengstmögliche Interpretation des Kopplungsverbots zu Grunde. Neben der strikten Interpretation der DSK könnte man für die Bestimmung der Einschlägigkeit des Kopplungsverbotes auch darauf abstellen, dass die erforderliche Freiwilligkeit bereits darin hinreichend zum Ausdruck kommt, dass sich die Kund*innen aktiv für die Erstellung eines Accounts bei der E-Commerce-Plattform entscheiden. Denn niemand ist dazu gezwungen, bei bestimmten Anbieter*innen im Online-Handel einzukaufen oder Dienstleistungen in Anspruch zu nehmen. Etwas anderes würde nur dann gelten, wenn die betreffende Plattform über erhebliche Marktmacht oder eine Monopolstellung verfügt. Jenseits solcher Größenordnungen lässt sich ein engeres Verständnis des Kopplungsverbotes jedoch gut vertreten. Solche Überlegungen liegen bspw. auch bekannten Sachverhaltskonstellationen zu Grunde, in denen man für die Möglichkeit der kostenlosen Teilnahme an einem Online-Gewinnspiel eine Werbeeinwilligung erteilen muss oder mit dem Betreten des Veranstaltungsgeländes in die Aufnahme von Veranstaltungsfotos einwilligt. Zu der erstgenannten Einwilligungskonstellation hat das OLG Frankfurt bereits entschieden, dass die Einwilligung nur dann als nicht freiwillig erteilt gelte, wenn sie nicht ohne Nachteile verweigert oder widerrufen werden könne (OLG Frankfurt, Urteil v. 27. Juni 2019 – 6 U 6/19). Ein solcher Nachteil könne jedoch nicht darin gesehen werden, nicht am Gewinnspiel teilnehmen zu können.
Auch die aus dem DSK-Beschluss zu entnehmende Aussage, dass Direktwerbung gegenüber Kund*innen, die im Online-Handel Geschäfte abgeschlossen haben, nur auf Basis einer Einwilligung möglich ist, lässt sich kritisch hinterfragen. Dies gilt umso mehr für die Behauptung, wer sich für die Nutzung eines Gastzugangs entscheide, spreche sich bereits dadurch gegen das Einverständnis zum Erhalt von Werbenachrichten aus. Wie sich den Erwägungsgründen (EG) der DSGVO entnehmen lässt (EG 47), kann ein berechtigtes Interesse von Unternehmen gerade an der Datenverarbeitung zum Zwecke der Direktwerbung bestehen. Weil Direktwerbung demnach nicht selten auf die Rechtsgrundlage der Interessenabwägung gestützt werden kann, die Betroffenen einen Widerspruch gegen die darauf gestützten Datenverarbeitungsvorgänge erlaubt, sieht Art. 21 Abs. 2 DSGVO ausdrücklich vor, dass Betroffene jederzeit Widerspruch gegen die sie betreffende Verarbeitung personenbezogener Daten zum Zwecke derartiger Werbung einlegen können. Auch darin drückt sich das Verständnis der DSGVO aus, dass schlichtes Direktmarketing regelmäßig auf Grundlage einer Interessenabwägung gerechtfertigt werden kann. Dies entspricht auch der Rechtslage unter lauterkeitsrechtlichen Gesichtspunkten. Nach § 7 Abs. 3 UWG darf gegenüber Bestandskund*innen, deren Daten im Zusammenhang mit einem Geschäftsabschluss erworben wurden, für ähnliche Waren und Dienstleistungen, vorbehaltlich ihres Widerspruchs, geworben werden. Um einen Gleichlauf der datenschutzrechtlichen und der lauterkeitsrechtlichen Werbevorgaben zu erreichen, wird diese Vorschrift gewöhnlich so verstanden, dass unter diesen Bedingungen auch unter datenschutzrechtlichen Gesichtspunkten keine Einwilligung erforderlich ist. Dies ist für komplexere Marketingstrategien, bei denen personenbezogene Daten aus unterschiedlichen Quellen zusammengeführt und Profile gebildet werden, womöglich anders zu beurteilen. Ob die DSK nur für solche Direktwerbungsmaßnahmen eine Einwilligung für erforderlich hält oder auch die schlichte Werbung gegenüber Bestandskund*innen der Einwilligung unterwirft, bleibt unklar. Jedenfalls setzt sich die DSK mit anderen tauglichen Rechtsgrundlagen als der Einwilligung von vornherein nicht auseinander. Das gilt auch für die (zu weitgehende) Feststellung der DSK, die Verarbeitung von Zahlungsmittelinformationen setze eine Einwilligung voraus.
Der Beschluss der DSK weist folglich unter verschiedenen Gesichtspunkten Unklarheiten und Begründungsschwächen auf, welche die getroffenen Aussagen insgesamt als recht unausgegoren und angreifbar erscheinen lassen.
Wer nicht umsetzen will, muss prüfen und dokumentieren
Im Interesse einer ordnungsgemäßen Unternehmensführung und weil die Umsetzung des Beschlusses seitens der Aufsichtsbehörden bereits angekündigt wurde, erscheint es für Online-Händler*innen angezeigt, sich im Hinblick auf die aufgezeigten Konfliktherde mit dem Beschluss auseinanderzusetzen und diesen für das eigene Unternehmen rechtlich einzuordnen.
Die diesbezüglichen Überlegungen sollten ggf. unter Hinzuziehung von Datenschutzexpert*innen angestellt und sorgfältig dokumentiert werden. Dies hat den Zweck, dass Händler*innen im Falle eines Rechtsstreits oder einer behördlichen Inanspruchnahme ohne Weiteres dazu in der Lage sind aufzuzeigen, wieso sie die Rechtslage möglicherweise anders beurteilt haben als die DSK. Im Falle eines behördlichen Einschreitens kann die Rechtsfrage dann notwendigenfalls einer gerichtlichen Klärung zugeführt werden.
