Hinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Die Datenschutzkonferenz hat in ihrem Hinweis vom 24. März 2022 festgehalten, dass Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, ihren Kunden unabhängig davon, ob sie ihnen daneben ein fortlaufendes Konto zur Verfügung stellen, grundsätzlich einen Gastzugang – also für eine Bestellung – bereitstellen müssen.
D. h. es muss Kunden möglich sein, ein Online-Geschäft ohne Anlegen eines fortlaufenden Kontos abzuschließen.
Nach Art. 6 Abs. 1 S. 1 b) DSGVO ist nur eine Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Kundendaten für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf.
Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende bewusste Willenserklärung der Kunden erforderlich. Für Kunden, die hingegen keine dauerhafte Geschäftsbeziehung mit dem Verantwortlichen eingehen wollen oder eine Verarbeitung von nicht für die Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Bei diesem Gastzugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung der gesetzlichen Pflichten erforderlichen personenbezogenen Daten und Informationen der Kunden erfasst werden.
Nach Vertragserfüllung nicht mehr benötigte Daten müssen gem. Art. 17 Abs. 1 a) DSGVO unverzüglich gelöscht werden. Werden die Daten darüber hinaus nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungspflichten verarbeitet – z. B. aus Handels- oder Steuerrecht – muss der Verantwortliche technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen.
Autor: Thomas Hertl