Gastbestellungen in Online-Shops: Datenschutzrechtliche Anforderungen und Best Practices

Kundenkonten in Online-Shops sind praktisch: Sie speichern Bestelldaten, erleichtern Wiederholungskäufe und bieten einen Überblick über vergangene Transaktionen. Doch rein für die Abwicklung eines einzelnen Kaufs ist ein solches Konto nicht erforderlich.

Laut Art. 6 Abs. 1 lit. b DS-GVO dürfen personenbezogene Daten nur insoweit verarbeitet werden, wie sie für die Erfüllung eines Kaufvertrags notwendig sind. Dies bedeutet, dass Zahlungs- und Adressdaten nach Abschluss eines Kaufvertrags gelöscht werden müssen – es sei denn, es bestehen rechtliche Aufbewahrungspflichten, etwa steuer- oder handelsrechtlicher Natur.

Ein Kundenkonto hingegen speichert die Daten über die eigentliche Vertragsabwicklung hinaus. Damit ist diese Verarbeitung nicht mehr durch Art. 6 Abs. 1 lit. b DS-GVO gedeckt. Stattdessen benötigt der Shop-Betreiber die ausdrückliche Einwilligung der Kundinnen und Kunden gemäß Art. 6 Abs. 1 lit. a DS-GVO.

Eine Einwilligung ist nur dann rechtswirksam, wenn sie freiwillig erfolgt. Das bedeutet, dass der Kunde auch ohne ein Kundenkonto bestellen können muss. Wird die Einwilligung in die Nutzung eines Kundenkontos zur Voraussetzung für den Kauf, gilt sie gemäß Art. 7 Abs. 5 DS-GVO als nicht freiwillig – und ist somit unwirksam.

Um die Freiwilligkeit der Einwilligung sicherzustellen, müssen Online-Shops eine gleichwertige Alternative zur Bestellung über ein Kundenkonto anbieten: die Gastbestellung. Dabei ist es wichtig, dass diese Option den Kunden keine Nachteile bringt.

1. Erschwerte Auffindbarkeit: Die Möglichkeit zur Gastbestellung ist komplizierter zu finden als die Registrierung eines Kundenkontos.
2. Unterschiedliche Prozesse: Für die Gastbestellung wird ein gesondertes Verfahren genutzt, z. B. ein unverschlüsselter oder manueller Bestellprozess, während Bestellungen mit Kundenkonto vollständig integriert und sicher sind.
3. Eingeschränkte Zahlungsmethoden: Gastbestellungen bieten weniger Zahlungsoptionen als Bestellungen über ein Kundenkonto.

Wenn eine Gastbestellung nicht gleichwertig ist, wird die Einwilligung für ein Kundenkonto als unwirksam betrachtet. In diesem Fall erfolgt die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage – ein schwerwiegender Verstoß gegen die DS-GVO.

Um rechtlich auf der sicheren Seite zu sein, sollten Shop-Betreiber die folgenden Punkte beachten:

1. Sichtbarkeit: Die Option zur Gastbestellung sollte klar und einfach auffindbar sein, z. B. mit einer prominenten Platzierung auf der Checkout-Seite.
2. Identische Prozesse: Die Gastbestellung muss den gleichen Bestellprozess wie die Kundenkonto-Option bieten, inklusive der Verwendung eines sicheren, verschlüsselten Warenkorbsystems.
3. Zahlungsoptionen: Für Gastbestellungen sollten alle gängigen Zahlungsmethoden verfügbar sein, um keine Nachteile zu schaffen.
4. Datensparsamkeit: Daten aus Gastbestellungen dürfen nur für den jeweiligen Kauf verarbeitet und anschließend gelöscht werden – es sei denn, gesetzliche Aufbewahrungspflichten greifen.

Die Möglichkeit einer Gastbestellung ist nicht nur ein kundenfreundliches Feature, sondern auch eine rechtliche Notwendigkeit gemäß der DS-GVO. Ohne eine gleichwertige Alternative zur Bestellung über ein Kundenkonto laufen Online-Shops Gefahr, gegen Datenschutzgesetze zu verstoßen. Betreiber sollten ihre Systeme entsprechend anpassen, um sowohl den Anforderungen der DS-GVO als auch den Erwartungen ihrer Kunden gerecht zu werden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle LfDI Rheinland-Pfalz