Datenschutz-Aufsicht: Notwendigkeit eines Gastkontos

[IITR – 27.09.22] Nahezu jeder kennt es: Man stöbert durch verschiedene Online-Shops auf der Suche nach etwas Bestimmtem oder auch einfach „nur so“ und sobald man fündig wird, wird das Produkt in den Warenkorb gelegt und man begibt sich auf den Weg zur digitalen Kasse. – „Einloggen bzw. Benutzerkonto erstellen oder als Gast fortfahren“ heißt es nun auf vielen Seiten. Eine Entscheidung, die von vielen als guter Service seitens des Unternehmens verstanden werden kann. Sollte man an bestimmter Stelle häufiger einkaufen, so lohnt sich eventuell ein Benutzerkonto, um nicht immer wieder seine personenbezogenen Daten angeben zu müssen, ansonsten wählen viele bei einmaligen Kauf gerne ein Gastkonto.

In der deutschen Datenschutzwelt ist dies jedoch spätestens seit diesem Jahr längst kein reines „Service-Thema“ mehr, sondern ein äußerst umstrittenes Datenschutzthema.

Aufsichtsbehörden: Benutzerkonto für Online-Kauf nicht notwendig

„Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“ (Art. 5 Abs. 1 c DSGVO)

Inwiefern das Auswirkungen auf die Erstellung von Benutzerkonten in Online-Shops haben soll, zeigt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in einem veröffentlichten Kurzpapier auf:

Die Datenschutzkonferenz hält hierin fest, dass Kunden frei zu entscheiden hätten, ob sie Daten lediglich einmalig abgeben wollten oder eine dauerhafte Geschäftsbeziehung eingehen möchten. Zweck sei nämlich der Kauf von Waren, so dass ein festes Benutzerkonto nicht notwendigerweise erstellt werden müsste, sondern ein Gastkonto – ohne Zugangsdaten – ausreichen würde.

„Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.“

All das, was über das erforderliche Maß hinaus gehe, bedürfe der Einwilligung – so die Datenschutzaufsichtsbehörden weiter. Damit könne ein festes, fortlaufendes Benutzerkonto lediglich auf die Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 a DSGVO) und nicht auf die Vertragsgestaltung (Art. 6 Abs. 1 b DSGVO) gestützt werden. Das daraus resultierende Ergebnis des obligatorischen Gastkontos ist nur stringent konsequent, denn um die Freiwilligkeit der Einwilligung zu gewährleisten, solle ein Betroffener möglichst vor eine freie Wahl gestellt werden, was dadurch erreicht wird.

„Ohne einen Gastzugang bzw. ohne eine gleichwertige Bestellmöglichkeit kann die Freiwilligkeit einer Einwilligung nicht gewährleistet werden.“

Kritik: Vertragsfreiheit des Verantwortlichen

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: Verantwortlicher die natürliche oder juristische Person (…) die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. (Art. 4 Nr. 7 DSGVO)

Der Zweck einer jeden Verarbeitung wird durch den Verantwortlichen festgelegt. Die Datenschutzkonferenz setzt hier an, indem sie den Zweck mit „Bestellung von Waren im Internet“ bestimmt und auf Grundlage dessen die Schlussfolgerung zieht, welche personenbezogenen Daten genau für die Verarbeitung notwendig und erforderlich sind.

Nach Datenschutzgrundverordnung legt aber zunächst der Verantwortliche den Zweck fest und an diesem wird – auch von Behördenseite – die Rechtmäßigkeit zu messen sein. Dies findet sich unter anderem in der in Deutschland verfassungsrechtlich gewährleisteten Vertragsfreiheit (Art. 2 I GG) wieder.

So wird vermehrt vertreten – beispielswiese von Stefan Hessel und Christoph Callewaert – dass es durchaus möglich sein muss, die Bedingungen eines Online-Kaufs von Unternehmensseite selbst festzulegen.

„Verfassungsrechtlich geschützte Rechtsgüter müssen in der Problemlösung einander so zugeordnet werden, daß jedes von ihnen Wirklichkeit gewinnt. […] beiden Gütern müssen Grenzen gesetzt werden, damit beide zu optimaler Wirksamkeit gelangen können.“ (Konrad Hesse: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 20. Aufl., Rn. 317 ff.)

Mit dem von Behördenseite vorgeschlagenem Vorgehen würde man – mit Blick auf die praktische Konkordanz, also den „bestmöglichen Ausgleich konfligierender Grundrechtspositionen“ – die Vertragsfreiheit unverhältnismäßig stark und dadurch nicht mehr verfassungskonform einschränken. Es ist durchaus nachvollziehbar, wenn man diesem Beschluss der Datenschutzkonferenz vorwerfen wollte, er sei aus durchweg datenschutzrechtlicher Sicht, also zu eindimensional entstanden.

Fazit: Auf den (berühmten) Einzelfall kommt es an

Spräche man nun über Unternehmen, die in bestimmten Bereichen eine klare Monopolstellung innehaben, so ließe sich durchaus argumentieren, dass Kunden alternativlos der Datenerhebung ausgeliefert wären. – In den allermeisten Fällen allerdings, gibt es für einen interessierten Käufer durchaus Alternativen: Der Kauf bei anderen Anbietern oder gar der Kauf im Laden – den es tatsächlich noch gibt – sind hinnehmbare Optionen, um einer eventuell ungewollten Datenerhebung ohne weiteres entgehen zu können.

Sollte man sich von Unternehmensseite nun gegen einen Gastzugang entscheiden, öffnet das jedoch nicht Tür und Tor für einen ausufernden Umfang an personenbezogenen Daten, denn ebenso wie Aspekte der Handlungsfreiheit („Vertragsfreiheit“) sind auch Grundprinzipien des Datenschutzes („Datenminimierung“) nach wie vor ausreichend zu beachten.