Datenschutzkonformer Online-Handel: Empfehlungen der Datenschutzkonferenz (DSK)
7. Juni 2024
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat klare Hinweise zur Umsetzung des Grundsatzes der Datenminimierung im Online-Handel veröffentlicht.
Diese Hinweise sind für alle Online-Händler relevant, um sicherzustellen, dass die Verarbeitung personenbezogener Daten den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) entspricht. Im Folgenden stellen wir die Ansichten der DSK dar und geben Empfehlungen für Organisationen, wie sie datenschutzkonform handeln können.
Ansichten der DSK
1. Datenminimierung und Gastzugang
Im Online-Handel dürfen nur die Daten erhoben werden, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind. Kunden müssen die Wahl haben, ob sie ein fortlaufendes Kundenkonto einrichten oder als temporärer Gast bestellen möchten. Ein Gastzugang ermöglicht es den Kunden, Bestellungen ohne dauerhafte Speicherung ihrer Daten durchzuführen. Dies ist besonders wichtig, um den Grundsatz der Datenminimierung einzuhalten.
2. Freiwilligkeit der Einwilligung
Eine Einwilligung zur Einrichtung eines fortlaufenden Kundenkontos darf nicht erzwungen werden. Kunden müssen auch ohne Kundenkonto alle Angebote eines Online-Shops nutzen können. Ein Gastzugang stellt sicher, dass die Einwilligung zur Datenverarbeitung freiwillig und nicht erzwungen ist.
3. Verarbeitung für Werbezwecke und Speicherung von Zahlungsmitteln
Für die Auswertung von Vertragshistorien zu Werbezwecken oder die Speicherung von Zahlungsmitteln wie Kreditkarten ist eine gesonderte, informierte Einwilligung der Kunden erforderlich. Diese Verarbeitung geht über die reine Abwicklung von Bestellungen hinaus und erfordert daher eine zusätzliche Zustimmung.
4. Transparente Datenverarbeitung
Verantwortliche müssen sicherstellen, dass die Verarbeitung der Daten für die Kunden transparent ist. Dies gilt sowohl für den Gastzugang als auch für das fortlaufende Kundenkonto. Kunden müssen verständlich über die Einzelheiten der Datenverarbeitung informiert werden.
Empfehlungen für Organisationen
1. Anbieten eines Gastzugangs:
Stellen Sie sicher, dass Kunden Ihre Produkte und Dienstleistungen auch ohne Registrierung eines Kundenkontos bestellen können. Ein Gastzugang hilft, den Grundsatz der Datenminimierung zu wahren.
2. Freiwilligkeit der Einwilligung:
Achten Sie darauf, dass die Einwilligung zur Einrichtung eines Kundenkontos stets freiwillig erfolgt. Kunden dürfen keinen Nachteil haben, wenn sie ohne Kundenkonto bestellen.
3. Informierte Einwilligung für zusätzliche Datenverarbeitungen:
Holen Sie eine gesonderte Einwilligung ein, wenn Sie Daten für Werbezwecke oder die Speicherung von Zahlungsmitteln verarbeiten möchten. Informieren Sie die Kunden klar und verständlich über diese Verarbeitungen.
4. Transparente Kommunikation:
Erfüllen Sie Ihre Informationspflichten und sorgen Sie dafür, dass Ihre Kunden über die Verarbeitung ihrer Daten umfassend aufgeklärt werden. Nutzen Sie klare und verständliche Sprache in Ihrer Datenschutzerklärung und in den Einwilligungserklärungen.
Aktueller Stand der Rechtsdurchsetzung
Uns sind bisher keine Fälle bekannt, in denen eine Aufsichtsbehörde wegen eines fehlenden Gastzugangs gegen einen Onlinedienst vorgegangen ist. Dennoch empfehlen wir dringend, die Hinweise der DSK zu befolgen, um rechtliche Risiken zu minimieren und den Datenschutz Ihrer Kunden zu gewährleisten.
Unterstützung durch unsere Kanzlei
Unsere Kanzlei ist auf das Onlinerecht spezialisiert und verfügt über Fachanwälte im IT-Recht, die Ihnen helfen können, Ihre Webseite datenschutzkonform zu gestalten. Wir unterstützen Sie bei der Implementierung eines effektiven Datenschutzmanagements und stellen sicher, dass Ihre Prozesse den gesetzlichen Anforderungen entsprechen. Kontaktieren Sie uns für eine individuelle Beratung und vermeiden Sie rechtliche Fallstricke.