Pflichtregistrierung im Webshop: DSGVO-Problem

Was ist passiert?

Laut dem niederländischen Rechtsblog Ius Mentis, verfasst von Arnoud Engelfriet, hat der Europäische Datenschutzausschuss (EDSA, englisch: EDPB) eine Position veröffentlicht, wonach es nicht zulässig ist, Kunden zur Erstellung eines Kontos zu verpflichten, bevor sie eine Bestellung aufgeben können. Der Blogbeitrag verweist auf eine Berichterstattung der niederländischen Zeitung De Telegraaf zu demselben Thema.

Es ist zu beachten, dass Ius Mentis eine sekundäre Kommentarquelle ist. Die EDPB-Position wird im Blog referenziert und teilweise zitiert, das primäre EDPB-Dokument ist jedoch nicht die Grundlage dieses Artikels. Es wurden keine Bußgelder verhängt und kein konkretes Unternehmen wurde als sanktioniert genannt.

Was ist das Problem mit der Pflichtregistrierung?

Laut Ius Mentis liegt das Kernproblem darin, dass das Speichern von Lieferadresse und weiteren personenbezogenen Daten in einem Kundenkonto über das hinausgeht, was zur Abwicklung einer einzelnen Bestellung unbedingt erforderlich ist. Für den Versand eines Pakets wird zwar eine Lieferadresse benötigt, das dauerhafte Speichern dieser Adresse in einem Konto ist jedoch eine separate Angelegenheit.

Webshops argumentieren mitunter, dass Konten der Betrugserkennung dienen oder das Einkaufserlebnis verbessern. Diese Begründungen sind laut dem Ius-Mentis-Kommentar zur EDPB-Position jedoch schwer aufrechtzuerhalten. Speziell zur Betrugserkennung merkt der EDPB dem Bericht zufolge an, dass viele Webshops gänzlich ohne Pflichtregistrierung betrieben werden und dass eine Kaufhistorie beim ersten Kauf ohnehin noch gar nicht vorhanden ist.

Welche Rechtsgrundlage ist anwendbar?

Laut Ius Mentis müssten Webshops, die Konten anbieten möchten, auf berechtigte Interessen gemäß Artikel 6(1)(f) DSGVO zurückgreifen. Der Blog weist jedoch darauf hin, dass kommerzielle Interessen wie Tracking oder personalisierte Angebote gegenüber dem Datenschutzrecht der Kunden schwer zu rechtfertigen sind. In der Praxis läuft dies häufig auf dieselbe Frage hinaus: „Möchten Sie ein Konto erstellen?" Das heißt, die Kontoerstellung sollte optional sein und keine Voraussetzung für den Kauf darstellen.

Es gibt Situationen, in denen ein Pflichtkonto dem Bericht zufolge akzeptabel sein kann, darunter Abonnementdienste, bei denen ein fortlaufender Zugang erforderlich ist, oder Treueprogramme, bei denen das Konto selbst als Mitgliedsnachweis dient.

Was bedeutet das für Ihren Webshop?

Wenn Ihr Webshop Kunden derzeit zur Kontoerstellung verpflichtet, bevor sie einen Kauf abschließen können, lohnt sich eine Überprüfung dieser Praxis. Laut der EDPB-Position, wie sie von Ius Mentis berichtet wird, ist das Anbieten einer Gastkauf-Option der datenschutzrechtlich sicherere Weg nach der DSGVO. Die Kontoerstellung optional statt verpflichtend zu gestalten ist eine unkomplizierte Anpassung, die Ihr Compliance-Risiko reduziert, ohne die Kaufmöglichkeiten Ihrer Kunden einzuschränken.