Abo

Kurzbeitrag : Praxisfälle zum Datenschutzrecht XVII: Gastzugang und Anrede beim Onlineshop : aus der RDV 4/2022, Seite 202 bis 204

Lesezeit 1 Min.

I. Sachverhalt

D ist Datenschutzbeauftragte des Unternehmens U, das einen Onlineshop für Gartenmöbel betreibt. Um in dem Onlineshop zu bestellen, müssen sich die Nutzer zuvor registrieren. Nutzer N beschwert sich hierüber bei D. N ist der Ansicht, U müsse auch die Möglichkeit anbieten, lediglich als „Gast“ ohne vorherige Registrierung im Onlineshop zu bestellen. N beschwert sich zudem darüber, dass im Rahmen der Registrierung zwischen einer Anrede als „Frau“ oder „Herr“ gewählt werden müsse. Eine Option „divers“ gebe es nicht. Auch könne das Datenfeld nicht freigelassen werden. Wie sollte D reagieren?

II. Musterfalllösung

1. Allgemeines

Gemäß Art. 39 Abs. 1 lit. b DS-GVO überwacht der Datenschutzbeauftragte die Einhaltung des Datenschutzes beim Verantwortlichen. Tätigkeitsschwerpunkte im Rahmen der Überwachungsfunktion sind das Sammeln von Informationen, um Verarbeitungsaktivitäten zu identifizieren, die Analyse und Überprüfung der Verarbeitungsaktivitäten auf Einhaltung der rechtlichen Vorgaben, die Information und Beratung des Verantwortlichen oder Auftragsverarbeiters sowie die Abgabe von Empfehlungen an diesen.[1] Ansatzpunkte für ein Tätigwerden i.R.d. des Überwachungsauftrags können sich auch aus Hinweisen von betroffenen Personen (hier: N) ergeben.

Eine weitere relevante Aufgabe des Datenschutzbeauftragten ist in Art. 38 Abs. 4 DS-GVO enthalten. Hiernach können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte ist also Ansprechpartner für die betroffenen Personen. Art. 38 Abs. 4 DS-GVO regelt dabei nicht nur ein Recht der betroffenen Personen, sondern zugleich auch eine Pflicht des Stelleninhabers, vorgetragene Anliegen in angemessener Zeit zu prüfen und den Personen eine Antwort zukommen zu lassen.

Welche Empfehlungen D gegenüber dem Unternehmen ausspricht und welche Antwort sie dem betroffenen N gibt, hängt davon ab, wie das Fehlen eines Gastzugangs und einer nicht-binären Anrede datenschutzrechtlich zu bewerten ist.

2. Verpflichtung zum Angebot der Gastbestellung

Fraglich ist, ob Betreiber von Onlineshops verpflichtet sind, die Möglichkeit der Bestellung als „Gast“ anzubieten oder ob es im Rahmen der Privatautonomie liegt, Geschäfte lediglich mit solchen Kunden zu schließen, die sich zuvor für das Onlineangebot registriert haben. Fortlaufende Accounts werden über den erstmaligen Geschäftsabschluss hinaus im Aktivdatenbestand gepflegt und dienen den Kunden/Kundinnen zur vereinfachten erneuten Bestellung ohne nochmalige Eingabe aller personenbezogenen Daten.[2] Ein Gastzugang verzichtet demgegenüber auf Registrierungs- bzw. Zugangsdaten, wie Benutzername und Passwort, für eine erneute Nutzung.[3]

Aus § 19 Abs. 2 TTDSG resultiert keine Pflicht zum Angebot eines Gastzugangs. Nach der genannten Regelung haben Anbieter von Telemedien i.S.v. § 1 Telemediengesetz (TMG),[4]wozu auch Betreiber von Onlineshops gehören, die Nutzung ihrer Dienste und deren Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist (S. 1 der Regelung).[5] Der Nutzer von Telemedien ist über diese Möglichkeit zu informieren (S. 2 der Regelung). Bei Bestellungen im Online-Handel ist die Identität des Nutzers aber ohnehin offengelegt (Rechnungsanschrift etc.).

Allerdings ist eine Registrierung im Onlineshop regelmäßig nicht i.S.v. Art. 6 Abs. 1 lit. b DS-GVO erforderlich, um Bestellungen entgegenzunehmen und Kaufvorgänge abzuwickeln. Als datensparsamste Variante entspricht der Gastzugang zudem dem Grundsatz der „Datenminimierung“ (Art. 5 Abs. 1 lit. c DS-GVO), wonach personenbezogene Daten auf das „für die Zwecke der Verarbeitung notwendige Maß“ beschränkt sein müssen, sowie den Prinzipien von „Privacy by Design bzw. Default“ (Art. 25 DSGVO). Onlineshops sind damit datenschutzrechtlich grundsätzlich verpflichtet, einen Gastzugang bereitzustellen, also Geschäfte auch ohne Abschluss eines fortlaufenden Kontos durch den Kunden bzw. die Kundin anzubieten.[6] Onlineshoppern/-shopperinnen kann nicht pauschal unterstellt werden, dass sie an einer Fortführung der Geschäftsbeziehung interessiert sind, insbesondere nicht im Falle von einzelnen Bestellungen bei kleineren Onlineshops.[7] Ohne die Option einer Bestellung als Gast würden sich im Laufe der Zeit große Datenmengen über natürliche Personen ansammeln, ohne dass Betroffene hieraus einen Mehrwert ziehen.[8]

Die Einrichtung eines dauerhaften Nutzerkontos für den Onlineshop kommt regelmäßig nur auf Basis einer informierten Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) der betroffenen Person in Betracht. Insoweit besteht eine Wechselbeziehung zwischen der Freiwilligkeit der Einwilligung in die Datenverarbeitungen im Zusammenhang mit dem Nutzerkonto und dem Angebot des Gastzugangs. Da die Bestellung auch ohne Registrierung abgewickelt werden kann, kann ohne Gastzugang bzw. ohne gleichwertige Bestellmöglichkeit die Freiwilligkeit der Einwilligung nicht gewährleistet werden (Kopplungsverbot nach Art. 7 Abs. 4 DS-GVO).[9]

Zum Teil wird darauf hingewiesen, dass sich die Anforderungen der DSK zum Gastzugang umgehen ließen, indem die Datenverarbeitung auf einen Plattformvertrag gestützt wird.[10] Zu beachten ist in diesem Zusammenhang allerdings, dass Art. 6 Abs. 1 lit. b DS-GVO nach seinem expliziten Wortlaut nicht jegliche Datenverarbeitungen im Zusammenhang mit einem Vertrag erlaubt, sondern lediglich solche, die für dessen Erfüllung erforderlich sind. Die bloße Inbezugnahme von Datenverarbeitungen in einem Vertrag reicht nach dem Europäischen Datenschutzausschuss (EDSA) nicht aus, um diese in den Anwendungsbereich von Art. 6 Abs. 1 lit. b DS-GVO zu bringen[11] M.a.W.: Entscheidend für die Zulässigkeit einer verbindlichen Registrierung ist nicht, ob diese vertraglich vereinbart ist, sondern ob eine andauernde Rechtsbeziehung eingegangen wird.

3. Gestaltung der Anredeoptionen

In einem Rechtsstreit einer nicht-binären klagenden Partei gegen die Vertriebsgesellschaft der Deutschen Bahn beurteilte das LG Frankfurt am Main die nicht geschlechtergerechte Anredeform als geschlechtsbezogene Diskriminierung und damit als Verstoß gegen das Allgemeine Gleichbehandlungsgesetz (AGG).[12] Die klagende Partei war Inhaberin einer „BahnCard“ und im Rahmen der hierzu hinterlegten Daten gezwungen, zwischen den Anreden „Herr“ oder „Frau“ zu wählen. Auch beim von der Vertriebsgesellschaft der Bahn organisierten Online-Fahrkartenverkauf war die Wahl einer geschlechterbezogenen Anrede (männlich oder weiblich) zwingend.

Die Entscheidung des Gerichts lässt sich auf den vorliegenden Sachverhalt übertragen. Insbesondere sind auch vorliegend Schuldverhältnisse betroffen, die typischerweise ohne Ansehen der Person zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen (sog. „Massengeschäfte“ i.S.v. § 19 Abs. 1 Nr. 1 AGG).

Es stellt sich damit die Frage nach dem Verhältnis des AGG zu den datenschutzrechtlichen Vorgaben. Das AGG hat zum Ziel, Benachteiligungen aus Gründen der Rasse oder wegen der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität zu verhindern oder zu beseitigen (§ 1 AGG). Ist eine Frage nach AGG unzulässig, so wird sie regelmäßig auch datenschutzrechtlich unzulässig sein.[13] Dies wird sich zum einen daraus ableiten lassen, dass personenbezogene Daten gemäß Art. 5 Abs. 1 lit. a DS-GVO nur nach „Treu und Glauben“ (englische Fassung: „fairly“) erhoben werden dürfen. Zum anderen können nach AGG unzulässige Fragen nicht erforderlich i.S.v. Art. 6 Abs. 1 lit. b DS-GVO sein bzw. keinen berechtigten Interessen i.S.v. Art. 6 Abs. 1 lit. f DS-GVO dienen.

4. Ergebnis

D sollte dem Unternehmen U raten, einen Gastzugang vorzusehen und die Auswahl der Anredeoptionen im Rahmen des Onlineshops anzupassen. Weisungsbefugnisse stehen D insofern nicht zu. D informiert N über die von ihr ausgesprochenen Empfehlungen.

* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] Art. 29-Datenschutzgruppe, WP 243 rev. 01, S. 20; bestätigt durch den EDSA am 25.05.2018.

[2] DSK, Beschluss „Datenschutzkonformer Online-Handel mittels Gastzugang“, 24.03.2022, S. 1.

[3] DSK, Beschluss „Datenschutzkonformer Online-Handel mittels Gastzugang“, 24.03.2022, S. 2.

[4] Bezüglich des Begriffs der Telemedien verweist § 2 TTDSG auf das TMG.

[5] Zur Regelung vgl. auch Schwartmann/Benedikt/Reif, MMR, 2021, 99 (100).

[6] Vgl. auch DSK, Beschluss „Datenschutzkonformer Online-Handel mittels Gastzugang“, 24.03.2022, S. 1 f.; vgl. auch die diesbezügliche GDDStellungnahme vom 24.03.2022.

[7] Stoklas, ZD-Aktuell 2022, 01180.

[8] Stoklas, ZD-Aktuell 2022, 01180.

[9] DSK, Beschluss „Datenschutzkonformer Online-Handel mittels Gastzugang“, 24.03.2022, S. 2; ergebnisoffen unter Hinweis auf die Streitigkeiten um Anforderungen und Reichweite des Kopplungsverbots Stoklas, ZD-Aktuell 2022, 01180.

[10] Stoklas, ZD-Aktuell 2022, 01180 unter Hinweis auf Quiel, Piltz Legal Meldung v. 27.04.2022

[11] EDSA, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, Version 2.0, Stand: 08.10.2019, Rn. 27; a.A. Engeler, ZD 2018, 55 (57).

[12] LG Frankfurt am Main, Urt. v. 26.08.2021 – 2-30 O 154/20; das OLG Frankfurt (Beschl. v. 14.04.2022 – Az. 9 U 84/21) hat die von der Beklagten gegen die Entscheidung eingelegte Berufung als unzulässig verworfen, weil sie nicht fristgemäß eingelegt wurde.

[13] Ebenso für das Verbot der Benachteiligung von Beschäftigten nach dem AGG (§ 7) Weth/Herberger/Wächter/Sorge/Weth, Arbeitnehmerdatenschutz, Teil B. I. Die Einstellung und deren Vorbereitung Rn. 118, beck-online.