Gastzugang verpflichtend? Der EDÖB äussert sich.
Kundenkonto – eine Selbstverständlichkeit
Ein Kundenkonto im Webshop bietet diverse Vorteile für Webshop-Betreiber und Kunden. Es ermöglicht den Nutzern unter anderem, den Status ihrer Bestellungen zu verfolgen und Anpassungen vorzunehmen. Zudem erleichtert es die Kommunikation zwischen Kunde und Händler, da hier unkompliziert auf einzelne Bestellungen Bezug genommen werden kann und anders als per E-Mail in jedem Fall eine verschlüsselte Kommunikation ohne weiteres möglich ist. Auch können so Plattformen mit Community-Charakter und Marktplätze deutlich einfacher betrieben werden.
Trotz dieser Vorteile fordern Datenschutzbehörden regelmässig, dass Händler Gastzugänge anbieten müssen. Während Kundenkonten verschiedene Vorteile bieten, könnten Gastzugänge für Nutzer attraktiv sein, die einen schnellen und unkomplizierten Kaufprozess bevorzugen, ohne ein Konto einrichten zu müssen. Aber ist dies auch für Schweizer Unternehmen rechtlich zwingend?
Der EDÖB äussert sich zu Gastzugängen
Zur Vermeidung von Missverständnissen und zur Klarstellung: Nein, die Aussagen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der Untersuchung gegen Digitec Galaxus vom 17. April 2024 sind nicht als eine zwingende Forderung nach einem obligatorischen Gastzugang zu interpretieren.
Im speziellen Fall von Digitec Galaxus hat der EDÖB festgestellt, dass die Gestaltung des Kundenkontos gegen das Prinzip der Verhältnismässigkeit verstossen hat. Obwohl in der Stellungnahme ein Gastzugang als verhältnismässige Option zu einem Kundenkonto mit Profilbildung erwähnt wird, bedeutet dies nicht, dass Digitec Galaxus oder andere Webshop-Betreiber in der Schweiz zwingend dazu verpflichtet wären, einen solchen Zugang anzubieten. Es ist also nicht so, dass ein Kontozwang in der Schweiz generell unzulässig wäre.
Die Unverhältnismässigkeit der Datenbearbeitung wird unter anderem damit begründet, dass mit dem Kundenkonto auch eine Analyse des Kundenverhaltens verbunden ist, die offensichtlich auch der Absatzsteigerung dient und eine gezieltere Kundenansprache ermöglicht. Gerade bei Kundenkonten, mit denen über längere Zeit bestellt wird, wäre so eine sehr detaillierte Analyse des Kundenverhaltens möglich. Was für ein besseres Einkaufserlebnis sorgen soll, könnte im Falle von Galaxus zu einem immer detaillierteren Persönlichkeitsprofil werden, das sogar Rückschlüsse auf den Gesundheitszustand und damit auf besonders schützenswerte Personendaten zulässt.
Die Aufsichtsbehörde hält dies insbesondere deshalb für unverhältnismässig, weil es sich bei einem Kaufvorgang um ein Einmalschuldverhältnis handelt, das bedeutet der Nutzer erwirbt ein Produkt gegen Zahlung eines Entgelts, ein Produkt wird geliefert und damit ist der Vertrag erfüllt. Die Analyse des Kundenverhaltens ist daher für den reinen Verkauf nicht erforderlich. Durch den Zwang zur Einrichtung eines Kundenkontos mit Kundenverhaltensanalyse wird die betroffene Person zu einer Datenbearbeitung gezwungen, die für die eigentliche Kernleistung der Datenbearbeitung nicht erforderlich ist. Neben der Profilbildung würden die Daten auch länger als gesetzlich erforderlich gespeichert, da die Personendaten so lange gespeichert würden, wie das Kundenkonto aktiv sei.
Webshop in der EU
Vertreibt man als Webshop-Betreiber Waren auch an Konsumenten in der EU, so gilt nicht nur das Schweizer Datenschutzgesetz, sondern auch die DSGVO. Die Behörden in Europa haben sich deutlich eindeutiger und strenger gegenüber dem verpflichtendem Kundenkonto positioniert. So hat sich die DSK (die Konferenz der unabhängigen Datenschutzaufsichtsbehörden der Länder und des Bundes (Deutschland)) bereits im Jahr 2022 mit einem diskussionswürdigen Beschluss zum Thema Gastzugang geäussert. Dabei stützt die DSK die Pflicht zu einem Gastzugang auf ähnliche Gründe wie der EDÖB in seiner jüngsten Stellungnahme zum Webshop von Galaxus. Die rechtliche Verpflichtung wird hier allein auf den Grundsatz der Datenminimierung gestützt. Für das Betreiben eines fortlaufenden Kundenkontos sei eine freiwillige Einwilligung erforderlich, die nur möglich sei, wenn Kunden einen Gastzugang nutzen könnten.
Entgegen dieser Auffassung gibt es aber auch in Deutschland bereits eine erste Gerichtsentscheidung. So hat das LG Hamburg mit Urteil vom 22. Februar 2024 (Az. 327 O 250/22) im Falle eines Webshops mit einer Marktplatzfunktion für Dritthändler entschieden, dass ein Gastzugang für den Shop kein dem Kundenaccount gleichwertiges Mittel darstelle, da die Kommunikation zwischen allen Marktplatzteilnehmern durch ein Kundenkonto erleichtert werde. Zudem könnten auf diese Weise Gewährleistungs-, Garantie- und Rückgaberechte zentral geltend gemacht werden. Dies ähnelt damit auch sehr der Begründung von Galaxus für den das erforderliche Kundenkonto. Galaxus argumentiert unter anderem damit, dass die Community-Funktion von besonderer Bedeutung sei und damit das Kundenkonto daher ein wesentlicher Bestandteil des Shops sei.
Kritik
Unabhängig davon, ob ein Webshop mit oder ohne Gastzugangsmöglichkeit betrieben wird, ergibt sich die Wahlfreiheit letztlich aus dem zivilrechtlichen Grundsatz der Dispositionsfreiheit. Diese Vertragsfreiheit sollte in solchen Fällen nicht durch Datenschutzgesetze eingeschränkt werden. Die Datenschutzbehörden sind grundsätzlich keine Wettbewerbsbehörden.
Solange die Datenbearbeitung transparent dargestellt wird und jeder Kunde die Wahl hat, ob er in dem jeweiligen Shop einkaufen möchte oder eben nicht, ist es nicht nachvollziehbar, wie Datenschutzgesetze per se und in jeder Konstellation dazu führen sollten, dass Webshops verpflichtet sind, Gastzugänge anzubieten. Bei der Argumentation des EDÖB in diesem Verfahren sowie verschiedener europäischer Aufsichtsbehörden scheint übersehen zu werden, dass niemand zum Einkaufen in einem bestimmten Webshop gezwungen wird, sofern der jeweilige Shop keine Monopolstellung hat. Auch bei einem einmaligen Onlineeinkauf besteht grundsätzlich die Möglichkeit, den Account nach dem Einkauf wieder zu löschen. Auch wenn ein Gastzugang für Endkunden im Einzelfall bequemer sein kann, ist nicht ersichtlich, aus welcher Rechtsgrundlage des DSG und der DSGVO sich die Notwendigkeit eines Gastzugangs ergeben soll. Weder die EU-Behörden noch der EDÖB haben sich dazu bisher konkret und nachvollziehbar geäussert.
Was ist zu tun?
Wer als Betreiber eines Webshops keinen Gastzugang einrichten möchte, sollte zumindest seine Prozesse und Dokumentationen überprüfen. Eine gute Dokumentation bezüglich der eigenen Entscheidung ggf. unter Hinzuziehung von Datenschutzexperten, schützt Unternehmen im Zweifelsfall vor unerwünschten behördlichen Massnahmen gegen den eigenen Shop.
Hast Du weitere Fragen oder Anliegen? Hier gelangst Du zu unserem Datenschutzteam.