Gastbestellungen in Online-Shops
In Online-Shops ist es gängig, für Bestellungen ein Kundenkonto anzulegen, das über den einzelnen Kauf hinaus besteht und in dem die Kundendaten und vergangene Bestellungen mindestens solange gespeichert werden, bis dieses Kundenkonto geschlossen wird.
Für die bloße Abwicklung der einzelnen Kaufverträge ist dieses Kundenkonto allerdings nicht erforderlich. Zur Durchführung der Kaufverträge wäre es ausreichend, nur die Daten jeweils einer Bestellung getrennt von anderen Bestelllungen desselben Kunden zu verarbeiten. Daher kann die Verarbeitung der personenbezogenen Daten im Rahmen des Kundenkontos nicht auf Art. 6 Abs. 1 lit. b DS-GVO gestützt werden.
Die Zahlungs- und Adressdaten der Kundinnen und Kunden sind gemäß Art. 6 Abs. 1 lit. b DS-GVO nach Abwicklung des einzelnen Kaufvertrags zu löschen und nicht mit anderen Kaufverträgen desselben Kunden zusammenzuführen. Steuerrechtliche oder handelsrechtliche Aufbewahrungspflichten hinsichtlich der Kaufdaten, z.B. aus der Abgabenordnung oder dem Handelsgesetzbuch, bestehen unabhängig hiervon. Sie können nicht zur Begründung der Verarbeitung im Rahmen eines Kundenkontos herangezogen werden.
Die Verarbeitung der personenbezogenen Daten der Kunden als Kundenkonto kann nur auf eine Einwilligung der Kundinnen und Kunden beim Erstellen des Kundenkontos gemäß Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO gestützt werden. Ist diese Einwilligung aber erforderlich, um den Kaufvertrag überhaupt abschließen zu können, wäre sie gemäß Art. 7 Abs. 5 DS-GVO als nicht freiwillig und damit nicht wirksam zu beurteilen. Als freiwillig und damit wirksam sind die Einwilligungen in die Datenverarbeitung für ein Kundenkonto also nur dann zu beurteilen, wenn auch eine Bestellung ohne festes Kundenkonto, eine so genannte Gastbestellung, als Alternative angeboten wird. Ohne eine solche alternative Möglichkeit zur Gastbestellung sind die Einwilligungen hinsichtlich des Kundenkontos unwirksam und die Verarbeitung erfolgt rechtswidrig.
Die Gastbestellung muss aus Sicht der Kunden im Vergleich mit der Bestellung aus einem Kundenkonto gleichwertig sein. Dies bedeutet, dass sie nicht umständlicher oder unsicherer sein und auch keine Nachteile mit sich bringen darf.
Indizien für keine gleichwertige Gastbestellung sind z.B.:
- Die Möglichkeit der Gastbestellung ist erheblich schwieriger aufzufinden als die Möglichkeit zur Bestellung mit dem Kundenkonto.
- Die Gastbestellung ist nur per E-Mail mit einem gesonderten Bestellformular möglich und nicht mit dem für die Bestellung über das Kundenkonto verwendeten Verfahren (i.d.R. mittels Warenkorb und Verkaufsabschluss direkt auf der Webseite, die zudem https-verschlüsselt ist).
- Für die Gastbestellung stehen weniger Zahlungsoptionen zur Verfügung als für die Bestellung über das Kundenkonto.
Eine Möglichkeit zur Gastbestellung, die keine gleichwertige Alternative darstellt, ist nicht in der Lage, die Freiwilligkeit der Einwilligung in die für das Kundenkonto erforderliche Verarbeitung personenbezogener Daten herzustellen. Daher fände diese Verarbeitung dann ohne wirksame Rechtsgrundlage statt.
Diese „Pflicht“, eine Gastbestellung zu ermöglichen, gilt grundsätzlich für alle Online-Shops, inklusive der Versandapotheken.