Pflichtkonto im Online-Shop EDSA stellt klar!

Viele Online-Shops lassen Kunden erst kaufen, wenn sie ein Konto anlegen. Das wirkt praktisch für den Shop, aber es ist oft nicht rechtmäßig. Der Europäische Datenschutzausschuss sagt in seinen Empfehlungen 2/2025, dass Pflichtkonten nur in wenigen Fällen zulässig sind und dass der Gastkauf meist die bessere Lösung ist. 

Hintergrund

Ein Pflichtkonto bedeutet mehr Daten und oft auch längere Speicherfristen. Das erhöht das Risiko von Datenabfluss, von vergessenen Konten und von unnötiger Profilbildung. Der EDSA nennt auch das Problem, dass Daten häufig lange aktiv gespeichert bleiben, obwohl sie für Kauf und Lieferung nicht mehr gebraucht werden.

Was empfiehlt der EDSA?

Der EDSA prüft typische Begründungen von Shops und ordnet sie den Rechtsgrundlagen aus Art. 6 DSGVO zu. Er kommt oft zum Ergebnis, dass die Pflicht zur Kontoerstellung die Notwendigkeit nicht erfüllt.

• Einmalkauf. Für einen einmaligen Kauf ist ein Konto in der Regel nicht nötig. Die Daten für Vertrag und Versand kann der Shop auch ohne Konto abfragen.

• Bei echten Abos kann ein verpflichtendes Konto zulässig sein, wenn laufende, authentifizierte Nutzung Teil der Leistung ist. Das gilt dann über die Dauer der Vertragsbeziehung.

  Gesetzliche Pflicht. Steuer und Buchhaltung führen meist nicht zu einem Pflichtkonto, weil Rechnungsdaten auch ohne Kundenkonto verarbeitet werden können.

• Legitimes Interesse. Dinge wie Sendungsverfolgung, nachträgliche Änderungen, Kundenbindung, Erleichterung künftiger Käufe oder Betrugsprävention tragen ein Pflichtkonto meist nicht, weil es mildere Mittel gibt und die Abwägung häufig gegen den Shop ausfällt.

Die Kontoerstellung ist kein eigener Zweck. Sie müssen immer den echten Zweck benennen, und  Sie benötigen dafür eine passende Rechtsgrundlage.

Bedeutung für Shopbetreiber

Wenn der Checkout ein Pflichtkonto erzwingt, besteht ein klares Risiko nach Art. 6 DSGVO. Verantwortliche riskieren auch Probleme mit Datenminimierung und Speicherbegrenzung nach Art. 5 DSGVO, weil Konten typischerweise länger bestehen als der Kaufprozess. Das trifft nicht nur Shops. Es trifft auch Marktplätze und Apps, wenn sie wie ein E-Commerce-Angebot funktionieren.

So reagiert man richtig

Bauen Sie den Kaufprozess so um, dass Kunden wählen können.

1. Gastbestellung als Standard anbieten, und Konto optional. Der EDSA nennt den Gastmodus als besonders datenschutzfreundlich und passend zu Art. 25 DSGVO, weil er weniger Datenbindung erzeugt.

2. Klar trennen zwischen Kauf und Extras. Bestellabwicklung läuft über Art. 6 Abs. 1 lit. b DSGVO, Marketing und personalisierte Angebote laufen getrennt und oft nur mit Einwilligung.

3. After-Sales ohne Konto ermöglichen. Nutze sichere Formulare oder einen zeitlich begrenzten Link aus der Bestellmail für Retoure oder Support. Das nennt der EDSA als mildere Alternative.

4. Löschkonzept für freiwillige Konten festlegen. Wenn ein Konto lange ungenutzt ist, werden klare Fristen und Prozesse benötigt, sonst verstößt das gegen Art. 5 DSGVO.

Praxisbeispiel. Ein Modeshop verlangt beim Klick auf „Jetzt kaufen“ ein Konto. Das ist beim Einmalkauf meist nicht notwendig. Eine Gastbestellung mit E-Mail, Lieferadresse und Zahlungsdaten erfüllt den Vertrag, und das Konto bleibt ein Bonus für spätere Käufe.

Empfehlung

Der Checkout ist wie ein Vertragstest nach Art. 6 DSGVO zu prüfen und es ist schlicht zu klären, ob der Kauf ohne Kundenkonto möglich ist. Wenn das möglich ist, ist die Kontoerstellung freiwillig auszugestalten und eine saubere Gastbestellung umzusetzen. Das reduziert Daten und spart oft Ärger. Und es macht den Ablauf für viele Kunden schneller.

Quellenangabe: Europäischer Datenschutzausschuss (EDSA)

Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks