Viele Online-Shops verlangen von Nutzern nach wie vor die Erstellung eines Kundenkontos, bevor ein Kauf möglich ist. Was aus betrieblicher Sicht bequem erscheint, wirft datenschutzrechtlich erhebliche Fragen auf. Mit den Empfehlungen 2/2025 hat der Europäischer Datenschutzausschuss (EDSA) nun klargestellt, unter welchen Voraussetzungen eine verpflichtende Kontoerstellung mit der DSGVO vereinbar ist, und wann nicht.
Der Inhalt im Überblick
Das Kernproblem: Datenschutz vs. Händlerinteresse
Der EDSA stellt fest, dass die verpflichtende Erstellung eines Kontos Nutzer zusätzlichen Risiken aussetzt. Dazu gehören die Bildung umfassender Profile, die Gefahr von „Identity Theft“ bei schlechten Passwörtern und die Ansammlung von sogenannten Datenleichen.
Die zentrale Frage lautet: Auf welche Rechtsgrundlage kann ein Shop-Betreiber den Zwang zur Registrierung stützen? Der EDSA prüft hier vor allem Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. c (rechtliche Verpflichtung) und lit. f (berechtigtes Interesse).
Das ernüchternde Ergebnis für die E-Commerce-Branche: In den allermeisten Fällen reicht keine dieser Grundlagen aus, um einen Account zu erzwingen.
1. Vertragserfüllung: Nur selten ein „Muss“
Händler argumentieren oft, das Konto sei für die Abwicklung des Kaufvertrags notwendig. Der EDSA legt den Maßstab der „Erforderlichkeit“ jedoch streng aus. Ein Konto ist nur dann erforderlich, wenn der Vertragszweck ohne dieses Konto faktisch nicht erreicht werden kann.
-
Einmalkäufe:
Wer ein Produkt kauft, will Ware gegen Geld tauschen. Dafür sind Lieferadresse und Zahlungsdaten nötig, aber kein dauerhaftes Profil mit Passwort. Fazit: Ein Account-Zwang ist hier unzulässig. -
Abonnements (Subscriptions):
Hier sieht es anders aus. Bei wiederkehrenden Leistungen (z. B. Beauty-Box-Abo, Streaming) ist eine dauerhafte Verwaltung der Beziehung notwendig. Fazit: Hier kann ein Account erforderlich und damit zulässig sein. -
Exklusive Angebote:
Argumentiert ein Händler, das Konto sei nötig, um Zugang zu „exklusiven Rabatten“ zu erhalten, winkt der EDSA meist ab. Nur wenn es sich um einen echten „geschlossenen Mitgliederclub“ handelt (z. B. Zugang nur auf Einladung oder Prüfung beruflicher Status), kann ein Account Teil des Vertrags sein. Bloße Rabatte rechtfertigen keinen Zwang. -
Bedingte Käufe (Alters-/Berufsprüfung):
Muss ein Kunde nachweisen, dass er Ärztin oder Student ist, reicht ein einmaliger Upload oder ein Formular im Checkout. Ein dauerhaftes Speichern dieser Nachweise in einem Account ist für den Kauf nicht „erforderlich“.
2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Ein beliebtes Argument ist die Aufbewahrungspflicht (z. B. für Steuerzwecke). Der EDSA stellt klar: Ja, Rechnungen müssen aufbewahrt werden. Aber dafür muss der Kunde keinen Zugang zu einem Frontend (Kundenkonto) haben. Die interne Speicherung der Rechnungsdaten durch den Händler zur Erfüllung gesetzlicher Pflichten ist losgelöst von der Frage zu betrachten, ob der Kunde sich einloggen muss.
3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Kann der Händler ein berechtigtes Interesse geltend machen, das die Rechte der Nutzer überwiegt? Der EDSA prüft typische Szenarien:
-
Bestellverfolgung & Retouren:
Händler wollen Accounts, damit Kunden den Lieferstatus sehen. Der EDSA sagt: Ein Link per E-Mail zur Sendungsverfolgung reicht völlig aus. Ein Account ist nicht das mildeste Mittel. -
Komfort (Adressdaten merken):
Das erleichtert zwar Folgeeinkäufe, ist aber reine Bequemlichkeit. Da der Kunde zum Zeitpunkt des ersten Kaufs oft gar nicht weiß, ob er wiederkommen will, überwiegt hier das Interesse des Kunden an Datensparsamkeit. -
Betrugsprävention (Fraud Prevention):
Dies ist ein valides Interesse. Allerdings bezweifelt der EDSA, dass die bloße Account-Erstellung Betrug verhindert (Bots können auch Accounts erstellen). Maßnahmen wie CAPTCHAs oder Plausibilitätsprüfungen der Zahlungsdaten sind effektiver und datenschutzfreundlicher, ohne dass ein Accountzwang nötig ist.
Die Lösung: Der Gastzugang als Standard
Die klare Botschaft der Empfehlungen ist: Die Gastbestellung („Guest Checkout“) ist die datenschutzkonforme Standardlösung. Der EDSA betont, dass der Gastmodus dem Prinzip von „Privacy by Design and by Default“ (Art. 25 DSGVO) am besten entspricht. Er ermöglicht den Kauf, ohne dass Daten länger oder umfangreicher verarbeitet werden, als für die konkrete Transaktion nötig.
Was ist mit „freiwilligen“ Konten?
Natürlich dürfen Shops weiterhin Kundenkonten anbieten, solange der Nutzer die echte Wahl hat.
Wichtig hierbei:
-
Die Wahl muss frei sein (keine Nachteile für Gastbesteller).
-
Keine Dark Patterns: Der Button „Als Gast bestellen“ darf nicht versteckt oder grau auf grauem Grund gestaltet sein, während „Konto erstellen“ leuchtend grün hervorgehoben wird.
-
Zusatzfunktionen eines Kontos (Wunschlisten, Bestellhistorie) müssen transparent kommuniziert werden, damit der Nutzer eine informierte Entscheidung treffen kann (Einwilligung oder Vertrag über Zusatzservices).
Wie sieht es bei Messe-Tickets und Hotelbuchungen aus? Beide verlangen regelmäßig Registrierung und teilweise Mitgliedschaften.
Die Empfehlungen des EDSA zielen grundsätzlich darauf ab, dass eine Datenspeicherung immer nur so weit gehen darf, wie es für die konkrete Durchführung des Vertrags absolut notwendig ist.
Bei Einmalkäufen (auch digitaler Art) dürfte ein dauerhaftes Konto daher oft schwer zu rechtfertigen sein, wenn die Datei auch per Link bereitgestellt werden kann. Anders wird dies oft bei dauerhaften Abos bewertet. Ob im konkreten Einzelfall Besonderheiten gelten, müsste jedoch individuell geprüft werden, da wir hier keine Rechtsberatung leisten können.