Suchen

In vielen Online-Shops ist es nach wie vor gängige Praxis: wer bestellen will, muss sich registrieren. Doch was für Händler zwecks Kundenbindung und Datenanalyse attraktiv ist, steht unter datenschutzrechtlichem Dauerfeuer. Mit den am 3. Dezember 2025 verabschiedeten Empfehlungen 2/2025 hat der Europäische Datenschutzausschuss (EDSA) nun Leitplanken gesetzt, die das Ende des zwingenden Kundenkontos für den klassischen Online-Handel einläuten könnten. Der EDSA stellt klar, dass die Gastbestellung nicht länger nur ein nettes Feature, sondern in den meisten Fällen eine rechtliche Notwendigkeit ist. Im Folgenden erfahren Sie, was die EDSA-Empfehlungen für Ihr Geschäftsmodell bedeutet.

Was steht in den EDSA-Empfehlungen?

Der EDSA befasst sich in seiner am 3. Dezember 2025 offiziell angenommenen Empfehlungen 2/2025 mit der Frage, ob und wann Online-Shops ihre Kunden zur Erstellung eines passwortgeschützten Kundenkontos zwingen dürfen. Die Antwort ist deutlich: Nur in sehr engen Ausnahmefällen. In der Regel stellt die verpflichtende Kundenkonto-Erstellung ein Risiko für die Rechte der Betroffenen dar, da mehr Daten gesammelt werden, als für den reinen Kauf nötig sind, und die Gefahr von Datenlecks bei dauerhaft gespeicherten Profilen steigt.

Die Rechtsgrundlagen auf dem Prüfstand

Händler stützen den Kundenkonto-Zwang meist auf drei Säulen der DSGVO, die der EDSA jedoch systematisch demontiert:

  1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Der EDSA argumentiert, dass ein Einmalkauf problemlos ohne dauerhaftes Kundenkonto abgewickelt werden kann. Ein Kundenkonto sei für den Austausch von Ware gegen Geld schlicht nicht erforderlich. Ausnahmen gelten fast nur für echte Abonnements (z.B. Streaming oder regelmäßige Lieferboxen), bei denen eine dauerhafte Verwaltung zwingend ist.
  2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Steuerliche Aufbewahrungspflichten für Rechnungen rechtfertigen zwar die interne Speicherung der Daten beim Händler, aber nicht die Verpflichtung des Kunden, ein Kundenkonto mit Login-Daten zu pflegen.
  3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Interessen wie Betrugsprävention oder die Bequemlichkeit bei Folgebestellungen wiegen laut EDSA weniger schwer als das Recht des Nutzers auf Datensparsamkeit. Für die Sendungsverfolgung reicht ein individueller Link per E-Mail; ein Kundenkonto sei hierfür kein milderes Mittel.

Die Natur der Empfehlungen: Nur ein netter Rat?

Rechtlich gesehen handelt es sich bei den am 3. Dezember 2025 verabschiedeten Empfehlungen um sog. Soft Law. Sie sind kein Gesetz und binden Gerichte theoretisch nicht unmittelbar. In der Praxis richten Datenschutzaufsichtsbehörden ihre Prüfungspraxis und Bußgeldentscheidungen jedoch nach diesen Empfehlungen aus. Wer den Empfehlungen des EDSA nicht folgt, handelt gegen den europäischen Konsens der Aufsichtsbehörden und trägt ein Risiko für Abmahnungen und potenziellen Gerichtsverfahren. Es ist daher ratsam, die IT-Architektur des Shops an die EDSA-Empfehlungen anzupassen.

Was müssen Unternehmen jetzt tun?

Um rechtssicher aufgestellt zu sein, sollten Online-Händler folgende Punkte prüfen:

  • Implementierung eines Gastzugangs: Ermöglichen Sie Bestellungen ohne die Vergabe eines Passworts und die dauerhafte Speicherung eines Profils über ein Kundenkonto.
  • Freiwilligkeit betonen: Das Kundenkonto darf angeboten werden, muss aber eine informierte und freie Entscheidung des Nutzers bleiben.
  • Dark Patterns vermeiden: Die Option, als Gast zu bestellen, darf nicht optisch benachteiligt werden.
  • Datenminimierung im Check-Out: Fragen Sie bei Bestellungen nur Daten ab, die für Versand und Abrechnung zwingend sind.
  • Löschkonzepte anpassen: Stellen Sie sicher, dass Daten aus Bestellungen von Kunden nach Ablauf der Gewährleistungs- und Aufbewahrungsfristen automatisch gelöscht werden (wenn nicht andere Aufbewahrungsfristen einer Löschung im Einzelfall entgegenstehen).

Der Schwenk zur Gastbestellung ist weit mehr als eine bloße Compliance-Pflicht – er ist ein klares Statement für die digitale Souveränität Ihrer Kunden. Statt den Gastmodus als regulatorische Einschränkung zu betrachten, sollten Unternehmen ihn als strategische Chance begreifen, die Interessen beider Seiten perfekt in Einklang bringt. Indem Sie Wahlfreiheit bieten, optimieren Sie Ihr Kundenerlebnis ganz gezielt: Während loyale Stammkunden weiterhin den Komfort eines hinterlegten Profils genießen, senken Sie für Neukunden und sicherheitsbewusste Käufer die Einstiegshürden auf ein Minimum. Letztlich verwandeln Sie datenschutzrechtliche Vorgaben so in einen handfesten Wettbewerbsvorteil, der die Kaufabbruchraten reduziert und die Kundenbindung auf Basis von echtem Vertrauen statt auf technischem Zwang stärkt.

Haben Sie Fragen zur datenschutzkonformen Gestaltung Ihres Checkout-Prozesses oder zur Umsetzung der neuen EDSA-Vorgaben? Sprechen Sie uns an!

planit legal patrizia neifert

Patrizia Neifert

Rechtsanwältin

E-Mail: patrizia.neifert@planit.legal
Telefon: +49 (0) 40 609 44 190

Suche

Kategorien

Schlagwörter

Abmahnung Abnahme agile Projektentwicklung Auftragsverarbeitung B2C BDSG Bewertungsportale Bitcoin Botschaft Bussgeld Cookies Corona Datenhehlerei Datenschutz Datensicherheit DiGA Dokumentation DSGVO E-Commerce E-Mail ePrivacy-Richtlinie EuGH Facebook Freihandelsabkommen GATS Geheimnisschutz Gesundheitsanwendungen internationaler Datentransfer IT-Sicherheitsgesetz Marketing Meinungsfreiheit Privacy Shield Safe-Harbor Scrum TISA TMG Tracking Transparenz TTIP Verschlüsselung Videoüberwachung Werkvertrag Whistleblowing Wildkamera §17 UWG

Autoren