DDatenschutz

Datenschutzrechtliche Zulässigkeit verpflichtender Nutzerkonten im E-Commerce

Datenschutzrechtliche Zulässigkeit verpflichtender Nutzerkonten im E-Commerce EDPB
Bild: Xayal//Adobestock
0
Shares
0
0
0
0
0
0

Die EDPB Recommendations 2/2025 und der Gast-Checkout als datenschutzrechtlicher Referenzmaßstab.

Der Europäische Datenschutzausschuss (EDPB) hat am 3. Dezember 2025 seine “Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites” veröffentlicht. Die Empfehlungen befinden sich derzeit noch in der Phase der öffentlichen Konsultation, die bis zum 12. Februar 2026 läuft.

Auch wenn es sich (noch) nicht um ein final verabschiedetes Dokument handelt, kommt den Recommendations schon jetzt erhebliche Bedeutung zu. Sie konkretisieren in systematischer Weise die Anforderungen der Art. 5, 6 und 25 DSGVO für einen in der Praxis weit verbreiteten, bislang jedoch häufig nur pauschal gerechtfertigten Verarbeitungsvorgang: die verpflichtende Anlage von Nutzerkonten im E-Commerce.

In der gegenwärtigen Praxis verlangen zahlreiche Online-Händler und Plattformbetreiber die Erstellung eines Nutzerkontos bereits als Voraussetzung für den erstmaligen Vertragsschluss. Die Pflichtregistrierung wird dabei regelmäßig mit Erwägungen der Prozessvereinfachung, der Kundenbindung, der Betrugsprävention oder der effizienteren Abwicklung künftiger Transaktionen begründet. Nicht selten wird sie zudem als branchenüblich oder technisch alternativlos dargestellt.

Datenschutzrechtlich wird diese Praxis vielfach auf Art. 6 Abs. 1 lit. b oder lit. f DSGVO gestützt, ohne dass im Einzelfall näher geprüft wird, ob die dauerhafte Einrichtung eines personalisierten Nutzerkontos für die konkrete Vertragsdurchführung tatsächlich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen – etwa ein Gast-Checkout – zur Verfügung stünden. Gerade diese weitgehende Selbstverständlichkeit der verpflichtenden Kontoerstellung bildet den Ausgangspunkt der nunmehr vom EDPB vorgenommenen rechtlichen Neubewertung.

I. Regelungsgegenstand und dogmatische Ausgangslage

Gegenstand der Recommendations ist nicht die freiwillige Nutzerregistrierung, sondern ausschließlich die obligatorische Kontoerstellung als Voraussetzung für den Zugang zu Angeboten oder den Abschluss von Verträgen im E-Commerce.

Der EDPB stellt klar, dass die Verpflichtung zur Kontoerstellung einen eigenständigen Verarbeitungsvorgang darstellt, der einer eigenständigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf. Die bloße Zweckmäßigkeit, Wirtschaftlichkeit oder technische Bequemlichkeit genügt hierfür nicht.

Dogmatisch knüpft der Ausschuss dabei an zwei Leitgedanken an:

  1. das Erforderlichkeitsprinzip als zentrales Korrektiv sämtlicher Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO,
  2. die Pflicht zur datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO.

II. Tragfähigkeit der typischerweise angeführten Rechtsgrundlagen

1. Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO

Der EDPB legt Art. 6 Abs. 1 lit. b DSGVO in Übereinstimmung mit der bisherigen Rechtsprechung des EuGH restriktiv aus. Maßgeblich ist danach nicht, ob die Verarbeitung „nützlich“ oder „komfortabel“, sondern ob sie objektiv notwendig ist, um den Vertrag zu erfüllen.

Für den einmaligen Kaufvertrag verneint der EDPB diese Notwendigkeit ausdrücklich. Die zur Vertragsdurchführung erforderlichen Daten (Identität, Liefer- und Zahlungsdaten) können auch ohne dauerhaftes Nutzerkonto erhoben und verarbeitet werden, etwa im Rahmen eines Gast-Checkouts.

Eine Verpflichtung zur Kontoerstellung kann danach nur in eng begrenzten Konstellationen auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, insbesondere bei:

  • Dauerschuldverhältnissen (z. B. Abonnements), die wiederholte, authentifizierte Interaktionen erfordern,
  • geschlossenen Nutzergruppen, bei denen die Mitgliedschaft selbst den Hauptgegenstand des Vertrags bildet.

2. Rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO

Auch die Berufung auf gesetzliche Aufbewahrungs-, Nachweis- oder Dokumentationspflichten lässt der EDPB nicht genügen. Solche Pflichten rechtfertigen regelmäßig lediglich die punktuelle Speicherung bestimmter Unterlagen, nicht jedoch die dauerhafte Vorhaltung eines personalisierten Nutzerprofils.

Der Ausschuss betont, dass Art. 6 Abs. 1 lit. c DSGVO ebenfalls dem Erforderlichkeitsgrundsatz unterliegt und eine weitergehende Datenverarbeitung nicht allein mit administrativen Interessen begründet werden kann.

3. Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO

Besonders praxisrelevant ist die Auseinandersetzung mit Art. 6 Abs. 1 lit. f DSGVO. Der EDPB erkennt an, dass Interessen wie Betrugsprävention, Bestellverwaltung oder Kundenbindung grundsätzlich legitim sein können.

Gleichwohl scheitert die verpflichtende Kontoerstellung nach Auffassung des Ausschusses regelmäßig an:

  • der Erforderlichkeit (Vorhandensein gleich geeigneter, weniger eingriffsintensiver Mittel),
  • sowie an der Interessenabwägung, insbesondere bei einmaligen Vertragsbeziehungen.

Der EDPB stellt dabei klar, dass Sicherheits- und Betrugsargumente nicht pauschal eine intensive und dauerhafte Identifizierung rechtfertigen. Vielmehr ist eine konkrete, zweckbezogene Prüfung erforderlich, die häufig zugunsten der betroffenen Person ausfällt.

III. Gast-Checkout als datenschutzrechtlicher Referenzmaßstab

Von besonderer Bedeutung ist die positive Bewertung des Gastmodus durch den EDPB. Dieser wird ausdrücklich als mit Art. 25 DSGVO vereinbar und als Ausprägung von Data Protection by Design and by Default hervorgehoben.

Der EDPB verwendet den Begriff des „guest mode“ bzw. Gast-Checkouts nicht rein technisch, sondern funktional-rechtlich. Gemeint ist kein bloßes „Light-Account“-Modell, sondern eine Abwicklung des Vertragsschlusses ohne Einrichtung eines dauerhaften personalisierten Nutzerkontos.

Charakteristisch für einen datenschutzrechtlich relevanten Gast-Checkout sind dabei insbesondere folgende Merkmale:

  • keine dauerhafte Authentifizierungskennung (insb. kein Passwort),
  • keine persistente Nutzer-ID, die über den konkreten Bestellvorgang hinaus fortbesteht,
  • keine personalisierte Nutzeroberfläche („Kundenkonto“),
  • keine automatische Fortführung der Datenverarbeitung über die Vertragsdurchführung hinaus.

Der EDPB grenzt den Gast-Checkout ausdrücklich von bloßen temporären Zugriffslösungen ab (z. B. Einmal-Links oder Token), die zwar Authentifizierung ermöglichen, aber keinen Account im Sinne eines „personal online space“ begründen. Rechtlich handelt es sich damit um einen verarbeitungstechnisch minimalen Modus, der auf die für den jeweiligen Vertrag unmittelbar erforderlichen Daten beschränkt ist.

Die positive Bewertung des Gast-Checkouts durch den EDPB beruht nicht auf bloßen Zweckmäßigkeitserwägungen, sondern auf einer systematischen Anwendung zentraler DSGVO-Prinzipien.

a) Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Der EDPB stellt klar, dass die verpflichtende Kontoerstellung regelmäßig dazu führt, dass mehr Daten erhoben und länger gespeichert werden, als für die Vertragsdurchführung erforderlich ist. Dies betrifft insbesondere:

  • Login-Daten (E-Mail, Passwort, ggf. MFA),
  • Profildaten,
  • dauerhaft gespeicherte Bestellhistorien,
  • technisch erzeugte Nutzungsprofile.

Der Gast-Checkout vermeidet diese „strukturelle Mehrverarbeitung“, weil die Verarbeitung auf den konkreten Zweck der Vertragsabwicklung begrenzt bleibt. Wiederholte Gastkäufe führen nach Auffassung des EDPB nicht automatisch zu einer Datenexzessivität, sofern Zweckbindung und Löschkonzepte eingehalten werden.

b) Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Ein zentrales Argument des EDPB ist das Risiko sogenannter „verwaister Konten“ (orphaned accounts). Nutzerkonten bleiben häufig auch dann bestehen, wenn:

  • sie nur einmal genutzt wurden,
  • keine weitere Kundenbeziehung besteht,
  • keine aktive Nutzung mehr erfolgt.

Diese dauerhafte Vorhaltung personenbezogener Daten ist aus Sicht des EDPB regelmäßig nicht mehr erforderlich und erhöht zugleich das Risiko unbefugter Zugriffe und Datenpannen.

Der Gast-Checkout erlaubt demgegenüber eine strikte Trennung zwischen operativ erforderlicher Datenverarbeitung (Bestellung, Lieferung, Zahlung) und gesetzlich gebotener Archivierung (z. B. Rechnungsdaten).

Gerade steuer- und handelsrechtliche Aufbewahrungspflichten rechtfertigen nach Auffassung des EDPB keine fortdauernde Speicherung im Kundenverwaltungssystem, sondern lediglich eine zweckgebundene Archivierung.

c) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO)

Der EDPB betont, dass Nutzerkonten keine inhärent höhere Sicherheit bieten. Im Gegenteil:

  • Passwort-Wiederverwendung,
  • Account-Takeover,
  • Phishing-Risiken,
  • Single-Sign-On-Abhängigkeiten

führen dazu, dass Nutzerkonten selbst eine erhöhte Angriffsfläche darstellen.

Der Gast-Checkout reduziert diese Risiken strukturell, weil:

  • keine dauerhaften Zugangsdaten existieren,
  • keine Account-Übernahmen möglich sind,
  • sensible Daten nicht langfristig in aktiven Systemen vorgehalten werden.

Der EDPB weist ausdrücklich darauf hin, dass auch alternative Identifikationsmechanismen (z. B. Einmal-Links) keine zusätzlichen Sicherheitsrisiken begründen, sofern geeignete technische und organisatorische Maßnahmen ergriffen werden.

d) Transparenz und Erwartungshorizont der Betroffenen (Art. 5 Abs. 1 lit. a DSGVO)

Ein weiteres zentrales Argument des EDPB betrifft die berechtigten Erwartungen der Nutzer:innen. Beim klassischen Online-Kauf erwarten Verbraucher regelmäßig den Abschluss eines einzelnen Vertrags, nicht aber den Eintritt in eine dauerhafte, personalisierte Kundenbeziehung.

Der Gast-Checkout entspricht diesem Erwartungshorizont deutlich eher als eine verpflichtende Kontoerstellung – insbesondere dann, wenn diese erst spät im Checkout-Prozess verlangt wird.

Der EDPB sieht hierin einen Aspekt der Fairness der Verarbeitung, da der Gast-Checkout die Konsequenzen der Datenverarbeitung für die betroffene Person vorhersehbar und begrenzt hält.

IV. Bedeutung für die Praxis

Bei den EDPB Recommendations 2/2025 handelt es sich formal um ein unverbindliches Auslegungsdokument ohne unmittelbare Rechtswirkung. Sie begründen weder neue Pflichten noch erweitern sie den normativen Gehalt der DSGVO. Ihre rechtliche Bedeutung liegt vielmehr in der konkretisierenden Auslegung bestehenden Unionsrechts, insbesondere der Art. 5, 6 und 25 DSGVO.

Gleichwohl wäre es verfehlt, den Recommendations lediglich deklaratorischen Charakter beizumessen. Nach Art. 70 Abs. 1 lit. e DSGVO ist es gerade Aufgabe des EDPB, eine einheitliche Anwendung der DSGVO sicherzustellen. In diesem Rahmen entfalten Auslegungsdokumente des EDPB eine erhebliche faktische Steuerungswirkung für die Aufsichtspraxis der nationalen Datenschutzbehörden.

Bereits in der Vergangenheit hat sich gezeigt, dass EDPB-Leitlinien und -Empfehlungen – selbst in der Konsultationsfassung – von Aufsichtsbehörden regelmäßig als maßgeblicher Referenzrahmen herangezogen werden.

Der Umstand, dass sich die Recommendations derzeit noch im Konsultationsverfahren befinden, relativiert ihre praktische Relevanz nur begrenzt. Zwar sind inhaltliche Anpassungen im Rahmen der Konsultation möglich; grundlegende dogmatische Korrekturen sind jedoch erfahrungsgemäß nicht zu erwarten. Vielmehr ist davon auszugehen, dass die Konsultationsfassung bereits den antizipierten aufsichtsrechtlichen Prüfungsmaßstab widerspiegelt. Dies gilt insbesondere deshalb, weil die Argumentationslinie der Recommendations:

  • eng an bestehende EDPB-Guidelines anschließt,
  • unionsgerichtliche Rechtsprechung (insb. zur strengen Auslegung des Erforderlichkeitsbegriffs) aufgreift,
  • und systematisch aus der DSGVO selbst hergeleitet ist.

In materiell-rechtlicher Hinsicht führen die Recommendations nicht zu einer Verschärfung der DSGVO. Sie verändern jedoch die Begründungslast für bestimmte Verarbeitungsvorgänge in erheblichem Maße.

Während die verpflichtende Nutzerregistrierung bislang häufig als „branchenüblich“ oder „implizit erforderlich“ behandelt wurde, macht der EDPB nun unmissverständlich deutlich, dass:

  • die Kontoerstellung einen eigenständigen Eingriff darstellt,
  • dieser Eingriff einer eigenständigen Rechtfertigung bedarf,
  • und pauschale Verweise auf Geschäftsinteressen, Effizienz oder Sicherheit nicht ausreichen.

In der Konsequenz wird die verpflichtende Nutzerregistrierung selbst zum rechtfertigungsbedürftigen Eingriff, während der kontolose Zugang den datenschutzrechtlichen Ausgangspunkt bildet.

Für Anbieter digitaler Geschäftsmodelle – insbesondere im PayTech- und Plattformumfeld – empfiehlt sich daher bereits jetzt eine kritische Überprüfung:

  • ob und wo faktisch eine Registrierungspflicht besteht,
  • welche Zwecke hierfür tatsächlich verfolgt werden,
  • und ob diese Zwecke nicht ebenso effektiv mit weniger eingriffsintensiven Mitteln erreicht werden können.

V. Fazit

Die EDPB Recommendations 2/2025 markieren – bereits in der Konsultationsfassung – eine deutliche Akzentverschiebung in der datenschutzrechtlichen Bewertung verpflichtender Nutzerkonten.

Zusammenfassend lässt sich festhalten:

Die Pflicht zur Nutzerregistrierung bedarf einer tragfähigen, eng auszulegenden Rechtfertigung; Bequemlichkeit, Geschäftsinteresse oder abstrakte Sicherheitsargumente genügen nicht.

Für die Praxis bedeutet dies, dass ein Zwang zur Account-Erstellung künftig nicht nur ein UX- oder Produkt-, sondern vor allem ein (datenschutzrechtliches) Rechtsrisiko darstellt.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
DDORA & IT-Sicherheit
EZB-Leitfaden zur Auslagerung von Cloud-Diensten: Tipps zur Umsetzung von DORA ECB Guide on Cloud Outsourcing: Implementation Tips for DORA Compliance
Weiterlesen
  • 9 Minuten

EZB-Leitfaden zur Auslagerung von Cloud-Diensten: Tipps zur Umsetzung von DORA

Die Europäische Zentralbank (EZB) hat im Juli 2025 einen umfassenden Leitfaden zur Auslagerung von Cloud-Diensten veröffentlicht. Darin formuliert sie ihre Erwartungen an die Einhaltung der Vorgaben der Verordnung über die digitale operationale Resilienz (DORA). Der unverbindliche Leitfaden enthält praxisnahe Empfehlungen zur Stärkung des Cloud-Risikomanagements, zur Verbesserung der Governance sowie zur Erhöhung der Resilienz im Finanzsektor.
Weiterlesen