Die EDSA / European Data Protection Board hat eine Empfehlung mit dem Titel “Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites.” (Version 1.0 Adopted on 03 December 2025) abgegeben.
Mit den Empfehlungen 2/2025 hat der Europäischer Datenschutzausschuss nun klargestellt, unter welchen Voraussetzungen seiner Auffassung nach eine verpflichtende Kontoerstellung mit der DSGVO vereinbar ist, und wann nicht. Die englische Fassung von der Empfehlung befindet sich hier: https://www.edpb.europa.eu/system/files/2025-12/edpb-recommendations-202502-mandatory-user-accounts_en.pdf. Ob es deutsche Fassung gibt, ist mir nicht bekannt.
Das Dokument kommt im Kern zu dem Ergebnis, dass verpflichtende Nutzerkonten im E-Commerce datenschutzrechtlich nur ausnahmsweise zulässig sind; regelmäßig sollten Shops einen Gastkauf oder eine freiwillige Kontoerstellung anbieten. Der EDPB sieht den Gastmodus grundsätzlich als die datenschutzfreundlichste Standardlösung im Sinne von Privacy by Design und Privacy by Default an.
Anbieter von E-Commerce-Websites, Web-Apps und mobilen Apps sollen klären, unter welchen Voraussetzungen die Pflicht zur Kontoerstellung mit Art. 5 Abs. 1 lit. a und Art. 6 DSGVO vereinbar sein kann.
Für den gewöhnlichen Einmalkauf hält der EDPB ein Pflichtkonto in aller Regel nicht für erforderlich, weil die für Bestellung, Zahlung, Lieferung und Rechnung nötigen Daten auch ohne dauerhaftes Nutzerprofil verarbeitet werden können. Deshalb soll der Normalfall ein echter Wahlmechanismus sein: Gastbestellung oder freiwilliges Konto.
Datenschutzrisiken
Der EDPB betont, dass Pflichtkonten zusätzliche Risiken für die Rechte und Freiheiten der Betroffenen schaffen, weil mehr Daten gesammelt, länger aktiv gespeichert und damit auch länger angreifbar werden. Genannt werden insbesondere verwaiste oder lange ungenutzte Konten, die mit Blick auf unbefugte Zugriffe und sonstige Sicherheitsvorfälle problematisch sein können.
Außerdem erleichtern eingeloggte Umgebungen das Nachverfolgen von Surf- und Kaufverhalten sowie Profilbildung für kommerzielle Zwecke. Hinzu kommen Risiken durch irreführende Gestaltung, etwa wenn Nutzer kurz vor dem Checkout noch zu einer Kontoerstellung oder zu zusätzlichen Angaben gedrängt werden.
Rechtsgrundlagen
Bei Art. 6 Abs. 1 lit. b) DSGVO zieht der EDPB eine enge Linie: Ein Pflichtkonto kann zulässig sein, wenn wiederkehrende authentifizierte Interaktionen für einen laufenden Vertrag wirklich notwendig sind, etwa bei einem Abonnement. Dagegen reicht diese Rechtsgrundlage nach den Empfehlungen regelmäßig nicht für Einmalkäufe, einmalige Statusprüfungen, After-Sales-Services oder die Wahrnehmung von Verbraucher- und DSGVO-Rechten aus.
Bei exklusiven Angeboten differenziert der EDPB: Nur wenn es um einen tatsächlich abgegrenzten Mitgliederkreis mit nachgewiesenen Merkmalen und einer längerfristigen Beziehung geht, kann ein Pflichtkonto erforderlich sein. Bloße Rabatt- oder Vorteilsprogramme, die praktisch jeder allein durch Registrierung erhält, genügen dafür nicht.
Auch Art. 6 Abs. 1 lit. c) DSGVO trägt Pflichtkonten nach der Empfehlung meist nicht, weil Steuer-, Buchhaltungs- oder Nachweispflichten typischerweise keine dauerhafte Kontostruktur verlangen. Für Art. 6 Abs. 1 lit. f) DSGVO erinnert der EDPB an den strengen Dreischritt aus berechtigtem Interesse, Erforderlichkeit und Interessenabwägung.
Folgen für Shopbetreiber
Praktisch bedeutet das für Shopbetreiber, dass Checkout-Prozesse standardmäßig ohne Konto möglich sein sollten und zusätzliche Prüfungen eher über datensparsame Einzelformulare oder andere weniger eingriffsintensive Verfahren laufen sollten. Auch für Rückgaben, Reklamationen oder die Ausübung von Rechten sollen alternative Kommunikationswege genügen, etwa sichere Formulare oder auftragsbezogene Links.
Die Empfehlung ist damit kein Verbot von Kundenkonten, sondern eine deutliche Verschiebung der Begründungslast zulasten verpflichtender Konten. Wer dennoch ein verpflichtendes Konto vorsieht, muss nachvollziehbar dokumentieren, weshalb dieses für den jeweiligen Zweck objektiv erforderlich ist und warum ein Gastzugang oder ein transaktionsbezogener Prozess nicht ausreicht.
Aus Compliance-Sicht liegt der Schwerpunkt daher auf einer belastbaren Zweckanalyse je Verarbeitungsvorgang, einer sauberen Trennung zwischen Vertragsabwicklung und Komfort-/Marketingfunktionen sowie einer datensparsamen Gestaltung der Nutzerführung. Für viele Webshops dürfte die sicherste Linie sein, Gastbestellungen als Standard vorzusehen und Kundenkonten nur als freiwillige Zusatzoption anzubieten. Das gerne genommene Argument, dass die Daten aus steuerrechtlichen Günden ohnehin gespeichert werden müssen reicht jedenfalls für sich genommen nicht.
