Ob ein Onlineshop die Bestellung als Gast ohne Eröffnung eines Kundenkontos ermöglichen muss, ist durchaus umstritten.
Das Landgericht Hamburg ist hier zu dem Ergebnis gekommen (LG Hamburg, Urt. v. 22.2.2024 – 327 0 250/22), dass dies unter Umständen entbehrlich sein kann.
Näheres zu dem Urteil und seinen Auswirkungen finden Sie in folgendem Beitrag
Kläger war hier ein Verbraucherschutzverband, der gegen Otto.de als Online-Versandhändler mit Marktplatz vorging, weil dieser unter anderem den Erwerb von Waren nur nach Einrichtung eines Kundenkontos ermöglichte, also keinen Gastzugang zuließ.
Der Verbraucherschutzverband sah in dem fehlenden Gastzugang einen Verstoß gegen Art. 5 Abs. 1 lit. c) i.V.m. Art. 25 Abs. 2.
Art. 5 Abs. 1 lit. c) statuiert den Grundsatz der Datensparsamkeit, personenbezogene Daten müssen dem Zweck der Verarbeitung angemessen und auf das erforderliche Maß beschränkt sein (Datenminimierung). Darauf aufbauend verpflichtet Art. 25 Abs. 2 die für die Verarbeitung Verantwortlichen, geeignete Maßnahmen zu treffen, um sicherzustellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden (Datensparsamkeit).
Der Auffassung, dass sich hieraus eine Verpflichtung zur Gewährung eines Gastzugangs ergebe, schlossen sich die Richter des Landgerichts Hamburg jedoch nicht an.
Das Gericht stufte die genannten Teile der Datenschutzgrundverordnung zwar als Verbraucherschutz- und Marktverhaltensregeln ein, sah jedoch keinen Verstoß.
So würde die Einrichtung eines Kundenkontos bei Otto.de nicht gegen die Grundsätze der Datensparsamkeit und Datenminimierung verstoßen.
Eine Datenverarbeitung sei nicht erforderlich, wenn ihr Zweck auch mit einem geringeren Datenerhebungsaufwand erreicht werden könne, wenn also Daten im Übermaß oder für hypothetische Zwecke erhoben würden, für die zum Zeitpunkt der Erhebung noch kein Anlass bestehe.
Zwar hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einem Beschluss festgestellt, dass Online-Händler ihren Kunden grundsätzlich einen Gastzugang gewähren müssen. Der Beschluss lässt jedoch Ausnahmen zu und ist nicht rechtsverbindlich.
Auch der Hamburgische Datenschutzbeauftragte hat auf der Grundlage dieses Beschlusses dargelegt, dass bei Otto.de ein Einzelfall mit besonderen Umständen vorliege, der die Bereitstellung eines Gastzugangs entbehrlich mache. So habe Otto.de dargelegt, dass es als Marktplatz, auf dem auch mehrere tausend andere Verkäufer Waren vertreiben, das Kundenkonto benötige, um die Bestellungen eines Kunden mit den Händlern zu verknüpfen, die Kommunikation mit den Händlern zu ermöglichen und die Gewährleistungs-, Garantie- und Rückgaberechte der Kunden zu ermöglichen. Dies sei über ein Kundenkonto wesentlich einfacher als über die individuelle Kommunikation per E-Mail oder Telefon.
Zudem würde als einziges zusätzliches Datum das gewählte Passwort erhoben, alle anderen erhobenen Daten seien auch bei einer Gastbestellung datenschutzrechtlich nicht zu beanstanden.
Zwar bestünde die theoretische Gefahr, dass ein Kundenkonto von unberechtigten Dritten genutzt werde und diese so Zugriff auf die personenbezogenen Daten eines Kunden erhielten, jedoch könne ein Kunde jederzeit die Löschung des Kontos verlangen, zudem würden Kundenkonten automatisch gelöscht, wenn drei Jahre nach Jahresende keine Bestellung erfolgt sei bzw. nach 30 Tagen, wenn nach Einrichtung eines Kundenkontos keine Bestellung erfolgt sei.
Dieser Auffassung schlossen sich die Richter des Landgerichts Hamburg an.
Die datenschutzrechtliche Erforderlichkeit der Daten wäre nicht zu beanstanden, mit Ausnahme der für den Versand und die Kommunikation erforderlichen Adressdaten und der E-Mail-Adresse, die von Otto.de erhoben werden, des Geburtsdatums und der Telefonnummer, für die die Zwecke der Prüfung der Volljährigkeit, der Abfrage von Bonitätsdaten bei Auskunfteien, der Betrugsprüfung und der Prüfung von Sanktionslisten sowie im Falle der Telefonnummer für die Zustellung durch Transportunternehmen hinreichend dargelegt werden konnten.
Auch das für das Kundenkonto erhobene Passwort sei zulässig, da es gerade dem Schutz der hinterlegten personenbezogenen Daten diene. Auch würden die Vorteile eines Kundenkontos für die Verwaltung von Daten, Bestellungen und Kommunikation etwaige Nachteile der Einrichtung eines Kundenkontos überwiegen.
Zudem sei eine Bestellung auch freiwillig, da ein Kunde die betreffende Ware auch bei einem anderen Online-Händler mit Gastzugang oder im stationären Handel bestellen könne, wo Adressdaten oder ein Passwort gar nicht erhoben würden.
Fazit:
Die DSK, der Zusammenschluss der Datenschutzbehörden des Bundes und der Länder, sieht in einem ihrer Beschlüsse grundsätzlich vor, dass Online-Shops ihren Kunden aus Gründen der Datensparsamkeit und Datenminimierung einen Gastzugang ermöglichen. Die Beschlüsse der DSK sind zwar rechtlich nicht bindend, haben aber im Bereich des Datenschutzes durchaus Gewicht.
Der Beschluss lässt jedoch Ausnahmen zu und wie der Hamburgische Datenschutzbeauftragte und ihm folgend das Landgericht Hamburg ausgeführt haben, kann ein Gastkonto entbehrlich sein,
wenn die Vorteile des Kundenkontos den mit seiner Einrichtung verbundenen Aufwand überwiegen
das Konto ausreichend geschützt ist, die dafür zusätzlich erhobenen Daten auf das erforderliche Maß (in der Regel das Passwort) beschränkt sind und ein datenschutzkonformes Löschkonzept für das Kundenkonto vorliegt.
Das Urteil ist also ausdrücklich nicht als Freibrief zu verstehen, kein Gastkonto anzubieten. Die Ermöglichung von Gastbestellungen ist aus datenschutzrechtlicher Sicht durchaus empfehlenswert.
Auf der Grundlage dieses Urteils kann jedoch davon abgewichen werden, wenn die Notwendigkeit entsprechend begründet werden kann.
