LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein

Eine Kundenkonto-Registrierung in Online-Shops geht mit Vorteilen der Beschleunigung des Bestellprozesses und der Eisehbarkeit der Bestellhistorie einher. Weil dabei aber grundsätzlich auch personenbezogene Daten des Kunden dauerhaft gespeichert werden, ist anerkannt, dass als datenschutzfreundliche Alternative Gastbestellungen möglich sein müssen. Das LG Hamburg entschied nun, dass auf einen Gastzugang unter gewissen rechtlichen und tatsächlichen Voraussetzungen ausnahmsweise verzichtet werden kann. Mehr zur Entscheidung lesen Sie hier.

I. Der Sachverhalt

Die Klägerin, eine Verbraucherzentrale, beanstandete die fehlende Möglichkeit der Bestellung über einen reinen Gastzugang auf der Webseite der Beklagten, einem bekannten Online- Markplatz für Verbraucherprodukte. Eine Bestellung war dort nur mit vorausgehender Registrierung möglich.

Für die Klägerin stellte dies einen Verstoß gegen die DSGVO dar, wobei sie sich auf einen Beschluss der Datenschutzkonferenz des Bundes und der Länder (DSK) vom 24. März 2022 bezog. Nach Ansicht der führenden deutschen Datenschutzbehörden müssten Online-Shops grundsätzlich einen Gastzugang ohne Registrierung anbieten.

Die Beklagte hielt dem entgegen, dass im Rahmen der Kundenregistrierung als einziges zusätzliches Merkmal im Vergleich zu einer hypothetischen Gastbestellung die Vergabe eines Passwortes abgefragt würde. Alle anderen bereitzustellenden Daten seien solche, die auch für die Abwicklung einer Gastbestellung gemäß Art. 6 Abs. 1 lit. b DSGVO zwingend erforderlich seien.

II. Die Entscheidung

Das LG Hamburg wies die Klage mit Urteil vom 22.02.2024 (Az: 327 O 250/22) ab.

Die Bereitstellung eines Gastzugangs sei nicht ausnahmslos erforderlich. Zwar stimme es, dass es einen entsprechenden Beschluss der DSK gebe, der die Bereitstellung eines Gastzugangs verlange. Jedoch könne im hier vorliegenden Fall davon abgewichen werden. Damit legte das Gericht den Grundsatzbeschluss der DSK, der die Bereitstellung eines Gastzugangs als datenschutzrechtliches Erfordernis ansah, sehr restriktiv aus.

1.) Hinweise der DSK vom 24. März 2022

In ihrem Beschluss vom 24. März 2022 beurteilte die Datenschutzkonferenz des Bundes und der Länder (DSK) das Bestellprozedere in Online-Shops in datenschutzrechtlicher Hinsicht und führte insbesondere zur Einordnung von Kundenkonto-Registrierungen und Gastbestellungen aus.

Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssten ihren Kunden unabhängig davon, ob sie ihnen daneben ein fortlaufendes Kundenkonto zur Verfügung stellten, grundsätzlich einen Gastzugang für die Bestellung bereitstellen.

Denn auch im Online-Handel gelte der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO. Danach dürften nur solche Daten erhoben werden, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung personenbezogener Daten hänge im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dies setze voraus, dass Kunden jeweils frei entscheiden könnten, ob sie ihre Daten für jede Bestellung neu eingeben wollten oder ob sie bereit seien, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden wäre.

Damit eine für die Einrichtung eines fortlaufenden Kundenkontos erforderliche Einwilligung nicht gegen das in Art. 7 Abs. 4 DSGVO erwähnte Kopplungsverbot verstieße, müssten die Kunden im Online-Shop die gleichen Angebote auf anderem gleichwertigem Wege als über das fortlaufende Kundenkonto bestellen können (Rn. 37 f. der Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 des Europäischen Datenschutzausschusses vom 04.05.2020).

Gleichwertig sei eine Bestellmöglichkeit dann, wenn keinerlei Nachteile entstünden, also wenn Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang der Fall, denen eines laufenden Kundenkontos entsprächen und technisch organisatorische Maßnahmen getroffen würden, die ein angemessenes Datenschutzniveau gewährleisteten.

Gemäß Art. 6 Abs. 1 lit. b) DSGVO könnten im Einzelfall besondere Umstände vorliegen, aufgrund derer ein fortlaufendes Kundenkonto ausnahmsweise für die Vertragserfüllung erforderlich sei. In diesem Fall sei keine Einwilligung erforderlich, der Verantwortliche müsse jedoch nach dem Grundsatz der Datenminimierung handeln, indem beispielsweise das Kundenkonto bei Inaktivität nach einer kurzen Frist automatisch gelöscht werde.

2.) Stellungnahme des Hamburgischen Datenschutzbeauftragten zum konkreten Fall

Das Gericht hatte im vorliegenden Fall vor der Urteilsfindung den Hamburgischen Datenschutzbeauftragten angehört.

Dieser bestätigte, dass im Beschluss der DSK vom 24. März 2022 zwar im Wesentlichen der Grundsatz dargelegt werde, dass im Online-Handel ein Gastzugang anzubieten sei. Allerdings bestehe die Möglichkeit einer Ausnahme im Einzelfall aufgrund besonderer Umstände.

Die Beklagte habe hierzu unter Vorlage entsprechender Kennzahlen geltend gemacht, dass es sich bei dem Angebot auf der Webseite um einen Marktplatz handle, auf welchem nicht nur die Beklagte selbst, sondern auch mehrere Tausend angeschlossene Dritthändler Waren vertrieben.

Tatsächlich betreffe ein erheblicher Teil der Bestellungen (auch) Dritthändler. Damit sei das Kundenkonto die zentrale Datenbank, um Informationen zu getätigten Bestellungen bzw. den Händlern nachvollziehen zu können, mit diesen zu kommunizieren sowie Garantie-, Gewährleistungs- und Rücksenderechte geltend zu machen. Wegen der sehr hohen Zahl an Bestellungen über die streitgegenständliche Webseite sei die Anzahl der entsprechenden nachgelagerten Kommunikations- und Bearbeitungsvorgänge ebenfalls sehr hoch.

Es bestehe ein erhebliches Interesse des Unternehmens daran, diese Vorgänge möglichst effizient zu gestalten und verfügbar zu machen. Einen erheblichen Effizienzvorteil gegenüber der ausschließlich individuellen Beantwortung von E-Mails und Telefonanrufen sei gerade das Abbilden und Zugänglichmachen all dieser Informationen und Funktionen im Kundenkonto. Dies gelte bereits ab der ersten Bestellung.

In diesem Sinne erachtete der Hamburgische Datenschutzbeauftragte die in dem Beschluss der DSK als Voraussetzung genannte, ausnahmsweise Erforderlichkeit eines fortlaufenden Kundenkontos zur Vertragserfüllung nicht lediglich als auf den konkreten Vertrags- und Produkttypus bezogen, sondern ließ auch strukturelle und unternehmenseigene Erfordernisse als Wertungskriterien zu.

Bei der Erstellung eines Kundenkontos auf der Webseite werde im Vergleich zu einer hypothetischen Gastbestellung einzig das Passwort als zusätzliches Datum erhoben. Damit sei die Eingriffsintensität für Kunden vergleichsweise niedrig. Die Erhebung sämtlicher weiterer Angaben wäre auch bei einer Bestellung als Gast aus datenschutzrechtlicher Hinsicht nicht zu beanstanden.

Die Datenerhebung (im Wesentlichen Name, Anschrift, Kontaktdaten, Geburtsdatum, Telefonnummer) sei entweder zur Geschäftsdurchführung erforderlich (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) oder liege im überwiegenden berechtigten Interesse des Unternehmens. Es diene vor allem der Betrugsprävention oder der Verhinderung von Identitätstäuschungen (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO i.V.m. Erwägungsgrund 47 zur DSGVO). Aus datenschutzrechtlicher Hinsicht sei es sowohl sicher als auch datensparsam, wenn sich Kunden unter Verwendung eines selbst gewählten Passworts in das Kundenkonto einloggen könnten und damit Zugriff auf die dort hinterlegten Informationen erhielten. Unvorteilhaft sei es hingegen, sich bei jedem Kontakt mit der Beklagten und/oder den Dritthändlern unter Angabe verschiedener personenbezogener Daten zu identifizieren.

Dies bringe zwar die theoretische Gefahr mit sich, dass unbefugte Dritte diese Zugangsmöglichkeit nutzten. Allerdings biete die Beklagte zur Schmälerung dieser Gefahr die Möglichkeit, nach Abschluss der Bestellung die Löschung des Kundekontos zu verlangen. Damit entfalle zwar auch die Möglichkeit, selbst auf die dort verfügbaren Dienste und Informationen zuzugreifen. Mit dieser Löschung sei die Bestellung im Ergebnis aber einer Gastbestellung gleichgestellt. Wenn der Kunde nicht ausdrücklich die Löschung des Kontos verlange, werde dieses automatisch gelöscht, wenn über das Kundenkonto innerhalb von drei Jahren ab Jahresende (§§ 195, 199 BGB) keine weitere Bestellung erfolge. Bei Anlegung eines Zugangs ohne Bestellung werde dieser bereits nach 30 Tagen gelöscht.

Abschließend lasse sich also festhalten, dass die Beklagte auf der streitgegenständlichen Webseite einen Marktplatz mit einer Vielzahl angeschlossener Händler bereitstelle, über den eine hohe Zahl an Bestellungen getätigt werde. Die den Bestellungen nachgelagerte Kommunikation und Rechtsausübung brächten einen erheblichen Zeit- und Ressourcenaufwand mit sich. Dieser könne für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardisierten Registrierungspflicht deutlich verringert werden.

3.) Entscheidung des Gerichts

Das LG Hamburg folgte der Argumentation des Hamburgischen Datenschutzbeauftragten.

Die Beklagte habe hinreichende Gründe vorgebracht, nach denen bei einer Bestellung auf dem von ihr betriebenen Marktplatz die Anlage eines fortlaufenden Kundenkontos verlangt und kein Gastzugang angeboten werden dürfe. Auch trage die Beklagte bei der im Zuge der Anlage des Kundenkontos erfolgenden Datenerhebung und -speicherung den Grundsätzen der Datenminimierung und der datenschutzfreundlichen Voreinstellungen hinreichend Rechnung.

Zudem überwögen bei objektiver Betrachtung der kontointernen Kommunikations- und Problemadressierungsmöglichkeiten für den Verbraucher die Vorteile eines fortlaufendes Kundenkontos. Die Verpflichtung, bei der Registrierung ein Passwort anzugeben, stelle einen verhältnismäßig geringen Nachteil dar.

III. Fazit

Nach Ansicht der führenden deutschen Datenschutzbehörden sind im Bestellprozess neben einer Kundenkonto-Registrierung grundsätzlich auch eine Gastbestellungen zu ermöglichen, wenn und solange die Pflicht zur Anlage eines fortlaufenden Kundenkontos nicht ausnahmsweise erforderlich sei.

Der Hamburgische Datenschutzbeauftragte sieht diese Erforderlichkeit nicht nur vertragstypus- und produktbezogen, sondern lässt auch Effizienz-, Organisations- und Supporterwägungen eines Unternehmens als Wertungskriterien zu.

Nach Auffassung des LG Hamburg kann in Online-Shops dann auf die Bereitstellung eines Gastzugangs verzichtet werden, wenn

• die Vorteile eines Kundenkontos aufgrund spezieller Funktionen für die direkte Kommunikation und vertragsrechtliche Handhabung diejenigen eines Gastzugangs deutlich überwiegen,
• technische und organisatorische Maßnahmen die Vertraulichkeit des Kontos sicherstellen,
• ein datenschutzkonformes Löschkonzept die Datenspeicherung auf ein zeitlich interessengerechtes Maß beschränkt und
• die für die Registrierung verpflichtend abgefragten personenbezogenen Daten nicht erheblich über das Maß an Informationen hinausgehen, welches auch für die Abwicklung einer Gastbestellung zwingend erforderlich wäre.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.