Vielleicht ist es Ihnen auch schon mal so ergangen: In einem neuen Onlineshop werden eine oder mehrere Waren in den Warenkorb gepackt und dann soll es zur Kasse gehen.
Doch huch?! Der Webshop möchte, dass eine Kundenregistrierung vorgenommen, ein Kundenkonto angelegt und diverse personenbezogene Daten eingegeben werden, bevor die Ware bestellt werden kann. Eine Möglichkeit, die Bestellung auch als Gast abzuschließen, gibt es jedoch nicht.
Es drängt sich die Frage auf: Darf der Betreiber des Onlineshops das – die Bestellung über einen Gastaccount gar nicht erst anbieten?
Im Februar erging zu dieser Frage ein Urteil des Landgerichts (LG) Hamburg (22.02.2024, Az. 327 O 250/22), das bestätigte, dass die Erstellung eines Gastzugangs von einem Webshop in Ausnahmefällen tatsächlich unterbleiben darf.
Sachverhalt
In dem oben genannten Verfahren erhob der Kläger u. a. eine Unterlassungsklage gegen die Beklagte, die Betreiberin eines Onlineshops. Er vertrat die Auffassung, die Beklagte verstoße zum einen gegen den Grundsatz der Datensparsamkeit, da die Beklagte Kund*innen zur Registrierung verpflichte und dadurch personenbezogene Daten umfangreich verarbeite – insbesondere Geburtsdatum und Telefonnummer, die nicht zur Vertragserfüllung notwendig seien. Damit gehe im Vergleich zu einem Gastzugang ein höheres Missbrauchsrisiko einher. Zudem würde mit der Registrierungspflicht und einer fehlenden automatischen Löschung der gespeicherten Daten im Kundenkonto nach einem einmaligen Kauf sowohl ein Verstoß gegen die Pflicht der datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 2 DSGVO) als auch gegen die Rechenschafts- und Compliance-Pflichten bestehen (Art. 5 Abs. 2, 24 DSGVO) – ohne Einholung einer Einwilligung.
In dem Verfahren und in der Entscheidung des LG Hamburg fanden sowohl der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) als auch eine von der Beklagten eingeholte amtliche Auskunft des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Berücksichtigung.
Entscheidungsgründe
Im Ergebnis schloss sich das LG Hamburg der Einschätzung des HmbBfDI an. Dieser führte aus, der Onlineshop der Beklagten unterscheide sich zum einen wesentlich von einem gewöhnlichen Onlinehandel und trage zum anderen aufgrund anderer Vorkehrungen dem Grundsatz der Datenminimierung ausreichend Rechnung. Das Gericht vertrat somit ebenfalls die Auffassung, eine Ausnahme vom Gastzugang im vorliegenden Fall sei durchaus zulässig, da besondere Umstände vorlägen, die es erlaubten, für die Vertragserfüllung auf einen Gastzugang zu verzichten und eine Erstellung eines dauerhaften Kontos zu erzwingen.
Grundlage für die Argumente des HmbBfDI und die Entscheidung des Gerichts bot hierbei auch der oben genannte Beschluss der DSK vom 24. März 2022, in dem Hinweise zum „Datenschutzkonforme[n] Online-Handel mittels Gastzugang“ gegeben werden (wir berichteten).
Die DSK geht grundsätzlich von der Bereitstellung eines Gastzugangs aus, lässt aber auch Ausnahmen zu, „soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann […].“
Diese besonderen Umstände lägen nach Ansicht des Gerichts im vorliegenden Fall in der Ausgestaltung des Onlineshops der Beklagten begründet, der sowohl als Marktplatz für eigene als auch für eine nicht geringe Anzahl von Drittanbieter-Waren diene.
In diesem Zusammenhang sei es erforderlich und der unternehmerischen Notwendigkeit geschuldet, Kund*innen über das Konto Informationen zur Bestellung anzubieten, die Kommunikation mit den Händlern zu gewährleisten sowie Garantie-, Gewährleistungs- und Rücksenderechte über das Konto in Anspruch nehmen zu können. Dies stelle eine effiziente Funktionsfähigkeit des Online-Marktplatzes der Beklagten sicher. Ohne dieses Konto müssten die Kund*innen bei Fragen zu ihrer Bestellung hingegen unter Angabe diverser personenbezogener Daten erst identifiziert werden, was unter Gesichtspunkten des Datenschutzes unvorteilhaft wäre. Aus diesen Gründen könne daher auf einen Gastzugang verzichtet werden, der all diese Interaktionen nicht bietet.
Schließlich, fügt das Gericht hinzu, seien die Kund*innen frei in ihrer Wahl, Waren bei der Beklagten zu bestellen oder in einem anderen Onlineshop, der Bestellungen auch über einen Gastzugang anböte, sodass hier mithin kein Verstoß gegen das sog. Kopplungsverbot aus Art. 7 Abs. 4 DSGVO vorliege.
Das einzige Datum, das bei einem dauerhaften Kund*innenkonto zusätzlich erhoben werde, sei ein Passwort für den Zugang. Darüber hinaus würden Daten (im Wesentlichen Name, Anschrift, Kontaktdaten, Geburtsdatum, Telefonnummer) für die Bestellung erhoben, welche zur Durchführung des Vertragsverhältnisses erforderlich seien. Dies gilt auch für die vom Kläger besonders hervorgehobene Verarbeitung des Geburtsdatums und der Telefonnummer. Hierzu führte die Beklagte aus, dass diese Daten u. a. zur Vorbeugung von Identitätstäuschungen/Betrugsversuchen (Geburtsdatum), als auch für die Zustellung von Speditionsunternehmen oder Fragen zur Bestellung (Telefonnummer) erforderlich seien. Der damit erklärten Notwendigkeit einer Erhebung und Speicherung dieser Daten schloss sich das Gericht an und verwies in diesem Zusammenhang auf den Erwägungsgrund 47 zur DSGVO, der u. a. Betrugspräventionen als berechtigtes Interesse des Verantwortlichen für die Datenverarbeitung anerkennt.
Das Erheben eines Passworts soll nach Angabe der Beklagten zudem gewährleisten, dass auch die Käufer*innen auf ihre mit der Bestellung zusammenhängenden personenbezogenen Daten zugreifen und diese einsehen können. Auch diese Erklärung nimmt das Gericht an und begründet, dass dieser zugangsgeschützte Bereich mit einem Passwort gesichert werden müsse, um einen unberechtigten Zugriff Dritter auf diese Daten zu verhindern. Die Datenerhebung und -verarbeitung sei somit erheblich für den verfolgten Zweck – die Abwicklung der Bestellung –, auf das erforderliche Maß beschränkt und der Zweck könne nicht mit anderen Mitteln gleich effektiv erreicht werden, sodass der Grundsatz der Datensparsamkeit und -minimierung eingehalten werde.
Einer dennoch möglichen Gefahr eines Drittzugriffs (Kenntnis des Passworts) könne insofern begegnet werden, indem Kund*innen die Löschung des Kontozugangs bei der Beklagten verlangen können, sodass die getätigte Bestellung mit einem Kund*innenkonto im Ergebnis einer Gastbestellung gleichgestellt werde.
Darüber hinaus werde das Kund*innenkonto entsprechend der zivilrechtlichen Verjährungsfrist von drei Jahren automatisch gelöscht, sollte das Konto innerhalb dieser Zeit inaktiv gewesen sein (§§ 195, 199 BGB).
Letztendlich werden die Daten einer Bestellung ohnehin entsprechend der gesetzlichen Aufbewahrungsfristen gespeichert, unabhängig davon, ob die Bestellung über einen Gastzugang oder ein Kund*innenkonto getätigt wurde.
Fazit
Es wäre schön gewesen, wenn das LG Hamburg nicht nur den vorliegenden Fall im Einzelnen beleuchtet, sondern auch den Begriff „besondere Umstände“ näher erläutert und hier Möglichkeiten und Grenzen für eine Auslegung aufgezeigt hätte, um auch in Zukunft ähnlich gelagerte Fälle im Hinblick auf die Ausnahme von Gastzugängen bewerten zu können.
Das Urteil bietet zudem leider keine kritische Auseinandersetzung mit den Argumenten der Rechtsauffassung des HmbBfDI. Stattdessen übernimmt das Gericht die Argumente der Aufsichtsbehörde ohne erkennbares Zögern.
Des Weiteren ist nicht nachvollziehbar, worin der Unterschied liegt, ob von vornherein kein Gastzugang angeboten wird oder ob Kund*innen nach ihrer Bestellung die Löschung des Kontozugangs verlangen können und die Bestellung „[…] im Ergebnis einer Gastbestellung gleichgestellt […]“ wird. Wenn auf diesem Wege eine Art Gastzugang erwirkt werden kann, sollte doch nichts gegen die Bereitstellung eines Gastzugangs vor der Bestellung sprechen. Zumindest würde mit der Löschung des Kontozugangs auch die effiziente Funktionsfähigkeit des Online-Marktplatzes beeinträchtigt werden, die den Onlineshop der Beklagten gerade zu einem „besonderen Umstand“ qualifiziert.
Es bleibt daher abzuwarten, wann der nächste Onlineshop auf einen Gastzugang verzichtet und ob dann ebenfalls „besondere Umstände“ vorliegen, die es erlauben, das Anlegen eines Kund*innenkontos zu verlangen.