Beim Online-Shopping soll alles möglichst schnell und bequem ablaufen. Insbesondere, wenn es sich um eine einmalige Bestellung bei einem Versandhändler handelt. In diesen Fällen ist es besonders ärgerlich, wenn man gezwungen wird im Rahmen der Bestellung eine vollständige Registrierung durchzuführen und keine Möglichkeit besteht, als Gast zu bestellen.

Doch verstößt dies neben dem Groll über diesen zusätzlichen Aufwand nicht auch gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO), insbesondere gegen den Grundsatz der Datenminimierung?

Nein. Zumindest nicht in jedem Fall. Das entschied bereits das Landgericht (LG) Hamburg im Februar 2024 (Az. 327 O 250/22 – wir berichteten). In dem Verfahren und in der Entscheidung des LG Hamburg wurde auch der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) aus März 2022 zu diesem Thema berücksichtigt.

Das Oberlandesgericht (OLG) Hamburg bestätigte dieses Urteil nun im Februar dieses Jahres vollumfänglich und wies eine Klage der Verbraucherzentrale ab, mit der der Versandhändler Otto verpflichtet werden sollte, auf seinem Online-Marktplatz Gastbestellungen zu ermöglichen (OLG Hamburg, Az. 5 U 30/24).

Kein Verstoß gegen den Grundsatz der Datenminimierung

Die Datenminimierung, als einer der Grundsätze der DSGVO, fordert, dass personenbezogene Daten nur in dem Umfang erhoben und verarbeitet werden dürfen, der für den jeweiligen Zweck tatsächlich notwendig ist. In der Praxis bedeutet dies, dass Unternehmen stets abwägen müssen, welche Daten für die Abwicklung eines Geschäfts zwingend benötigt werden. „Nice to have“ genügt hier leider nicht als Begründung.

Beim Online-Shopping bedeutet dies: Kund*innen sollten grundsätzlich die Wahl haben, ob sie als Gast bestellen oder ein Kundenkonto für spätere Bestellungen anlegen möchten. Hier werden dann nur die Daten erhoben, die für die konkrete Bestellung notwendig sind – etwa Name, Lieferadresse und Zahlungsinformationen.

Das OLG sah (wie bereits die Vorinstanz) keinen Verstoß gegen den Grundsatz der Datenminimierung, obwohl der Versandhändler Otto im Rahmen der Registrierung neben diesen Daten zusätzlich E-Mail-Adresse, Geburtsdatum und Telefonnummer erhob. Die Erhebung der E-Mail-Adresse sei notwendig, um Bestellungen zu bestätigen und die Auslieferung durchzuführen. Das Geburtsdatum diene zur Prüfung der Volljährigkeit und zur Verhinderung von Betrug. Die Angabe der Telefonnummer sei ebenfalls erforderlich, um bei Speditionslieferungen Termine abstimmen zu können und um Identitätsmissbrauch zu verhindern.

Darüber hinaus war im vorliegenden Fall entscheidend, dass Otto einen Online-Marktplatz betreibt, auf dem sowohl Otto selbst als auch diverse externe Anbieter Waren verkaufen. Insbesondere aufgrund dieser Tatsache erkannte das OLG an, dass ein verpflichtendes Kundenkonto erforderlich sei, da nur so der Bestellprozess möglichst effizient abgewickelt werden könne. Das Gericht führte in diesem Zusammenhang u. a. die Möglichkeit einer vereinfachten Kommunikation mit Kund*innen sowie einer zentralen Ausübung der Garantie-, Gewährleistungs- und Rücksenderechte an.

Die Datenerhebung und -verarbeitung im Zusammenhang mit der verpflichtenden Registrierung ist somit auch nach Ansicht des OLG erheblich für die Durchführung der Bestellung, auf das erforderliche Maß beschränkt und andere gleich geeignete Mittel zur Erzielung effektiver Bestellprozesse nicht ersichtlich. Entsprechend sahen sowohl das LG als auch das OLG den Grundsatz der Datenminimierung in diesem Fall gewahrt.

Auch kein Verstoß gegen Privacy by Default

Das OLG erkannte auch keinen Verstoß gegen Art. 25 Abs. 2 DSGVO (Gebot der datenschutzfreundlichen Voreinstellung). Zur Einhaltung dieses Grundsatzes habe Otto geeignete Maßnahmen bezogen auf die Menge der erhobenen Daten, den Umfangs der Verarbeitung, die Speicherfrist und die Zugänglichkeit ergriffen.

Zum Gebot der datenschutzfreundlichen Voreinstellung gehört, neben den obigen Ausführungen zur sparsamen Datenerhebung, insbesondere die automatische Löschung nicht mehr genutzter Kontodaten, sowie der Ausschluss von Zugriffen durch unbeteiligte Dritte. Das OLG war der Ansicht, dass Otto die betreffenden Punkte ausreichend beachtet und umgesetzt habe.

Was bedeutet das Urteil für Online-Händler?

Aus unternehmerischer Sicht kann die Vorenthaltung einer Gastbestelloption viele nachvollziehbare Beweggründe haben. Neben der effizienteren Bestellabwicklung ist häufig der Wunsch nach besserer Kundenbindung ein Grund.

Die Gerichtsurteile bringen hier bedauerlicherweise aber keine grundlegende Klärung, da der Fall (insbesondere durch das Vorliegen eines Online-Marktplatzes mit Einbindung sog. Dritthändler) zu speziell ist.

Unternehmen aus dem Online-Handel, sollten stets individuell prüfen, ob sie verpflichtet sind, die Möglichkeit einer Gastbestellung anzubieten. Online-Händler, die wie Otto einen Marktplatz mit externen Anbietern betreiben, können sich zwar unter Umständen auf die in diesem Beitrag zitierten Urteile aus Hamburg berufen. Doch auch die weiteren von den Gerichten aufgeführten Ausnahmevoraussetzungen sollten beachtet werden. Hierzu zählen u. a.: die automatisierte Löschung inaktiver Konten, die Einhaltung des Grundsatzes der Datenminimierung und der Schutz vor unbefugtem Zugriff durch technische Maßnahmen.

In Zweifelsfällen sollten Online-Händler grundsätzlich davon ausgehen, dass sie verpflichtet sind, ihren Kunden die Möglichkeit zu bieten, auch ohne Registrierung eine Bestellung als Gast aufzugeben. Dabei ist eine Abstimmung mit dem Datenschutzbeauftragten ratsam.

| | | , , , , , , , , , , , , , ,