OLG Hamburg: Gastbestellung im Online-Shop ist keine Pflicht

von

Im Jahr 2022 veröffentlichte die Datenschutzkonferenz (DSK) einen Beschluss, in dem es hieß, dass Online-Shops immer die Möglichkeit einer Gastbestellung bereithalten müssten. Das OLG Hamburg hat nun entschieden: So absolut gilt das nicht. Auch eine verpflichtende Einrichtung eines Kundenkontos kann gerechtfertigt sein, wenn alle Voraussetzungen eingehalten werden. Wir erklären Ihnen die Details.

Das OLG Hamburg (Urt. v. 27.02.2025, 5 U 30/24) hatte sich mit der Frage zu beschäftigen, ob ein Marktplatzbetreiber seinen Kunden ermöglichen musste, eine Gastbestellung durchzuführen oder ob er die Kunden zwingen konnte, ein Kundenkonto anzulegen.

Verbraucherzentrale klagte gegen Kundenkontozwang

Bei dem beklagten Marktplatz sind ca. 5.500 Händler angeschlossen. Der Marktplatzbetreiber selbst verkauft auch eigene Waren über diese Plattform. Will ein Kunde eine Bestellung tätigen, muss er verpflichtend ein Kundenkonto registrieren. Die Möglichkeit einer Gastbestellung wird nicht angeboten.

Daran störte sich die Verbraucherzentrale und klagte gegen den Marktplatzbetreiber.

Die Verbraucherzentrale wollte erreichen, dass der Marktplatzbetreiber dazu verpflichtet wird, Verbrauchern einen Gastzugang anzubieten,

„also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden.“

Außerdem wollte die Verbraucherzentrale noch erreichen, dass die Kaufhistorie der Kunden nicht mehr für die Personalisierung von Werbung verwendet wird, sofern die Kunden hierzu nicht ausdrücklich eingewilligt haben.

Gastbestellung ist keine Pflicht

Bereits das LG Hamburg sah in erster Instanz keine Verpflichtung, dass der Marktplatzbetreiber eine Gastbestellung ermöglichen müsse.

Dieser Auffassung folgte nun auch das OLG Hamburg.

Einzelfallentscheidung

Das OLG Hamburg betonte dabei, dass es sich um eine Einzelfallentscheidung handelt.

Aus dieser Entscheidung lässt sich also nicht ableiten, dass die Verpflichtung zur Einrichtung eines Kundenkontos immer zulässig ist.

Grundsätze der Datenminimierung

Die Verbraucherzentrale meinte, die Pflicht zur Einrichtung eines Kundenkontos verstoße gegen den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO sowie gegen die Verpflichtung zur datenschutzfreundlichen Voreinstellung aus Art. 25 Abs. 2 DSGVO.

Ein solches verpflichtendes Kundenkonto sei zur Vertragserfüllung im Sinne des Art. 6 Abs. 1 lit. b DSGVO außerdem nicht erforderlich. Eine Erforderlichkeit ergebe sich auch nicht aus Art. 6 Abs. 1 lit. f DSGVO, meinte die Verbraucherzentrale.

Dieser Auffassung folgte das Gericht nicht.

Das Gericht stellte klar, dass der in Art. 5 Abs. 1 lit. c DSGVO enthaltene Grundsatz der Datenminimierung festlege,

„dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Der Grundsatz der Datenminimierung verlangt nicht nach einer absoluten Reduzierung oder Beschränkung der Datenmenge; wenn der Zweck der Verarbeitung nur durch die Verarbeitung großer Datenmengen erreicht werden kann, verstößt eine solche Verarbeitung nicht gegen diesen Grundsatz.“

Es komme also nicht allein auf den Begriff der Datenminimierung an sich an, sondern darauf, dass die Vorgaben aus Art. 5 Abs. 1 lit. c DSGVO eingehalten werden, so das Gericht weiter.

Die erhobenen Daten müssen für einen festgelegten Zweck erforderlich sein. Und dies war hier nach der Auffassung des Gerichts der Fall.

Ressourcenaufwand durch nachgelagerte Kommunikation

Ein Argument war, dass für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung ein erheblicher Zeit- und Ressourcenaufwand bei der Beklagten anfällt.

Dieser Aufwand könne für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden, stellte das Gericht fest.

Kunden könnten etwa zentral ihre Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch nehmen.

Wie konkret dies in der Praxis durch die Beklagte umgesetzt wurde, lässt sich dem Urteil nicht entnehmen.

Denkbar wäre etwa, dass im Kundenkonto bei den einzelnen aufgelisteten Bestellungen, Button mit Funktionen wie etwa „Fragen zur Bestellung“, „Lieferung nicht erhalten“, „Widerrufsrecht ausüben“ oder ähnliches vorhanden waren. Bei Betätigung der entsprechenden Funktion könnte dann z.B. direkt die richtige Abteilung im Kundenservice benachrichtigt werden oder im System wird die Anfrage direkt korrekt zugeordnet.

Verarbeitung der gleichen Daten

Ein weiteres Argument für das OLG Hamburg war, dass bei der Eröffnung des Kundenkontos keine Daten verarbeitet wurden, die für die Erfüllung des Vertrages nicht erforderlich waren.

Die Beklagte erhob in dem Zusammenhang folgende Daten:

  • Form der Anrede,
  • Vor- und Nachname
  • Straße, Hausnummer, Postleitzahl und Wohnort
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Passwort

All diese Daten sind nach Auffassung des OLG Hamburg entweder für die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder für die Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO) erforderlich – und würden mit Ausnahme des Passwortes auch erhoben werden, wenn man eine Gastbestellung durchführen könnte.

Das Gericht meinte, dass Anrede, Name, Anschrift und E-Mail-Adresse für die Vertragserfüllung benötigt werden und dass dies auf der Hand liege.

Weshalb für die Vertragserfüllung die Anrede erforderlich sein soll, liegt allerdings nicht so ohne Weiteres auf der Hand. Dem EuGH (Urt. v. 09.01.2025, C-394/23) ging diese Abfrage jedenfalls zu weit und er urteilte, dass die Anrede weder im Rahmen von Art. 6 Abs. 1 lit. b noch lit. f DSGVO erforderlich sei.

Geburtsdatum und Telefonnummer

Auch die Verarbeitung von Geburtsdatum und Telefonnummer sei im Rahmen von Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt, meinte das Gericht – und zwar

„zur Prüfung der Volljährigkeit des jeweiligen Nutzers als Voraussetzung einer Bestellung bzw. für die Zustellung bestellter Waren durch ein Speditionsunternehmen in einem mit dem Nutzer vorher telefonisch vereinbarten Zeitfenster erforderlich.“

Die Ausführung zur Erforderlichkeit der Erhebung der Telefonnummer überzeugen nicht.

Im Einzelfall, wenn der Verbraucher wirklich einmal eine Speditionslieferung bestellt, mag die Erhebung der Telefonnummer im Rahmen von Art. 6 Abs. 1 lit. b DSGVO erforderlich sein. Eine pauschale Erhebung auf Vorrat, falls der Verbraucher irgendwann einmal eine Speditionslieferung anfordert, dürfte jedoch nicht „erforderlich“ sein.

Die Telefonnummer sei auch für die Betrugsprüfung erforderlich, meinte das Gericht weiter.

„Anhand des Geburtsdatums und der Telefonnummer könne, so die Beklagte überzeugend, dennoch in einer Vielzahl von Fällen erkannt werden, dass es sich um erfundene Daten und damit einen Betrugsversuch handele.“

Wie die Beklagte das genau erkennen will, lässt sich dem Urteil nicht entnehmen.

Die Erhebung des Geburtsdatums hielt das Gericht im Rahmen von Art. 6 Abs. 1 lit. f DSGVO zur Durchführung von Bonitätsprüfungen für zulässig.

Außerdem ist dies auch im Rahmen von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für eine Sanktionslistenprüfung erforderlich.

Das OVG Niedersachsen sah in der Erhebung des Geburtsdatums aller Kunden noch einen Datenschutzverstoß.

Passwortschutz ist eine technisch-organisatorische Maßnahme

Eine Passwortvergabe sei ebenfalls nicht zu beanstanden, entschied das Gericht. Dies diene vielmehr dem Schutz der personenbezogenen Daten der Kunden und sei damit eine technisch-organisatorische Maßnahme i.S.d. Art. 32 Abs. 1 DSGVO.

Außerdem empfehle sogar Erwägungsgrund 63 Satz 4 zur DSGVO einen Online-Zugang zu den eigenen Daten, wonach

„[n]ach Möglichkeit […] der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können [sollte], der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde“.

Löschfristen sind zu beachten

Ein weiteres Argument des Gerichts war, dass die Beklagte die vorgeschriebenen Löschfristen beachtet.

Nach ihrer eigenen Datenschutzerklärung werden bei der Bestellung von Waren die getätigten Käufe über einen Zeitraum von regelmäßig drei Jahren gespeichert und nach Ablauf dieses Zeitraums ausschließlich zu Zwecken der Erfüllung der gesetzlichen Aufbewahrungspflichten verarbeitet.

Kundenkonten, die für einen Zeitraum von drei Jahren inaktiv sind, werden vollständig gelöscht.

Außerdem können sich Kunden an die Beklagte wenden und die Löschung des Kundenkontos verlangen.

Damit ist die Datenspeicherung an die Gewährleistungs- und Verjährungsfristen sowie gesetzliche Aufbewahrungspflichten gebunden ist.

Gastbestellung ist keine Pflicht

All dies bewegte das Gericht dazu, keine Pflicht zur Ermöglichung einer Gastbestellung anzunehmen.

Datenverarbeitung zu Werbezwecken

Mit ihrem weiteren Antrag wollte die Verbraucherzentrale erreichen, dass Kundendaten nicht zur Personalisierung von Werbung verarbeitet werden, sofern der Kunde keine ausdrückliche Einwilligung hierzu erteilt hat.

Aber auch damit drang sie nicht durch, da sie schon nicht darlegen konnte, warum genau eine Einwilligung erforderlich sein sollte.

Das Gericht stellte fest, dass die Datenverarbeitung zum Zwecke der Direktwerbung grundsätzlich ein überwiegendes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO darstellt, eine Einwilligung also gerade nicht erforderlich ist.

Hinweis: Das betrifft hier nur die „vorbereitende“ Handlung der Personalisierung der Werbung. Nach welchen Maßstäben der Versand zulässig ist, ist eine davon unabhängige Frage (z.B. Postwerbung nach Art. 6 Abs. 1 lit. f DSGVO, E-Mail-Werbung mit Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, E-Mail-Werbung an Bestandskunden nach § 7 Abs. 3 UWG).

Fazit

Auch wenn das Urteil aus Hamburg keine Grundsatzentscheidung ist, bietet es gleichwohl eine gute Orientierung für Unternehmen, die keinen Gastzugang in ihrem Online-Shop anbieten wollen. Eine genaue Beschreibung der Datenverarbeitung in der Datenschutzerklärung ist dabei ebenso unerlässlich wie die interne Dokumentation, etwa im Rahmen des Verarbeitungsverzeichnisses.

Wenn Sie Unterstützung bei Fragen rund um das Datenschutzrecht benötigen, sprechen Sie uns gerne an.

Martin Rätze
Letzte Artikel von Martin Rätze (Alle anzeigen)