Nach Art. 5 Abs. 1 lit. c DSGVO gilt der Grundsatz der Datenminimierung. Danach dürfen nur solche Daten erhoben werden, die für die Abwicklung des Geschäftes erforderlich sind. Das LG Hamburg (Urt. v. 22.2.2024 – 327 O 250/22) entschied nun, dass ein Gastzugang jedoch nicht immer zwingend erforderlich sei. Zudem könne nach den Grundsätzen der DSGVO ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO in einer Datenverarbeitung zum Zwecke der Direktwerbung bei Verbrauchern bestehen.
Die Beklagte betreibt einen Online-Versandhandel und zugleich einen Online-Marktplatz. Eine Bestellung ist erst nach Registrierung bzw. Erstellung eines Kundenkontos möglich. Zudem behielt sie sich die werbliche Nutzung der Kundendaten vor. Der Kläger, ein eingetragener Verein zur Wahrnehmung kollektiver Verbraucherinteressen in NRW, mahnte die Beklagte zuvor erfolglos ab und verlangte Erstattung der Aufwendungspauschale.
Die Beklagte sei nicht verpflichtet, einen Gastzugang zur Verfügung zu stellen, entschied nun das LG Hamburg. Die Möglichkeit der Bestellung über einen Gastzugang auf dem Online-Marktplatz stelle hier kein gleichwertiges milderes Mittel dar, das dazu geeignet wäre, die Funktionsfähigkeit des Online-Marktplatzes aufrecht zu erhalten. Zudem könne nach den Grundsätzen der DSGVO ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO in einer Datenverarbeitung zum Zwecke der Direktwerbung bei Verbrauchern bestehen.
Kein Verstoß gegen die DSGVO
Das Gericht stellte zunächst klar, dass es sich bei dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und dem Grundsatz zur datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO zwar um Verbraucherschutzgesetze und Marktverhaltensregeln handle. Hiergegen habe die Beklagte jedoch nicht verstoßen.
Bei den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO mit den in diesen kodifizierten Grundsätzen der Datenminimierung und datenschutzfreundlicher Voreinstellungen handelt es sich zwar um Verbraucherschutzgesetze i. S. v. § 2 Abs. 2 Nr. 13 UKlaG und mithin auch um Marktverhaltensregeln i. S. v. § 3a UWG (vgl. Köhler/Bornkamm/Feddersen/Köhler/Odörfer, 42. Aufl. 2024, UWG § 3a Rn. 1.74a).
Die Beklagte verstößt durch die Verpflichtung von Bestellinteressenten in ihrem Online-Shop zur Anlegung eines Kundenkontos aber weder gegen den Grundsatz der Datenminimierung nach den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO, noch gegen den aus Art. 25 Abs. 2 DSGVO ferner folgenden Grundsatz datenschutzfreundlicher Voreinstellungen zur Sicherstellung einer Verarbeitung nur personenbezogener Daten, deren Verarbeitung für den Verarbeitungszweck erforderlich sind, durch Voreinstellung als eine weitere Ausprägung der Grundsätze der Datensparsamkeit und -minimierung. Auch ein Verstoß gegen das sog. Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO liegt nicht vor.
Grundsatz der Datenminimierung nicht verletzt
Der Grundsatz der Datenminimierung sei nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich seien, deren Erhebung also der Erreichung eines legitimen Zieles diene, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt werde. Das Gericht verwies auch auf den Beschluss der DSK zum datenschutzkonformen Online-Handel mittels eines Gastzugangs.
Die Grundsätze der Datensparsamkeit und -minimierung sind nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird.
Eine Datenverarbeitung ist dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe, die personenbezogenen Daten, die verarbeitet werden, also dem Zweck der Datenverarbeitung nicht angemessen sind, sondern eine exzessive Datenverarbeitung oder eine solche für rein hypothetische Zwecke, für die es im Zeitpunkt der Erhebung noch keinen absehbaren Anlass gibt, darstellen.
Insoweit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (im Folgenden die „DSK“) mit Beschluss vom 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels eines Gastzugangs erteilt. Auch im Online-Handel gelte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Danach seien nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dazu müssten Kunden jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist. […]
Der Beschluss der DSK sehe im Grundsatz vor, Gastbestellungen zu ermöglichen, lasse jedoch auch Ausnahmen hiervon zu. Das Gericht stellte zudem klar, dass es den Beschluss zwar berücksichtigen könne, er jedoch nicht bindend sei.
Der Beschluss sieht mithin im Grundsatz eine Pflicht für Online-Händler vor, Gastbestellungen über einen Gastzugang zu ermöglichen, lässt jedoch Ausnahmen hiervon zu. Die Kammer kann diesen – sie rechtlich nicht bindenden – Beschluss der DSK insoweit berücksichtigen, als er die Einstellung der Datenschutzbehörden zu der hier zu entscheidenden Rechtsfrage zum Ausdruck bringt (vgl. Buchmann K& R 2022, 645 ff. 652.).
Gastzugang nicht ausnahmslos erforderlich
Zudem hatte das Gericht den Hamburgischen Datenschutzbeauftragten angehört, der eine schriftliche Stellungnahme abgab. Dieser äußerte u.a. sich folgendermaßen:
Zwar ist im Beschluss der DSK vom 24. März 2022 (Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang) im Wesentlichen dargelegt, dass im Online-Handel grundsätzlich ein Gastzugang anzubieten ist. Allerdings besteht für Online-Händler die Möglichkeit, im Einzelfall aufgrund besonderer Umstände von diesem Grundsatz abweichen zu können. Die O. GmbH & Co. KG hat hierzu unter Vorlage entsprechender Kennzahlen geltend gemacht, dass es sich bei dem Angebot auf www. o..de um einen M.platz handelt, auf welchem nicht nur die O. GmbH & Co. KG selbst, sondern auch mehrere Tausend angeschlossene Dritthändler Waren vertreiben. Ein erheblicher Teil der Bestellungen bzw. der bestellten Waren betrifft (auch) Dritthändler. Das Kund*innenkonto ist damit das zentrale Informationsportal, um Informationen zu getätigten Bestellungen bzw. den Händlern nachvollziehen zu können, Kommunikation mit diesen zu führen und Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch zu nehmen. Aufgrund der sehr hohen Zahl an Bestellungen über www. o..de ist auch die Anzahl der entsprechenden nachgelagerten Kommunikations- und Bearbeitungsvorgänge sehr hoch.
Es besteht ein erhebliches Interesse des Unternehmens daran, diese Vorgänge in möglichst effizienter Weise darzustellen und verfügbar zu machen. All diese Informationen und Funktionen im Kund*innenkonto abbilden und zugänglich machen zu können, bietet dabei erhebliche Effizienzvorteile gegenüber der ausschließlich individuellen Beantwortung von E-Mails oder Telefonanrufen. Dies gilt auch bei nur einer einzigen Bestellung. In diesem Sinne wertet der HmbBfDI die in dem Beschluss der DSK als Voraussetzung genannte, ausnahmsweise Erforderlichkeit eines fortlaufenden Kund*innenkontos zur Vertragserfüllung nicht lediglich als auf den Verkauf einer Ware, sondern auch auf die unternehmensseitige Notwendigkeit bezogen, sämtliche im Rahmen der Zurverfügungstellung des Marktplatzes www.o..de anfallenden Kund*innenanfragen bewältigen und die Kund*innen zum großen Teil auch auf die Informationen und Funktionen im Kund*innenkonto verweisen zu können. […]
Zusammengefasst stellt die O. GmbH & Co. KG auf www. o..de einen O1.platz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an.
Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kund*innenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kund*innenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten kaum Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische, gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.
Grundsätze der Datenminimierung und der datenschutzfreundlichen Voreinstellungen berücksichtigt
Diese Auffassung teile das Gericht. Die Beklagte habe hinreichende Gründe dafür dargelegt, für eine Bestellung auf dem von ihr betriebenen Marktplatz mit an diesen angeschlossenen Dritthändlern die Anlage eines fortlaufenden Kundenkontos zu verlangen und daneben keinen Gastzugang anzubieten. Die im Rahmen der Anlage eines derartigen Kundenkontos erfolgende Datenerhebung und -verarbeitung durch die Beklagte trage den Grundsätzen der Datenminimierung und der datenschutzfreundlichen Voreinstellungen zur Überzeugung des Gerichts hinreichend Rechnung.
Im Ergebnis der von der Kammer vorzunehmenden Gesamtbetrachtung und unter Zugrundelegung des Schutzzwecks der Grundsätze der Datenminimierung und der datenschutzfreundlichen Voreinstellungen ist es vorliegend damit erforderlich und verhältnismäßig, für eine Bestellung im Online-Shop der Beklagten das Anlegen eines fortlaufenden Kundenkontos durch den Besteller zu verlangen, mit der damit einhergehenden Datenerhebung und -verarbeitung. […]
Zudem überwiegen im Rahmen der praktischen Bestellabwicklung für den Verbraucher die Vorteile, die ein fortlaufendes Kundenkonto auf dem Online-Marktplatz der Beklagten mit sich bringt, gegenüber einem etwaigen, mit der Verpflichtung, bei der Anlegung eines solchen Kontos insbesondere auch ein Passwort anzugeben, verbundenen Nachteil. Die Möglichkeit der Bestellung über einen Gastzugang auf dem M.platz stellte insoweit kein gleichwertiges milderes Mittel gegenüber der Führung eines Kundenkontos in der hier zu beurteilenden Ausgestaltung durch die Beklagte dar, das dazu geeignet wäre, die Funktionsfähigkeit des OnlineMarktplatzes der Beklagten aufrecht zu erhalten. Insoweit war im Rahmen der von der Kammer vorgenommenen Abwägung zugunsten der Beklagten auch zu berücksichtigen, dass es sich bei dem Angebot der Beklagten unter „www. o..de“ um einen M.platz handelt, auf dem neben der Beklagten eine Vielzahl von Dritthändlern Waren vertreiben. Im Gegensatz zu einem Kundenkonto vermöchte die Bestellmöglichkeit über einen Gastzugang der Beklagten nicht die Vorhaltung eines zentralen Informationsportals, dass insbesondere auch den Interessen der Kunden des von der Beklagten eröffneten Online-Marktplatzes dient. Über das von der Beklagten durch das Erfordernis der Anlage eines Kundenkontos dergestalt geschaffene zentrale Informationsportal kann nämlich nicht nur die Beklagte Informationen zu Bestellungen/Händlern besser nachvollziehen, sondern wird auch die Kommunikation, wie etwa Kundenanfragen, zwischen allen Marktplatzbeteiligten erleichtert und können Kunden zentral ihre Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch nehmen.
Schließlich ist ferner zu berücksichtigen, dass eine Bestellung im Online-Shop der Beklagten freiwillig erfolgt und es jedem Verbraucher unbenommen bleibt, Waren bei einem anderen OnlineHändler, der möglicherweise einen Gastzugang anbietet, oder aber im stationären Einzelhandel, der grundsätzlich weder Kontaktdaten noch ein Passwort des Verbrauchers verlangt, zu erwerben.
Nutzung zu Werbezwecken nach Art. 6 DSGVO gerechtfertigt
Auch hinsichtlich der Datennutzung zu Werbezwecken sei die Klage unbegründet. Gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO sei eine Datenverarbeitung dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 DSGVO könne ein derartiges berechtigtes Interesse von Unternehmen an einer Datenverarbeitung zum Zwecke der Direktwerbung bestehen.
Gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine Datenverarbeitung aber dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Nach Erwägungsgrund 47 (letzter Satz) zur DSGVO kann ein derartiges berechtigtes Interesse von Unternehmen an einer Datenverarbeitung zum Zwecke der Direktwerbung bestehen. Von einem Erfordernis einer Einwilligung in eine Datenverarbeitung zu Zwecken der Direktwerbung hat der Unionsgesetzgeber daher auch Abstand genommen und sich, wie in Art. 21 Abs. 2 DSGVO normiert, für ein Widerspruchsrecht des Betroffenen entschieden, wie es Ziff. 3.2.1 der Datenschutzerklärung auch enthält.
Soweit „Direktwerbung“ ein Minus gegenüber personalisierten Werbemitteln sein kann, da sich „Direktwerbung“ auch auf die bloße Nutzung von E-Mail-Adressen für die Zusendung eines breit gefächerten und nicht durch die Verwendung weiterer Nutzerdaten eingeschränkten Angebots beschränken kann, erkennt der Unionsgesetzgeber aber auch die Auswertung des Bestellverhaltens eines Kunden zur (weiteren) Personalisierung von Werbemitteln als zulässiges Marktverhalten an, namentlich in Art. 13 Abs. 2 der RL 2002/58/EG vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). Danach kann „eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung […] deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat“. Auch vor dem Hintergrund der hieraus folgenden unionsrechtlichen Zulässigkeit der Auswertung der Bestellhistorie eines Kunden durch den Betreiber eines Online-Marktplatzes zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen besteht danach ein überwiegendes berechtigtes Interesse der Beklagten i. S. v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO an einer dahingehenden Datenverarbeitung und -verwendung.
Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. Nutzen Sie auch für Ihre AGB, Ihr Impressum, Ihre Datenschutzerklärung und Ihre Widerrufsbelehrung unseren kostenlosen Rechtstexter.
sergign/Shutterstock.com
Wer glaubt ein “Gastkonto” sei Datensparsamer irrt sich sowieso. Es gibt im Prinzip keinen Unterschied in der Datenverarbeitung zwischen Kundenkonto und Gastzugang. Ganz im Gegenteil – wer Gastzugänge benutzt und jedesmal seine Daten neu eingibt dessen Daten sind dann gleich mehrfach im System gespeichert. Man hat dann im Prinzip gleich mehrere “Kundenkonten” oder “Debitorenkonten” im Shop.
Und diese sind auch nötig – einmal um die Grundsätze ordnungsgemäßer Buchhaltung einzuhalten und man muss ja auch in der Lage sein die Transaktionen die zu einem Kunden gehören zusammenzufassen, d.h. die Bestellung, Lieferscheine, Rechnungen und ggf. Rücksendungen und Gutschriften.
Und dazu kommt ja auch noch die gesetzliche Aufgebewahrungspflichten.
Am Ende ist man mit einem echten Konto besser dran.
Ein Grund mehr, nichts bei Otto zu bestellen. Schon deren Mahnwesen ist ja rechtlich höchst bedenklich. Man wird mit Werbung regelrecht zugemüllt. Bestellt man mehrere Exemplare eines Artikels, bekommt man genauso viele Mails, Rechnungen, etc.