OLG Hamburg: Keine unbedingte Pflicht zur Bereitstellung eines Gastzugangs

Nach Art. 5 Abs. 1 lit. c DSGVO gilt der Grundsatz der Datenminimierung. Danach dürfen nur solche Daten erhoben werden, die für die Abwicklung des Geschäftes erforderlich sind. Das OLG Hamburg (Urt. v. 27.2.2025 – 5 U 30/24) entschied nun, dass ein Gastzugang jedoch nicht immer zwingend erforderlich sei. Zudem könne nach den Grundsätzen der DSGVO ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO in einer Datenverarbeitung zum Zwecke der Direktwerbung bei Verbrauchern bestehen.

Die Beklagte betreibt einen Online-Versandhandel und zugleich einen Online-Marktplatz. Eine Bestellung ist erst nach Registrierung bzw. Erstellung eines Kundenkontos möglich. Zudem behielt sie sich die werbliche Nutzung der Kundendaten vor. Der Kläger, ein eingetragener Verein zur Wahrnehmung kollektiver Verbraucherinteressen in NRW, mahnte die Beklagte zuvor erfolglos ab und verlangte Erstattung der Aufwendungspauschale.

Das LG Hamburg (Urt. v. 22.2.2024 – 327 O 250/22) entschied zunächst, dass die Beklagte nicht verpflichtet sei, einen Gastzugang zur Verfügung zu stellen. Die Möglichkeit der Bestellung über einen Gastzugang auf dem Online-Marktplatz stelle hier kein gleichwertiges milderes Mittel dar, das dazu geeignet wäre, die Funktionsfähigkeit des Online-Marktplatzes aufrecht zu erhalten. Zudem könne nach den Grundsätzen der DSGVO ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO in einer Datenverarbeitung zum Zwecke der Direktwerbung bei Verbrauchern bestehen.

Gegen diese Entscheidung richtet sich die Berufung des Klägers, die jedoch unbegründet sei, wie jetzt das OLG Hamburg entschied. Dem Kläger stehen die geltend gemachten Unterlassungsansprüche nicht zu.

Kein Verstoß gegen die DSGVO

Das Gericht stellte zunächst klar, dass die Beklagte nicht gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verstoßen habe. Danach dürfen nur solche Daten erhoben werden, die für die Abwicklung des Geschäftes erforderlich sind.

Art. 5 Abs. 1 lit. c) DSGVO bestimmt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen („Datenminimierung“). Der Grundsatz der Datenminimierung setzt eine Zweckbestimmung voraus und knüpft seine Erfordernisse hieran an, nicht umgekehrt (vgl. BVerwG NJW 2024, 2479, 2485 Rn. 49). Im vorliegenden Fall verstößt die Beklagte durch die Verpflichtung von Bestellinteressenten auf ihrem Online-Marktplatz unter der URL www.***.de, auf dem sowohl die Beklagte als auch andere Händler Waren zum Kauf anbieten, zur Anlegung eines Kundenkontos nicht gegen diesen Grundsatz der Datenminimierung.

Grundsatz der Datenminimierung nicht verletzt

Wie die Vorinstanz zu Recht festgestellt habe, sei der Grundsatz der Datenminimierung nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich seien, deren Erhebung also der Erreichung eines legitimen Zieles diene, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt werde. Das Gericht verwies auch auf den Beschluss der DSK zum datenschutzkonformen Online-Handel mittels eines Gastzugangs.

Der Grundsatz der Datenminimierung ist, wie vom Landgericht in der angefochtenen Entscheidung angenommen, nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird. Art. 5 Abs. 1 lit. c) DSGVO stellt sicher, dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Der Grundsatz der Datenminimierung verlangt nicht nach einer absoluten Reduzierung oder Beschränkung der Datenmenge; wenn der Zweck der Verarbeitung nur durch die Verarbeitung großer Datenmengen erreicht werden kann, verstößt eine solche Verarbeitung nicht gegen diesen Grundsatz (Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 5 DS-GVO Rn. 56). Wie das Landgericht in der angefochtenen Entscheidung zutreffend ausgeführt hat, ist eine Datenverarbeitung dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe, die personenbezogenen Daten, die verarbeitet werden, also dem Zweck der Datenverarbeitung nicht angemessen sind, sondern eine exzessive Datenverarbeitung oder eine solche für rein hypothetische Zwecke, für die es im Zeitpunkt der Erhebung noch keinen absehbaren Anlass gibt, darstellen.

Insoweit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (im Folgenden: DSK), wie vom Landgericht im angefochtenen Urteil im Einzelnen ausgeführt, mit Beschluss vom 24.03.2022 (Anlage K 7) Hinweise zum datenschutzkonformen Online-Handel mittels eines Gastzugangs erteilt. Auch im Online-Handel gelte, so die DSK, der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Danach seien nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kundinnen und Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dazu müssten sie jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder bereit seien, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden sei.

Von diesem Grundsatz, Gastbestellungen zu ermöglichen, seien jedoch auch Ausnahmen möglich. Diese Auffassung teile das Gericht.

Auf der Grundlage dieses Beschlusses der DSK hat der HmbBfDI der Beklagten mit Schreiben vom 14.11.2022 (Anlage B 14) mitgeteilt, dass für die Beklagte unter den aktuellen Gegebenheiten die Möglichkeit bestehe, aufgrund besonderer Umstände von dem Grundsatz des Angebots eines Gastzugangs im Online-Handel abweichen zu können. Die Ermöglichung von Gastbestellungen sei, da dem Grundsatz der Datenminimierung anderweitig Rechnung getragen werde, unter den derzeitigen Gegebenheiten nicht zwingend notwendig. Dieser Sichtweise hat sich das Landgericht im angefochtenen Urteil unter Bezugnahme auf die eingeholte amtliche Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.11.2013 angeschlossen.

Auch der Senat teilt im Ergebnis diese Auffassung.

Grundsatz der Datenminimierung berücksichtigt

Die Beklagte habe hinreichende Gründe dafür dargelegt, für eine Bestellung auf dem von ihr betriebenen Marktplatz mit an diesen angeschlossenen Dritthändlern die Anlage eines fortlaufenden Kundenkontos zu verlangen und daneben keinen Gastzugang anzubieten. Die im Rahmen der Anlage eines derartigen Kundenkontos erfolgende Datenerhebung und -verarbeitung durch die Beklagte trage dem Grundsatz der Datenminimierung hinreichend Rechnung.

Der Grundsatz der Datenminimierung wird durch die Beklagte, anders als es der Kläger mit dem Antrag zu 1.a) geltend macht, nicht verletzt. Entscheidend ist insoweit nicht die Begrifflichkeit, sondern die Einhaltung der Vorgaben insbesondere des Art. 5 Abs. 1 lit. c) DSGVO. Zusammengefasst stellt die Beklagte auf www.***.de einen Online-Handelsmarktplatz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an. Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kundenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten praktisch keine Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.

Umfang der erhobenen Daten zulässig?

Der Umfang der von der Beklagten erhobenen Daten - Form der Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl und Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Passwort – sei nach Ansicht des OLG Hamburg nicht zu beanstanden.

Dass die Beklagte für die Abwicklung der über ihren Online-Shop erfolgenden Bestellungen, namentlich für den Versand von Bestellbestätigungen und der bestellten Waren, Daten bezüglich Anrede, Vornamen, Nachnamen, Straße, Hausnummer, Postleitzahl, Wohnort und E-Mail-Adresse benötigt, liegt auf der Hand. Insoweit ist die Verarbeitung gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, nämlich der zwingenden Zusendung der Bestellbestätigung gemäß § 312i Abs. 1 Nr. 3 BGB, erforderlich, die auf Anfrage der betroffenen Person erfolgen. Abweichendes macht auch der Kläger spezifiziert nicht geltend. Insoweit besteht von vornherein kein erkennbarer Unterschied zwischen der Speicherung über einen Gastzugang oder im Kundenkonto. Die Beklagte macht insoweit unwidersprochen geltend, dass abgesehen vom Passwort sämtliche Datenkategorien, die von ihr bei der Registrierung erhoben würden, auch dann erhoben werden müssten, wenn Bestellungen über einen Gastzugang erfolgen würden. Denn der erforderliche Umfang der Datenerhebung ergibt sich unmittelbar aus den Bestellvorgängen.

Geburtsdatum und Telefonnummer erforderlich?

Auch die Erhebung des Geburtsdatums und der Telefonnummer seien zulässig, so das OLG Hamburg. Das Geburtsdatum werde zur Prüfung der Volljährigkeit benötigt. Die Telefonnummer sei für die Zustellung bestellter Waren durch ein Speditionsunternehmen in einem mit dem Nutzer vorher telefonisch vereinbarten Zeitfenster erforderlich, für eine eindeutige Identifizierung der Person und zur Betrugsprävention.

Die Erhebung des Geburtsdatums ist daneben und vor allem gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO auch zur Abfrage von Bonitätsdaten bei Auskunfteien sowie zur Betrugsprävention und gemäß § 6 Abs. 1 UAbs. 1 lit. c) DSGVO für eine Sanktionslistenprüfung erforderlich. Für eine eindeutige Identifikation des Kunden ist das Geburtsdatum ersichtlich unentbehrlich. Insoweit genügt eine schlichte Abfrage der Volljährigkeit nicht, zumal dann auch die Möglichkeit bzw. Gefahr der Aufdeckung einer falschen Angabe kaum besteht. Soweit die Parteien darüber streiten, ob eine Bonitäts- und Betrugsprüfung nur bei unsicheren Zahlungsarten, insbesondere der Zahlung per Rechnung, erforderlich sei, erachtet der Senat die Notwendigkeit einer Betrugsprüfung, wie von der Beklagten geltend gemacht, auch bei vermeintlich sicheren Zahlungsarten, etwa der Zahlung per Kreditkarte oder PayPal, für gegeben mit der Folge, dass das Geburtsdatum auch nicht bei bestimmten Bestellungen mit Lieferung gegen Vorkasse entbehrlich ist (vgl. zu den Pflichten und Risiken bei Kreditkartenzahlungen etwa Grüneberg in Grüneberg, BGB, 84. Aufl., § 675f Rn. 55 ff.; Retzlaff in Grüneberg, a.a.O., § 812 Rn. 110). Insoweit kann auf die hinsichtlich ihrer Richtigkeit auch vom Kläger nicht durchgreifend in Zweifel gezogene Kriminalitätsstatistik insbesondere der Polizei Bremen (Anlage B 8) betreffend Betrug bzw. Computerbetrug mittels rechtswidrig erlangter unbarer Zahlungsmittel (z.B. EC-, Kreditkarte) verwiesen werden.

Ebenso geht es auch bei der regelhaften Erhebung der Telefonnummer um eine eindeutige Identifizierung und Zuordnung der Person. Die Beklagte macht insoweit substantiiert geltend, dass auch die Telefonnummer unabhängig von der ausgewählten Zahlungsart für die Betrugsprüfung erforderlich sei. Betrüger geben bei ihren Bestellungen, wie der Kläger insoweit nicht in Abrede nimmt, regelmäßig erfundene Daten an. Anhand des Geburtsdatums und der Telefonnummer könne, so die Beklagte überzeugend, dennoch in einer Vielzahl von Fällen erkannt werden, dass es sich um erfundene Daten und damit einen Betrugsversuch handele. Zur Erhebung der Telefonnummer heißt es insoweit in der antragsgegenständlichen Registrierungsmaske der Beklagten wie folgt: „Wir benötigen deine Telefonnummer für Terminabstimmungen für Speditionslieferungen, Klärungen zur Bestellung und ggf. zu deinem Kundenkonto und um dein Konto vor Missbrauch zu schützen. Eine Nutzung zu Werbezwecken findet nicht statt, es sei denn, du hast eine gesonderte ausdrückliche Einwilligung hierzu erteilt.“ Insoweit hat der Unionsgesetzgeber ausweislich des Erwägungsgrundes 47 zur DSGVO, dort Satz 6, die Datenverarbeitung zur Betrugsprävention, namentlich die „Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang“ auch als ein „berechtigtes Interesse des jeweiligen Verantwortlichen“ anerkannt.

Für Funktionsfähigkeit des Online-Marktplatzes notwendig

Im Rahmen der nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorzunehmenden Interessenabwägung stelle die Möglichkeit der Bestellung über einen Gastzugang auf dem Online-Marktplatz kein gleichwertiges milderes Mittel gegenüber der Führung eines Kundenkontos in der hier zu beurteilenden Ausgestaltung dar, das dazu geeignet wäre, die Funktionsfähigkeit des Online-Marktplatzes der Beklagten aufrecht zu erhalten.

Nur ergänzend ist festzuhalten, dass es auch richtig ist, wenn das Landgericht darauf hinweist, dass eine Bestellung auf dem Online-Marktplatz der Beklagten freiwillig erfolgt und es jedem Verbraucher unbenommen bleibt, Waren bei einem anderen Online-Händler, der möglicherweise den vom Kläger verlangten Gastzugang anbietet, oder aber im stationären Einzelhandel, der grundsätzlich weder Kontaktdaten noch ein Passwort des Verbrauchers verlangt, zu erwerben. Allerdings würde, was gleichfalls festzustellen ist, eine solche Freiwilligkeit allein keinen Verstoß gegen Art. 5 Abs. 1 lit. c) DSGVO legitimieren. Indes ist ein solcher Verstoß, wie ausgeführt, hier nicht festzustellen.

Insgesamt stellt im Rahmen der vorzunehmenden Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO die Möglichkeit der Bestellung über einen Gastzugang auf dem Online-Marktplatz kein gleichwertiges milderes Mittel gegenüber der Führung eines Kundenkontos in der hier zu beurteilenden Ausgestaltung durch die Beklagte dar, das dazu geeignet wäre, die Funktionsfähigkeit des Online-Marktplatzes der Beklagten aufrecht zu erhalten. Zum einen wäre die Verarbeitung derselben Daten erforderlich, zum anderen vermöchte die Bestellmöglichkeit über einen Gastzugang der Beklagten im Gegensatz zu einem Kundenkonto nicht die Vorhaltung eines zentralen Informationsportals, das insbesondere auch den Interessen der Kunden des von der Beklagten eröffneten Online-Marktplatzes dient, zu ersetzen. Über das von der Beklagten durch das Erfordernis der Anlage eines Kundenkontos dergestalt geschaffene zentrale Informationsportal kann nämlich nicht nur die Beklagte Informationen zu Bestellungen/Händlern besser nachvollziehen, sondern wird auch die Kommunikation, wie etwa Kundenanfragen, zwischen allen Marktplatzbeteiligten erleichtert und können Kunden zentral ihre Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch nehmen. Dies alles ist bei einem großen Online-Marktplatz wie dem der Beklagten für die reibungslose Funktionsfähigkeit bedeutsam. Auf eine konkrete Verkürzung einzelner Verarbeitungsfristen ist der Antrag zu 1.a) im Übrigen nicht gerichtet.

Grundsatz der datenschutzfreundlichen Voreinstellung berücksichtigt

Der Grundsatz der datenschutzfreundlichen Voreinstellung aus Art. 25 Abs. 2 DSGVO bestimmt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Auch hiergegen habe die Beklagte nicht verstoßen, so das Gericht.

Die Beklagte verstößt durch die Verpflichtung von Bestellinteressenten auf ihrem Online-Marktplatz zur Anlegung eines Kundenkontos auch nicht gegen den aus Art. 25 Abs. 2 DSGVO folgenden Grundsatz datenschutzfreundlicher Voreinstellungen zur Sicherstellung einer Verarbeitung nur personenbezogener Daten, deren Verarbeitung für den Verarbeitungszweck erforderlich ist, als eine weitere Ausprägung der Grundsätze der Datensparsamkeit und -minimierung.

Art. 25 Abs. 2 DSGVO bestimmt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen trifft, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Dies alles beachtet die Beklagte. Auf die vorstehenden Ausführungen wird Bezug genommen. Spezifizierten weiteren Vortrag hierzu enthält die Berufungsbegründung nicht, sodass weitere Ausführungen entbehrlich sind.

Nutzung zu Werbezwecken nach Art. 6 DSGVO gerechtfertigt

Auch hinsichtlich der Datennutzung zu Werbezwecken stehe dem Kläger nicht der geltend gemachte Unterlassungsanspruch zu. Gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO sei eine Datenverarbeitung dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 47 DSGVO könne ein derartiges berechtigtes Interesse von Unternehmen an einer Datenverarbeitung zum Zwecke der Direktwerbung bestehen.

Gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Datenverarbeitung aber dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Nach Erwägungsgrund 47 (letzter Satz) zur DSGVO kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem derartigen berechtigten Interesse dienende Verarbeitung betrachtet werden. Von einem Erfordernis einer Einwilligung in eine Datenverarbeitung zu Zwecken der Direktwerbung hat der Unionsgesetzgeber daher auch Abstand genommen und sich, wie in Art. 21 Abs. 2 DSGVO normiert, für ein Widerspruchsrecht des Betroffenen entschieden, wie es Ziffer 3.2. der Datenschutzinformationen der Beklagten auch enthält. [...]

Soweit „Direktwerbung“ ein Minus gegenüber personalisierten Werbemitteln sein kann, da sich „Direktwerbung“ auch auf die bloße Nutzung von E-Mail-Adressen für die Zusendung eines breit gefächerten und nicht durch die Verwendung weiterer Nutzerdaten eingeschränkten Angebots beschränken kann, erkennt der Unionsgesetzgeber aber auch die Auswertung des Bestellverhaltens eines Kunden zur (weiteren) Personalisierung von Werbemitteln als zulässiges Marktverhalten an, namentlich in Art. 13 Abs. 2 der RL 2002/58/EG vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). Danach kann „eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung […] deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat“. Auch vor dem Hintergrund der hieraus folgenden unionsrechtlichen Zulässigkeit der Auswertung der Bestellhistorie eines Kunden durch den Betreiber eines Online-Marktplatzes zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen besteht danach ein überwiegendes berechtigtes Interesse der Beklagten i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO an einer dahingehenden Datenverarbeitung und -verwendung.

Fazit

Das Urteil des OLG Hamburg, Ausnahmen von der Pflicht zur Bereitstellung eines Gastzugangs zuzulassen, ist grundsätzlich zu begrüßen. Zu beachten ist jedoch, dass es sich hierbei nicht um den Grundsatz handelt. Fraglich ist allerdings, ob der Umfang der von der Klägerin erhobenen Daten, vorliegend Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl und Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Passwort, den das OLG Hamburg als zulässig erachtet hat, erforderlich war. So hat z.B. das OVG Lüneburg bereits entschieden, dass nicht bei allen Bestellungen das Geburtsdatum abgefragt werden dürfe und dies auch zur Überprüfung der Geschäftsfähigkeit nicht erforderlich sei.

Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. Nutzen Sie auch für Ihre AGB, Ihr Impressum, Ihre Datenschutzerklärung und Ihre Widerrufsbelehrung unseren kostenlosen Rechtstexter.