Gastzugang im Online-Shop: OLG Hamburg stärkt unternehmerische Gestaltungsspielräume

Ein Gastzugang ist im Online-Shop nicht immer erforderlich.
Kategorien:

Muss ein Online-Shop immer einen Gastzugang anbieten, den Kunden ohne Registrierung nutzen können? Mit dieser Frage musste sich das Hanseatische Oberlandesgericht auseinandersetzen und dabei zentrale datenschutzrechtliche Grundsätze berücksichtigen. Im Zentrum standen die Themen Datenminimierung und personalisierte Werbung, zu denen klare Aussagen zugunsten unternehmerischer Gestaltungsspielräume getroffen wurden.

Verbraucherverband klagt wegen fehlendem Gastzugang

Geklagt hat ein Verbraucherschutzverband gegen ein Handels- und Dienstleistungsunternehmen, das unter einer bekannten Domain einen Online-Marktplatz betreibt.

Zum einen beanstandete der Kläger, dass das Unternehmen keinen „Gastzugang” zur Bestellung anbietet. Für jeden Kaufvorgang sei vielmehr zwingend die Einrichtung eines dauerhaften Kundenkontos mit der Eingabe umfangreicher personenbezogener Daten wie Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse erforderlich. Der Kläger sah hierin einen Verstoß gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO sowie gegen das Prinzip datenschutzfreundlicher Voreinstellungen gemäß Art. 25 Abs. 2 DSGVO. Insbesondere sei die verpflichtende Anlage eines Kundenkontos weder für die Vertragsdurchführung noch zur Erfüllung gesetzlicher Pflichten objektiv notwendig.

Zum anderen richtete sich die Klage gegen die Praxis des Unternehmens, personenbezogene Daten aus dem Kundenkonto zur Personalisierung von Werbeinhalten zu verwenden, ohne eine ausdrückliche, informierte Einwilligung der betroffenen Personen einzuholen. Der Kläger argumentierte, dass diese Nutzung nicht durch Art. 6 Abs. 1 lit. f DSGVO gedeckt sei und ein umfassendes Profiling vorliege, das über die zulässige Direktwerbung nach § 7 Abs. 3 UWG hinausgehe.

Das Landgericht Hamburg wies die Klage vollumfänglich ab. Zur Begründung bezog es sich unter anderem auf eine Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), in der die Praxis der Beklagten als datenschutzkonform bewertet wurde. In der Stellungnahme wurde insbesondere klargestellt, dass die vom Kläger geforderten Einschränkungen zu pauschal seien und die berechtigten Interessen der Beklagten an einer strukturierten Kundenverwaltung und betrugspräventiven Datenverarbeitung zu berücksichtigen seien.

Mit der Berufung verfolgte der Kläger seine Anträge in vollem Umfang weiter und griff das Urteil des Landgerichts in mehreren Punkten an. Die Beklagte hielt dem entgegen, dass die Klageanträge zu weit gefasst und inhaltlich unbegründet seien, und verteidigte die Ausgestaltung ihrer Kundenkontostruktur als sachgerecht und datenschutzrechtlich notwendig.

Das OLG Hamburg wies die Berufung zurück und bestätigte die erstinstanzliche Entscheidung.

Keine Pflicht zur Bereitstellung eines Gastzugangs

Das OLG bestätigte die Auffassung des Landgerichts, wonach kein datenschutzrechtlicher Verstoß durch die fehlende Bereitstellung eines Gastzugangs vorliegt. Zwar erkennt das Gericht den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO grundsätzlich an. Dieser sei jedoch nicht verletzt, wenn die Verarbeitung wie im vorliegenden Fall zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO erforderlich ist.

Dabei legte das Gericht besonderes Gewicht auf die Einschätzung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Dieser stufte die Gestaltung des Bestellvorgangs ohne Gastzugang in einer amtlichen Auskunft als datenschutzrechtlich unbedenklich ein. Diese Auffassung basierte unter anderem darauf, dass der mit einem Kundenkonto verbundene zusätzliche Funktionsumfang sowohl den Verbrauchern als auch der Anbieterin nütze und zugleich keine exzessive Datenverarbeitung vorliege.

Im Verfahren wurde auch der Beschluss der Datenschutzkonferenz (DSK) vom 24.03.2022 erwähnt, demzufolge Verantwortliche im Onlinehandel grundsätzlich einen Gastzugang anbieten sollten. Es sei denn, besondere Umstände rechtfertigen eine Abweichung. Das Gericht sah solche Umstände im konkreten Fall als gegeben an und folgte damit ausdrücklich der vom HmbBfDI vertretenen Auffassung.

Die Beklagte habe nachvollziehbar dargelegt, dass eine Vielzahl der im Kundenkonto gespeicherten Daten (z. B. Geburtsdatum, Telefonnummer) zur Betrugsprävention, Bonitätsprüfung oder Koordination von Speditionslieferungen erforderlich sei. Das Gericht stellte fest, dass diese Datenerhebungen selbst bei einem Gastzugang notwendig wären, und sah daher kein milderes Mittel zur Erreichung der legitimen Zwecke.

Kein Verstoß gegen datenschutzfreundliche Voreinstellungen

Das Hanseatische Oberlandesgericht befasste sich im Rahmen seiner Prüfung auch mit der Frage, ob die Gestaltung des Bestellprozesses durch die Beklagte gegen Art. 25 Abs. 2 DSGVO, also den Grundsatz datenschutzfreundlicher Voreinstellungen (Privacy by Default), verstößt. Diese Vorschrift verpflichtet Verantwortliche dazu, durch technische und organisatorische Maßnahmen sicherzustellen, dass standardmäßig nur diejenigen personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Ziel ist es, den Datenschutz bereits bei der Voreinstellung eines Systems bestmöglich zu gewährleisten.

Das Gericht kam zu dem Ergebnis, dass die Beklagte dieser Pflicht genügt. Es stellte dabei fest, dass die Einrichtung eines passwortgeschützten Kundenkontos nicht nur zulässig, sondern sogar datenschutzförderlich sei. Denn über ein solches Konto können Nutzer ihre Bestellungen einsehen, Retouren verwalten, Gewährleistungsrechte geltend machen und ihre Kommunikation mit dem Anbieter effizient abwickeln. Die Speicherung personenbezogener Daten erfolge hierbei zweckgebunden und in einem durch gesetzliche Anforderungen begrenzten Umfang. Die Tatsache, dass ein Kundenkonto zur Bestellung erforderlich sei, widerspreche dem Prinzip der datenschutzfreundlichen Voreinstellungen nicht, solange die Datenverarbeitung auf das erforderliche Maß beschränkt bleibe.

Besonders betonte das Gericht, dass keine Daten ohne aktives Zutun der Nutzer an unbefugte Dritte übermittelt würden und der Zugriff auf die Daten durch ein sicheres Login-Verfahren geschützt sei. Zudem wurde die Transparenz der Beklagten positiv hervorgehoben: Die betroffenen Personen werden bei der Einrichtung des Kontos über die Art, den Umfang und die Zwecke der Datenverarbeitung informiert, was die Anforderung der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO ergänzt.

Insgesamt bestätigte das Gericht, dass die konkreten technischen und organisatorischen Maßnahmen der Beklagten zur Sicherstellung datenschutzfreundlicher Voreinstellungen im Sinne der DSGVO angemessen und verhältnismäßig sind. Ein Verstoß gegen Art. 25 Abs. 2 DSGVO sei daher nicht ersichtlich.

Werbung und Profilbildung: Keine Pflicht zur Einwilligung?

Hinsichtlich der Nutzung von Kundendaten zur Personalisierung von Werbung verneinte das Gericht ebenfalls einen Unterlassungsanspruch. Zwar unterliege dieser Vorgang dem Anwendungsbereich der DSGVO und nicht § 7 Abs. 3 UWG. Doch sah das Gericht in der Auswertung der Bestellhistorie zur Personalisierung ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Insbesondere erkannte der Senat keine umfassende Profilbildung oder Verwendung externer Datenquellen, die eine Einwilligung erforderlich gemacht hätten.

Maßgeblich sei, dass die Personalisierung sich auf ähnliche Produkte und Dienstleistungen beschränke und sich deutlich von einer umfassenden Profilbildung im Sinne des Art. 4 Nr. 4 DSGVO unterscheide. Letztere würde eine systematische Analyse persönlicher Aspekte, wie Interessen, Verhalten oder Aufenthaltsorte, beinhalten, wofür eine ausdrückliche Einwilligung erforderlich wäre. und dem Nutzer jederzeit ein Widerspruchsrecht eingeräumt werde, wie es Art. 21 Abs. 2 DSGVO vorsieht.

Lese-Tipp: Cookie-Banner muss auch „Alles ablehnen“-Option enthalten

Gastzugang: Grundsatz der Datenminimierung nicht absolut

Das Urteil des OLG Hamburg verdeutlicht, dass die DSGVO keine allgemeine Pflicht zur Bereitstellung eines Gastzugangs im Onlinehandel begründet. Der Grundsatz der Datenminimierung ist nicht absolut, sondern bedarf stets einer zweckorientierten Betrachtung. Ebenso stärkt das Urteil den Standpunkt, dass die Nutzung von Kundendaten zur Personalisierung von Werbung unter bestimmten Voraussetzungen auch ohne Einwilligung zulässig sein kann, insbesondere bei Bestandskunden.

Für Unternehmen bedeutet dies eine gewisse Rechtssicherheit, sofern sie ihre Datenverarbeitungsprozesse gut dokumentieren und auf berechtigte Interessen stützen können.

Dabei wird die zentrale Rolle der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO besonders betont: Unternehmen müssen prüfen, ob ihre berechtigten Interessen die Rechte und Freiheiten der betroffenen Personen überwiegen. Nur wenn dies gegeben ist, kann die Datenverarbeitung ohne Einwilligung rechtmäßig erfolgen.

Quelle: Urteil Hanseatische Oberlandesgericht vom 27.02.2025 (5 U 30/24)

Sie möchten Ihre Online-Prozesse datenschutzkonform gestalten und rechtliche Risiken minimieren? Als Experten für Datenschutz, Compliance und digitale Geschäftsmodelle unterstützen wir Sie bei der Bewertung, Optimierung und Dokumentation Ihrer Datenverarbeitungsprozesse. Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Fachberatern – und bringen Sie Ihr Unternehmen sicher und DSGVO-konform auf Erfolgskurs.

Kontakt aufnehmen
Tags:
, ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge