Un negozio online deve sempre offrire un accesso ospite che i clienti possono utilizzare senza registrarsi? Il Tribunale regionale superiore anseatico ha dovuto affrontare questa questione, tenendo conto dei principi chiave della legge sulla protezione dei dati. L'attenzione si è concentrata sui seguenti argomenti Minimizzazione dei dati e personalizzato Pubblicitàin cui sono state fatte chiare dichiarazioni a favore della libertà imprenditoriale.
L'associazione dei consumatori fa causa per il mancato accesso degli ospiti
Un'associazione per la tutela dei consumatori ha intentato un'azione legale contro una società di commercio e servizi che gestisce un mercato online con un noto dominio.
In primo luogo, il ricorrente ha contestato il fatto che l'azienda non offrisse un "accesso ospite" per gli ordini. Per ogni transazione di acquisto era obbligatorio creare un account cliente permanente con l'inserimento di numerosi dati personali come nome, indirizzo, data di nascita, numero di telefono e indirizzo e-mail. Il querelante vedeva in questo un Violazione contro il principio di Minimizzazione dei dati ai sensi dell'art. 5 par. 1 lett. c GDPR e contro il principio delle impostazioni predefinite rispettose della protezione dei dati ai sensi dell'art. 25 par. 2 GDPR. In particolare, la creazione obbligatoria di un account cliente non è oggettivamente necessaria né per l'esecuzione del contratto né per l'adempimento degli obblighi di legge.
In secondo luogo, il reclamo era diretto contro le pratiche dell'azienda, Dati personali dall'account del cliente per la personalizzazione dei contenuti pubblicitari senza un consenso esplicito e informato. Consenso delle persone interessate. Il ricorrente ha sostenuto che questo utilizzo non rientra nell'art. 6, comma 1, lettera f), del Codice Civile. GDPR coperti e un'esauriente Profilazione che vanno oltre la pubblicità diretta consentita ai sensi dell'articolo 7 (3) UWG.
Il Tribunale di Amburgo ha respinto il ricorso nella sua interezza. A sostegno della sua decisione, ha fatto riferimento, tra l'altro, a una dichiarazione del commissario di Amburgo per Protezione dei dati e la libertà di informazione (HmbBfDI), in cui la prassi del convenuto è stata valutata conforme alle norme sulla protezione dei dati. In particolare, la dichiarazione ha chiarito che le restrizioni richieste dal querelante erano troppo generiche e che gli interessi legittimi del convenuto nella gestione strutturata dei clienti e nel trattamento dei dati per la prevenzione delle frodi dovevano essere presi in considerazione.
Nel suo ricorso, l'attore ha portato avanti le sue richieste in modo completo e ha contestato la sentenza del tribunale regionale su diversi punti. Il convenuto ha risposto che le richieste erano troppo ampie e prive di fondamento e ha difeso l'organizzazione della sua struttura di account cliente come appropriata e necessaria ai sensi della legge sulla protezione dei dati.
Il Tribunale regionale superiore di Amburgo ha respinto l'appello e confermato la decisione del tribunale di primo grado.
Nessun obbligo di fornire l'accesso agli ospiti
L'OLG ha confermato il parere del Tribunale regionale, secondo il quale non esiste alcuna legge sulla protezione dei dati. Violazione a causa della mancanza di un accesso per gli ospiti. Sebbene la Corte riconosca il principio di Minimizzazione dei dati dall'art. 5 par. 1 lett. c GDPR in linea di principio. Tuttavia, questo non viene violato se il Elaborazione come nel caso in questione per salvaguardare gli interessi legittimi ai sensi dell'art. 6 par. 1 lett. f GDPR è necessario.
Il tribunale ha dato particolare rilievo alla valutazione del Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI). In un'informazione ufficiale, il commissario ha definito la struttura del processo di ordinazione senza accesso per gli ospiti come non criticabile ai sensi della legge sulla protezione dei dati. Il parere si basa, tra l'altro, sul fatto che la gamma di funzioni aggiuntive associate a un conto cliente va a vantaggio sia dei consumatori sia del fornitore e, allo stesso tempo, non comporta un eccessivo trattamento dei dati.
Il procedimento comprendeva anche la decisione del Conferenza sulla protezione dei dati (DSK) del 24 marzo 2022, secondo il quale Persone responsabili in genere dovrebbero offrire l'accesso agli ospiti nel trading online. A meno che circostanze particolari non giustifichino una deviazione. Il tribunale ha ritenuto che tali circostanze sussistessero nel caso specifico e ha quindi seguito espressamente il punto di vista dell'HmbBfDI.
Il convenuto aveva chiaramente dimostrato che gran parte dei dati memorizzati nell'account del cliente (ad esempio, la data di nascita, il numero di telefono) erano necessari per la prevenzione delle frodi, il controllo del credito o il coordinamento delle consegne. Il tribunale ha ritenuto che questa raccolta di dati sarebbe stata necessaria anche in caso di accesso da parte di un ospite e quindi non ha visto mezzi meno restrittivi per raggiungere gli scopi legittimi.
Nessuna violazione delle impostazioni predefinite per la protezione dei dati
Nell'ambito del suo esame, il Tribunale superiore anseatico ha anche affrontato la questione se la progettazione del processo di ordinazione da parte del convenuto violasse l'articolo 25, paragrafo 2, del Codice civile tedesco. GDPRcioè il principio delle impostazioni predefinite favorevoli alla protezione dei dati (privacy by default). Questa disposizione obbliga Persone responsabili a questo, attraverso Misure tecniche e organizzative garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per il rispettivo scopo. L'obiettivo è quello di garantire la migliore protezione possibile dei dati fin dalla fase di preimpostazione di un sistema.
Il tribunale è giunto alla conclusione che il convenuto ha rispettato tale obbligo. Il tribunale ha ritenuto che la creazione di un account cliente protetto da password non solo sia consentita, ma addirittura favorisca la protezione dei dati. Infatti, gli utenti possono utilizzare tale account per visualizzare i propri ordini, gestire i resi, far valere i diritti di garanzia e gestire in modo efficiente le comunicazioni con il fornitore. I dati personali vengono memorizzati per uno scopo specifico e in misura limitata dai requisiti di legge. Il fatto che per effettuare un ordine sia necessario un account cliente non contraddice il principio delle impostazioni predefinite favorevoli alla protezione dei dati, purché il trattamento dei dati rimanga limitato allo stretto necessario.
In particolare, la Corte ha sottolineato che nessun dato deve essere trasmesso a terzi non autorizzati senza il coinvolgimento attivo degli utenti. Terza parte e l'accesso ai dati è protetto da una procedura di login sicura. Inoltre, il Trasparenza sottolineato positivamente dal convenuto: Le persone interessate sono informate della natura, dell'ambito e delle finalità del trattamento dei dati al momento della creazione dell'account, il che soddisfa il requisito della direttiva. Trasparenza ai sensi dell'art. 5 par. 1 lett. a GDPR integrato.
Nel complesso, il tribunale ha confermato che le specifiche misure tecniche e organizzative adottate dal convenuto per garantire impostazioni predefinite favorevoli alla protezione dei dati ai sensi della legge. GDPR sono appropriati e proporzionati. A Violazione contro l'art. 25 par. 2 GDPR non è quindi evidente.
Pubblicità e profilazione: nessun obbligo di consenso?
Per quanto riguarda l'utilizzo dei dati dei clienti per la personalizzazione di Pubblicità il tribunale ha anche negato la richiesta di un provvedimento ingiuntivo. Sebbene questo processo sia soggetto all'ambito di applicazione del GDPR e non l'articolo 7 (3) dell'UWG. Tuttavia, il tribunale ha ritenuto che la valutazione della cronologia degli ordini per la personalizzazione sia un interesse legittimo ai sensi dell'articolo 6, paragrafo 1, lettera f). GDPR. In particolare, il Senato non ha riconosciuto una profilazione completa o l'utilizzo di fonti di dati esterne che permettano una Consenso sarebbe stato necessario.
Il fattore decisivo è che la personalizzazione sia limitata a prodotti e servizi simili e sia chiaramente distinta da una profilazione completa ai sensi dell'articolo 4, paragrafo 4. GDPR distinguere tra i due. Quest'ultima comporterebbe un'analisi sistematica di aspetti personali come gli interessi, il comportamento o il luogo in cui ci si trova, per la quale un'esplicita Consenso e all'utente è riconosciuto il diritto di opporsi in qualsiasi momento, come previsto dall'art. 21 (2) GDPR. GDPR fornisce.
Suggerimento di lettura: Il banner dei cookie deve contenere anche l'opzione "Rifiuta tutto".
Accesso degli ospiti: principio di minimizzazione dei dati non assoluto
La sentenza dell'OLG di Amburgo chiarisce che la GDPR non stabilisce un obbligo generale di fornire l'accesso agli ospiti nella vendita al dettaglio online. Il principio di Minimizzazione dei dati non è assoluta, ma richiede sempre una considerazione orientata allo scopo. La sentenza rafforza inoltre l'opinione che l'uso dei dati dei clienti per la personalizzazione di Pubblicità in determinate condizioni anche senza Consenso può essere ammissibile, soprattutto per i clienti esistenti.
Per le aziende ciò significa un certo grado di certezza giuridica, a condizione che documentino bene i processi di trattamento dei dati e che siano preparate ad affrontare le situazioni di emergenza. interessi legittimi può supportare.
Il ruolo centrale della ponderazione degli interessi ai sensi dell'art. 6 comma 1 lett. f GDPR Particolarmente sottolineato: le aziende devono verificare se i loro interessi legittimi prevalgono sui diritti e le libertà degli interessati. Solo in questo caso il trattamento dei dati potrà essere autorizzato senza Consenso essere eseguiti legalmente.
Fonte: Sentenza del Tribunale superiore anseatico del 27 febbraio 2025 (5 U 30/24)
Volete rendere i vostri processi online conformi alle normative sulla protezione dei dati e ridurre al minimo i rischi legali? Come esperti di protezione dei dati, Conformità e modelli di business digitali, vi supportiamo nella valutazione, nell'ottimizzazione e nell'ottimizzazione dei modelli di business digitali. Documentazione dei vostri processi di trattamento dei dati. Fissate una prima consulenza non vincolante con i nostri consulenti esperti e mettete la vostra azienda sulla strada del successo in modo sicuro e conforme al GDPR.
German 
English 
Italian 
French