Hintergrund - Sachverhalt

In einer umfassenden Prüfung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Anfang des Jahres 2025 mehrere Hamburger Onlineshops untersucht. Dabei wurde festgestellt, dass ein großes Versandhaus mit Schwerpunkt auf Bekleidung keine Möglichkeit für Gastbestellungen anbot. Kunden konnten nur nach Anlegen eines dauerhaften Kundenkontos einkaufen. Der HmbBfDI forderte das Unternehmen auf, diese Praxis zu ändern und Gastbestellungen zu ermöglichen, um den datenschutzrechtlichen Anforderungen zu entsprechen. Das Unternehmen kam dieser Aufforderung nicht nach, überzeugte jedoch den HmbBfDI mit seiner Argumentation und den implementierten Maßnahmen. 

Rechtlicher Hintergrund

Grundsätzlich dürfen Onlinehändler ihre Kunden nicht dazu zwingen, ein Kundenkonto anzulegen. Dies hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss vom 24. März 2022 festgelegt. Das Prinzip der Datenminimierung verlangt, dass nur die unbedingt notwendigen Daten verarbeitet werden. Kundenkonten enthalten jedoch oft weitergehende Informationen. 

Ausnahme und zugrundeliegende Maßnahmen

Es kann jedoch Ausnahmen von dieser Regel geben, z.B. für Online-Marktplätze. Ein bekanntes Versandhaus, das auch als Verkaufsplattform für zahlreiche Dritthändler dient, hat erfolgreich eine solche Ausnahme geltend gemacht. Der HmbBfDI erkannte an, dass die besondere Struktur des Marktplatzes es rechtfertigt, Bestellungen nur nach Anlage eines Kundenkontos entgegenzunehmen. Dies wurde durch das Hanseatische Oberlandesgericht am 27. Februar 2025 auf Klage einer Verbraucherzentrale hin bestätigt. 

Das Versandhaus hat mehrere Maßnahmen ergriffen, um dem Grundsatz der Datenminimierung gerecht zu werden. Dazu gehört die automatisierte Löschung von Kundenkonten, die innerhalb eines festgelegten Zeitraums nicht mehr benutzt wurden. Zudem werden nur die Daten erhoben, die für die Abwicklung des Vertrags notwendig sind. Nach Ablauf der Gewährleistungsfristen werden die Daten ausgesondert und nach Ablauf der Aufbewahrungsfristen gelöscht. 

Die Notwendigkeit eines Kundenkontos wurde damit begründet, dass es als zentrales Informationsportal dient. Über das Kundenkonto können Kunden Informationen zu getätigten Bestellungen und den jeweiligen Händlern nachvollziehen, Kommunikation führen und Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch nehmen. Dies bietet erhebliche Effizienzvorteile gegenüber der individuellen Beantwortung von E-Mails oder Telefonanrufen, selbst bei nur einer einzigen Bestellung. 

Bei der Erstellung eines Kundenkontos wird bei dem Versandhaus im Vergleich zu einer hypothetischen Gastbestellung lediglich das Passwort als zusätzliches Datum erhoben. Die Eingriffsintensität für Kunden ist damit vergleichsweise gering. Die Erhebung weiterer Angaben wie Name, Anschrift, Kontaktdaten, Geburtsdatum und Telefonnummer ist entweder zur Durchführung des Geschäfts erforderlich oder liegt im überwiegenden berechtigten Interesse des Unternehmens, insbesondere zur Betrugsprävention. 

Zusammenfassung

Zusammengefasst zeigt dieser Fall, dass es unter bestimmten Umständen gerechtfertigt sein kann, von der Pflicht zur Ermöglichung von Gastbestellungen abzuweichen. Die getroffenen Maßnahmen zur Datenminimierung und die Effizienzvorteile eines zentralen Kundenkontos wurden sowohl vom HmbBfDI als auch vom LG Hamburg anerkannt. Dies verdeutlicht, dass Datenschutz und betriebliche Notwendigkeiten in Einklang gebracht werden können, wenn entsprechende Maßnahmen ergriffen werden.