Gemäß Art. 5 Abs. 1 lit. c) Datenschutz-Grundverordnung (DSGVO) gilt der Grundsatz der Datenminimierung. Vor diesem Hintergrund dürfen für die digitale Abwicklung eines Geschäfts nur die dafür erforderlichen Daten erhoben werden. Das Landgericht (LG) Hamburg stellte nun fest, dass die Bereitstellung eines Gastaccounts bei einem Onlinehändler unter bestimmten Bedingungen nicht zwingend ist. Darüber hinaus klärte es Fragen zur Nutzung von Kundendaten (Urteil vom 22. Februar 2024, Az.: 327 O 250/22).
Ausgangspunkt des Verfahrens
Gegenstand des Urteils war die Klage gegen einen Online-Versandhandel und Online-Markplatz. Um Bestellungen aufgeben zu können, ist dort eine Registrierung bzw. ein Kundenkonto erforderlich. Darüber hinaus behält sich der Betreiber des Onlineshops vor, die Daten der Kunden für Werbezwecke zu nutzen.
Die klägerische Seite beanstandete beide Punkte.
Ist ein Kundenkonto bei Onlineshops erforderlich?
Zum einem beanstandete die klägerische Seite, dass eine Bestellung mit nur vorheriger Registrierung möglich sei. Sie bezieht sich dabei auf den Beschluss der Datenschutzkonferenz (DSK) vom 24. März 2022. Demnach sollen Onlineshops Verbrauchern zumindest die Möglichkeit eines Gastzugangs für Bestellungen anbieten.
Das LG Hamburg führte aus, dass dieser Beschluss zwar berücksichtigt werden kann, aber dieser für das Gericht nicht bindend ist. Es kann vom DSK-Beschluss abgewichen und eine Ausnahme vom dort formulierten Grundsatz angenommen werden, wenn im Einzelfall besondere Umstände vorliegen.
Gemäß Art. 6 Abs.1 S. 1 lit. b) DSGVO ist eine Datenerhebung grundsätzlich erlaubt, wenn die personenbezogenen Daten erforderlich sind, um das Geschäft ordnungsgemäß durchführen zu können. Das ist der Fall, wenn der Online-Marktplatz einer Vielzahl an Händlern zur Verfügung steht und durch die Erstellung eines Kundenkontos die dafür erforderliche Kommunikation realisiert sowie Garantie-, Gewährleistungs- und Rücksenderechte gewährleistet werden können. Ziel dieser Datenerhebung soll damit ein deutlich geringerer Zeit- und Ressourcenaufwand für alle Beteiligten (sowohl Käufer als auch Verkäufer) sein.
Ein besonderer Umstand kann darüber hinaus vorliegen, wenn die Verarbeitung von personenbezogenen Daten sich kaum von einer Bestellung mit oder ohne Kundenkonto unterscheidet. Vorliegend bestünde der Unterschied zwischen einem Gastzugang und einem Kundenkonto nur durch ein zusätzliches Passwort, weswegen der Online-Händler nicht verpflichtet ist, einen separaten Gastzugang anzubieten. Somit kann die Eingriffsintensität für Kunden im Vergleich mit dem verbundenen Aufwand für alle Mitwirkenden als eher gering bewertet werden.
Wofür dürfen Kundendaten genutzt werden?
Zum anderen bemängelte die klagende Partei, dass keine Rechtsgrundlage für die Nutzung der Kundendaten zu Werbezwecken nach Maßgabe des Art. 6 DSGVO vorliege. Sie habe keine Einwilligung zur Verarbeitung der Kundeninformationen zu Werbe- und Marketingzwecken abgegeben. Eine derartige Nutzung der Daten sei solange unzulässig, bis die Betroffenen eine ausdrückliche Zustimmung erteilt haben.
Das Gericht sah allerdings auch hierbei keinen Verstoß gegen Anforderungen aus der DSGVO. Das Handeln der Beklagten sei durchaus auf Grundlage eines berechtigten Interesses nach Maßgabe des Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt. Demnach ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Gemäß Erwägungsgrund 47 DSGVO kann ein solches berechtigtes Interesse des Unternehmens angenommen werden, wenn es um eine Datenverarbeitung zum Zwecke der Direktwerbung geht. Dabei muss jedoch die betroffene Person die Möglichkeit haben, dieser Art von Werbung bereits im Zeitpunkt der Ersterhebung sowie jederzeit im Nachgang zu widersprechen.
Des Weiteren wird im Erwägungsgrund 47 DSGVO festgestellt, dass die Datenverarbeitung auch dann berechtigt ist, wenn die personenbezogenen Daten vom Unternehmen deswegen erhoben werden, um bereits präventiv tätig zu werden, umso beispielsweise Betrug oder Identitätstäuschungen rechtzeitig im Vorfeld zu verhindern.
Somit ist vorliegend die Datenerhebung sowohl zum Zweck der Direktwerbung als auch zur Betrugsprävention erforderlich und verletzt damit nicht die Rechte des Klägers.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Datenschutzrechtliche Einschätzung
Der Beschluss der DSK beinhaltet im Wesentlichen vier Thesen:
- Es besteht der Grundsatz, dass Onlinehändler ihren Kunden einen Gastaccount für Bestellungen anbieten sollen. Diese These wird dabei auf den bereits genannten Maßstab der Datenminimierung gestützt.
- Die Einrichtung eines Kundenkontos kann nur dann als freiwillig gegebene Einwilligung gewertet werden, wenn zusätzlich ein Gastzugang angeboten wird.
- Die Datenverarbeitung zum Zweck der Werbung sowie das Speichern der Informationen bzgl. der Zahlungsmittel zum Zwecke der erneuten, vereinfachten Transaktion bedürfen einer Einwilligung der Betroffenen.
- Die Onlinehändler müssen ihren Informationspflichten bei einer Datenerhebung nachkommen.
Dabei erscheint allerdings fraglich, inwieweit die mögliche Verpflichtung der Onlinehändler zur Einhaltung der ersten drei Grundsätze in die unternehmerische Freiheit eingreift, wenn diesen untersagt wird, eine zwingende Registrierung zu deren Onlinehandel voraussetzen zu dürfen. Schließlich könnte das als Verstoß gegen die Vertragsfreiheit betrachtet werden.
Wie bereits durch das LG Hamburg konstatiert, ist ein Exekutiv-Beschluss für die Gerichte nicht bindend. Für Unternehmen stellen solche Beschlüsse wie von der der DSK aber eine aussagekräftige Handlungsaufforderung bzw.- Empfehlung dar. Nicht zuletzt verhängen die Datenschutz-Aufsichtsbehörden Bußgelder gegen Unternehmen, die (aus ihrer Sicht) gegen Anforderungen aus der DSGVO verstoßen.
Fazit
Das Landgericht Hamburg entschied, dass Onlinehändler unter bestimmten Voraussetzungen auf einen Gastzugang verzichten können. Im konkret verhandelten Fall könnte die effektive Funktionsfähigkeit des breiten Online-Marktplatzes der Beklagten durch die Bereitstellung eines Gastaccounts beeinträchtigt werden. Ohne Registrierung über ein Kundenkonto wäre die erwünschte Kommunikation zwischen Käufer und Verkäufer(n) nicht gewährleistet. Käufer müssten bei Fragen zu ihren Bestellungen personenbezogene Daten angeben, um identifiziert zu werden – ein Vorgehen, das aus datenschutzrechtlichen Gründen nachteilig sein kann. Im Gegensatz dazu ermöglicht ein Kundenkonto diese Interaktion ohne datenschutzrechtliche Bedenken.
Daher kann in diesem Fall auf einen Gastaccount verzichtet und ein Kundenkonto verlangt werden.
Allerdings ist bei dem Urteil zu beachten, dass das Gericht auf eine weitere Umschreibung und Definition des Begriffs der „besonderen Umstände“ verzichtet hat, so dass fraglich bleibt, unter welchen anderen Umständen auf einen Gastaccount verzichtet werden kann. Daher bleibt es für Unternehmen notwendig weiterhin zu prüfen, ob die Möglichkeit zur Bereitstellung eines Gastaccounts besteht, um diesen der DSK entsprechend anzubieten.
Darüber hinaus kann auch zum Zweck der Direktwerbung ein überwiegendes berechtigtes Interesse des Unternehmers im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO im Vermessen mit Erwägungsgrund 47 zur DSGVO bestehen, wenn Betroffenen gleichzeitig die Möglichkeit gegeben wird, der Nutzung zu widersprechen.
