Die Bestellung bei einem Webshop über einen Gastzugang ist nicht nur eine vereinfachte, sondern auch eine datensparsame Möglichkeit, Produkte zu bestellen. Doch diese Art der Bestellung wird durchaus nicht von jedem Onlineshop angeboten und so ist dann ein Kundenkonto anzulegen, um die zuvor in den Warenkorb gelegte Ware bestellen. Dabei drängt sich die Frage auf, ob dieses Zwang denn rechtlich so in Ordnung ist?
Im Februar dieses Jahres erging zu dieser Frage ein Urteil des Landgerichts (LG) Hamburg (22.02.2024, Az. 327 O 250/22), welches bestätigte, dass die Erstellung eines Gastzugangs von einem Webshop in Ausnahmefällen tatsächlich unterbleiben darf.
Der Sachverhalt
In dem oben genannten Verfahren erhob der Kläger u. a. eine Unterlassungsklage gegen die Beklagte, die Betreiberin eines Onlineshops. Er vertrat die Auffassung, die Beklagte verstoße zum einen gegen den Grundsatz der Datensparsamkeit, da die Beklagte Kund:innen zur Registrierung verpflichte und dadurch personenbezogene Daten umfangreich verarbeite – insbesondere Geburtsdatum und Telefonnummer, die nicht zur Vertragserfüllung notwendig seien. Damit gehe im Vergleich zu einem Gastzugang ein höheres Missbrauchsrisiko einher. Zudem würde mit der Registrierungspflicht und einer fehlenden automatischen Löschung der gespeicherten Daten im Kundenkonto nach einem einmaligen Kauf sowohl ein Verstoß gegen die Pflicht der datenschutzfreundlichen Voreinstellungen (Art. 25 Abs. 2 DSGVO) als auch gegen die Rechenschafts- und Compliance-Pflichten bestehen (Art. 5 Abs. 2, 24 DSGVO) – ohne Einholung einer Einwilligung.
In dem Verfahren und in der Entscheidung des LG Hamburg fanden sowohl der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) als auch eine von der Beklagten eingeholte amtliche Auskunft des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Berücksichtigung.
Die Entscheidungsgründe
Im Ergebnis schließt sich das LG Hamburg der Einschätzung des HmbBfDI an. Dieser führte aus, der Onlineshop der Beklagten unterscheide sich zum einen wesentlich von einem gewöhnlichen Onlinehandel und trage zum anderen aufgrund anderer Vorkehrungen dem Grundsatz der Datenminimierung ausreichend Rechnung. Das Gericht vertritt somit ebenfalls die Auffassung, eine Ausnahme vom Gastzugang im vorliegenden Fall ist durchaus zulässig, da besondere Umstände vorliegen, die es erlauben, für die Vertragserfüllung auf einen Gastzugang zu verzichten und eine Erstellung eines dauerhaften Kontos zu verlangen. Zudem sind Kund:innen frei in ihrer Wahl, Waren bei der Beklagten zu bestellen oder in einem anderen Onlineshop, der Bestellungen auch über einen Gastzugang anbietet, sodass hier mithin kein Verstoß gegen das sog. Koppelungsverbot aus Art. 7 Abs. 4 DSGVO vorliegt.
Berechtigtes Interesse
Das einzige Datum, das bei einem dauerhaften Kund:innenkonto zusätzlich erhoben wird, ist ein Passwort für den Zugang. Darüber hinaus sind Daten (im Wesentlichen Name, Anschrift, Kontaktdaten, Geburtsdatum, Telefonnummer) für die Bestellung erhoben, welche zur Durchführung des Vertragsverhältnisses erforderlich sind. Dies gilt auch für die vom Kläger besonders hervorgehobene Verarbeitung des Geburtsdatums und der Telefonnummer. Hierzu führte die Beklagte aus, dass diese Daten u. a. zur Vorbeugung von Identitätstäuschungen/Betrugsversuchen (Geburtsdatum) als auch für die Zustellung von Speditionsunternehmen oder Fragen zur Bestellung (Telefonnummer) erforderlich sind. Der damit erklärten Notwendigkeit einer Erhebung und Speicherung dieser Daten schließt sich das Gericht an und verweist in diesem Zusammenhang auf den Erwägungsgrund 47 zur DSGVO, der u. a. Betrugspräventionen als berechtigtes Interesse des Verantwortlichen für die Datenverarbeitung anerkennt.
Das Erheben eines Passworts soll nach Angabe der Beklagten zudem gewährleisten, dass auch die Käufer:innen auf ihre mit der Bestellung zusammenhängenden personenbezogenen Daten zugreifen und diese einsehen können. Auch diese Erklärung nimmt das Gericht an und begründet, dass dieser zugangsgeschützte Bereich mit einem Passwort gesichert werden müsse, um einen unberechtigten Zugriff Dritter auf diese Daten zu verhindern. Die Datenerhebung und ‑verarbeitung sei somit erheblich für den verfolgten Zweck – die Abwicklung der Bestellung – auf das erforderliche Maß beschränkt und der Zweck könne nicht mit anderen Mitteln gleich effektiv erreicht werden, sodass der Grundsatz der Datensparsamkeit und ‑minimierung eingehalten werde.
Drittzugriff
Einer möglichen Gefahr eines Drittzugriffs (Kenntnis des Passworts) wird insofern begegnet, da Kund:innen die Löschung des Kontozugangs bei der Beklagten verlangen können, sodass die getätigte Bestellung mit einem Kund:innenkonto im Ergebnis einer Gastbestellung gleichzustellen ist. Zudem sind Kund:innenkonten entsprechend der zivilrechtlichen Verjährungsfrist von drei Jahren automatisch zu löschen, sollte das Konto innerhalb dieser Zeit inaktiv sein (§§ 195, 199 BGB). Letztendlich sind die Daten einer Bestellung ohnehin entsprechend der gesetzlichen Aufbewahrungsfristen zu speichern und dieses unabhängig davon, ob die Bestellung über einen Gastzugang oder Kund:innenkonto getätigt sind.
Es bleibt abzuwarten, welche Onlineshop zukünftig auf einen Gastzugang verzichten und ob dann ebenfalls „besondere Umstände“ vorliegen, die es erlauben, das Anlegen eines Kund:innenkontos zu verlangen.
Also lassen Sie sich gut beraten.
