Hintergrund der Entscheidung
Im Rahmen einer beschwerdeunabhängigen Untersuchung überprüfte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) im Januar 2025 mehrere Hamburger Onlineshops. Bei einem großen Versandhaus mit Schwerpunkt Bekleidung (Otto Marktplatz) wurde festgestellt, dass Bestellungen ausschließlich über ein dauerhaftes Kundenkonto möglich waren. Der HmbBfDI kam in einer offiziellen Einschätzung zu dem Schluss, dass im Fall von Otto.de ausnahmsweise vom Grundsatz der gastbasierten Bestellung abgewichen werden dürfe. Der HmbBfDI begründete dies unter anderem mit der besonderen Ausgestaltung des Marktplatzes, der Vielzahl der dort aktiven Händler sowie mit implementierten technischen Vorkehrungen wie der automatisierten Löschung nicht genutzter Nutzerkonten. Diese Sichtweise wurde zudem vom Landgericht Hamburg bestätigt.
Rechtliche Einordnung: Zwang zum Kundenkonto in der Regel unzulässig
Bereits im März 2022 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) den Hinweis rausgegeben, dass Onlinehändler in der Regel verpflichtet seien, Gastbestellungen anzubieten (Datenschutzkonformer Onlinehandel mittels Gastzugang). Die Verpflichtung zur Erstellung eines Kundenkontos stehe häufig im Widerspruch zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO. Demnach dürften nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck – hier die einmalige Bestellung – erforderlich sind.
Ein dauerhaftes Kundenkonto erfordere hingegen die Verarbeitung umfangreicherer Datenmengen und erhöhe das Risiko für Sicherheitsvorfälle wie etwa Hackerangriffe. Zudem verletze eine verpflichtende Kontoerstellung regelmäßig das Kopplungsverbot gemäß Art. 7 Abs. 4 DS-GVO, wenn die Einwilligung zur Datenverarbeitung an den Vertragsabschluss gekoppelt wird.
Gerichtsentscheidung: Kein Anspruch auf Gastbestellungen bei Marktplatzmodellen
Die Verbraucherzentrale Nordrhein-Westfalen klagte gegen diese Einschätzung und die daraus resultierende Praxis – ohne Erfolg. Sowohl das LG Hamburg (Urteil vom 22. Februar 2024, Az. 327 O 250/22) als auch das OLG (Urteil vom 27. Februar 2025, Az. 5 U 30/24) wiesen die Klage ab. Das OLG bestätigte die Einschätzung des HmbBfDI: Eine Verpflichtung zur Gastbestellung besteht nicht, wenn ein berechtigtes Interesse an der zentralisierten Abwicklung über ein Kundenkonto nachvollziehbar dargelegt wird.
Das Gericht stellte fest, dass bei Bestellungen über einen Gastzugang dieselben personenbezogenen Daten erforderlich seien wie bei einem Kundenkonto. Die Einrichtung eines Kundenkontos stelle in solchen Konstellationen nicht per se eine zusätzliche Belastung für die Betroffenen dar. Auch der Vorteil für Kunden und Kundinnen, etwa hinsichtlich Rückabwicklung und Kommunikation, sei zu berücksichtigen.
Weitere Prüfungsergebnisse
Die Mehrzahl der überprüften Onlineshops erfüllte die datenschutzrechtlichen Vorgaben bereits, indem sie eine Gastbestellung ermöglichten. In einigen Fällen war diese Option sogar bereits vor Veröffentlichung des DSK-Beschlusses integriert worden. Andere Anbieter hatten infolge der datenschutzrechtlichen Vorgaben technische Anpassungen vorgenommen.
In einem weiteren Fall prüft der HmbBfDI derzeit, ob ein Unternehmen, das sich ebenfalls auf seine Marktplatzstruktur beruft, vergleichbare Nachweise wie Otto.de erbringen kann. Ein pauschaler Verweis auf eine Drittanbieterplattform genügt nicht. Es sind konkrete Zahlen zur Retouren- und Anfrageabwicklung erforderlich.
Fazit und Ausblick
Der HmbBfDI kündigte an, die Prüfung in seinem Zuständigkeitsbereich fortzusetzen. Die Verpflichtung zur Bereitstellung eines Gastzugangs gilt weiterhin als Regel. Ausnahmen sind nur zulässig, wenn folgende Voraussetzungen kumulativ erfüllt sind:
- Betrieb eines Marktplatzes mit zahlreichen angeschlossenen Händlern und zentralisierter Kundenbetreuung,
- durch Zahlen belegter Bedarf zur Steuerung von Retouren und Kommunikation über ein einheitliches System,
- Erhebung nur der zur Vertragserfüllung notwendigen Daten sowie
- automatisierte Löschung inaktiver Konten binnen angemessener Fristen.
Onlinehändler sollten im Zweifel stets von der Pflicht zur Gastbestellung ausgehen und bei etwaigen Ausnahmeregelungen sorgfältig prüfen, ob sie den Maßstäben der DSK und der aktuellen Rechtsprechung genügen.
