DSGVO-Urteil: Gastbestellung im Onlinehandel durchsetzbar?

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat mehrere Onlineshop-Betreiber mit Standorten in Hamburg unter die Lupe genommen. Ziel war eine Überprüfung der Datenschutzpraxis der Unternehmen. Unter anderem kam dabei heraus, dass ein großes Versandhaus grundsätzlich dazu verpflichtet, ein Konto anzulegen, um Bestellungen durchzuführen.

Dies entspricht nicht den Anforderungen der DSGVO, denn hier ist eindeutig eine Datenminimierung vorgesehen. Das heißt im konkreten Fall, dass eine einmalige Bestellung beim Händler keineswegs rechtfertigt, Daten des Kaufenden zu erheben und diese abzuspeichern. Der HmbBfDI forderte folglich den Händler dazu auf, Kunden eine Möglichkeit zu offerieren, einfach nur als Gast eine Bestellung vornehmen zu können.

Gastbestellung muss gewährleistet sein

Laut Beschluss der Datenschutzkonferenz (DSK) bereits vor etwa drei Jahren im März 2022 ist es nicht mit dem Datenschutz vereinbar, dass Kunden, die eine Online-Bestellung vornehmen, dazu genötigt werden, ein Konto zu eröffnen und dabei personenbezogene Daten preiszugeben. Denn die Datenschutzgrundverordnung fordert eindeutig, dass für Bestellvorgänge lediglich die Daten gespeichert und erfasst werden dürfen, die für den reinen Bestellvorgang notwendig sind. Ein Kundenkonto hingegen umfasst zahlreiche Daten, die mit dem einmaligen Kaufvorgang überhaupt nichts zu tun haben.

Zudem besteht durch die Speicherung von Kundendaten auch in passwortgeschützten Zugängen das Risiko von Hackerangriffen. Viele Online-Shopper möchten dieses Risiko nicht eingehen und erwarten daher die Möglichkeit, ohne dauerhafte Registrierung zu bestellen.

Sonderregelung für Marktplätze

Obwohl die Regel grundsätzlich für alle Onlinehändler gilt, gibt es Ausnahmen. Beispielsweise Otto.de, ein bedeutender Online-Marktplatz, argumentierte, dass das Fehlen einer Gastbestellung durch alternative Datenschutzmaßnahmen ausgeglichen werden soll. Die Plattform ermöglicht nicht nur den Kauf direkt von Otto, sondern auch von Drittanbietern. Ein einheitliches Kundenkonto erleichtert hierbei die Bestellabwicklung und den durch die verschiedenen Kanäle aufwendigen Retourenprozess. Damit Otto.de dem Postulat der Datenminimierung nachkommt, versichert das Unternehmen, dass Daten von Kundenkonten, die lange unbenutzt sind, vollständig gelöscht werden.

Oberlandesgericht Hamburg gibt Otto.de recht

Die Sonderregelung von Otto.de stieß der Verbraucherzentrale in Nordrhein-Westfalen unangenehm auf. Folglich klagte die Institution gegen den Händler und wollte auf juristischen Wegen eine Gastbestellung durchsetzen. Das Landgericht und in zweiter Instanz das Hanseatische Oberlandesgericht (OLG Hamburg) wiesen die Klage jedoch ab. Das Gericht entschied, dass die Pflicht zur Einrichtung eines Kontos nicht gegen das Prinzip der Datenminimierung verstößt, wenn die gespeicherten Daten nur zur Vertragserfüllung genutzt und nach Fristablauf gelöscht werden.

Es ist zu erwarten, dass andere Gerichte sich an diesem Urteil orientieren, wenn sie eigene Entscheidungen treffen. Damit scheint Otto.de zunächst auf der sicheren Seite zu sein, solange die angesprochenen alternativen Maßnahmen hinsichtlich des Datenschutzes korrekt umgesetzt werden.

Fazit: Eine von der DSGVO geforderte Datenminimierung kann nicht nur erfolgen, wenn für einen Vorgang eher unwichtige Daten weder erfasst noch gespeichert werden. Dem generellen Datenschutz-Grundsatz der Minimierung kann auch entsprochen werden, wenn Unternehmen durch alternative Datenschutz-Maßnahmen eine Minimierung umsetzen.