Für einen Online-Shop, der einen Marktplatz anbietet, besteht nicht zwingend die Verpflichtung, einen Gastzugang für seine Webseite anzubieten. Er kann vielmehr eine Registrierung verlangen, wenn ausschließlich ein Passwort als weitere Information neben den Daten abgefragt wird, die auch bei einer Gastbestellung anfallen (LG Hamburg, Urt. v. 22.02.2024 - Az.: 327 O 250/22).
Die klägerische Verbraucherzentrale monierte bei der Beklagtem, einem bekannten Online-Shop für Versandhandel, zwei Punkte:
1. Bestellung nur mit Registrierung:
Die Klägerin beanstandete, dass eine Bestellung nur mit Registrierung möglich war, jedoch nicht auch mit einem reinen Gastzugang. Sie sah darin einen DSGVO-Verstoß und berief sich dabei auf den Beschluss der Datenschutzkonferenz von März 2022, wonach Online-Shops grundsätzlich einen Gastzugang ohne Registrierung anbieten müssten.
2. Nutzung der Kundendaten zu Werbezwecken:
Die zweite Beanstandung betraf die Nutzung der Kundendaten zu Werbezwecken.
In der Datenschutzerklärung der Beklagten hieß es dazu:
"3.2.1. Datenverarbeitung zu Werbezwecken (Personalisierung)
X(…) ist dazu berechtigt, gespeicherten Daten zu Ihrer Person z.B. die Kategorien von gekauften Waren (z.B. „Mode“), die sie bei X(…) erworben haben, für die Personalisierung von Werbemitteln (u.a. E-Mail, Print) zu verwenden. Die Daten werden für diesen Zweck ausschließlich in stark pseudonymisierter Form verwendet. Ziel von X(…) ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.Nicht zu Marketingzwecken durch X(…) werden solche Daten genutzt, für deren Verarbeitung andere Händler auf der Plattform x(…).de datenschutzrechtlich verantwortlich sind. Hierbei handelt es sich z.B. um Daten, die im Rahmen der Abwicklung von Käufen bei Partnern von X(…) auf der Plattform anfallen.
3.2.2. Postalische Werbung
X(…) hat grundsätzlich ein berechtigtes Interesse daran, Ihre Daten, die X(…) z. B. im Rahmen der Eingehung eines Vertragsverhältnisses mit Ihnen erhoben hat, zu Marketingzwecken zu nutzen. X(…) verarbeitet die folgenden Daten zu eigenen Marketingzwecken sowie zu Marketingzwecken Dritter: Vorname, Nachname, Postadresse, Geburtsjahr.X(…) ist außerdem dazu berechtigt, den genannten Daten weitere über Sie unter Einhaltung der gesetzlichen Vorgaben erhobene personenbezogene Daten zu eigenen Marketingzwecken sowie zu Marketingzwecken Dritter hinzu zu speichern. Unter diese hinzu gespeicherten Daten können z.B. die Kategorien von Waren (z.B. „Mode“), die sie bei X(…) erworben haben, fallen. Ziel von X(…) ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.
Nicht zu Marketingzwecken durch X(…) werden solche Daten genutzt, für deren Verarbeitung andere Händler auf der Plattform x(…).de datenschutzrechtlich verantwortlich sind. Hierbei handelt es sich z.B. um Daten, die im Rahmen der Abwicklung von Käufen bei Partnern von X(…). auf der Plattform anfallen. (…)"
Die Klägerin rügte diese Nutzung der Daten als unzulässig. Notwendig sei hierfür eine ausdrückliche Einwilligung des Users, die jedoch nicht eingeholt werde.
3. Entscheidung des Gerichts:
Das Gericht wies die Klage vollumfänglich ab.
a. Bereitstellung eines Gastzugangs nicht ausnahmslos erforderlich:
Es sei zwar richtig, dass einen entsprechenden Beschluss der Datenschutzkonferenz gebe, der die Bereitstellung eines Gastzugangs verlange.
Im vorliegenden Fall könne jedoch von diesem Grundsatz abgewichen werden.
Hierzu hatte das Gericht den Hamburgischen Datenschutzbeauftragten angehört, der folgende schriftliche Stellungnahme in der gerichtlichen Auseinandersetzung abgab:
"Zwar ist im Beschluss der DSK vom 24. März 2022 (…) im Wesentlichen dargelegt, dass im Online-Handel grundsätzlich ein Gastzugang anzubieten ist. Allerdings besteht für Online-Händler die Möglichkeit, im Einzelfall aufgrund besonderer Umstände von diesem Grundsatz abweichen zu können.
Die X(…) GmbH & Co. KG hat hierzu unter Vorlage entsprechender Kennzahlen geltend gemacht, dass es sich bei dem Angebot auf www.x(…).de um einen Marktplatz handelt, auf welchem nicht nur die X (…) GmbH & Co. KG selbst, sondern auch mehrere Tausend angeschlossene Dritthändler Waren vertreiben. Ein erheblicher Teil der Bestellungen bzw. der bestellten Waren betrifft (auch) Dritthändler. Das Kund*innenkonto ist damit das zentrale Informationsportal, um Informationen zu getätigten Bestellungen bzw. den Händlern nachvollziehen zu können, Kommunikation mit diesen zu führen und Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch zu nehmen. Aufgrund der sehr hohen Zahl an Bestellungen über www.x(…).de ist auch die Anzahl der entsprechenden nachgelagerten Kommunikations- und Bearbeitungsvorgänge sehr hoch.
Es besteht ein erhebliches Interesse des Unternehmens daran, diese Vorgänge in möglichst effizienter Weise darzustellen und verfügbar zu machen. All diese Informationen und Funktionen im Kund*innenkonto abbilden und zugänglich machen zu können, bietet dabei erhebliche Effizienzvorteile gegenüber der ausschließlich individuellen Beantwortung von E-Mails oder Telefonanrufen. Dies gilt auch bei nur einer einzigen Bestellung. In diesem Sinne wertet der HmbBfDI die in dem Beschluss der DSK als Voraussetzung genannte, ausnahmsweise Erforderlichkeit eines fortlaufenden Kund*innenkontos zur Vertragserfüllung nicht lediglich als auf den Verkauf einer Ware, sondern auch auf die unternehmensseitige Notwendigkeit bezogen, sämtliche im Rahmen der Zurverfügungstellung des Marktplatzes www.x(…).de anfallenden Kund*innenanfragen bewältigen und die Kund*innen zum großen Teil auch auf die Informationen und Funktionen im Kund*innenkonto verweisen zu können."
Und weiter:
"b) Bei der Erstellung eines Kund*innenkontos auf www.x(…).de wird im Vergleich zu einer hypothetischen Gastbestellung ausschließlich das Passwort als zusätzliches Datum erhoben. Die Eingriffsintensität für Kund*innen ist damit vergleichsweise gering. Die Erhebung sämtlicher weiterer Angaben wäre auch bei einer Bestellung als Gast in datenschutzrechtlicher Hinsicht nicht zu beanstanden.
Die Datenerhebung (im Wesentlichen Name, Anschrift, Kontaktdaten, Geburtsdatum, Telefonnummer) ist insoweit entweder erforderlich, um das Geschäft durchzuführen (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) oder liegt im überwiegenden berechtigten Interesse des Unternehmens, insbesondere zur Betrugsprävention bzw. der Verhinderung von Identitätstäuschungen (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO i.V. m. Erwägungsgrund 47 zur DSGVO). In datenschutzrechtlicher Hinsicht ist zudem sowohl sicher als auch datensparsam, dass sich Kund*innen unter Verwendung eines von ihnen gewählten Passwortes in das Kund*innenkonto einloggen und auf die dort hinterlegten Informationen selbst zugreifen können. Die Alternative hierzu, sich bei jedem Kontakt mit der X(…) GmbH & Co. KG und/oder den Dritthändlern unter Angabe verschiedener personenbezogener Daten zu identifizieren, ist unter Gesichtspunkten des Datenschutzes unvorteilhaft. (…)
d) Daraus folgt, dass der einzige Unterschied in der unternehmensseitigen Datenverarbeitung bei dem Anlegen eines Kund*innenkontos und somit der Grund für die erhöhte Eingriffsintensität damit nicht in einer zusätzlichen Erhebung von Daten besteht, sondern in der Schaffung einer individuellen Zugangsmöglichkeit der Kund*innen zu den eigenen, im Kund*innenkonto hinterlegten personenbezogenen Daten.
Hiermit ist die theoretische Gefahr verbunden, dass unbefugte Dritte diese Zugangsmöglichkeit nutzen. Zur Minimierung dieser Gefahr besteht allerdings die Möglichkeit, nach Abschluss der Bestellung die Löschung des Kontozugangs zu verlangen. Zwar entfällt damit die Möglichkeit, selbst auf die dort verfügbaren Dienste und Informationen zuzugreifen. Mit der Löschung des Kontozugangs ist die Bestellung dann aber im Ergebnis einer Gastbestellung gleichgestellt. Auch ohne ein diesbezüglich ausdrückliches Verlangen wird der Zugang automatisch gelöscht, sofern über das Kund*innenkonto innerhalb von drei Jahren ab Jahresende (§§ 195, 199 BGB) keine weitere Bestellung erfolgt.
Erfolgt das Anlegen eines Kund*innenkontos ohne Bestellung, so wird es bereits nach 30 Tagen gelöscht.
e) Zusammengefasst stellt die X(…) GmbH & Co. KG auf www.X(…).de einen [Marktplatz] mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an.
Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kund*innenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden."
Dieser Argumentation schloss sich das LG Hamburg nahtlos an.
Aufgrund der Tatsache, dass lediglich ein zusätzliches Passwort verlangt werde, sei es angemessen, eine Registrierung zu verlangen und keinen Gastzugang anzubieten:
"Diese Auffassung teilt die Kammer im Ergebnis.
Die Beklagte hat hinreichende Gründe dafür dargelegt, für eine Bestellung auf dem von ihr betriebenen [Marktplatz] mit an diesen angeschlossenen Dritthändlern die Anlage eines fortlaufenden Kundenkontos zu verlangen und daneben keinen Gastzugang anzubieten, und die im Rahmen der Anlage eines derartigen Kundenkontos erfolgende Datenerhebung und -verarbeitung durch die Beklagte trägt den Grundsätzen der Datenminimierung und der datenschutzfreundlichen Voreinstellungen zur Überzeugung des Gerichts hinreichend Rechnung. (…)
Im Ergebnis der von der Kammer vorzunehmenden Gesamtbetrachtung und unter Zugrundelegung des Schutzzwecks der Grundsätze der Datenminimierung und der datenschutzfreundlichen Voreinstellungen ist es vorliegend damit erforderlich und verhältnismäßig, für eine Bestellung im Online-Shop der Beklagten das Anlegen eines fortlaufenden Kundenkontos durch den Besteller zu verlangen, mit der damit einhergehenden Datenerhebung und -verarbeitung. (…)
Zudem überwiegen im Rahmen der praktischen Bestellabwicklung für den Verbraucher die Vorteile, die ein fortlaufendes Kundenkonto auf dem Online-Marktplatz der Beklagten mit sich bringt, gegenüber einem etwaigen, mit der Verpflichtung, bei der Anlegung eines solchen Kontos insbesondere auch ein Passwort anzugeben, verbundenen Nachteil."
b. Nutzung zu Werbezwecken nach Art. 6 f) DSGVO gerechtfertigt:
Ebenso wenig sah das Gericht in den Klauseln zur Datennutzung eine Datenschutzverletzung.
Vielmehr sei das Handeln durch die berechtigten Interessen nach Art. 6 Abs.1 f) DSGVO gerechtfertigt.
"Gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine Datenverarbeitung aber dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Nach Erwägungsgrund 47 (letzter Satz) zur DSGVO kann ein derartiges berechtigtes Interesse von Unternehmen an einer Datenverarbeitung zum Zwecke der Direktwerbung bestehen. Von einem Erfordernis einer Einwilligung in eine Datenverarbeitung zu Zwecken der Direktwerbung hat der Unionsgesetzgeber daher auch Abstand genommen und sich, wie in Art. 21 Abs. 2 DSGVO normiert, für ein Widerspruchsrecht des Betroffenen entschieden, wie es Ziff. 3.2.1 der Datenschutzerklärung auch enthält.
Soweit „Direktwerbung“ ein Minus gegenüber personalisierten Werbemitteln sein kann, da sich „Direktwerbung“ auch auf die bloße Nutzung von E-Mail-Adressen für die Zusendung eines breit gefächerten und nicht durch die Verwendung weiterer Nutzerdaten eingeschränkten Angebots beschränken kann, erkennt der Unionsgesetzgeber aber auch die Auswertung des Bestellverhaltens eines Kunden zur (weiteren) Personalisierung von Werbemitteln als zulässiges Marktverhalten an, namentlich in Art. 13 Abs. 2 der RL 2002/58/EG vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).
Danach kann „eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung […] deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat“. Auch vor dem Hintergrund der hieraus folgenden unionsrechtlichen Zulässigkeit der Auswertung der Bestellhistorie eines Kunden durch den Betreiber eines Online-Marktplatzes zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen besteht danach ein überwiegendes berechtigtes Interesse der Beklagten i. S. v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO an einer dahingehenden Datenverarbeitung und -verwendung."
Und weiter:
"Ein danach verbleibendes, über die Wahrung überwiegender berechtigter Interessen hinausgehendes und daher etwaig unzulässiges Verhalten der Beklagten auf der Grundlage von Ziff. 3.2.1 ihrer Datenschutzerklärung kann die Kammer nicht feststellen.
Dem Klägervortrag können auch keine tatsächlichen Anhaltspunkte für ein diese Voraussetzungen erfüllendes – drohendes – Verhalten der Beklagten entnommen werden.
Ein solches konkretisierbares Verhalten, dass über ein von Art. 13 Abs. 2 der RL 2002/58/EG legitmiertes Vorgehen hinausginge, lässt sich insbesondere auch der Datenschutzerklärung der Beklagten nicht entnehmen. Wenn darin beispielhaft die Heranziehung der „Kategorien von gekauften Waren (z.B.,Mode'), die sie bei X (…) erworben haben, für die Personalisierung von Werbemitteln“ die Rede ist, stellt eine solche Maßnahme gerade die Verarbeitung von Daten zur „Direktwerbung für eigene ähnliche Produkte“ im Sinne von Art. 13 Abs. 2 der RL 2002/58/EG dar."