Werbliche Verwendung personenbezogener Daten beim Online-Handel: Gastzugang im Shop nicht zwingend

Das Hanseatische Oberlandesgericht Hamburg hat in einem aktuellen Urteil vom 27.02.2025 (Aktenzeichen: 5 U 30/24) wichtige Fragen zur wettbewerbsrechtlichen Zulässigkeit der werblichen Verwendung personenbezogener Daten beim Online-Handel entschieden. Der Fall betraf einen Streit zwischen einem Verbraucherverband und einem Handels- und Dienstleistungsunternehmen, das einen Online-Marktplatz betreibt. Der Verbraucherverband hatte gegen das Unternehmen lauterkeitsrechtliche Unterlassungsansprüche geltend gemacht, insbesondere wegen fehlender Bereitstellung eines sogenannten Gastzugangs zur Bestellung im Online-Handel und wegen der werblichen Verwendung personenbezogener Daten.

Inhalte Anzeigen

Sachverhalt

Der Kläger, ein eingetragener Verein zur Wahrnehmung kollektiver Verbraucherinteressen, machte geltend, dass die Beklagte, ein Handels- und Dienstleistungsunternehmen, gegen datenschutzrechtliche Vorschriften verstoße. Die Beklagte betreibt einen Online-Marktplatz, auf dem sowohl sie selbst als auch andere Händler Waren anbieten. Verbraucher können auf der Webseite der Beklagten nur nach Anlegung eines Kundenkontos Waren bestellen. Bei der Registrierung müssen Nutzer verschiedene Daten angeben, darunter Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl, Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Passwort. Die Beklagte stellt keinen Gastzugang bereit, der auf eine dauerhafte Registrierung verzichtet und nur die zur Durchführung des Vertrages erforderlichen personenbezogenen Daten erfasst.

Der Kläger forderte die Beklagte auf, einen solchen Gastzugang bereitzustellen und die werbliche Verwendung personenbezogener Daten aus der Vertrags- und Bestellhistorie der Kunden ohne deren informierte Einwilligung zu unterlassen. Das Landgericht Hamburg hatte die Klage abgewiesen, woraufhin der Kläger Berufung einlegte.

Gastzugang in Online-Shops und die DSGVO

Juristische Problemstellungen

Das Hanseatische Oberlandesgericht Hamburg hat die Berufung des Klägers zurückgewiesen und die Entscheidung des Landgerichts bestätigt. Das Gericht hat sich dabei mit mehreren zentralen Rechtsfragen auseinandergesetzt:

Datenminimierung und Erforderlichkeit der Datenverarbeitung

Der Kläger hatte geltend gemacht, dass die Beklagte gegen den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c) DSGVO verstoße, indem sie keinen Gastzugang bereithalte und somit mehr Daten erhebe, als für die Durchführung des Vertrages erforderlich seien. Das Gericht hat dies jedoch anders gesehen. Es hat festgestellt, dass die Erhebung der Daten, einschließlich des Geburtsdatums und der Telefonnummer, für die Prüfung der Volljährigkeit des Nutzers, die Zustellung der Waren und die Betrugsprävention erforderlich sei. Die Verarbeitung dieser Daten sei gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) und f) DSGVO rechtmäßig:

Der Grundsatz der Datenminimierung wird (…) nicht verletzt. Entscheidend ist insoweit nicht die Begrifflichkeit, sondern die Einhaltung der Vorgaben insbesondere des Art. 5 Abs. 1 lit. c) DSGVO. Zusammengefasst stellt die Beklagte (…) einen Online-Handelsmarktplatz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an.

Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kundenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kundenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten praktisch keine Unterschiede.

In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist. (…)

Die Erhebung des Geburtsdatums und der Telefonnummer bei der Registrierung bzw. Anlage eines Kundenkontos bei der Beklagten sind, wie von der Beklagten substantiiert dargelegt, jedenfalls gemäß § 6 Abs. 1 UAbs. 1 lit. b) DSGVO zur Prüfung der Volljährigkeit des jeweiligen Nutzers als Voraussetzung einer Bestellung bzw. für die Zustellung bestellter Waren durch ein Speditionsunternehmen in einem mit dem Nutzer vorher telefonisch vereinbarten Zeitfenster erforderlich. Schon deshalb ist die Verarbeitung nicht generell unzulässig.

Die Erhebung des Geburtsdatums ist daneben und vor allem gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO auch zur Abfrage von Bonitätsdaten bei Auskunfteien sowie zur Betrugsprävention und gemäß § 6 Abs. 1 UAbs. 1 lit. c) DSGVO für eine Sanktionslistenprüfung erforderlich. Für eine eindeutige Identifikation des Kunden ist das Geburtsdatum ersichtlich unentbehrlich.

Insoweit genügt eine schlichte Abfrage der Volljährigkeit nicht, zumal dann auch die Möglichkeit bzw. Gefahr der Aufdeckung einer falschen Angabe kaum besteht. Soweit die Parteien darüber streiten, ob eine Bonitäts- und Betrugsprüfung nur bei unsicheren Zahlungsarten, insbesondere der Zahlung per Rechnung, erforderlich sei, erachtet der Senat die Notwendigkeit einer Betrugsprüfung, wie von der Beklagten geltend gemacht, auch bei vermeintlich sicheren Zahlungsarten, etwa der Zahlung per Kreditkarte oder PayPal, für gegeben mit der Folge, dass das Geburtsdatum auch nicht bei bestimmten Bestellungen mit Lieferung gegen Vorkasse entbehrlich ist (…). Insoweit kann auf die hinsichtlich ihrer Richtigkeit auch vom Kläger nicht durchgreifend in Zweifel gezogene Kriminalitätsstatistik (…) betreffend Betrug bzw. Computerbetrug mittels rechtswidrig erlangter unbarer Zahlungsmittel (z.B. EC-, Kreditkarte) verwiesen werden.

Das Gericht hat damit betont, dass der Grundsatz der Datenminimierung nicht verletzt sei, da die erhobenen Daten für die verfolgten Zwecke erheblich seien und deren Erhebung der Erreichung legitimer Ziele diene. Die Verarbeitung der personenbezogenen Daten sei auf das für die verfolgten Zwecke notwendige Maß beschränkt. Das Gericht hat sich dabei auf die Hinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) gestützt, die ebenfalls die Erforderlichkeit der Datenverarbeitung im Online-Handel betont haben.

Datenschutzfreundliche Voreinstellungen

Der Kläger hatte zudem geltend gemacht, dass die Beklagte gegen den Grundsatz datenschutzfreundlicher Voreinstellungen aus Art. 25 Abs. 2 DSGVO verstoße. Das Gericht hat dies jedoch verneint. Es hat festgestellt, dass die Beklagte geeignete technische und organisatorische Maßnahmen getroffen habe, um sicherzustellen, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Die Beklagte habe insbesondere sichergestellt, dass die Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Werbliche Verwendung personenbezogener Daten

Der Kläger hatte weiterhin gefordert, dass die Beklagte die werbliche Verwendung personenbezogener Daten aus der Vertrags- und Bestellhistorie der Kunden ohne deren informierte Einwilligung unterlasse. Das Gericht hat auch diesen Anspruch verneint. Es hat festgestellt, dass die Beklagte die Daten gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO zur Wahrung ihrer berechtigten Interessen verwenden dürfe, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.

Das Gericht hat betont, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO angesehen werden könne. Die Beklagte habe ein überwiegendes Interesse an der Verwendung der Daten zur Personalisierung von Werbemitteln, da dies der Förderung des elektronischen Handels diene. Das Gericht hat sich dabei auf die Wertungen in Art. 13 Abs. 2 der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) gestützt, die die Verwendung von elektronischen Kontaktinformationen für Direktwerbung unter bestimmten Voraussetzungen erlaubt.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Das Urteil des Hanseatischen Oberlandesgerichts Hamburg zeigt, dass die Anforderungen an die Datenminimierung und die datenschutzfreundlichen Voreinstellungen im Online-Handel hoch sind, aber auch, dass die werbliche Verwendung personenbezogener Daten unter bestimmten Voraussetzungen zulässig sein kann. Es bleibt abzuwarten, wie sich die Rechtsprechung in diesem Bereich weiterentwickeln wird.

Fazit

Das Hanseatische Oberlandesgericht Hamburg hat in seinem Urteil vom 27.02.2025 wichtige Fragen zur wettbewerbsrechtlichen Zulässigkeit der werblichen Verwendung personenbezogener Daten beim Online-Handel entschieden. Das Gericht hat festgestellt, dass die Erhebung und Verarbeitung personenbezogener Daten im Online-Handel gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) und f) DSGVO rechtmäßig sein kann, sofern die Daten für die Durchführung des Vertrages und die Wahrung berechtigter Interessen erforderlich sind. Das Gericht hat zudem betont, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO angesehen werden kann.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!