Darf ein Online-Shop eine Bestellung nur nach vorheriger Registrierung erlauben – ohne Gastzugang? Diese Frage hat das OLG Hamburg entschieden. Wann ein Kundenkonto datenschutzrechtlich zulässig ist und worauf Unternehmen achten sollten, zeigt dieser Beitrag.

Foto: Otto.de

Wer im Internet einkauft, möchte oft schnell und unkompliziert bestellen – möglichst ohne dauerhaftes Kundenkonto. Doch darf ein Online-Shop die Registrierung verpflichtend machen? Diese Frage hatte das Hanseatische Oberlandesgericht (OLG) im Fall des Online-Marktplatzes Otto.de zu klären. Die Richter entschieden, dass ein verpflichtendes Kundenkonto nicht gegen die Datenschutz-Grundverordnung (DSGVO) verstoße, wenn die damit verbundene Datenverarbeitung auf das notwendige Maß beschränkt sei und keine gleichwertige Alternative bestehe. Auch die werbliche Nutzung personenbezogener Daten könne unter bestimmten Voraussetzungen durch ein berechtigtes Interesse gedeckt sein (OLG Hamburg, Urteil vom 27.02.2025, Az. 5 U 30/24).

Verpflichtendes Kundenkonto bei Otto.de

Otto.de betreibt nicht nur einen eigenen Online-Versandhandel, sondern auch einen Online-Marktplatz, auf dem zahlreiche Dritthändler ihre Waren anbieten. Wer auf der Plattform einkaufen möchte, muss ein Kundenkonto anlegen und sich registrieren. Ein Gastzugang, also die Möglichkeit zur einmaligen Bestellung ohne Registrierung, wird nicht angeboten. Zudem behält sich Otto.de in seiner Datenschutzerklärung die werbliche Nutzung der Kundendaten vor, etwa zur personalisierten Werbung auf Grundlage früherer Einkäufe.


Neu für Unternehmen 🔥

Rundum-Datenschutz im Abo

Vermeiden Sie hohe Datenschutz-Bußgelder & Abmahnungen.
Mit unseren Datenschutz-Paketen ab 711 € mtl.

✓ Rechtssicherheit
✓ Abmahnschutz
✓ Persönliche Betreuung im Ernstfall

Die Anforderungen an den Datenschutz wechseln ständig: Hochautomatisierte Abmahnkanzleien spüren bestehende Datenschutzlücken in Sekunden auf und strafen Sie mit saftigen Bußgeldern ab! Bleiben Sie mit dem wöchentlichen Datenschutz-Update unserer Datenschutzpakete immer einen Schritt voraus. Mit dem Abmahnkostenschutz bieten wir Ihnen nicht nur Sicherheit, sondern auch die Gewissheit, dass Sie im Falle einer Abmahnung nicht allein sind.

Pakete entdecken →

Die Verbraucherzentrale Nordrhein-Westfalen sah darin einen Verstoß gegen datenschutzrechtliche Vorgaben. Sie berief sich auf einen Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) vom 24. März 2022. Darin wurde festgestellt, dass Onlinehändler grundsätzlich verpflichtet seien, auch Gastbestellungen zu ermöglichen. Die Pflicht zur Kontoerstellung sei mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO unvereinbar. Nach Ansicht der Verbraucherzentrale enthielten Kundenkonten regelmäßig mehr personenbezogene Daten als zur Vertragsabwicklung notwendig seien. Sie forderte daher, dass Otto.de künftig auch Bestellungen ohne vorherige Registrierung zulässt.

Nachdem eine außergerichtliche Abmahnung ohne Erfolg geblieben war, erhob die Verbraucherzentrale Klage vor dem Landgericht (LG) Hamburg. Dieses wies die Klage mit Urteil vom 22. Februar 2024 (Az. 327 O 250/22) ab. Die Verbraucherzentrale legte Berufung ein, die jedoch ebenfalls ohne Erfolg blieb. Das OLG Hamburg bestätigte das erstinstanzliche Urteil nun vollumfänglich.

Datenschutz: Diese Grundlagen sollten Sie kennen!

Datenminimierung und berechtigtes Interesse nach DSGVO

Das OLG führte aus, dass Otto.de durch die Verpflichtung zur Kontoerstellung nicht gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verstoßen habe. Dieser Grundsatz verlange, dass personenbezogene Daten nur im notwendigen Umfang verarbeitet werden dürften. Dabei komme es nicht auf eine absolute Begrenzung der Datenmenge an, sondern auf die Zweckbindung der Datenverarbeitung. Es sei entscheidend, ob die jeweiligen Daten für die Erreichung eines legitimen Zwecks erforderlich seien.

Das OLG kam zu der Überzeugung, dass die zentrale Organisation des Marktplatzes von Otto.de, auf dem sowohl Otto selbst als auch externe Anbieter Waren verkaufen, ohne ein einheitliches Kundenkonto nicht effizient umsetzbar sei. Die Registrierung ermögliche unter anderem eine standardisierte Kommunikation mit den Kunden, die Abwicklung von Rücksendungen sowie die Ausübung von Garantie- und Gewährleistungsrechten. Auch für die Verwaltung der Vielzahl beteiligter Händler sei eine zentrale Kontostruktur notwendig.

Die Möglichkeit einer Gastbestellung stelle nach Einschätzung des Gerichts kein gleichwertiges milderes Mittel dar, um die genannten Zwecke zu erreichen. Auch bei einer Gastbestellung müssten dieselben Daten – mit Ausnahme des Passworts – erhoben und verarbeitet werden. Der technische und organisatorische Aufwand sei bei einem getrennten System für Gastbestellungen hingegen höher. Otto.de habe zudem dargelegt, dass die Konten automatisch gelöscht würden, wenn sie längere Zeit nicht genutzt werden. Die Erhebung beschränke sich auf Daten, die zur Vertragsabwicklung erforderlich seien.

In seiner Begründung bezog sich das OLG auch auf eine amtliche Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), der im Rahmen einer vorherigen Prüfung ebenfalls zu dem Ergebnis gekommen war, dass im Fall von Otto.de eine Ausnahme vom Grundsatz der Gastbestellung gerechtfertigt sei. Der HmbBfDI verwies unter anderem auf die Struktur des Marktplatzes, die Vielzahl der angeschlossenen Händler sowie auf technische Maßnahmen wie die automatisierte Löschung inaktiver Konten. Diese Einschätzung sei auch vom LG Hamburg geteilt worden.

Der von der Verbraucherzentrale zitierte Beschluss der Datenschutzkonferenz vom März 2022 sei nach Auffassung des OLG zwar zu berücksichtigen, entfalte jedoch keine rechtlich bindende Wirkung. Es handele sich vielmehr um eine Orientierungshilfe im Sinne des sogenannten „Soft Law“. Die Gerichte seien nicht an den Beschluss gebunden, könnten dessen Wertungen aber in ihre rechtliche Prüfung einfließen lassen.

Otto.de erhebe die folgenden Angaben von Kunden: Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl, Wohnort, E-Mail-Adresse, Telefonnummer, Geburtsdatum sowie ein Passwort. Diese Daten seien im Rahmen der Bestellabwicklung erforderlich und damit zulässig. Die Adressdaten sowie die E-Mail-Adresse würden benötigt, um Bestellungen zu bestätigen und die Lieferung abzuwickeln. Das Geburtsdatum diene der Altersverifikation sowie der Betrugsprävention, insbesondere bei der Prüfung von Zahlungsarten. Auch die Telefonnummer sei zur Terminabstimmung bei Speditionslieferungen und zur Verhinderung von Identitätsmissbrauch erforderlich.

Otto.de habe dargelegt, dass Betrugsversuche regelmäßig mit erfundenen Daten erfolgten und anhand von Geburtsdatum und Telefonnummer Hinweise auf die Falschangaben erkannt werden könnten. Auch die Kriminalstatistik belege die Relevanz solcher Prüfungen, insbesondere im Zusammenhang mit unbaren Zahlungsmitteln wie Kreditkarten oder PayPal.

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!

Zur datenschutzfreundlichen Voreinstellung im Sinne von Art. 25 Abs. 2 DSGVO führte das OLG aus, dass Otto.de geeignete Maßnahmen ergriffen habe, um sicherzustellen, dass personenbezogene Daten nur in dem Umfang verarbeitet würden, wie es für den jeweiligen Zweck erforderlich sei. Dazu gehöre insbesondere die automatische Löschung nicht mehr genutzter Konten nach einer festgelegten Frist. Ein Zugriff durch unbeteiligte Dritte sei durch technische Schutzmaßnahmen ausgeschlossen. Die Anforderungen des Art. 25 Abs. 2 DSGVO seien damit erfüllt.

Auch die Nutzung der Daten zu Werbezwecken sei rechtmäßig. Otto.de berufe sich hierfür auf Art. 6 Abs. 1 lit. f DSGVO, der eine Datenverarbeitung erlaubt, wenn ein berechtigtes Interesse vorliegt und keine überwiegenden Interessen der betroffenen Person entgegenstehen. Das berechtigte Interesse bestehe hier in der Direktwerbung für eigene Produkte. Nach Erwägungsgrund 47 der DSGVO könne ein solches Interesse grundsätzlich gegeben sein. Eine Einwilligung sei daher nicht zwingend erforderlich. Entscheidend sei, dass den betroffenen Personen ein Widerspruchsrecht eingeräumt werde – was bei Otto.de der Fall sei.

Laut Gericht finde keine umfassende Auswertung des Nutzerverhaltens statt, sondern lediglich eine begrenzte Personalisierung auf Grundlage der gekauften Produktkategorien. Die Daten würden in pseudonymisierter Form verarbeitet und dienten ausschließlich der Aussteuerung von Werbung für ähnliche Produkte. Eine Nutzung durch Dritthändler finde nicht statt, sofern Otto.de nicht selbst für die Datenverarbeitung verantwortlich sei. In der Datenschutzerklärung des Unternehmens sei dies klar und nachvollziehbar dargelegt.

Abschließend stellte das OLG klar, dass die Möglichkeit der freiwilligen Entscheidung für oder gegen eine Bestellung bei Otto.de kein datenschutzrechtliches Kriterium darstelle. Auch wenn es Verbrauchern freistehe, andere Anbieter zu wählen, müssten die datenschutzrechtlichen Vorgaben bei der konkreten Datenverarbeitung erfüllt sein. Dies sei im Fall von Otto.de der Fall gewesen.

Was Unternehmen nun beachten müssen

Unternehmen, die im Online-Handel tätig sind, sollten prüfen, ob sie verpflichtet sind, eine Gastbestellung anzubieten oder ob Ausnahmen in Betracht kommen. Wer wie Otto.de einen Marktplatz mit Dritthändlern betreibt, kann die Pflicht zur Gastbestellung unter Umständen entfallen lassen – vorausgesetzt, die Gründe dafür sind nachvollziehbar dokumentiert und mit organisatorischen sowie technischen Maßnahmen zur Datenminimierung abgesichert.

Eine automatische Löschung inaktiver Konten, eine klare Begrenzung des Datenumfangs sowie transparente Informationen zur werblichen Nutzung personenbezogener Daten sind dabei zentrale Elemente, um die Anforderungen der DSGVO zu erfüllen. Unternehmen sollten zudem regelmäßig überprüfen, ob ihre Maßnahmen dem aktuellen Stand der Datenschutzpraxis und Rechtsprechung entsprechen.

Haben Sie eine Abmahnung erhalten, Fragen im Datenschutzrecht oder benötigen Sie eine dauerhafte Betreuung? Unsere Datenschutzexperten beraten Sie gerne zu allen Fragen des Datenschutzrechts. Kontaktieren Sie jederzeit einen unseren Experten gerne direkt für ein kostenloses Erstgespräch. Schreiben Sie uns Ihr Anliegen gerne im nachfolgenden Formular. Gemeinsam finden wir dann die optimale Lösung für Sie.