Warum der Datenschutz Gastbestellungen fordert

Das Beispiel Online-Shop / E-Commerce

Schon mehrfach haben die Datenschutzaufsichtsbehörden auf die Pflicht hingewiesen (PDF), die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung unterstützt die Bedeutung des Grundsatzes der Datenminimierung für Telemedien. Bereits 2011 () hatten die Aufsichtsbehörden für den Datenschutz erklärt (PDF): Anonymes und pseudonymes elektronisches Bezahlen von Internet-Angeboten muss ermöglicht werden!

Für Online-Shops hat die Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden zudem klargestellt (PDF): Auch im Online-Handel gilt der Grundsatz der Datenminimierung. Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.

Die zulässige Verarbeitung der personenbezogenen Daten hängt demnach im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen Kunden jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.

Anders bei einer anonymen Bezahlung tritt der Online-Kunde bei einer Bestellung, die zu einer physischen Lieferung führen soll, durchaus mit seiner Adresse und anderen notwendigen Daten zu seiner oder ihrer Person in Erscheinung. Aber es besteht nach Datenschutzsicht keine Pflicht, sich dafür zu registrieren. Insbesondere besteht keine Pflicht, bei einer unter Umständen vom Kunden gewünschten Registrierung Daten anzugeben, die für die eigentliche Bestellung gar nicht notwendig sind.

Gericht bestätigt Datenschutzbehörden

Ein Fall aus der Praxis: In einer beschwerdeunabhängigen Prüfung hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im Januar 2025 relevante Hamburger Onlineshops unter die Lupe genommen. Bei einem großen Versandhaus mit dem Schwerpunkt Bekleidung wurde festgestellt, dass der Onlineshop keine Bestellmöglichkeit als Gast anbot. Einkäufe waren daher nur nach dem Anlegen eines dauerhaften Kundenkontos möglich. Der HmbBfDI forderte das Unternehmen dazu auf, in Zukunft Gastbestellungen zu ermöglichen, um den datenschutzrechtlichen Anforderungen zu entsprechen. Das Unternehmen richtete daraufhin eine solche Bestellmöglichkeit ein.

Ebenfalls wichtig: Obwohl Onlinehändler grundsätzlich verpflichtet sind, Gastbestellungen anzubieten, können Ausnahmen zugelassen werden, wenn es dafür gute Gründe gibt. Die Datenschutz-Grundverordnung (DSGVO) schreibt nicht ausdrücklich vor, wie Onlineshops dem Grundsatz der Datenminimierung konkret gerecht werden müssen. Daher erlaubt die Datenschutzkonferenz Abweichungen, wenn das Erfordernis durch andere Maßnahmen umgesetzt wird.

Ein wesentlicher Grund für das berechtigte Interesse, Bestellungen nur nach Anlage eines Kundenkontos entgegenzunehmen, ist die besondere Stellung als Onlinemarktplatz, erläutert die Aufsichtsbehörde. Das Hanseatische Oberlandesgericht hat nun am 27. Februar 2025 die Auffassung des HmbBfDI in zweiter Instanz bestätigt (Az. 5 U 30/24). Wie schon das Landgericht zuvor hat es eine Klage der Verbraucherzentrale Nordrhein-Westfalen abgewiesen, mit der ein bestimmter Online-Händler verpflichtet werden sollte, Gastbestellungen anzubieten.

Die Pflicht zur Einrichtung eines Kundenkontos für eine Bestellung verstieß nach Ansicht des Landgerichts aber nicht gegen das Gebot der Datenminimierung, wenn das Konto nach einer bestimmten Inaktivitätsperiode automatisch gelöscht wird und nur Daten erhoben werden, die für die Abwicklung des Vertrags notwendig sind. Zudem sind die Daten nach Ablauf der Gewährleistungsfristen auszusondern und nach Ablauf der Aufbewahrungsfristen zu löschen.

Der HmbBfDI wird bei Onlinehändlern in seinem Zuständigkeitsbereich weiterhin überprüfen, ob sie ihrer Verpflichtung nachkommen, Gastbestellungen zu ermöglichen. Lediglich in gut begründeten Ausnahmefällen kann davon abgesehen werden.

In Zweifelsfällen sollten Onlinehändler grundsätzlich davon ausgehen, dass sie dazu verpflichtet sind, einen Gastzugang für Bestellungen anzubieten. Wer auf einen Gastzugang verzichtet, sollten die im Beschluss der DSK sowie in den Gerichtsurteilen etablierten Parameter für eine Ausnahme sorgfältig mit der eigenen Situation abgleichen.

Auch andere Branchen sollten an Datenminimierung denken

Wer nun nicht im E-Commerce tätig ist und keinen Online-Shop betreibt, sollte das Beispiel der Gastbestellungen trotzdem ernst nehmen und daraus lernen. Auf den ersten Blick mag es angemessen und richtig erscheinen, einen neuen Kunden nur gegen Registrierung bestellen zu lassen. Doch für eine einzelne Bestellung ist dies gar nicht notwendig und fällt deshalb unter den Grundsatz der Datenminimierung. Natürlich würde sich das Unternehmen die Registrierung wünschen, aber allein dieser Umstand ist keine Rechtfertigung für eine Pflicht zur Registrierung. Datenminimierung sollte deshalb immer mitgedacht werden, in jeder Branche.