
leungchopan - stock.adobe.com
Warum der Datenschutz Gastbestellungen fordert
Online-Shops müssen in aller Regel Gastbestellungen zulassen, so will es der Datenschutz. Dies zeigt, wie Datenminimierung in der Praxis aussieht. Jede Branche kann daraus lernen.
Datenminimierung gehört zu den Grundprinzipien im Datenschutz. So fordert die DSGVO: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Daraus folgt: Benötigt man bestimmte Daten nicht für den angestrebten Zweck, darf man sie auch nicht erheben und verarbeiten. Um es einmal so zu sagen: „Nice to have“ ist bei personenbezogenen Daten kein zulässiger Grund für die Erhebung, Speicherung und anderweitige Verarbeitung von Daten. Gerade mit Blick auf die Neigung, in Zeiten von KI (künstliche Intelligenz) möglichst alles zu speichern, ist es wichtig, sich das Datenschutz-Prinzip der Datenminimierung zu vergegenwärtigen.
Doch wie sieht das in der Praxis aus? Wie erkennt man, ob bestimmte Daten mit Personenbezug für den Zweck angemessen und erheblich und auf das notwendige Maß beschränkt sind?
Das Beispiel Online-Shop / E-Commerce
Schon mehrfach haben die Datenschutzaufsichtsbehörden auf die Pflicht hingewiesen (PDF), die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Diese Regelung unterstützt die Bedeutung des Grundsatzes der Datenminimierung für Telemedien. Bereits 2011 () hatten die Aufsichtsbehörden für den Datenschutz erklärt (PDF): Anonymes und pseudonymes elektronisches Bezahlen von Internet-Angeboten muss ermöglicht werden!
Für Online-Shops hat die Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden zudem klargestellt (PDF): Auch im Online-Handel gilt der Grundsatz der Datenminimierung. Danach sind nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich sind.
Die zulässige Verarbeitung der personenbezogenen Daten hängt demnach im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollen oder eine dauerhafte Geschäftsbeziehung anstreben. Dazu müssen Kunden jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder ob sie bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.
Anders bei einer anonymen Bezahlung tritt der Online-Kunde bei einer Bestellung, die zu einer physischen Lieferung führen soll, durchaus mit seiner Adresse und anderen notwendigen Daten zu seiner oder ihrer Person in Erscheinung. Aber es besteht nach Datenschutzsicht keine Pflicht, sich dafür zu registrieren. Insbesondere besteht keine Pflicht, bei einer unter Umständen vom Kunden gewünschten Registrierung Daten anzugeben, die für die eigentliche Bestellung gar nicht notwendig sind.
Gericht bestätigt Datenschutzbehörden
Ein Fall aus der Praxis: In einer beschwerdeunabhängigen Prüfung hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im Januar 2025 relevante Hamburger Onlineshops unter die Lupe genommen. Bei einem großen Versandhaus mit dem Schwerpunkt Bekleidung wurde festgestellt, dass der Onlineshop keine Bestellmöglichkeit als Gast anbot. Einkäufe waren daher nur nach dem Anlegen eines dauerhaften Kundenkontos möglich. Der HmbBfDI forderte das Unternehmen dazu auf, in Zukunft Gastbestellungen zu ermöglichen, um den datenschutzrechtlichen Anforderungen zu entsprechen. Das Unternehmen richtete daraufhin eine solche Bestellmöglichkeit ein.
Ebenfalls wichtig: Obwohl Onlinehändler grundsätzlich verpflichtet sind, Gastbestellungen anzubieten, können Ausnahmen zugelassen werden, wenn es dafür gute Gründe gibt. Die Datenschutz-Grundverordnung (DSGVO) schreibt nicht ausdrücklich vor, wie Onlineshops dem Grundsatz der Datenminimierung konkret gerecht werden müssen. Daher erlaubt die Datenschutzkonferenz Abweichungen, wenn das Erfordernis durch andere Maßnahmen umgesetzt wird.
Ein wesentlicher Grund für das berechtigte Interesse, Bestellungen nur nach Anlage eines Kundenkontos entgegenzunehmen, ist die besondere Stellung als Onlinemarktplatz, erläutert die Aufsichtsbehörde. Das Hanseatische Oberlandesgericht hat nun am 27. Februar 2025 die Auffassung des HmbBfDI in zweiter Instanz bestätigt (Az. 5 U 30/24). Wie schon das Landgericht zuvor hat es eine Klage der Verbraucherzentrale Nordrhein-Westfalen abgewiesen, mit der ein bestimmter Online-Händler verpflichtet werden sollte, Gastbestellungen anzubieten.
Die Pflicht zur Einrichtung eines Kundenkontos für eine Bestellung verstieß nach Ansicht des Landgerichts aber nicht gegen das Gebot der Datenminimierung, wenn das Konto nach einer bestimmten Inaktivitätsperiode automatisch gelöscht wird und nur Daten erhoben werden, die für die Abwicklung des Vertrags notwendig sind. Zudem sind die Daten nach Ablauf der Gewährleistungsfristen auszusondern und nach Ablauf der Aufbewahrungsfristen zu löschen.
Der HmbBfDI wird bei Onlinehändlern in seinem Zuständigkeitsbereich weiterhin überprüfen, ob sie ihrer Verpflichtung nachkommen, Gastbestellungen zu ermöglichen. Lediglich in gut begründeten Ausnahmefällen kann davon abgesehen werden.
In Zweifelsfällen sollten Onlinehändler grundsätzlich davon ausgehen, dass sie dazu verpflichtet sind, einen Gastzugang für Bestellungen anzubieten. Wer auf einen Gastzugang verzichtet, sollten die im Beschluss der DSK sowie in den Gerichtsurteilen etablierten Parameter für eine Ausnahme sorgfältig mit der eigenen Situation abgleichen.
Auch andere Branchen sollten an Datenminimierung denken
Wer nun nicht im E-Commerce tätig ist und keinen Online-Shop betreibt, sollte das Beispiel der Gastbestellungen trotzdem ernst nehmen und daraus lernen. Auf den ersten Blick mag es angemessen und richtig erscheinen, einen neuen Kunden nur gegen Registrierung bestellen zu lassen. Doch für eine einzelne Bestellung ist dies gar nicht notwendig und fällt deshalb unter den Grundsatz der Datenminimierung. Natürlich würde sich das Unternehmen die Registrierung wünschen, aber allein dieser Umstand ist keine Rechtfertigung für eine Pflicht zur Registrierung. Datenminimierung sollte deshalb immer mitgedacht werden, in jeder Branche.