Die Pflicht zur Erstellung eines Kundenkontos im Onlinehandel bleibt ein rechtlicher Dauerbrenner. Während deutsche Gerichte hier zuletzt eine gewisse Offenheit zeigten, verschärfen die europäischen und deutschen Datenschutzbehörden ihre Gangart. Der Trend auf europäischer Ebene ist unmissverständlich. Ein Gastzugang soll der Standard sein und eine Registrierungspflicht die Ausnahme bleiben. Darauf weist das European Data Protection Board (EDPB) in seinen Empfehlungen zur Kontoerstellung im Onlinehandel hin. Verpflichtende Kundenkonten und der Verzicht auf einen Gastzugang könnten damit zunehmend in den Fokus der Datenschutzaufsichtsbehörden rücken. In unserem nachfolgenden Beitrag geben wir Ihnen einen Überblick zum aktuellen Meinungsstand und zeigen auf, wie sich Online-Händler verhalten sollten.
Was besagt die Empfehlung des EDPB?
Der Europäische Datenschutzausschuss empfiehlt seit Dezember 2025, dass Kund:innen in Online-Shops auch ohne Kundenkonto einkaufen können sollten. Käufer:innen sollen zwischen einem Gastzugang und einer freiwilligen Registrierung frei wählen können. Eine Pflicht zur Kontoerstellung hält das EDPB nur in wenigen, eng umrissenen Konstellationen für rechtmäßig. Dies ist beispielsweise dann der Fall, wenn das Konto selbst integraler Vertragsbestandteil ist, wie etwa bei Abo- oder Membership-Modellen mit fortlaufenden Leistungen. Das EDPB betont dabei, dass Art. 6 Abs. 1 lit. b DSGVO eine allgemeine Registrierungspflicht in typischen Online-Shops regelmäßig nicht trägt und dass eine Einwilligung für das Konto nicht freiwillig ist, wenn Kund:innen ohne Konto nicht kaufen können.
Wie positioniert sich die DSK in ihrem Beschluss aus 2022?
Der Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder stellte bereits 2022 fest, dass Online-Händler ihren Kund:innen grundsätzlich einen Gastzugang anbieten müssen.
Die DSK stützte dies auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Für die Abwicklung eines einzelnen Kaufs seien nur die dafür erforderlichen Daten zu verarbeiten. Ein dauerhaftes Konto gehe darüber hinaus und verlange eine zusätzliche, tragfähige Rechtsgrundlage. Nur in besonderen Einzelfällen, beispielsweise bei bestimmten Fachhändlern oder Konstellationen, in denen ein fortlaufendes Konto ausnahmsweise für die Vertragserfüllung erforderlich ist, hält die DSK ein Modell ohne Gastzugang für zulässig. In diesen Fällen muss aber immer der Grundsatz der Datenminimierung beachtet werden, was bedeutet, dass inaktive Konten regelmäßig zu löschen sind. Zugleich betonte die DSK, dass die Auswertung der Vertragshistorie für Werbezwecke eine informierte Einwilligung erfordere und nicht pauschal über berechtigte Interessen gerechtfertigt werden könne.
Was sagt die deutsche Rechtsprechung?
Das Landgericht Hamburg stellte 2024 fest, dass ein Gastzugang nicht ausnahmslos erforderlich sei und dass die bloße Pflicht zur Anlage eines Kontos nicht automatisch gegen den Grundsatz der Datenminimierung verstoße.
In dem Fall ging es um ein Kundenkonto eines Online-Händlers, für dessen Registrierung nur die vertraglich erforderlichen Informationen im Sinne von Art. 6 Abs. 1 lit. b DSGVO notwendig waren. Im Vergleich zu einem hypothetischen Gastkonto war für das Kundenkonto nur die Angabe eines zusätzlichen Passworts erforderlich. Vor diesem Hintergrund sah das LG keinen Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO und auch keinen Raum für eine zusätzliche Einwilligung.
Für weitere Zwecke wie Betrugsprävention, Identitätssicherung und die Direktwerbung auf Basis der Bestellhistorie bejahte das Gericht darüber hinaus ein berechtigtes Interesse des Händlers nach Art. 6 Abs. 1 lit. f DSGVO und verwies dabei u.a. auf Erwägungsgrund 47 DSGVO, der Direktwerbung ausdrücklich als mögliches berechtigtes Interesse nennt. Die Interessenabwägung falle in diesem Fall zugunsten des Unternehmens aus, da sich die Nutzung der Daten auf eigene ähnliche Produkte beschränke, die Kund:innen über ihr Widerspruchsrecht informiert würden und ihnen jederzeit ein einfacher Opt-out zur Verfügung stehe. Das OLG Hamburg bestätigte nachträglich diese Linie und auch die Hamburger Aufsichtsbehörde hält das Vorgehen für vertretbar.
Was ist die Linie der europäischen Aufsichtsbehörden?
2024 markierte wiederum die finnische Bußgeldentscheidung gegen Verkkokauppa.com eine „harte“ Aufsichtslinie. Verkkokauppa.com hatte es Kund:innen unmöglich gemacht, ohne Registrierung zu bestellen. Zugleich waren für die Kundendaten keine Speicherfristen definiert, sodass Bestelldaten in Kundenkonten faktisch auf unbestimmte Zeit vorgehalten wurden. Die finnische Aufsicht stellte in ihrer Entscheidung klar, dass die Erstellung eines Kundenkontos oder die daraus folgende Datenspeicherung keine Voraussetzung für einzelne Online-Käufe sein darf und somit die Praxis der verpflichtenden Registrierung in diesem Fall rechtswidrig war. Neben einem Bußgeld von 856.000 Euro ordnete die Behörde zudem an, angemessene Speicherfristen zu definieren und den Kontozwang zu beenden. Anders als bei dem Hamburger Urteil ging es hier aber nicht um ein besonderes Marktplatzmodell, sondern um einen „klassischen“ Online-Händler mit klaren Defiziten bei der Speicherbegrenzung.
Wie passt das alles zusammen?
Im Zusammenspiel dieser Positionen zeichnet sich insgesamt ein relativ klares Bild ab, auch wenn einzelne Akzente unterschiedlich gesetzt werden. Die DSK und das EDPB sehen den Gastzugang als Regelfall. Die Möglichkeit, ohne Konto zu bestellen, soll der Standard sein und eine Pflicht zur Kontoerstellung bedarf einer engen, funktionalen Begründung, typischerweise als Bestandteil eines spezifischen Geschäftsmodells wie bei Abos, Spezial- oder Marktplatzkonstellationen. Die DSK verlangt für die Auswertung der Vertragshistorie zu Werbezwecken eine Einwilligung der betroffenen Personen und akzeptiert keine bloße Interessenabwägung. Die finnische Behörde legte den Schwerpunkt auf die fehlende Löschung und zeigt, wie streng manche Aufsichten durchgreifen können.
Die Hamburger Rechtsprechung bleibt dem Grundgedanken der DSK insoweit treu, als dass sie den DSK-Beschluss ausdrücklich als Wertungsrahmen heranzieht und die Möglichkeit einer Ausnahme nur für einen strukturell besonderen Marktplatz mit zahlreichen Dritthändlern und hohem Service- und Retourenvolumen vorsieht. Neu und kontrovers ist allerdings, dass sich im konkreten Fall das Kundenkonto datenschutzrechtlich nicht von einer Gastbestellung unterscheide und somit der Grundsatz der Datenminimierung nicht verletzt werde. Zum anderen sei die Inanspruchnahme berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO sowohl für bestimmte zusätzliche Zwecke zur Betrugsprävention als auch für die Auswertung der Bestellhistorie zu Direktwerbezwecken nach Ansicht des Gerichts möglich. Diese Auslegung wird von den Vorgaben des EDPB nicht getragen, das hierfür ein gesondertes Einverständnis verlangen.
Generell muss auch berücksichtigt werden, dass sich die Rechtsprechung des LG Hamburg auf einen Einzelfall bezieht und die speziellen Umstände der Marktplatzsituation berücksichtigt wurden. Die Entscheidung ist daher mit Vorsicht zu genießen und nicht als Grundsatzentscheidung für Online-Händler zu verstehen. Ein Kontozwang ist somit nicht der Normalfall, sondern eine begründungspflichtige Ausnahme. Das bedeutet ein klares Risiko vor allem für KMU, denn das faktische Verbot von Lock-in-Modellen trifft gerade diese kleineren Unternehmen besonders.
Wie lauten unsere Empfehlungen?
- Gastbestellung als Regelfall etablieren
Bieten Sie in Online-Shops einen vollwertigen Bestellweg ohne Konto an. Das Kundenkonto sollte eine freiwillige Zusatzoption sein. - Kundenkonto nur in begründeten Ausnahmen verlangen
Verzichten Sie auf eine Registrierungspflicht, es sei denn, Sie betreiben einen komplexen Marktplatz oder ein echtes Abo-Modell, bei dem das Konto zur vertraglichen Leistung gehört. Dokumentieren Sie die Gründe für jede Ausnahme genau. - Rechtsgrundlagen bewusst wählen und dokumentieren
Für die Bestellabwicklung können Sie sich meist auf Art. 6 Abs. 1 lit. b DSGVO stützen. Wollen Sie die Bestellhistorie darüber hinaus nutzen, brauchen Sie bei Art. 6 Abs. 1 lit. f DSGVO eine belastbare Interessenabwägung, transparente Information und ein Opt-out. - Datenminimierung und automatische Löschung umsetzen
Erheben Sie im Konto nur Daten, die für den Vertrag, gesetzliche Pflichten oder klar definierte Zwecke nötig sind. Richten Sie automatisierte Löschmechanismen ein. - Marketing zurückhaltend gestalten
Nutzen Sie Konto- und Bestelldaten für Marketing oder Personalisierung nur vorsichtig und transparent. Außerhalb des Bestandskundenprivilegs ist eine freiwillige Einwilligung der sicherere Weg.
Benötigen Sie rechtliche Unterstützung bei der datenschutzkonformen Gestaltung Ihrer digitalen Geschäftsmodelle? Melden Sie sich gerne hier.
Fazit
Die Anforderungen an die rechtskonforme Ausgestaltung von Consent-Bannern sind in der Praxis noch nicht in jedem Detail abschließend geklärt. Mit Hilfe der Handreichungen und Orientierungshilfen der Aufsichtsbehörden lassen sich aber zumindest klare Aussagen darüber treffen, welche Vorgaben verbindlich sind, und welche Gestaltungsvarianten vermieden werden sollten. So können die Risiken von Abmahnungen oder Sanktionen der Aufsichtsbehörden wirksam minimiert werden.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.
Leon Frommhold ist Jurist und Referendar bei der Datenschutzkanzlei.