Be my Guest!? Kundenabwicklungsprozesse im Onlineshop datenschutzkonform gestalten

Viele Onlineshops verlangen vor Abschluss einer Bestellung die Erstellung eines Kundenkontos. Teilweise ist dies optional („Bestellung als Gast“ möglich), teilweise zwingend.

Der Europäische Datenschutzausschuss (EDSA) hat jüngst einen Empfehlungsentwurf zu verpflichtenden Nutzerkontos veröffentlicht und nimmt Stellungnahmen bis zum 12. Februar 2026 entgegen. Der Entwurf verfolgt – wenig überraschend – einen sehr restriktiven Ansatz.

Ein verpflichtendes Nutzerkonto ist nach Auffassung des EDSA nur in eng begrenzten Ausnahmefällen datenschutzkonform. Grundsätzlich müssten Online-Dienste auch ohne Nutzerkonto als Gast nutzbar sein. Nach Auffassung des EDSA sind mit Nutzerkonten generell erhöhte Datenschutzrisiken verbunden aufgrund umfangreicherer Datenerhebung, längerer Speicherfristen und einer größeren Gefahr von unbefugten Zugriffen.

Diese Linie entspricht im Ergebnis der bereits 2022 veröffentlichten Position der deutschen Datenschutzkonferenz (DSK), die sogar einen noch strengeren (nicht überzeugenden) Maßstab anlegt..

Welche Online-Dienste sind betroffen?

Die Empfehlungen gelten für klassische Onlineshops und Online-Marktplätze, einschließlich Vermittlungsplattformen zwischen Händlern und Verbrauchern (z. B. Amazon, Etsy, eBay, Zalando). Nicht erfasst sind u.a. Social-Media-Dienste, Suchmaschinen, Nachbarschafts-Apps, Medienangebote sowie Fälle, in denen gesetzliche Verpflichtungen zur Kontoerstellung gelten (z. B. im Glücksspielbereich).

Bewertung typischer Fallkonstellationen

Der EDSA analysiert eine nicht abschließende Liste praktischer Fallgruppen, in denen Anbieter typischerweise die Einrichtung eines Nutzerkontos verpflichtend machen, und gibt jeweils eine Einschätzung dazu ab, ob die obligatorische Einrichtung eines Nutzerkontos in diesen Fallgruppen datenschutzrechtlich als Vertragserfüllung (Art. 6 Abs. 1 lit.b DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt sein kann.

Eine Einwilligung scheidet laut EDSA (und DSK) bei verpflichtenden Konten mangels Freiwilligkeit kategorisch aus. Auch eine rechtliche Verpflichtung sei regelmäßig nicht einschlägig.

Rechtfertigung zur Erfüllung eines Vertrages zwischen Anbieter und Nutzer

Nur in folgenden Fallgruppen hält der EDSA die verpflichtende Einrichtung eines Nutzerkontos auf Basis des Art. 6 Abs. 1 lit.b DSGVO ausnahmsweise für datenschutzkonform:

• Abo-Modelle, wenn das Konto zentrale vertragswesentliche Funktionen erfüllt (z. B. Zugriff auf Leistungen, Abo-Verwaltung)
• Zugang zu exklusiven Angeboten, wenn das Konto Voraussetzung für eine Mitgliedschaft in einer geschlossenen Community ist, welcher der Zugang zu exklusiven Angeboten oder Dienstleistungen vorbehalten ist. Die Mitgliedschaft in der Community muss aber der Hauptvertragsgegenstand sein und der Zugang muss auf objektiv prüfbaren Kriterien beruhen (z. B. Einladung, Empfehlung, beruflicher Status, langjährige Geschäftsbeziehung).

Unzulässig ist ein Pflichtkonto nach Auffassung des EDSA bei einmaligen Käufen. Auch lässt sich laut EDSA ein Pflichtkonto nicht damit rechtfertigen, dass es die Prüfung von Kaufvoraussetzungen (wie Studentenstatus), die Abwicklung von After-Sales-Leistungen oder die Ausübung von Verbraucherrechten ermögliche. In diesen Fällen stünden alternative, weniger invasive Mittel zur Verfügung (z. B. Online-Formulare oder der Kundenservice).

Spotlight: Separater Vertrag über die Erbringung personalisierter Leistungen

Schließlich lehnt der EDSA grundsätzlich die Position ab, dass ein Nutzerkonto erforderlich sei für die Erfüllung eines zweiten Vertrages zwischen Verantwortlichem und Nutzer über den Erhalt personalisierter Einkaufsempfehlungen. Online-Anbieter argumentierten teilweise, dass ein Nutzerkonto notwendig sei, damit Einkaufsempfehlungen Nutzerpräferenzen, Konfektionsgrößen und frühere Einkäufe berücksichtigen können. Laut EDSA scheitert in diesen Fällen in aller Regel der Nachweis, dass ein solcher zweiter Vertrag zustande gekommen ist.

Rechtsdogmatisch überzeugen die Ausführungen des EDSA nicht. Es ist sehr wohl denkbar, dass Nutzer und Online-Anbieter einen wirksamen separaten Vertrag über die Erbringung personalisierter Leistungen in verschiedensten Szenarien abschließen, sofern über Nutzungsbedingungen der Vertragsinhalt (insbesondere die Hauptleistung) entsprechend bestimmt wird. Hauptleistung kann z.B. das Zurverfügungstellen des Login-Bereichs sein, inkl. der Möglichkeit, auf Bestellhistorien zuzugreifen und Rechte – wie Rückgabe oder Umtausch – effizient geltend zu machen. Ebenso ist es nicht ausgeschlossen, die Vertragsbedingungen so zu gestalten, dass die Unterbreitung personalisierter Werbung oder zugeschnittener Angebote – vergleichbar etwa mit Loyalty-Programmen – eine Hauptleistung darstellt.

Es ist in diesen Fällen allerdings darauf zu achten, dass die Nutzungsbedingungen den Nutzer nicht überraschen, sondern die Datenverarbeitungen transparent dargelegt werden und auf das für die Vertragserfüllung erforderliche Maß beschränkt sind. Auch darf die Vertragserfüllung nicht unzulässig an eine Einwilligung in eine weitergehende Datenverarbeitung gekoppelt sein.

Rückenwind bekommt diese Auslegung auch durch ein neues BGH Urteil (BGH, Urt. v. 10. Dezember 2025 – II ZR 132/ 24), in dem der BGH im Zusammenhang mit Vereinsmitgliedschaften klarstellt, dass der Vertragsbegriff des Art. 6 Abs. 1 lit.b DSGVO nicht zivilrechtlich, sondern „datenschutzrechtlich und unionsautonom“ auszulegen ist. Entscheidend sei nicht, ob ein Vertrag im Sinne des BGB vorliegt, sondern ob die Datenverarbeitung auf einem selbstbestimmt begründeten, privatautonomen Rechtsverhältnis beruht. Auch vertragsähnliche Konstellationen, die auf eine willentliche Entscheidung der betroffenen Person zurückgehen, fielen unter die Rechtsgrundlage der Vertragserfüllung. Damit grenzt sich der BGH deutlich vom EDSA ab, der für Art. 6 Abs. 1 lit.b DSGVO einen nach geltendem nationalen Vertragsrecht gültigen Vertrag voraussetzt und hohe Anforderungen an den Nachweis eines Vertragsschlusses stellt.

Rechtfertigung auf Basis berechtigter Interessen

Auch auf berechtigte Interessen, wie z. B. das Interesse, Bestellungen effizient zu verwalten, Kunden zu binden oder Betrug zu verhindern, lässt sich ein Pflichtkonto nach Ansicht des EDSA regelmäßig nicht stützen. Grundsätzlich fehle es jeweils an der Erforderlichkeit des Nutzerkontos zur Wahrung dieser berechtigten Interessen, oder aber die Interessenabwägung falle zugunsten des Nutzers aus. Eine Ausnahme deutet der EDSA nur an, wenn es um die Verhinderung von Betrügen von wesentlicher Bedeutung geht.

Was sagen die deutschen Gerichte zu Nutzerkonten und Gastzugängen?

Das LG und OLG Hamburg haben in jüngeren Entscheidungen (LG Hamburg, Urt. v. 22.2.2024 – 327 O 250/22; OLG Hamburg, Urt. v. 27.2.2025 – 5 U 30/24) ein obligatorisches Kundenkonto für datenschutzkonform befunden. Maßgeblich waren dabei allerdings die besonderen Umstände des Einzelfalls, insbesondere:

• die enorm effizienzsteigernde Funktion des Kontos als zentrales Abwicklungs- und Kommunikationsportal für zahlreiche Dritthändler (Marktplatzsituation)
• eine sehr eingeschränkte Datenerhebung, die sich von einem hypothetischen Gastzugang nur insofern unterschied, als zusätzlich ein Passwort anzugeben war, wodurch der Grundsatz der Datenminimierung gewahrt war.

Ausblick

Sofern Anbieter von Online-Diensten die Einrichtung eines Nutzerkontos zur zwingenden Voraussetzung für eine Geschäftsbeziehung machen möchten, besteht dafür grundsätzlich Raum auch über die vom EDSA eng definierten Ausnahmefälle hinaus. Aber es sind die Umstände des Einzelfalles sorgfältig zu prüfen und der Registrierprozess so zu gestalten, dass das obligatorische Einrichten des Nutzerkontos datenschutzrechtlich zu rechtfertigen ist.

Egal ob verpflichtendes oder freiwilliges Nutzerkonto – bei der Gestaltung des Bestellprozesses lohnt es sich, genau hinzuschauen. Die richtige Gestaltung führt nicht nur zu Datenschutzkonformität, sondern kann auch kommerzielle Ziele unterstützen wie z.B. eine höhere Kundenbindung, effizientere Retourenabwicklung oder die Möglichkeit, Loyalty-Programme anzubieten.

Sprechen Sie uns an – wir beraten Sie gern bei der Gestaltung Ihrer Kundenabwicklungsprozesse im Onlineshop.