Kundenkonto nur mit Einwilligung? Was das OLG Hamburg zur DSGVO-konformen Gestaltung entschieden hat

29. Juli 2025

Datenschutz und IT-Recht | Urteile

Online-Shops und digitale Plattformen verlangen bei Bestellungen oder der Nutzung von Services häufig die Einrichtung eines Kundenkontos. Doch ist das datenschutzrechtlich überhaupt zulässig? Das Oberlandesgericht Hamburg hat mit Urteil vom 27. Februar 2025 (Az. 5 U 30/24) hierzu Klarheit geschaffen: Ein verpflichtendes Kundenkonto verstößt nicht per se gegen die Datenschutz-Grundverordnung (DSGVO) – wenn bestimmte Voraussetzungen eingehalten werden. Auch die werbliche Nutzung personenbezogener Daten kann unter Umständen durch ein berechtigtes Interesse gedeckt sein.

DSGVO-konform: Wann ein Kundenkonto zulässig ist

Zentraler Maßstab für jede Datenverarbeitung ist Art. 6 DSGVO. Danach ist eine Verarbeitung nur dann rechtmäßig, wenn sie auf eine der dort genannten Rechtsgrundlagen gestützt werden kann – etwa eine Einwilligung oder ein berechtigtes Interesse.

Das OLG Hamburg entschied nun, dass die Pflicht zur Einrichtung eines Kundenkontos nicht gegen die DSGVO verstößt, sofern

  • die Datenverarbeitung auf das für die Abwicklung notwendige Maß beschränkt ist,

  • das Konto funktional für den Vertragsschluss erforderlich ist,

  • keine gleichwertige Möglichkeit zur anonymen Nutzung oder Gastbestellung besteht.

Mit anderen Worten: Unternehmen dürfen ein Kundenkonto zur Voraussetzung machen, wenn es sachlich gerechtfertigt und für den Servicebetrieb notwendig ist. Voraussetzung ist jedoch, dass keine darüberhinausgehenden, nicht erforderlichen Daten verarbeitet werden – etwa für Profilbildung oder Drittvermarktung.

Berechtigtes Interesse an Werbung – aber mit Grenzen

Ein weiterer Aspekt der Entscheidung betrifft die werbliche Nutzung von Kundendaten. Auch hier erkennt das Gericht die Möglichkeit an, ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO geltend zu machen – etwa zur Direktwerbung oder zur Optimierung eigener Angebote. Entscheidend ist jedoch:

  • Betroffene müssen bei Erhebung der Daten über ihr Widerspruchsrecht informiert werden.

  • Die Verarbeitung darf nicht überraschend oder intransparent erfolgen.

  • Eine Interessenabwägung muss ergeben, dass die berechtigten Interessen des Unternehmens nicht die schutzwürdigen Interessen der betroffenen Person überwiegen.

In der Praxis bedeutet das: Werbung auf Basis des Kundenkontos ist möglich – aber nur, wenn Betroffene nachvollziehbar informiert und ihre Rechte gewahrt werden.

Häufige Irrtümer im Datenschutz bei Kundenkonten

In unserer Beratungspraxis beobachten wir immer wieder folgende Missverständnisse:

  • „Ein Kundenkonto erfordert immer eine Einwilligung“ – falsch: Es kann auch auf vertraglicher Erforderlichkeit oder berechtigtem Interesse beruhen.

  • „Jede werbliche Nutzung braucht separate Zustimmung“ – nicht zwingend, wenn ein berechtigtes Interesse rechtlich tragfähig begründet wird.

  • „Ein Kundenkonto darf beliebig viele Daten speichern“ – nein: Es gilt der Grundsatz der Datenminimierung. Nur erforderliche Daten dürfen verarbeitet werden.

Unsere Empfehlung: Jetzt Datenschutz und Geschäftsmodell in Einklang bringen

Das Urteil des OLG Hamburg schafft mehr Spielraum für digitale Geschäftsmodelle – aber auch klare Grenzen. Unternehmen sollten ihre Kundenkonto-Prozesse, Datenschutzerklärungen und Marketingmaßnahmen genau prüfen und dokumentieren, auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden. Nur so lassen sich Bußgelder, Abmahnungen und Reputationsrisiken vermeiden.

Sie betreiben einen Online-Shop oder digitalen Dienst und möchten wissen, ob Ihre Kundenkonten DSGVO-konform gestaltet sind? Oder Sie sind Nutzer:in und zweifeln an der Zulässigkeit der Datenverarbeitung?

Kontaktieren Sie uns – wir prüfen Ihre Situation individuell und helfen Ihnen, rechtssicher zu handeln. Buchen Sie jetzt Ihr Erstgespräch.