1. Die Klage wird abgewiesen.

2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist für die Beklagte gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Beschluss

Der Streitwert wird auf 12.500,00 € festgesetzt.

Der Kläger macht gegen die Beklagte lauterkeitsrechtliche Unterlassungsansprüche sowie einen Anspruch auf Ersatz einer Aufwendungspauschale für eine vorprozessuale Abmahnung der Beklagten nebst Zinsen geltend.

Der Kläger ist ein eingetragener Verein zur Wahrnehmung kollektiver Verbraucherinteressen in Nordrhein-Westfalen mit Sitz in D., der u. a. durch institutionelle Förderung des Landes Nordrhein-Westfalen finanziert wird. Gemäß § 2 der Satzung des Klägers bezweckt dieser, ausschließlich und unmittelbar den Verbraucherinteressen zu dienen, indem er die Rechte der Verbraucher wahrnimmt und Verstöße gegen das Wettbewerbsrecht, das AGB-Recht und andere dem Verbraucherschutz dienende gesetzliche Bestimmungen, auch durch Einleitung gerichtlicher Maßnahmen im Inland sowie im grenzüberschreitenden Bereich, verfolgt. Der Kläger ist in die Liste qualifizierter Einrichtungen im Sinne von § 4 UKlaG beim Bundesamt für Justiz eingetragen (vgl. Anlage K 1).

Die Beklagte ist ein Handels- und Dienstleistungsunternehmen mit Sitz in H.. Unter der URL „o..de“ betreibt sie einen Versandhandel u. a. für Bekleidung und Lebensstil und bietet dort sowohl eigene Waren zum Verkauf als auch einen Marktplatz für andere Händler. Ausweislich der Datenschutzerklärung der Beklagten (Stand: September 2022) ist diese die datenschutzrechtlich Verantwortliche für Verkäufe auf „o..de“, soweit der Verkauf nicht durch einen Händler/Partner im Rahmen des Marktplatzes durchgeführt wird. Für Daten, die in einem Kundenkonto gespeichert sind, ist die Beklagte danach ausschließlich verantwortlich. In der Datenschutzerklärung der Beklagten heißt es insoweit einleitend auszugsweise wie folgt (vgl. Anlage K 2):

„Daten im Kundenkonto

Insofern Sie auf o..de ein Kundenkonto eröffnen, ist für die in dem Kundenkonto gespeicherten Daten die O. datenschutzrechtlich verantwortlich. Insofern das Kundenkonto auch solche Informationen beinhaltet, die den Erwerb und die Abwicklung von Käufen bei anderen Händlern auf der Plattform o..de als O. (Partner) betreffen, verarbeitet O. diese Daten ausschließlich zum Zweck der Führung des Kundenkontos.

Betrieb der Plattform o..de

O. ist Betreiberin der Plattform o..de. Dies hat zur Folge, dass für die Erhebung der Daten über das Nutzungsverhalten auf der Website o..de / O.-App (Trackingdaten) O. datenschutzrechtlich alleinig verantwortlich ist.“

Auf der Webseite der Beklagten können Verbraucher lediglich nach Anlegung eines Kundenkontos Waren bestellen. Die Beklagte stellt Verbrauchern keinen Gastzugang bereit, um eine Bestellung durchzuführen.

Ziff. 6.1 („Allgemeines zum Kundenkonto“) der Datenschutzerklärung der Beklagten lautet wie folgt (vgl. Anlage K 2):

„Um Ihnen den größtmöglichen Komfort zu ermöglichen, bieten wir Ihnen die dauerhafte Speicherung persönlicher Daten in einem passwortgeschützten Kundenkonto/ Nutzerkonto an.

Die Anlage des Kundenkontos ist grds. freiwillig. Nur wenn Sie über die Plattform o..de Bestellungen tätigen möchten, ist die Eröffnung eines Kundenkontos zur Abwicklung des Vertrages zwingend erforderlich. Wenn Sie ein Kundenkonto anlegen, erfolgt die Verarbeitung Ihrer hier für die Unterhaltung des Kundenkontos erhobenen Daten auf Grundlage von Artikel 6 Absatz 1 Buchstabe b) DSGVO. Nach Einrichtung eines Kundenkontos ist keine erneute Dateneingabe erforderlich. Zudem können Sie in Ihrem Kundenkonto die zu Ihnen gespeicherten Daten jederzeit einsehen und ändern.

Sie haben die Möglichkeit, Ihr Kundenkonto jederzeit zu löschen. Bitte beachten Sie jedoch, dass damit nicht zugleich eine Löschung aller in dem Kundenkonto einsehbaren Daten erfolgt, wenn Sie einmal bei uns bestellt haben. So müssen wir z.B. Daten über getätigte Bestellungen weiterhin speichern, insofern im Hinblick auf die von Ihnen erworbenen Waren Garantien eingeräumt worden und diese noch nicht abgelaufen sind. Die Löschung Ihrer Daten erfolgt automatisch nach Ablauf der für uns geltenden handels- und steuerrechtlichen Aufbewahrungspflichten. Rechtsgrundlage für diese weitere Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe c) DSGVO sowie Artikel 6 Absatz 1 Buchstabe f) DSGVO.“

Ferner heißt es in der Datenschutzerklärung der Beklagten u. a. wie folgt:

„3.2. Datenverarbeitung zu Werbezwecken (ohne Cookies / Trackingdaten)

3.2.1. Datenverarbeitung zu Werbezwecken (Personalisierung)

O. ist dazu berechtigt, gespeicherten Daten zu Ihrer Person z.B. die Kategorien von gekauften Waren (z.B. „Mode“), die sie bei O. erworben haben, für die Personalisierung von Werbemitteln (u.a. E-Mail, Print) zu verwenden. Die Daten werden für diesen Zweck ausschließlich in stark pseudonymisierter Form verwendet. Ziel von O. ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.

Nicht zu Marketingzwecken durch O. werden solche Daten genutzt, für deren Verarbeitung andere Händler auf der Plattform o..de datenschutzrechtlich verantwortlich sind. Hierbei handelt es sich z.B. um Daten, die im Rahmen der Abwicklung von Käufen bei Partnern von O. auf der Plattform anfallen.

3.2.2. Postalische Werbung

O. hat grundsätzlich ein berechtigtes Interesse daran, Ihre Daten, die O. z.B. im Rahmen der Eingehung eines Vertragsverhältnisses mit Ihnen erhoben hat, zu Marketingzwecken zu nutzen. O. verarbeitet die folgenden Daten zu eigenen Marketingzwecken sowie zu Marketingzwecken Dritter: Vorname, Nachname, Postadresse, Geburtsjahr.

O. ist außerdem dazu berechtigt, den genannten Daten weitere über Sie unter Einhaltung der gesetzlichen Vorgaben erhobene personenbezogene Daten zu eigenen Marketingzwecken sowie zu Marketingzwecken Dritter hinzu zu speichern. Unter diese hinzu gespeicherten Daten können z.B. die Kategorien von Waren (z.B. „Mode“), die sie bei O. erworben haben, fallen. Ziel von O. ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.

Nicht zu Marketingzwecken durch O. werden solche Daten genutzt, für deren Verarbeitung andere Händler auf der Plattform o..de datenschutzrechtlich verantwortlich sind. Hierbei handelt es sich z.B. um Daten, die im Rahmen der Abwicklung von Käufen bei Partnern von O. auf der Plattform anfallen.

Hinweis auf das Widerspruchsrecht

Sie können der Nutzung Ihrer personenbezogenen Daten zu vorgenannten Marketingzwecken jederzeit kostenfrei mit Wirkung für die Zukunft unter s.@o..de widersprechen.

Soweit Sie Widerspruch einlegen, werden Ihre Daten - insofern eine Fortsetzung der Speicherung der Daten zu anderen Zwecken als der Nutzung zum Zweck des Marketing weiterhin erforderlich ist - für die weitere werbliche Datenverarbeitung gesperrt. Wir weisen darauf hin, dass es in Ausnahmefällen auch noch nach Eingang Ihres Widerspruchs vorübergehend noch zu einem Versand von Werbematerial kommen kann. Dies ist technisch durch die nötige Vorlaufzeit im Rahmen der Selektion bedingt und bedeutet nicht, dass wir Ihren Widerspruch nicht umgesetzt haben.“

Eine vorgerichtliche Abmahnung der Beklagten durch den Kläger aufgrund eines in der Notwendigkeit der Anlage eines Kundenkontos bei der Beklagten zur Durchführung einer Online-Bestellung aus Sicht des Klägers liegenden Verstoßes gegen Art. 25 Abs. 2 DSGVO als Marktverhaltensregelung sowie eines aus Sicht des Klägers in der Verarbeitung der von der Beklagten erhobenen Daten zu Werbe- und/oder Marketingzwecken liegenden Verstoßes gegen die Artt. 5 Abs. 1 lit. a), Art. 6 Abs. 1 DSGVO führte nicht zur Abgabe einer strafbewehrten Unterlassungsverpflichtungserklärung durch die Beklagte (vgl. Anlagen K 3 bis K 6).

In Anlage K 7 legt die Klägerin einen Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit dem Titel „Hinweise der DSK - Datenschutzkonformer Online-Handel mittels Gastzugang“ (Stand: 24.03.2022) vor.

In Anlage B 14 legt die Beklagte ein Schreiben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden der „HmbBfDI“) vom 14.11.2022, vor, in dem dieser u. a. das Folgende ausführte:

„Auf Basis der Darlegungen können wir nachvollziehen, dass sich der Marktplatz unter www.o..de von einem gewöhnlichen Onlinehandel wesentlich unterscheidet. Unter den aktuellen Gegebenheiten sehen wir besondere Umstände im Sinne des letzten Absatzes von Ziffer 1 des Beschlusses der Datenschutzkonferenz vom 24.03.2022 (‚Datenschutzkonformer Online-Handel mittels Gastzugang‘). Die Ermöglichung von Gastbestellungen ist, da dem Grundsatz der Datenminimierung anderweitig Rechnung getragen wird, unter den derzeitigen Gegebenheiten nicht zwingend notwendig.

Diese Einschätzung berührt nur die Frage eines Onlinezugangs im Frontend. Wir weisen insbesondere darauf hin, dass Profilbildung hinsichtlich der Kundeninteressen und -verhaltensweisen nicht angesprochen ist.“

Der Kläger ist der Auffassung, die von ihm geltend gemachten Ansprüche folgten aus § 8 Abs. Abs. 1 Satz 1 UWG i. V. m. den §§ 3 Abs. 1, 3a UWG und den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO (Klageantrag zu Ziff. 1 lit. a)), § 2 Abs. 1 und 2 Nr. 13 UKlaG i. V. m. den Artt. 5 Abs. 1 lit. a) und 6 Abs. 1 DSGVO (Klageantrag zu Ziff. 1 lit. b)) und § 5 UKlaG i. V. m. § 13 Abs. 3 UWG (Klageantrag zu Ziff. 2). Insoweit trage die Beklagte aufgrund der in Art. 5 Abs. 2 DSGVO niedergelegten Rechenschaftspflicht als Verantwortliche die volle Darlegungs- und Beweislast hinsichtlich der Rechtmäßigkeit der von ihr durchgeführten Verarbeitung personenbezogener Daten (vgl. EuGH, Urteil vom 24.02.2022 - C-175/20 - Rn. 77, 81; BVerwG, Urt. v. 02.03.2022 - 6 C 7.20, Rn. 50). Die Registrierungspflicht zur Durchführung einer Bestellung unter „o..de“ verstoße gegen den Grundsatz der Datenminimierung. Für Verbraucher, die keine dauerhafte Geschäftsbeziehung mit der Beklagten eingehen wollten, sei ein Kundenkonto nicht erforderlich, sondern ein Gastzugang zur einmaligen Durchführung einer Bestellung bereitzustellen. Durch die Hinterlegung von umfangreichen Datensätzen in den Kundenkonten der Beklagten, einschließlich des Geburtsdatums und der Telefonnummer, von Daten also, die für eine Bestellung nicht erforderlich seien, bestehe zudem ein höheres Missbrauchsrisiko als bei der Verarbeitung der Daten im Rahmen eines Gastzugangs. Durch die Registrierungspflicht und das Fehlen einer automatischen Löschung der im Kundenkonto gespeicherten Daten nach einem einmaligen Kauf ohne die vorherige Einholung einer Einwilligung der Verbraucher nach Art. 6 Abs. 1 lit. a) DSGVO verletze die Beklagte ferner die aus Art. 25 Abs. 2 DSGVO folgende Pflicht zu datenschutzfreundlichen Voreinstellungen sowie gegen die aus den Artt. 5 Abs. 2, 24 DSGVO folgenden Rechenschafts- und Compliance-Pflichten. Im Hinblick auf den Klageantrag zu Ziff. 1 lit. b) könne sich die Beklagte, die bei den Verbrauchern keine Einwilligung in die Verarbeitung der Kundenkontodaten zu Werbe- und Marketingzwecken einhole, gemäß der hierzu ergangenen Rechtsprechung des EuGH (etwa in dem Urteil vom 17.06.2021, Rechtssache C-597/19) nicht auf ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO berufen. Ausweislich des Erwägungsgrundes 47, Satz 7, zur DSGVO könne zwar grundsätzlich ein berechtigtes Interesse des Verantwortlichen für eine Direktwerbung bestehen. Es fehle jedoch bereits an einem berechtigten Interesse, Kundendaten aus einem Vertragsschluss für den Kunden nicht bekannte Werbezwecke der Beklagten und nicht näher bezeichneter Dritter zu verarbeiten. Die Direktwerbung ziele auf den Versand von Briefen oder erlaubter Bestandskundenwerbung nach § 7 Abs. 3 UWG per E-Mail ab, ein umfassendes Profiling i. S. v. Art. 4 Nr. 5 DSGVO, in dessen Rahmen umfassende Kundenprofile aufgrund der Bestell- und Kaufhistorie erstellt und für die Personalisierung von Werbung per Post oder E-Mail verwendet würden, sei jedoch nicht mehr von einem etwaigen berechtigten Interesse der Beklagten an Direktwerbung erfasst. Zudem fehle es an der Erforderlichkeit der Verarbeitung, da es für die Direktwerbung per Post oder per E-Mail nicht erforderlich sei, dass die Bestell- und Kaufhistorie ausgewertet, Kundenprofile erstellt und entsprechende Kundenprofile für die Personalisierung der Werbemittel verwendet würden. Eine solche Verarbeitung von Kundendaten sei nicht zur Erreichung eines berechtigten Interesses an Direktwerbung per Post und per E-Mail erforderlich. Schließlich stünden im Rahmen einer vorzunehmenden Interessenabwägung einem etwaigen berechtigten Interesse der Beklagten an personalisierter Direktwerbung überwiegende Interessen und Grundrechte der betroffenen Verbraucher gegenüber. Auch Art. 6 Abs. 1 lit. b) DSGVO sei keine taugliche Rechtsgrundlage für diese Form der Datenverarbeitung, da die Auswertung der Daten für die Durchführung der Bestellung oder gar das Kundenkonto und mithin des geschlossenen Vertrages nicht erforderlich sei.

Der Kläger beantragt zuletzt:

1. Die Beklagte wird verurteilt, es bei Vermeidung eines vom Gericht für den Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes - ersatzweise Ordnungshaft - oder einer Ordnungshaft bis zu sechs Monaten, (Ordnungsgeld im Einzelfall höchstens 250.000,00 EUR, Ordnungshaft insgesamt höchstens zwei Jahre), zu vollziehen an ihren gesetzlichen Vertretern,

zu unterlassen,

im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern

a) Waren oder Dienstleistungen im Onlinehandel auf ihrer Website www.o..de anzubieten,

ohne Verbrauchern einen Gastzugang, also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden,

für die Bestellung bereitzustellen,

wenn dies erfolgt wie nachfolgend dargestellt

b) Personenbezogene Daten aus der Vertrags- und / oder Bestellhistorie des fortlaufenden Kundenkontos, das von Verbrauchern zum Erwerb von Waren oder Dienstleistungen im Rahmen des Onlinehandels auf ihrer Website www.o..de angelegt wird, für die Personalisierung von Werbemitteln zu verwenden, ohne eine informierte Einwilligung der Verbraucher einzuholen, wenn dies geschieht, wie in der Anlage K 2 unter Ziff. 3.2.1 dargestellt.

2. Die Beklagte wird verurteilt, an den Kläger EUR 260,00 zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweils geltenden Basiszinssatz seit dem 17.08.2022 zu zahlen.

Die Beklagte beantragt,

den Rechtsstreit für den Antrag zu 1b) gemäß § 148 Abs. 1 ZPO analog bis zur erneuten Entscheidung des EuGH in Sachen Meta Platforms Ireland Limited (Irland) (vormals Facebook Ireland Limited) gegen den Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e. V. (Deutschland) (I ZR 186/17) auszusetzen,

die Klage abzuweisen.

Die Beklagte ist der Auffassung, im Hinblick auf den Klageantrag zu Ziff. 1 lit. b) sei eine Entscheidung des EuGH über die diesem von dem BGH (Az. I ZR 186/17) vorgelegte Frage der Klagebefugnis von Verbraucherschutzverbänden für die Verletzung von Informationspflichten nach der DSGVO vorgreiflich, da der Kläger mit dem Klageantrag zu Ziff. 1 lit. b) auch die Verletzung von Informationspflichten geltend mache (vgl. Anlagen B 1 und B 3). Beide Klageanträge zu Ziff. 1 seien ferner mangels hinreichender Bestimmtheit gemäß § 253 Abs. 2 Nr. 2 ZPO unzulässig. Im Übrigen sei die Klage auch in der Sache unbegründet: Weder bei der Regelung in Art. 5 Abs. 1 lit. c) DSGVO noch bei derjenigen in Art. 25 Abs. 2 DSGVO handele es sich um Marktverhaltensvorschriften. Im Hinblick auf die Frage der Notwendigkeit eines Gastzugangs habe ferner der HmbBfDI gegenüber der Beklagten per Verwaltungsakt vom 14.11.2022 (Az. W/72.10-01) gemäß § 35 Satz 1 VwVfG und mithin mit Tatbestandswirkung verbindlich festgestellt, dass die von der Beklagten gewählte Lösung datenschutzkonform und die Zurverfügungstellung eines Gastzugangs nicht notwendig sei (vgl. Anlage B 14). Zudem sei die Abwicklung von Bestellungen über das Kundenkonto gegenüber einer Bestellung über einen Gastzugang im Ergebnis sogar die deutlich datensparsamere Variante. Sofern über das Kundenkonto Waren erworben würden, würden die Informationen über die getätigten Käufe hierin über einen Zeitraum vom maximal vier Jahren gespeichert und nach Ablauf dieses Zeitraums ausschließlich zu Zwecken der Erfüllung gesetzlicher Aufbewahrungspflichten verarbeitet. Erfolge während eines Zeitraums von drei Jahren keine erneute Bestellung, werde das Kundenkonto automatisch gelöscht. Ferner werde, wenn von einem Betroffenen ein Kundenkonto angelegt werde und innerhalb eines Zeitraums von 30 Tagen über dieses keine Bestellung erfolge, das Kundenkonto automatisch gelöscht. Die Erhebung des Geburtsdatums und der Telefonnummer bei der Anlage eines Kundenkontos sei u. a. zur Vermeidung von Betrugstaten sowie für die Prüfung der Volljährigkeit des Nutzers (Geburtsdatum), die Zustellung von Speditionswaren (Telefonnummer) und eine Sanktionslistenprüfung (Geburtsdatum) zwingend erforderlich. Mit dem für ein Kundenkonto zudem erhobenen Passwort würden die im Kundenkonto vorhandenen Informationen hinreichend vor dem Zugriff unberechtigter Dritter geschützt und werde die Beklagte so den gesetzlichen Anforderungen an die Sicherheit der Datenverarbeitung (Art. 32 DSGVO) gerecht. Die im Zusammenhang mit Dritthändlertransaktionen anfallenden Bestelldaten würden von ihr, der Beklagten, abgesehen von dem Zweck der Führung des Kundenkontos, zu keinem Zeitpunkt zu eigenen Zwecken verarbeitet, insbesondere finde keine Verarbeitung dieser Daten zu werblichen Zwecken statt. Indem sie ihre Nutzer dazu verpflichte, ein Kundenkonto anzulegen, um eine Bestellung zu tätigen, und dort alle Bestellungen des jeweiligen Nutzers hinterlege, vermeide die Beklagte ferner die wiederholte Abfrage von Bonitätsdaten für dieselben Nutzer bei Auskunfteien. Mithilfe des Kundenkontos gelinge es der Beklagten, auf datensparsame Weise sicherzustellen, dass Kundenanfragen, einschließlich solcher, bei denen es um die Geltendmachung von Betroffenenrechten nach der DSGVO gehe, nur dann beantwortet werden, wenn diese auch tatsächlich von dem in Frage stehenden Nutzer stammen. Auch habe die Verifizierung über die Anmeldung den Vorteil, dass bei Folgebestellungen der jeweilige Kunde mittels der Anmeldung (unter Nutzung seines Passworts) erneut verifiziert werde, wodurch unter anderem die Gefahr des Missbrauchs von Identitäten verringert werde. Im Hinblick auf den klägerischen Vorwurf einer unzulässigen Datenverarbeitung zu „Werbe- und/oder Marketingzwecken“ sei der Klagevortrag unsubstantiiert, da unklar bleibe, welche Datenverarbeitung durch die Beklagte in welchem Umfang der Kläger beanstande. Die Darlegungs- und Beweislast für etwaige Zuwiderhandlungen der Beklagten im Rahmen des § 3a UWG liege beim Kläger. Bei dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit c) DSGVO handele es sich - wie bei den übrigen Grundsätzen aus Art. 5 Abs. 1 DSGVO - um ein allgemeines Strukturprinzip und nicht um ein Verbot mit Erlaubnisvorbehalt. Auch der Grundsatz datenschutzfreundlicher Grundeinstellungen (Art. 25 Abs. 2 DSGVO) verpflichte lediglich den Verantwortlichen zum Treffen geeigneter technischer und organisatorischer Maßnahmen, mache solche Verarbeitungen jedoch nicht von einer Erlaubnis abhängig. Diese allgemeine Beweislastverteilung gelte auch für den Klageantrag zu Ziff. 1 lit. b), mit dem Unterlassung gemäß § 2 Abs. 1 und Abs. 2 Nr. 13 UKlaG (i. V. m. Art. 5 Abs. 1 lit a) sowie Art. 6 Abs. 1 DSGVO) begehrt werde. Eine Umkehr der Darlegungs- und Beweislast ergebe sich nicht aus Art. 5 Abs. 2 DSGVO, dem sog. „Rechenschaftsprinzip“, das sich - auch nach der Systematik der DSGVO (vgl. etwa Erwägungsgrund Nr. 82) - ausschließlich auf öffentlich-rechtlicher Ebene, d. h. in der Beziehung zwischen Verantwortlichem und Datenschutzbehörde, auswirke, nicht aber auch auf zivilprozessualer Ebene (vgl. LG München I BKR 2022, 131; OLG Stuttgart ZD 2021, 375; LG Frankfurt ZD 2021, 653; LG München I GRUR-RS 2022, 39300). Schließlich seien die von dem Kläger geltend gemachten Ansprüche gemäß § 11 UWG verjährt. Der Kläger habe ausweislich der Screenshots in seiner Abmahnung mit der Bildunterschrift „Abbildung 1: Screenshot der Warenkorb-Ansicht von o..de (hier mit einem zufälligen Produkt), zuletzt abgerufen am 17.05.2022“ (vgl. Anlage K 4, S. 3) spätestens ab dem 17.05.2022 positive Kenntnis von der Vornahme einer nach seiner Auffassung bestehenden unzulässigen geschäftlichen Handlung der Beklagten gemäß § 3 oder § 7 UWG.

Das Gericht hat den HmbBfDI mit Verfügung vom 09.10.2023 gemäß den §§ 273 Abs. 2 Nr. 2 ZPO, 12a Satz 1 UKlaG um eine amtliche Auskunft ersucht, die der HmbBfDI mit Schreiben vom 14.11.2023, auf das insoweit verwiesen wird, erteilt hat.

Wegen der weiteren Einzelheiten des Sach- und Streitstands im Übrigen wird auf die Schriftsätze der Parteien nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 25.01.2024 verwiesen (§ 313 Abs. 2 Satz 2 ZPO).

Die Klage ist zulässig, aber insgesamt unbegründet.

I.

Die Klage ist zulässig. Insbesondere sind die Klageanträge zu Ziff. 1 lit. a) und b) auch hinreichend bestimmt i. S. v. § 253 Abs. 2 Nr. 2 ZPO.

Ein Unterlassungsantrag darf nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts nicht erkennbar abgegrenzt sind, sich die Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was der Beklagten verboten ist, letztlich dem Vollstreckungsverfahren überlassen bleibt.

Danach ist der Klageantrag zu Ziff. 1 lit. a) hinreichend bestimmt. Der in diesem verwendete Begriff des „Gastzugang[s]“ wird im Klageantrag zu Ziff. 1 lit. a) durch den Zusatz „also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden“ hinreichend definiert. Eine weitere Konkretisierung erfährt der Antrag zudem durch die in den Klageantrag eingelichteten Screenshots, aus denen sich die Einzelheiten der Anlage eines Kundenkontos bei der Beklagten ohne die Alternative eines Gastzugangs zur Vornahme einer Online-Bestellung ergeben.

Auch der Klageantrag zu Ziff. 1 lit. b) in seiner von dem Kläger - in der mündlichen Verhandlung vom 25.01.2024 - zuletzt gestellten Fassung genügt den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO. Die hierin liegende Klageänderung ist zunächst sachdienlich i. S. v. § 263 ZPO, da die Neuformulierung des Klageantrags gerade aufgrund der dem Kläger in der mündlichen Verhandlung gemäß § 139 Abs. 1 Satz 2 a. E. ZPO mitgeteilten Bestimmtheitsbedenken der Kammer in Bezug auf den ursprünglichen Klageantrag erfolgt ist. Mit der in dem neu gefassten Klageantrag erfolgten Bezugnahme auf Ziff. 3.2.1 der Datenschutzerklärung der Beklagten hat der Kläger nunmehr in zulässiger Weise die Erstbegehungsgefahr eines konkreten Verhaltens der Beklagten gemäß Ziff. 3.2.1 ihrer Datenschutzerklärung, nämlich die dort näher beschriebene Verwendung personenbezogener Daten für die Personalisierung von Werbemitteln, zum Streitgegenstand gemacht. Auch die Verwendung der Formulierungen „[p]ersonenbezogene Daten“, „Vertrags- und / oder Bestellhistorie des fortlaufenden Kundenkontos“ und „Personalisierung von Werbemitteln“ führt nicht zur Unbestimmtheit des Klageantrags. Der Begriff der „personenbezogenen Daten“ ist in Art. 4 Nr. 1 DSGVO legaldefiniert. Den Begriff der „Vertrags- und / oder Bestellhistorie des fortlaufenden Kundenkontos“ erhellt Ziff. 3.2.1 der Datenschutzerklärung der Beklagten mit der Formulierung „z.B. die Kategorien von gekauften Waren (z.B. „Mode“), die sie bei O. erworben haben“ selbst. Auch der Begriff der „Personalisierung von Werbemitteln“ ist Ziff. 3.2.1 der Datenschutzerklärung der Beklagten entnommen und umfasst die Zusendung personalisierter Werbemittel via „u.a. E-Mail, Print“.

II.

Der Kläger ist aktivlegitimiert, im Hinblick auf den Klageantrag zu Ziff. 1 gemäß § 8 Abs. 3 Nr. 3 i. V. m. den §§ 3 Abs. 1, 3a UWG und den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO, im Hinblick auf den Klageantrag zu 2) gemäß § 5 UKlaG i. V. m. § 13 Abs. 3 UWG.

Der Kläger ist ein in die Liste der qualifizierten Einrichtungen gemäß § 4 UKlaG aufgenommener Verbraucherschutzverband. Ferner sind die Vorschriften der DSGVO über die Erhebung und Verarbeitung personenbezogener Daten von Verbrauchern durch Unternehmer, also u. a. die Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO, gemäß § 2 Abs. 2 Nr. 13 UKlaG Verbraucherschutzgesetze i. S. v. § 2 UKlaG.

Im Hinblick auf den Klageantrag zu Ziff. 1 lit. b) ist insoweit auch keine Aussetzung des Rechtsstreits analog § 148 Abs. 1 ZPO bis zur Entscheidung des EuGH über die weitere Vorlagefrage des BGH zum dortigen Az. I ZR 186/17 (Beschluss vom 10.11.2022) veranlasst. Die vom EuGH zu beantwortende (weitere) Vorlagefrage des BGH lautet wie folgt:

„Wird eine Rechtsverletzung ‚in Folge einer Verarbeitung‘ im Sinne von Art. 80 II DS-GVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 I 1 DS-GVO in Verbindung mit Art. 13 I lit. c und e DS-GVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien?“

Insoweit hat das Landgericht Frankfurt a. M. in einer von der Beklagten in Anlage B 3 vorgelegten Aussetzungentscheidung betreffend den dort zu entscheidenden Fall das Folgende ausgeführt:

„Zwar richtet sich der Kläger insoweit ausdrücklich gegen die ‚Übermittlung‘ personenbezogener Daten an Dritte (vgl. Bl. 209 d.A.), was sich nach der Legaldefinition des Art. 4 Nr. 2 DS-GVO unproblematisch als ‚Verarbeitung‘ darstellt. Beanstandet wird die (Weiter-)Verarbeitung jedoch deshalb, weil dies ohne ‚informierte Einwilligung‘ geschieht, was nach heutiger Rechtslage nur im Sinne einer Einwilligung verstanden werden kann, die nach Erfüllung der Informationspflichten i. S. v. Art. 12 ff. DS-GVO erteilt wird. Damit wird auch mit dem Klageantrag zu 1) keine Rechtsverletzung ‚infolge‘ einer Datenverarbeitung, sondern (zumindest auch) infolge einer Informationspflichtverletzung angegriffen.“

Zwar macht der Kläger auch mit dem hiesigen Klageantrag zu Ziff. 1 lit. b) ein Unterlassungsbegehr betreffend eine Datenverarbeitung bzw. -verwendung „ohne eine informierte Einwilligung der Verbraucher einzuholen“ geltend. Indes geht es dem Kläger hier nicht um eine mangelbehaftete Information der Verbraucher durch die Beklagte, sondern besteht der Klagevorwurf in dem gänzlichen Fehlen einer Verbraucherinformation über die Verwendung personenbezogener Daten für die Personalisierung von Werbemitteln.

III.

Die Klage ist aber insgesamt unbegründet.

1.

(Klageantrag zu Ziff. 1 lit. a))

Der Kläger kann von der Beklagten nicht gemäß § 8 Abs. 1 Satz 1 UWG i. V. m. den §§ 3 Abs. 1, 3a UWG und den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO verlangen, dass diese es unterlässt, gegenüber Verbrauchern Waren oder Dienstleistungen im Onlinehandel auf ihrer Website www.o..de anzubieten, ohne Verbrauchern einen Gastzugang, also einen Zugang, der auf eine dauerhafte Registrierung unter Angabe von Registrierungsdaten verzichtet und über den nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten der Verbraucher erfasst werden, für die Bestellung bereitzustellen, wenn dies erfolgt wie im Klageantrag zu Ziff. 1 lit. a) dargestellt.

a. Bei den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO mit den in diesen kodifizierten Grundsätzen der Datenminimierung und datenschutzfreundlicher Voreinstellungen handelt es sich zwar um Verbraucherschutzgesetze i. S. v. § 2 Abs. 2 Nr. 13 UKlaG und mithin auch um Marktverhaltensregeln i. S. v. § 3a UWG (vgl. Köhler/Bornkamm/Feddersen/Köhler/Odörfer, 42. Aufl. 2024, UWG § 3a Rn. 1.74a).

b. Die Beklagte verstößt durch die Verpflichtung von Bestellinteressenten in ihrem Online-Shop zur Anlegung eines Kundenkontos aber weder gegen den Grundsatz der Datenminimierung nach den Artt. 5 Abs. 1 lit. c), 25 Abs. 2 DSGVO, noch gegen den aus Art. 25 Abs. 2 DSGVO ferner folgenden Grundsatz datenschutzfreundlicher Voreinstellungen zur Sicherstellung einer Verarbeitung nur personenbezogener Daten, deren Verarbeitung für den Verarbeitungszweck erforderlich sind, durch Voreinstellung als eine weitere Ausprägung der Grundsätze der Datensparsamkeit und -minimierung. Auch ein Verstoß gegen das sog. Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO liegt nicht vor.

(1) Die Grundsätze der Datensparsamkeit und -minimierung sind nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird.

Eine Datenverarbeitung ist dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe, die personenbezogenen Daten, die verarbeitet werden, also dem Zweck der Datenverarbeitung nicht angemessen sind, sondern eine exzessive Datenverarbeitung oder eine solche für rein hypothetische Zwecke, für die es im Zeitpunkt der Erhebung noch keinen absehbaren Anlass gibt, darstellen.

Insoweit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (im Folgenden die „DSK“) mit Beschluss vom 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels eines Gastzugangs erteilt. Auch im Online-Handel gelte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Danach seien nur die Daten zu erheben, die für die Abwicklung eines einzelnen Geschäfts erforderlich seien. Die zulässige Verarbeitung der personenbezogenen Daten hänge im Einzelfall insbesondere davon ab, ob Kunden einmalig einen Vertrag abschließen wollten oder eine dauerhafte Geschäftsbeziehung anstrebten. Dazu müssten Kunden jeweils frei entscheiden können, ob sie ihre Daten für jede Bestellung eingeben und insofern als sogenannter temporärer Gast geführt werden möchten oder bereit sind, eine dauerhafte Geschäftsbeziehung einzugehen, die mit einem fortlaufenden Kundenkonto verbunden ist.

Daraus ergebe sich Folgendes (vgl. Anlage K 7 und Bl. 914 ff. d. A.; Unterstreichung hinzugefügt):

„1. Verantwortliche, die Waren oder Dienstleistungen im Onlinehandel anbieten, müssen ihren Kund*innen unabhängig davon, ob sie ihnen daneben einen registrierten Nutzungszugang (fortlaufendes Kund*innenkonto) zur Verfügung stellen, grundsätzlich einen Gastzugang (Online-Geschäft ohne Anlegen eines fortlaufenden Kund*innenkontos) für die Bestellung bereitstellen.

Im Online-Handel ist das fortlaufende Kund*innenkonto regelmäßige Praxis. Es wird unter Vergabe von Zugangsdaten (z. B. Benutzername/Passwort) eingerichtet, um sich gegenüber dem Verantwortlichen eindeutig zu identifizieren. Kund*innen können damit auf ein bei dem Verantwortlichen geführtes Kund*innenkonto selbst und aktiv zugreifen, um ggf. ihre Daten zu ändern oder Bestellungen zu prüfen. Fortlaufende Kund*innenkonten werden über den erstmaligen Geschäftsabschluss hinaus im Aktivdatenbestand gepflegt. Sie dienen den Kund*innen zur vereinfachten wiederkehrenden Bestellmöglichkeit ohne die nochmalige Eingabe aller personenbezogenen Daten. Darüber hinaus kann ein fortlaufendes Kund*innenkonto eine Bestell- oder Geschäftshistorie vorsehen, die dem Verantwortlichen eine Auswertung zur Profilbildung und für Werbezwecke ermöglicht.

Nach Art. 6 Abs.1 Satz 1 Buchstabe b) DS-GVO ist nur die Verarbeitung der personenbezogenen Daten zulässig, die für die Erfüllung des einzelnen Vertrages erforderlich sind. Bei einer erstmaligen Bestellung kann der Verantwortliche nicht per se unterstellen, dass er Daten von Kund*innen für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kund*innenkontos ist eine entsprechende bewusste Willenserklärung der Kund*innen erforderlich. Für Kund*innen, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, ist daher regelmäßig ein Gastzugang zu ermöglichen. Ein solcher Zugang verzichtet auf Registrierungs- bzw. Zugangsdaten (z. B. Benutzername/Passwort) für eine erneute Nutzung. Über diesen Zugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen der Kund*innen erfasst werden. Nach Vertragserfüllung nicht mehr benötigte Daten müssen gemäß Art. 17 Abs. 1 Buchstabe a) DS-GVO unverzüglich gelöscht werden. Werden die Daten im Übrigen nur noch im Rahmen spezialgesetzlich geregelter Aufbewahrungsplichten verarbeitet, z. B. aus dem Handels- oder Steuerrecht, sind technisch-organisatorische Maßnahmen zu ergreifen, um diese Daten von den Daten im operativen Zugriff zu trennen (Datensperrung). Ein Zugriff der Kund*innen auf die Daten oder das Hinzuspeichern von weiteren Daten durch die Verantwortlichen sind bei einem Gastzugang nicht vorgesehen.

Soweit im Einzelfall besondere Umstände vorliegen, bei denen ein fortlaufendes Kund*innenkonto ausnahmsweise als für die Erfüllung eines Vertrages erforderlich angesehen werden kann (Art. 6 Abs. 1 Buchstabe b DS-GVO, z. B. für Fachhändler bei bestimmten Berufsgruppen) und mithin hierfür ausnahmsweise keine Einwilligung erforderlich ist, ist dem Grundsatz der Datenminimierung Rechnung zu tragen, indem z. B. das Kund*innenkonto bei Inaktivität automatisiert nach einer kurzen Frist gelöscht wird.“

Der Beschluss sieht mithin im Grundsatz eine Pflicht für Online-Händler vor, Gastbestellungen über einen Gastzugang zu ermöglichen, lässt jedoch Ausnahmen hiervon zu. Die Kammer kann diesen - sie rechtlich nicht bindenden - Beschluss der DSK insoweit berücksichtigen, als er die Einstellung der Datenschutzbehörden zu der hier zu entscheidenden Rechtsfrage zum Ausdruck bringt (vgl. Buchmann K&R 2022, 645 ff. [652]).

(2) Auf der Grundlage des bezeichneten Beschlusses der DSK hat der HmbBfDI der Beklagten mit Schreiben vom 14.11.2022 - und ausweislich der von dem Gericht gemäß den §§ 273 Abs. 2 Nr. 2 ZPO, 12a Satz 1 UKlaG bei diesem eingeholten amtlichen Auskunft vom 14.11.2023 - seine, des HmbBfDI, Rechtsauffassung mitgeteilt, dass für die Beklagte die Möglichkeit bestehe, im Einzelfall aufgrund besonderer Umstände von dem Grundsatz des Angebots eines Gastzugangs im Online-Handel abweichen zu können, und dazu u. a. das Folgende ausgeführt (Schreiben vom 14.11.2023):

„Nach Prüfung sämtlicher in dieser Angelegenheit zur Verfügung stehender Informationen übersendete der Referatsleiter des Referats Wirtschaft und Infrastruktur des HmbBfDI, Herr Dr. A., mit E-Mail vom 14.11.2022 die Einschätzung des HmbBfDI in Form des hier gegenständlichen Schreiben an die O. GmbH & Co. KG [scil.: Schreiben gemäß Anlage B 14].

2. Dem Inhalt des Schreibens lagen die folgenden Erwägungen zugrunde, zu deren Schluss der HmbBfDI in dieser Frage gekommen ist:

a) Zwar ist im Beschluss der DSK vom 24. März 2022 (Hinweise der DSK - Datenschutzkonformer Online-Handel mittels Gastzugang) im Wesentlichen dargelegt, dass im Online-Handel grundsätzlich ein Gastzugang anzubieten ist. Allerdings besteht für Online-Händler die Möglichkeit, im Einzelfall aufgrund besonderer Umstände von diesem Grundsatz abweichen zu können. Die O. GmbH & Co. KG hat hierzu unter Vorlage entsprechender Kennzahlen geltend gemacht, dass es sich bei dem Angebot auf www.o..de um einen Marktplatz handelt, auf welchem nicht nur die O. GmbH & Co. KG selbst, sondern auch mehrere Tausend angeschlossene Dritthändler Waren vertreiben. Ein erheblicher Teil der Bestellungen bzw. der bestellten Waren betrifft (auch) Dritthändler. Das Kund*innenkonto ist damit das zentrale Informationsportal, um Informationen zu getätigten Bestellungen bzw. den Händlern nachvollziehen zu können, Kommunikation mit diesen zu führen und Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch zu nehmen. Aufgrund der sehr hohen Zahl an Bestellungen über www.o..de ist auch die Anzahl der entsprechenden nachgelagerten Kommunikations- und Bearbeitungsvorgänge sehr hoch. Es besteht ein erhebliches Interesse des Unternehmens daran, diese Vorgänge in möglichst effizienter Weise darzustellen und verfügbar zu machen. All diese Informationen und Funktionen im Kund*innenkonto abbilden und zugänglich machen zu können, bietet dabei erhebliche Effizienzvorteile gegenüber der ausschließlich individuellen Beantwortung von E-Mails oder Telefonanrufen. Dies gilt auch bei nur einer einzigen Bestellung. In diesem Sinne wertet der HmbBfDI die in dem Beschluss der DSK als Voraussetzung genannte, ausnahmsweise Erforderlichkeit eines fortlaufenden Kund*innenkontos zur Vertragserfüllung nicht lediglich als auf den Verkauf einer Ware, sondern auch auf die unternehmensseitige Notwendigkeit bezogen, sämtliche im Rahmen der Zurverfügungstellung des Marktplatzes www.o..de anfallenden Kund*innenanfragen bewältigen und die Kund*innen zum großen Teil auch auf die Informationen und Funktionen im Kund*innenkonto verweisen zu können.

b) Bei der Erstellung eines Kund*innenkontos auf www.o..de wird im Vergleich zu einer hypothetischen Gastbestellung ausschließlich das Passwort als zusätzliches Datum erhoben. Die Eingriffsintensität für Kund*innen ist damit vergleichsweise gering. Die Erhebung sämtlicher weiterer Angaben wäre auch bei einer Bestellung als Gast in datenschutzrechtlicher Hinsicht nicht zu beanstanden. Die Datenerhebung (im Wesentlichen Name, Anschrift, Kontaktdaten, Geburtsdatum, Telefonnummer) ist insoweit entweder erforderlich, um das Geschäft durchzuführen (Art. 6 Abs. 1 Satz 1 lit. b) DSGVO) oder liegt im überwiegenden berechtigten Interesse des Unternehmens, insbesondere zur Betrugsprävention bzw. der Verhinderung von Identitätstäuschungen (Art. 6 Abs. 1 Satz 1 lit. f) DSGVO i. V. m. Erwägungsgrund 47 zur DSGVO). In datenschutzrechtlicher Hinsicht ist zudem sowohl sicher als auch datensparsam, dass sich Kund*innen unter Verwendung eines von ihnen gewählten Passwortes in das Kund*innenkonto einloggen und auf die dort hinterlegten Informationen selbst zugreifen können. Die Alternative hierzu, sich bei jedem Kontakt mit der O. GmbH & Co. KG und/oder den Dritthändlern unter Angabe verschiedener personenbezogener Daten zu identifizieren, ist unter Gesichtspunkten des Datenschutzes unvorteilhaft.

c) Soweit bestimmte Informationen zu einer Bestellung für das Unternehmen noch erforderlich sind, um die den Kund*innen zustehenden bzw. etwaig geltend gemachten Rechte (insbesondere Gewährleistung, Garantie, Rücksendung) prüfen bzw. erfüllen zu können, ist das Unternehmen berechtigt, diese Informationen aufbewahren. Für die Dauer der regelmäßigen zivilrechtlichen Verjährungsfrist aus § 195 BGB (Bürgerliches Gesetzbuch) gilt dies für die hierfür maßgeblichen Daten ebenfalls. Soweit die zur Abwicklung des Geschäfts erforderlichen Daten aufgrund von handels- und steuerrechtlichen Bestimmungen aufzubewahren sind, insbesondere aufgrund von § 147 AO (Abgabenordnung) und § 257 HGB (Handelsgesetzbuch), kann eine Löschung zudem erst nach Ablauf der gesetzlichen Aufbewahrungsfristen von 6 bzw. 10 Jahren erfolgen. Die hier genannten Einschränkungen zur Löschung bzw. Pflichten zur Aufbewahrung gelten ebenfalls für sämtliche Bestellungen und unabhängig davon, ob eine Bestellung als Gast oder nach Erstellen eines Kund*innenkontos erfolgt.

d) Daraus folgt, dass der einzige Unterschied in der unternehmensseitigen Datenverarbeitung bei dem Anlegen eines Kund*innenkontos und somit der Grund für die erhöhte Eingriffsintensität damit nicht in einer zusätzlichen Erhebung von Daten besteht, sondern in der Schaffung einer individuellen Zugangsmöglichkeit der Kund*innen zu den eigenen, im Kund*innenkonto hinterlegten personenbezogenen Daten. Hiermit ist die theoretische Gefahr verbunden, dass unbefugte Dritte diese Zugangsmöglichkeit nutzen. Zur Minimierung dieser Gefahr besteht allerdings die Möglichkeit, nach Abschluss der Bestellung die Löschung des Kontozugangs zu verlangen. Zwar entfällt damit die Möglichkeit, selbst auf die dort verfügbaren Dienste und Informationen zuzugreifen. Mit der Löschung des Kontozugangs ist die Bestellung dann aber im Ergebnis einer Gastbestellung gleichgestellt. Auch ohne ein diesbezüglich ausdrückliches Verlangen wird der Zugang automatisch gelöscht, sofern über das Kund*innenkonto innerhalb von drei Jahren ab Jahresende (§§ 195, 199 BGB) keine weitere Bestellung erfolgt.

Erfolgt das Anlegen eines Kund*innenkontos ohne Bestellung, so wird es bereits nach 30 Tagen gelöscht.

e) Zusammengefasst stellt die O. GmbH & Co. KG auf www.o..de einen Online-Handels-Marktplatz mit einer Vielzahl angeschlossener Händler bereit, über den eine hohe Zahl an Bestellungen getätigt wird. Für die den Bestellungen nachgelagerte Kommunikation und Rechteausübung fällt ein erheblicher Zeit- und Ressourcenaufwand an. Dieser Aufwand kann für sämtliche Beteiligte mittels der im Kund*innenkonto zur Verfügung gestellten Kommunikationsmöglichkeiten und Funktionen sowie einer standardmäßig erfolgenden Kontoerstellung deutlich verringert werden. Zwischen einer Bestellung mit und einer Bestellung ohne Kund*innenkonto bestehen hinsichtlich der Verarbeitung personenbezogener Daten kaum Unterschiede. In beiden Fällen ist die Erhebung und Speicherung einer Vielzahl von Daten zulässig. Hinsichtlich dieser Daten bestehen unternehmensseitig in beiden Fällen identische, gesetzliche Rechte bzw. Pflichten zur Aufbewahrung, die je nach Art der Daten einen Zeitraum von 3 bis 10 Jahren umfassen. Der wesentliche Unterschied ist die Möglichkeit eines passwortgeschützten Zugangs zu diesen Daten. Bestehen im Einzelfall Bedenken hiergegen, so kann dieser Zugang mit einem entsprechenden Löschungsantrag beseitigt werden; eine regelhafte Löschung erfolgt automatisch nach Ablauf der zivilrechtlichen Verjährungsfrist.“

(3) Diese Auffassung teilt die Kammer im Ergebnis.

Die Beklagte hat hinreichende Gründe dafür dargelegt, für eine Bestellung auf dem von ihr betriebenen Online-Handelsmarktplatz mit an diesen angeschlossenen Dritthändlern die Anlage eines fortlaufenden Kundenkontos zu verlangen und daneben keinen Gastzugang anzubieten, und die im Rahmen der Anlage eines derartigen Kundenkontos erfolgende Datenerhebung und - verarbeitung durch die Beklagte trägt den Grundsätzen der Datenminimierung und der datenschutzfreundlichen Voreinstellungen zur Überzeugung des Gerichts hinreichend Rechnung.

Insoweit ist zur Überzeugung des Gerichts auch der in dem - das Gericht freilich nicht bindenden - DSK-Beschluss gemäß Anlage K 7 formulierte und auf Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gestützte Ausnahmetatbestand für die Erforderlichkeit der Anlage eines fortlaufenden Kundenkontos erfüllt.

Im Ergebnis der von der Kammer vorzunehmenden Gesamtbetrachtung und unter Zugrundelegung des Schutzzwecks der Grundsätze der Datenminimierung und der datenschutzfreundlichen Voreinstellungen ist es vorliegend damit erforderlich und verhältnismäßig, für eine Bestellung im Online-Shop der Beklagten das Anlegen eines fortlaufenden Kundenkontos durch den Besteller zu verlangen, mit der damit einhergehenden Datenerhebung und -verarbeitung.

Der Umfang der zur Anlage eines Kundenkontos bei der Beklagten erhobenen Daten - Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl und Wohnort, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Passwort - ist im Ergebnis der von der Kammer vorzunehmenden Verhältnismäßigkeitsprüfung nicht zu beanstanden.

Dass die Beklagte für die Abwicklung der über ihren Online-Shop erfolgenden Bestellungen, namentlich für den Versand von Bestellbestätigungen und der bestellten Waren, die Daten Anrede, Vorname, Nachname, Straße, Hausnummer, Postleitzahl, Wohnort und E-Mail-Adresse benötigt, liegt auf der Hand.

Die Erhebung des Geburtsdatums und der Telefonnummer bei der Registrierung bzw. Anlage eines Kundenkontos bei der Beklagten können, wie von der Beklagten nachvollziehbar und zur Überzeugung des Gerichts dargelegt, zur Prüfung der Volljährigkeit des jeweiligen Nutzers, für die Zustellung durch Speditionsunternehmen in einem mit dem Nutzer vorher telefonisch vereinbarten Zeitfenster, zur Abfrage von Bonitätsdaten bei Auskunfteien sowie zur Betrugsprävention und für eine Sanktionslistenprüfung erforderlich sein. Zur Erhebung der Telefonnummer heißt es insoweit in der klageantragsgegenständlichen Registrierungsmaske der Beklagten auch wie folgt:

„Wir benötigen deine Telefonnummer für Terminabstimmungen für Speditionslieferungen, Klärungen zur Bestellung und ggf. zu deinem Kundenkonto und um dein Konto vor Missbrauch zu schützen. Eine Nutzung zu Werbezwecken findet nicht statt, es sei denn, du hast eine gesonderte ausdrückliche Einwilligung hierzu erteilt.“

Insoweit hat der Unionsgesetzgeber - ausweislich des Erwägungsgrunds 47 zur DSGVO - die Datenverarbeitung zur Betrugsprävention, namentlich die „Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang“ auch als ein „berechtigtes Interesse des jeweiligen Verantwortlichen“ anerkannt.

Den Zugang zum Kundenkonto passwortgeschützt zu gestalten, so dass Online-Kunden auf dem Online-Martktplatz der Beklagte also ein Passwort haben müssen, ist schließlich ebenfalls nicht zu beanstanden und dient vielmehr dem Schutz der von den Kunden erhobenen Daten. So sieht es auch der Unionsverordnungsgeber gemäß Erwägungsgrund 63 zur DSGVO, wonach „[n]ach Möglichkeit [...] der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können [sollte], der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde“.

Auch die Dauer der Datenspeicherung durch die Beklagte, die an Gewährleistungs- und Verjährungsfristen sowie gesetzliche Aufbewahrungspflichten gebunden ist, ist nicht zu beanstanden. Insoweit hat der Kläger auch keine tatsächlichen Anhaltspunkte vorgetragen, die nahelegten, dass die Beklagte die von ihr erhobenen Daten für längere als in ihrer eigenen Datenschutzerklärung angegebene Zeiträume speichern würde. Danach werden bei der Bestellung von Waren über das Kundenkonto der Beklagten die Informationen über die getätigten Käufe im Marktplatz-Kundenkonto über einen Zeitraum vom maximal vier Jahren gespeichert und nach Ablauf dieses Zeitraums ausschließlich zu Zwecken der Erfüllung gesetzlicher Aufbewahrungspflichten verarbeitet.

Zudem überwiegen im Rahmen der praktischen Bestellabwicklung für den Verbraucher die Vorteile, die ein fortlaufendes Kundenkonto auf dem Online-Marktplatz der Beklagten mit sich bringt, gegenüber einem etwaigen, mit der Verpflichtung, bei der Anlegung eines solchen Kontos insbesondere auch ein Passwort anzugeben, verbundenen Nachteil. Die Möglichkeit der Bestellung über einen Gastzugang auf dem Marktplatz stellte insoweit kein gleichwertiges milderes Mittel gegenüber der Führung eines Kundenkontos in der hier zu beurteilenden Ausgestaltung durch die Beklagte dar, das dazu geeignet wäre, die Funktionsfähigkeit des Online-Marktplatzes der Beklagten aufrecht zu erhalten. Insoweit war im Rahmen der von der Kammer vorgenommenen Abwägung zugunsten der Beklagten auch zu berücksichtigen, dass es sich bei dem Angebot der Beklagten unter „www.o..de“ um einen Marktplatz handelt, auf dem neben der Beklagten eine Vielzahl von Dritthändlern Waren vertreiben. Im Gegensatz zu einem Kundenkonto vermöchte die Bestellmöglichkeit über einen Gastzugang der Beklagten nicht die Vorhaltung eines zentralen Informationsportals, dass insbesondere auch den Interessen der Kunden des von der Beklagten eröffneten Online-Marktplatzes dient. Über das von der Beklagten durch das Erfordernis der Anlage eines Kundenkontos dergestalt geschaffene zentrale Informationsportal kann nämlich nicht nur die Beklagte Informationen zu Bestellungen/Händlern besser nachvollziehen, sondern wird auch die Kommunikation, wie etwa Kundenanfragen, zwischen allen Marktplatzbeteiligten erleichtert und können Kunden zentral ihre Garantie-, Gewährleistungs- und Rücksenderechte in Anspruch nehmen.

Schließlich ist ferner zu berücksichtigen, dass eine Bestellung im Online-Shop der Beklagten freiwillig erfolgt und es jedem Verbraucher unbenommen bleibt, Waren bei einem anderen Online-Händler, der möglicherweise einen Gastzugang anbietet, oder aber im stationären Einzelhandel, der grundsätzlich weder Kontaktdaten noch ein Passwort des Verbrauchers verlangt, zu erwerben.

2.

(Klageantrag zu Ziff. 1 lit. b))

Auch der Klageantrag zu Ziff. 1 lit. b) ist unbegründet, da er jedenfalls in erheblichem Umfang auch zulässige Verhaltensweisen erfasste und dem Klägervortrag hinreichende Anhaltspunkte, die ein Verbot etwaig verbleibender unzulässiger Verhaltensweisen der Beklagten auf der Grundlage von Ziff. 3.2.1 ihrer Datenschutzerklärung ermöglichten, nicht entnommen werden können.

a. Wie bereits ausgeführt, ist der Streitgegenstand des Klageantrags zu Ziff. 1 lit. b) keine konkrete Werbemaßnahme der Beklagten, sondern die (Erstbegehungs-) Gefahr eines Beklagtenverhaltens im Sinne von Ziff. 3.2.1 ihrer Datenschutzerklärung.

b. Insoweit heißt es in der in den Klageantrag zu Ziff. 1 lit. a) eingelichteten Registrierungsmaske der Beklagten zunächst wie folgt:

In der in der dort im Wege des „opt-in“ ankreuzbaren Option „Hiermit stimme ich der Datenschutzbestimmung zu“ anklick- und aufrufbaren „Datenschutzbestimmung“ der Beklagten befindet sich sodann deren zu Ziff. 1 lit. b) klageantragsgegenständliche Ziff. 3.2.1:

„O. ist dazu berechtigt, gespeicherten Daten zu Ihrer Person z.B. die Kategorien von gekauften Waren (z.B. „Mode“), die sie bei O. erworben haben, für die Personalisierung von Werbemitteln (u.a. E-Mail, Print) zu verwenden. Die Daten werden für diesen Zweck ausschließlich in stark pseudonymisierter Form verwendet. Ziel von O. ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen. Rechtsgrundlage für diese Datenverarbeitung ist Artikel 6 Absatz 1 Buchstabe f) DSGVO.

Nicht zu Marketingzwecken durch O. werden solche Daten genutzt, für deren Verarbeitung andere Händler auf der Plattform o..de datenschutzrechtlich verantwortlich sind. Hierbei handelt es sich z.B. um Daten, die im Rahmen der Abwicklung von Käufen bei Partnern von O. auf der Plattform anfallen.

[...]

Hinweis auf das Widerspruchsrecht

Sie können der Nutzung Ihrer personenbezogenen Daten zu vorgenannten Marketingzwecken jederzeit kostenfrei mit Wirkung für die Zukunft unter s.@o..de widersprechen.

Soweit Sie Widerspruch einlegen, werden Ihre Daten - insofern eine Fortsetzung der Speicherung der Daten zu anderen Zwecken als der Nutzung zum Zweck des Marketing weiterhin erforderlich ist - für die weitere werbliche Datenverarbeitung gesperrt. Wir weisen darauf hin, dass es in Ausnahmefällen auch noch nach Eingang Ihres Widerspruchs vorübergehend noch zu einem Versand von Werbematerial kommen kann. Dies ist technisch durch die nötige Vorlaufzeit im Rahmen der Selektion bedingt und bedeutet nicht, dass wir Ihren Widerspruch nicht umgesetzt haben.“

Die von der Beklagten erhobene Telefonnummer wird ausweislich der Registrierungsmaske der Beklagten ohne eine „gesonderte ausdrückliche Einwilligung hierzu“ von der Beklagten nicht für Werbezwecke verwendet.

Dass die Beklagte automatisierte Selektionsverfahren auf der Grundlage detaillierter Profile oder Verhaltensprognosen durchführte oder Profile unter Verwendung externer Datenquellen für Zwecke der Direktwerbung erstellte, ist nicht ersichtlich.

Dafür, dass die Beklagte - entgegen den Ausführungen in ihrer Datenschutzerklärung - die im Zusammenhang mit Dritthändlertransaktionen anfallenden Bestelldaten abgesehen von dem Zweck der Führung des Kundenkontos zu eigenen, insbesondere werblichen Zwecken verarbeiten würde, hat der Kläger keine tatsächlichen Anhaltspunkte vorgetragen.

c. Gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO ist eine Datenverarbeitung aber dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Nach Erwägungsgrund 47 (letzter Satz) zur DSGVO kann ein derartiges berechtigtes Interesse von Unternehmen an einer Datenverarbeitung zum Zwecke der Direktwerbung bestehen. Von einem Erfordernis einer Einwilligung in eine Datenverarbeitung zu Zwecken der Direktwerbung hat der Unionsgesetzgeber daher auch Abstand genommen und sich, wie in Art. 21 Abs. 2 DSGVO normiert, für ein Widerspruchsrecht des Betroffenen entschieden, wie es Ziff. 3.2.1 der Datenschutzerklärung auch enthält.

Soweit „Direktwerbung“ ein Minus gegenüber personalisierten Werbemitteln sein kann, da sich „Direktwerbung“ auch auf die bloße Nutzung von E-Mail-Adressen für die Zusendung eines breit gefächerten und nicht durch die Verwendung weiterer Nutzerdaten eingeschränkten Angebots beschränken kann, erkennt der Unionsgesetzgeber aber auch die Auswertung des Bestellverhaltens eines Kunden zur (weiteren) Personalisierung von Werbemitteln als zulässiges Marktverhalten an, namentlich in Art. 13 Abs. 2 der Richtlinie 2002/58/EG vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). Danach kann „eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung [...] deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen zum Zeitpunkt ihrer Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat“. Auch vor dem Hintergrund der hieraus folgenden unionsrechtlichen Zulässigkeit der Auswertung der Bestellhistorie eines Kunden durch den Betreiber eines Online-Marktplatzes zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen besteht danach ein überwiegendes berechtigtes Interesse der Beklagten i. S. v. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO an einer dahingehenden Datenverarbeitung und -verwendung.

d. Ein danach verbleibendes, über die Wahrung überwiegender berechtigter Interessen hinausgehendes und daher etwaig unzulässiges Verhalten der Beklagten auf der Grundlage von Ziff. 3.2.1 ihrer Datenschutzerklärung kann die Kammer nicht feststellen. Dem Klägervortrag können auch keine tatsächlichen Anhaltspunkte für ein diese Voraussetzungen erfüllendes - drohendes - Verhalten der Beklagten entnommen werden. Ein solches konkretisierbares Verhalten, dass über ein von Art. 13 Abs. 2 der Richtlinie 2002/58/EG legitimiertes Vorgehen hinausginge, lässt sich insbesondere auch der Datenschutzerklärung der Beklagten nicht entnehmen. Wenn darin beispielhaft die Heranziehung der „Kategorien von gekauften Waren (z.B. ‚Mode'), die sie bei O. erworben haben, für die Personalisierung von Werbemitteln“ die Rede ist, stellt eine solche Maßnahme gerade die Verarbeitung von Daten zur „Direktwerbung für eigene ähnliche Produkte“ im Sinne von Art. 13 Abs. 2 der Richtlinie 2002/58/EG dar.

V.

Mangels berechtigter Abmahnung kann der Kläger von der Beklagten auch keinen Ersatz einer Abmahnkostenpauschale nebst Zinsen verlangen (§ 13 Abs. 3 UWG).

VI.

Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 Sätzen 1 und 2 ZPO.

Die Streitwertfestsetzung ist gemäß § 51 Abs. 2 GKG erfolgt.