OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
28.03.2024 | Lesezeit: 9 min

Mit Beschluss vom 23.01.2024, Az.: 14 LA 1/24, hat das OVG Niedersachsen eine Entscheidung des VG Hannover (Urt. v. 09.11.2021, Az.: 10 A 502/19) bestätigt, nach der die datenschutzrechtliche Anordnung einer Datenschutzbehörde, mit der einer Online-Apotheke untersagt worden ist, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen, rechtmäßig ist. Die Entscheidung bezog sich auf eine Online-Apotheke, kann jedoch auf andere Online-Shops übertragen werden.

I. Sachverhalt

Die Klägerin, Betreiberin einer Online-Versandapotheke, wendet sich gegen eine datenschutzrechtliche Anordnung der zuständigen Datenschutzbehörde, die unter anderem auf die Unterlassung der Erhebung und Verarbeitung bestimmter Daten im Bestellprozess auf ihrer Webseite gerichtet ist.

Die Klägerin verlangt in ihren Online-Bestellformularen u.a. die verpflichtende Angabe des Geburtsdatums.

Eine Privatperson hatte deshalb bei dem Bayerischen Landesamt für Datenschutzaufsicht (im Folgenden: BayLDA) eine Online-Beschwerde hinsichtlich der von der Klägerin betriebenen Online-Versandapotheke eingereicht und die Art und den Umfang der Datenerhebung während des Bestellprozesses gerügt. Diese Beschwerde hatte das BayLDA zur Bearbeitung in eigener Zuständigkeit an die Beklagte weitergeleitet.

Die Beklagte wies die Klägerin per Bescheid an, es zu unterlassen, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers abzufragen.

Die hiergegen erhobene Klage der Klägerin wies das Verwaltungsgericht Hannover ab. Dagegen erhob die Klägerin Antrag auf Zulassung der Berufung zum OVG Niedersachsen.

Banner Unlimited Paket

II. Entscheidung des OVG Niedersachsen

Das OVG Niedersachsen ließ die Berufung gegen das angefochtene Urteil nicht zu, da die Voraussetzungen der von der Klägerin geltend gemachten Zulassungsgründe des § 124 Abs. 2 Nrn. 1 und 3 VwGO teilweise schon nicht genügend dargelegt worden seien und im Übrigen nicht vorlägen.

1) Keine ernstlichen Zweifel an der Richtigkeit der angefochtenen Entscheidung

Nach Auffassung des Gerichts bestünden keine ernstlichen Zweifel an der Entscheidung des VG Hannover. Dieses hatte die Anordnung der zuständigen Datenschutzbehörde auf ihre Rechtmäßigkeit geprüft und hierzu auszugsweise wie folgt ausgeführt:

c) Die Erhebung und Verarbeitung des Geburtsdatums unabhängig davon, welches Produkt bestellt wird, verstößt gegen das in Art. 5 Abs. 1 lit. a DSGVO normierte Prinzip der Rechtmäßigkeit und steht somit im Widerspruch zur DSGVO.

Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise verarbeitet werden. Dies entspricht der Vorgabe von Art. 8 Abs. 2 Satz 1 Grundrechtecharta der EU (GRC), wonach personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf Basis sonstiger gesetzlich geregelter legitimer Grundlagen verarbeitet werden dürfen. Diesen Grundsatz nimmt Art. 6 Abs. 1 DSGVO durch die Anforderung auf, dass eine der dort geregelten Rechtsgrundlagen zur Datenverarbeitung vorliegen muss (vgl. Schantz, in: BeckOK Datenschutzrecht, 37. Ed., Stand 01.05.2020, Art. 5 DSGVO, Rn. 5).

Die Erhebung und Verarbeitung des Geburtsdatums im Bestellprozess auf der streitgegenständlichen Homepage der Klägerin – auch für solche Produkte, die altersunabhängig zu dosieren sind – kann auf keine der in Art. 6 DSGVO genannten Rechtsgrundlagen gestützt werden. (…)

bb) Die Abfrage des Geburtsdatums kann nicht auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden. Hiernach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Dies ist vorliegend nicht der Fall. Die Formulierung „zur Erfüllung eines Vertrages“ darf nicht im rechtstechnischen Sinne zu eng verstanden werden. Neben der „Erfüllung“ im engeren Sinne sind die Vorbereitung und Anbahnung des Vertrages, dessen Durchführung sowie auch dessen Abwicklung insbesondere zur Erfüllung von Gewährleistungspflichten oder sekundären Leistungspflichten erfasst (vgl. Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 6 DSGVO, Rn. 11). Auch vorvertragliche Maßnahmen können eine Verarbeitung legitimieren, allerdings nur, wenn sie „auf Anfrage der betroffenen Person erfolgen“. Liegt ein Vertrag i.S.d. Art. 6 Abs. 1 lit. b) DSGVO vor, so muss die Verarbeitung zur Durchführung des Vertrages bzw. der Vertragsanbahnung objektiv erforderlich sein, damit der Erlaubnistatbestand zur Anwendung kommen kann. Ist dies der Fall, ist eine weitere Interessenabwägung grundsätzlich entbehrlich (Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 6 DSGVO, Rn. 16). (…)

Legt man diesen Maßstab zugrunde, ist die Erhebung und Verarbeitung des genauen Geburtsdatums, welches sich aus Tag, Monat und Jahr zusammensetzt, nicht zur Erfüllung des Vertrages über altersunabhängig zu dosierende Produkte erforderlich. Typischerweise schließen die Klägerin und die von ihrer Webseite bestellenden Personen einen Kaufvertrag über das bestellte Produkt ab. Die Klägerin ist zur Erfüllung dieses Vertrages dazu verpflichtet, dem Besteller das Produkt zu übergeben und das Eigentum daran zu verschaffen, während der Besteller dazu verpflichtet ist, das bestellte Produkt zu bezahlen. Hierfür ist die Abfrage des Geburtsdatums grundsätzlich nicht erforderlich. (…)

cc) Die Abfrage des Geburtsdatums kann nicht auf Art. 6 Abs. 1 lit. c) DSGVO gestützt werden. Hiernach ist die Datenverarbeitung zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. In Abgrenzung zu Art. 6 Abs. 1 lit. b DSGVO meint Art. 6 Abs. 1 lit. c DSGVO mit „rechtlicher Verpflichtung“ nicht eine auf einer privatautonomen Entscheidung beruhende vertragliche Obligation, sondern eine Verpflichtung kraft Rechts der Union oder eines Mitgliedstaates. Eine solche rechtliche Verpflichtung ist für die Produktpalette der Klägerin, die eine altersabhängige Dosierung nicht erfordern, nicht ersichtlich.

Insbesondere ergibt sie sich nicht aus § 2 Abs. 1 Nr. 3 Arzneimittelverschreibungsordnung. Nach dieser Norm muss eine Verschreibung den Namen und das Geburtsdatum der Person, für die das Arzneimittel bestimmt ist, enthalten. (…)

dd) Die Abfrage des Geburtsdatums für altersunabhängig zu dosierende Produkte kann schließlich auch nicht auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Hiernach ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Die Erforderlichkeit der Verarbeitung wird auch hier wie unter lit. b) dann angenommen, wenn kein milderes, wirtschaftlich gleich effizientes Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu verwirklichen (Plath, in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 6 DSGVO, Rn. 56).

Soweit die Klägerin vorträgt, ein berechtigtes Interesse daran zu haben, in Erfahrung bringen zu können, ob der Besteller aufgrund seines Alters (beschränkt) geschäftsfähig ist, so bedarf es einer Abwägung zu dem diesem Interesse gegenüberstehenden Recht auf informationelle Selbstbestimmung des jeweiligen Bestellers aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG vorliegend schon nicht, weil es bereits an der Erforderlichkeit der Datenerhebung zu diesem Zweck scheitert. Die Klägerin muss sich diesbezüglich – wie bereits dargelegt – auf das mildere gleich effiziente Mittel der Abfrage der Volljährigkeit verweisen lassen. (…)

Diese Begründung hielt das OVG Niedersachsen für nachvollziehbar.

a) Andere Möglichkeiten zur Identifizierung zur Erfüllung von Beratungspflichten

Nicht die eindeutige Identifizierung des Bestellers sei zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird.

Auch sei seitens der Klägerin nicht dargelegt worden, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfüge auch über die Anschrift sowie die Telefonnummer des Bestellers, es werde nicht erläutert und sei auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll.

b) Keine geeignete Altersprüfung

Es sei auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer seien, als wenn das gesamte Geburtsdatum abgefragt wird, trage die Klägerin weiterhin nicht vor und seien auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox biete im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage sei daher ohnehin zweifelhaft.

c) Andere Möglichkeiten zur Identifizierung im Falle von Rückabwicklungs- und Gewährleistungsansprüchen

Ferner bleibe unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.

d) Andere Möglichkeiten zur Identifizierung zur Erfüllung von datenschutzrechtlichen Betroffenenrechten

Auch sei die Verarbeitung des Geburtsdatums zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Satz 1 lit. c) DSGVO) um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, nicht erforderlich.

Art. 12 Abs. 6 DSGVO gestatte dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, sei hiervon nicht erfasst. Ein Verantwortlicher solle Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin könne daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

d) Kein überwiegendes berechtigtes Interesse wegen der Durchsetzung offener Forderungen

Schließlich sei die Verarbeitung des Geburtsdatums des Kunden auch nicht auf Grundlage eines überwiegenden berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO rechtmäßig, welches sich aus der Notwendigkeit der Durchsetzung offener Forderungen gegen säumige Kunden ergeben könne.

Ein Ausfallrisiko könne allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung sei beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer könne die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl - etwa aus Marketinggesichtspunkten - in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so müsse er hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).

2) Keine grundsätzlichen Bedeutung der Rechtssache

Das Gericht verneinte auch eine grundsätzliche Bedeutung der Rechtssache.

Zwar habe die Klägerin mit ihrer Zulassungsbegründung als rechtsgrundsätzlich bedeutsam die Frage formuliert, ob bzw. in welchem Umfang das Geburtsdatum eines Kunden unter datenschutzrechtlichen Gesichtspunkten von einer Online-Apotheke insbesondere unter Berücksichtigung der dieser obliegenden umfangreichen Beratungspflichten verarbeitet werden dürfe.

Sie lege jedoch nicht hinreichend dar, warum sie die aufgeworfene Frage für klärungsbedürftig und entscheidungserheblich hält und aus welchen Gründen sie ihr Bedeutung über den Einzelfall hinaus zumisst - dies werde lediglich behauptet.

Unabhängig davon sei die Frage in ihrer Allgemeinheit nicht entscheidungserheblich gewesen. Konkret sei es lediglich darum gegangen, ob die von der Klägerin erstinstanzlich angeführten Gründe für die Erhebung des Geburtsdatums - die ihr nach § 20 ApBetrO obliegende Beratungspflicht sowie die Ermöglichung der Prüfung der Geschäftsfähigkeit des Bestellers - die Datenverarbeitung rechtfertigen können.

III. Fazit

Das OVG Niedersachsen stellt mit seiner Entscheidung klar, dass Online-Apotheken selbst beim Handel mit verschreibungspflichtigen Medikamenten nicht pauschal das Geburtsdatum der Kunden abfragen dürfen. Das Urteil bezieht sich zwar auf Online-Apotheken, kann aber auch auf andere Online-Shops übertragen werden.

Der Landesbeauftragte für den Datenschutz Niedersachsen vertritt in einer Pressemitteilung eine vergleichbare Rechtsauffassung.

Betreiber von Online-Shops sollten daher überprüfen, ob sie im Bestellprozess das Geburtsdatum als zwingende Angabe abfragen, und zu welchen Zwecken und auf welcher Rechtsgrundlage dieses verarbeitet wird. Kann die Abfrage nur auf die Einwilligung als Rechtsgrundlage gestützt werden, sollte das entsprechende Eingabefeld im Bestellformular eindeutig als „optional“ gekennzeichnet und die Fortsetzung des Bestellprozesses nicht von einer Angabe des Geburtsdatums abhängig gemacht werden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle:
RoseLife_Family

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Weitere News

DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
© 2004-2024 · IT-Recht Kanzlei