Geburtsdatum als Pflichtfeld in Webshops oft rechtswidrig

UnternehmenGesundheitswesen

Wer in einem Online-Shop bestellt wird beim Bestellprozess häufig einiges an Informationen abgefragt. Während einige Informationen wichtig sind, wie etwa Name oder Lieferadresse, wirken zwingende Angaben wie etwa zum Geburtsdatum nicht immer nachvollziehbar.

So sieht es auch das OVG Niedersachsen in dem Beschluss vom 23.01.2024. Hintergrund war eine Unterlassungsanordnung gegenüber einer Online-Apotheke, die beim Bestellprozess das Geburtsdatum erhoben hatte. Die Abfrage war dabei nicht an die Art der bestellten Ware gebunden, sondern erfolgte neben Medikamenten auch bei allgemeinen Drogerieprodukten. Die Rechtsauffassung des OVG bezieht sich auf den Grundsatz der Datenminimierung, bei dem die Verarbeitung von Daten auf ein notwendiges Maß zu beschränken ist.

Die Verarbeitung des Geburtsdatums ist datenschutzrechtlich üblicherweise nicht zur Erfüllung eines Vertrags erforderlich. Zwar kann für die Wirksamkeit des Vertrags die Minderjährigkeit der bestellenden Person von Bedeutung sein, jedoch reicht hierfür eine Abfrage der Volljährigkeit auch ohne genaues Geburtsdatum aus.

Grundsätze aus ARt. 6 DSGVO greifen nicht

 

Teilweise wird argumentiert, dass die Erhebung des Geburtsdatums nötig ist, um die Kunden bei der Ausübung ihrer Betroffenenrechte eindeutig identifizieren zu können (Art. 12 Abs. 6 DSGVO). Dann wären Betreiber von Onlineshops ggf. rechtlich dazu verpflichtet bestimmte Daten zu erheben (Art. 6 Abs. 1 Satz 1 lit. c). Im Erwägungsgrund 64 Satz 2 der DSGVO wird auf die Problematik eingegangen und klargestellt: Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Auch ein berechtigten Interesses nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO sieht das OVG hier nicht gegeben. Ein berechtigtes Interesse könnte in Vorsorge für ein gegebenenfalls notwendiges Eintreiben offener Zahlungen bestehen, jedoch nur, wenn ein solches Ausfallrisiko bzgl. der Zahlung besteht. Im Falle einer Vorkasse liegt ein solches Risiko gerade nicht vor.

Sonderfall Online-Apotheke

Daneben bestehen für den Sonderfall einer Online-Apotheke noch zusätzliche Verpflichten, den Käufer zu informieren, zu beraten und aufzuklären (§ 20 Abs. 1 und 2 ApBetrO). Allerdings gelten diese Pflichten nur für bestimmte Produktkategorien wie rezeptpflichtige Medikamente und gerade nicht für sonstige Vertriebsprodukte von Online-Apotheken. Weiterhin ist anzuführen, dass im Bestellprozess zwar der Käufer abgefragt wird, dieser jedoch nicht mit der Person identisch sein muss, welche später das Produkt verwenden soll.

Massives Datenleck bei Dubidoc – Daten von fast einer Million Patienten abrufbar
Das weltweit erste KI-Gesetz