Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen.

Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen.

Die Apotheke argumentierte, dass sie das Geburtsdatum benötige, um die Geschäftsfähigkeit des Bestellers zu überprüfen und eine altersgerechte Beratung durchführen zu können. Sowohl die erhobene Klage gegen diese Anweisung als auch die Berufung der Apotheke wurden von den Gerichten abgewiesen. Die Erhebung und Verarbeitung des Geburtsdatums konnte auf keine der Erlaubnistatbestände des Art. 6 Absatz 1 DS-GVO gestützt werden.

– Es wurde festgestellt, dass die Abfrage des Geburtsdatums nicht erforderlich ist, insbesondere nicht zur Durchführung vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 Satz 1 Buchstabe b) DS-GVO. Eine einfache Abfrage der Volljährigkeit genüge für die Überprüfung der Geschäftsfähigkeit, ohne dass das konkrete Geburtsdatum erforderlich wäre. Auch wurde betont, dass eine altersabhängige Beratung nicht immer notwendig ist, da viele der angebotenen Produkte altersunabhängig konsumiert oder angewendet werden können.

– Die Abfrage des Geburtsdatums konnte auch nicht auf die Erfüllung einer gesetzlichen Pflicht gem. Art. 6 Abs. 1 Satz 1 Buchstabe c) DSGVO) gestützt werden, insbesondere da die Apotheke nur rezeptfreie Produkte auf ihrer Website anbietet.

– Art. 12 Abs. 6 DS-GVO gestatte dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich seien. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, sei hiervon nicht erfasst. Die Klägerin könne daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.

– Es wurde festgestellt, dass zur Identifizierung des Bestellers bei Namensgleichheit die Anschrift sowie die Telefonnummer des Bestellers ausreichend sind. Als milderes Mittel zur Feststellung der Geschäftsfähigkeit wurde die einfache Abfrage der Volljährigkeit vorgeschlagen, da weder eine Altersprüfung über die Angabe des Geburtsdatums noch eine Checkbox die Richtigkeit der Angaben gewährleistet.

OVG Niedersachsen

(Foto: vegefox.com – stock.adobe.com)

Letztes Update:15.05.24

  • Fernmeldegeheimnis

    Kein Fernmeldegeheimnis (mehr) bei privater Nutzung von E-Mail am Arbeitsplatz

    Es ist durchaus anzunehmen, dass viele Verantwortliche und Datenschutzinteressierte die Änderungen der rechtlichen Rahmenbedingungen im Zusammenhang mit der privaten Nutzung von E-Mail und Internet am Arbeitsplatz noch nicht verinnerlicht haben.Daher ist es sicher hilfreich, dass auch Datenschutz-Aufsichtsbehörden (Ziffer 12.2 , 29. Tätigkeitsbericht LDI NRW) auf diese (neuen) Rahmenbedingungen hinweisen. Mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Krebsvorsorge Meldedaten

    Übermittlung von Meldedaten für Krebsfrüherkennung ist rechtens

    Vielfach wird das Thema Datenschutz (in der Regel zu Unrecht) mit der Verhinderung oder der Erschwerung von Prozessen, Projekten oder der Digitalisierung in Verbindung gebracht.Die Frage, ob die Nutzung von Einwohnermeldedaten für den Versand von Einladungen zur Teilnahme am Mammographie-Screening zulässig ist, ist ein gutes Beispiel dafür, dass der Gesetzgeber einige Fälle von Datenübermittlungen sogar

    Mehr erfahren
  • bDSB Kontrolle

    BfDI: Kontrolle zur Organisation und der Stellung des behördlichen Datenschutzbeauftragten

    Im Rahmen seiner Zuständigkeit kann der BfDI Beratungs- und Kontrollbesuche bei den unter seiner Aufsicht stehenden Verantwortlichen durchführen.Im Dezember 2023 wurden in diesem Zusammenhang zahlreiche Kontrollen nach den Art. 55 Abs. 1, 57 Abs. 1 lit. a) sowie 58 Abs. 1 lit. b) DS-GVO und den §§ 9 Abs. 1 Satz 1, 14 Abs. 1

    Mehr erfahren