Nach Art. 5 Abs. 1 DSGVO gilt der Grundsatz der Datenminimierung. Das bedeutet, dass keine Daten erhoben werden dürfen, die gar nicht benötigt werden. Das VG Hannover (Urt. v. 9.11.2021 – 10 A 502/19) hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum abfragen darf. Auch zur Überprüfung der Geschäftsfähigkeit sei dies nicht erforderlich.

Die Klägerin betreibt eine Online-Apotheke. Die beklagte Landesbeauftrage für den Datenschutz Niedersachsen (LfD) wies die Klägerin mit Bescheid vom 8.1.2019 an, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes das Geburtsdatum des Bestellers zu erheben und zu verarbeiten. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien. Gegen diesen Bescheid hat die Klägerin vor dem Verwaltungsgericht Hannover Klage erhoben. Vor dem Termin zur mündlichen Verhandlung hatte sie bereits hinsichtlich der Anrede „Herr/Frau“ die Auswahloption „ohne Angabe“ in ihrem Bestellformular eingefügt. Die Parteien haben diesbezüglich übereinstimmend das Verfahren für erledigt erklärt.

Das Gericht hat die Klage gegen den Bescheid abgewiesen. Die Entscheidung liegt noch nicht im Volltext vor, das Gericht hat jedoch bereits eine Pressemitteilung veröffentlicht.

Keine Rechtsgrundlage zur Datenverarbeitung

Die Klägerin argumentierte, sie müsse nach der für sie geltenden Apotheker-Berufsordnung bestimmte Pflichten erfüllen. Hierzu gehöre auch die Pflicht zur altersgerechten Beratung. Hierfür sei die entsprechende Abfrage im Bestellprozess erforderlich. Zudem habe sie ein berechtigtes Interesse daran, zu erfahren, ob der Besteller volljährig und damit geschäftsfähig sei. Dieser Argumentation ist das Gericht nicht gefolgt. Die Rüge der Landesbeauftragten für Datenschutz betraf nur rezeptfrei erwerbbare Produkte. Die Verarbeitung des Geburtsdatums müsse für solche Produkte unterbleiben, für die keine altersspezifische Beratung erforderlich sei. Auch für die Überprüfung der Geschäftsfähigkeit sei diese Abfrage nicht erforderlich – es genüge die Abfrage der Volljährigkeit.

Dem ist das Gericht nicht gefolgt. Die Kammer hat zunächst klargestellt, dass der von der LfD gerügte Bestellvorgang sich nur auf rezeptfrei erwerbbare Produkte beziehe. Die Verarbeitung des Geburtsdatums in diesem Bestellvorgang habe nach Ansicht der Kammer zumindest für solche Produkte zu unterbleiben, die keine altersspezifische Beratung erforderten. Ein Blick auf die von der Klägerin auf ihrer Webseite angebotenen Produktpalette zeige, dass sie eine große Zahl von Drogerieartikeln aber auch apothekenpflichtigen Medikamenten anbiete, die nicht altersspezifisch zu dosieren seien. Für diese Produkte könne in der Datenschutzgrundverordnung – nachdem sich die Klägerin bislang von ihren Kunden im Bestellprozess auch keine Einwilligung zur Datenverarbeitung einhole – keine Rechtsgrundlage zur Datenverarbeitung gefunden werden. Soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, so erfordere das datenschutzrechtliche Prinzip der Datenminimierung, dass lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werde.

Die Entscheidung ist noch nicht rechtskräftig.

sergign/Shutterstock.com

image_pdfPDFimage_printDrucken