Nach Art. 5 Abs. 1 DSGVO gilt der Grundsatz der Datenminimierung. Das bedeutet, dass keine Daten erhoben werden dürfen, die gar nicht benötigt werden. Das VG Hannover (Urt. v. 9.11.2021 – 10 A 502/19) hat entschieden, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum abfragen darf. Auch zur Überprüfung der Geschäftsfähigkeit sei dies nicht erforderlich.
Die Klägerin betreibt eine Online-Apotheke. Die beklagte Landesbeauftrage für den Datenschutz Niedersachsen (LfD) wies die Klägerin mit Bescheid vom 8.1.2019 an, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes das Geburtsdatum des Bestellers zu erheben und zu verarbeiten. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien. Gegen diesen Bescheid hat die Klägerin vor dem Verwaltungsgericht Hannover Klage erhoben. Vor dem Termin zur mündlichen Verhandlung hatte sie bereits hinsichtlich der Anrede „Herr/Frau“ die Auswahloption „ohne Angabe“ in ihrem Bestellformular eingefügt. Die Parteien haben diesbezüglich übereinstimmend das Verfahren für erledigt erklärt.
Das Gericht hat die Klage gegen den Bescheid abgewiesen. Die Entscheidung liegt noch nicht im Volltext vor, das Gericht hat jedoch bereits eine Pressemitteilung veröffentlicht.
Keine Rechtsgrundlage zur Datenverarbeitung
Die Klägerin argumentierte, sie müsse nach der für sie geltenden Apotheker-Berufsordnung bestimmte Pflichten erfüllen. Hierzu gehöre auch die Pflicht zur altersgerechten Beratung. Hierfür sei die entsprechende Abfrage im Bestellprozess erforderlich. Zudem habe sie ein berechtigtes Interesse daran, zu erfahren, ob der Besteller volljährig und damit geschäftsfähig sei. Dieser Argumentation ist das Gericht nicht gefolgt. Die Rüge der Landesbeauftragten für Datenschutz betraf nur rezeptfrei erwerbbare Produkte. Die Verarbeitung des Geburtsdatums müsse für solche Produkte unterbleiben, für die keine altersspezifische Beratung erforderlich sei. Auch für die Überprüfung der Geschäftsfähigkeit sei diese Abfrage nicht erforderlich – es genüge die Abfrage der Volljährigkeit.
Dem ist das Gericht nicht gefolgt. Die Kammer hat zunächst klargestellt, dass der von der LfD gerügte Bestellvorgang sich nur auf rezeptfrei erwerbbare Produkte beziehe. Die Verarbeitung des Geburtsdatums in diesem Bestellvorgang habe nach Ansicht der Kammer zumindest für solche Produkte zu unterbleiben, die keine altersspezifische Beratung erforderten. Ein Blick auf die von der Klägerin auf ihrer Webseite angebotenen Produktpalette zeige, dass sie eine große Zahl von Drogerieartikeln aber auch apothekenpflichtigen Medikamenten anbiete, die nicht altersspezifisch zu dosieren seien. Für diese Produkte könne in der Datenschutzgrundverordnung – nachdem sich die Klägerin bislang von ihren Kunden im Bestellprozess auch keine Einwilligung zur Datenverarbeitung einhole – keine Rechtsgrundlage zur Datenverarbeitung gefunden werden. Soweit die Klägerin die Geschäftsfähigkeit ihrer Kunden überprüfen wolle, so erfordere das datenschutzrechtliche Prinzip der Datenminimierung, dass lediglich die Volljährigkeit und nicht das genaue Geburtsdatum abgefragt werde.
Die Entscheidung ist noch nicht rechtskräftig.
sergign/Shutterstock.com
Hallo,
wenn wir Deutschen eines können, dann ist es: Zerreden und/oder nicht nachdenken!
Hier geht es ja um mehrere Punkte:
a) Hier geht es ja sicherlich um die Anrede im Bestellvorgang, also: Gendern durch die Hintertür, indem die Höflichkeitsformel abgeschafft werden soll (oder wie hier, glücklicherweise ergänzt wurde, ohne die (aus meiner Sicht) diskriminierende Angabe “Divers”. Es ist aber absolut keine Pflicht dies umzusetzen. Dann darf man auch keinen Vornamen angeben, daraus kann ich auch alles ableiten.
Sind die multigeschlechtlichen Zaubersternchen da noch nicht drauf gekommen? 😉
Wenn ich anonym bleiben möchte, kaufe ich bei einer anderen Apotheke ein, aber nicht im Netz (wobei, ich kann ja einen Fake-Vornamen nehmen, weiß ja keiner). 😉
b) Altersabfrage.
Zeigt mal wieder schön, daß beide nicht vom Fach sind und sich das nicht so einfach umsetzen läßt. Entweder wird das gesamte Geburtsdatum abgefragt oder nicht – für einzelne Produkte hieße es ein programmiertechnischer Aufwand.
Klar, man kann es auch einfach mit einem Kästen zum anhaken lösen.
Und was ist, wenn sich die Eltern demnächst beschweren, warum ihr Kind solche Medikamente kaufen durften?
Was kommt dann?
Wer übernimmt die Haftung?
Wird so alles legalisiert?
Es gibt die härtere Abfrage via Postident usw., um 100%ig sicher zu gehen, ob die Volljährigkeit stimmt, oder sind solche Abfragen dann zukünftig illegal und können abgemahnt werden?
Wenn ich mir anschaue, wie mein 10-jähriger Neffe schon auf a…express rumsurft… tolle Aussichten. Und fragen Sie mal im Freundeskreis, wieviele falsche Angaben zum Geburtsdatum, Adresse, Telefonnummern usw. machen (besonders zur Corona-Zeit). 🙂
Gerade bei Apotheken hätte man doch eine hohe Hürde erwartet, damit nicht jeder an alles dran kommt.
Vielleicht müßen wir Händler wie Corona-Politiker denken: wenn es gefährlich ist/wird, nicht zumachen, sondern alles zulassen.
Immerhin ist es für die Beklagte einigermaßen glimpflich ausgegangen.
Herzliche Grüße
Nils
Na das nennen ich mal ziemlichen Unsinn @ Nils.
a) Wenn nach dem Grundsatz der Datenminimierung ein Erheben des Datums “Geschlecht” nicht zu erheben ist, hat das nichts mit Gendern zu tun, sondern dem sparsamen Erheben von Daten. Hier stellt sich gar nicht die Frage, ob der Käufer anonym bleiben will, sondern eher, ob man nicht ein berechtigtes Interesse iSd. Art. 6 I lit. f DSGVO zugunsten der Klägerin annehmen könnte. Darauf hat diese sich vermutlich aber nicht berufen.
b) Da ist noch weniger Logik hintendran. Ob ein Shopbetreiber ein Datum abfragen darf oder eben nicht, hat absolut keine Auswirkung darauf, wer was warum kaufen darf. Zumal es sich bei Minderjährigen in vielen Fällen dann um ein schwebend unwirksames Geschäft handeln wird, dass die Erziehungsberechtigten zu genehmigen haben.
Ob ein Datum produkteabhängig abgefragt wird, ist für einen Programmierer, der seinen Job beherrscht übrigens ein leichtes zu berücksichtigen. Sollte ihr Shop da nicht über entsprechende Ansprechpartner verfügen, lassen sich sicher gute Empfehlungen finden.
Und wenn eine Datumsabfrage in manchen Fällen (nicht allen) unzulässig ist, ist sie es natürlich in diesen Fällen auch über PostIdent. Das ist so selbstverständlich, dass die Frage nicht nachvollziehbar erscheint. Im Übrigen hat das Gericht ja gerade entschieden, dass eine Datumsabfrage NICHT IMMER unzulässig ist.
Herzliche Grüße