Nach Art. 5 Abs. 1 DSGVO gilt der Grundsatz der Datenminimierung. Das bedeutet, dass keine Daten erhoben werden dürfen, die gar nicht benötigt werden. Nachdem das VG Hannover (Urt. v. 9.11.2021 – 10 A 502/19) bereits hat entschieden hat, dass eine Online-Apotheke bei Bestellungen nicht bei allen Produkten das Geburtsdatum abfragen darf, bestätigte das OVG Lüneburg (Beschl. v. 23.1.2024 – 14 LA 1/24) nun diese Entscheidung. Auch zur Überprüfung der Geschäftsfähigkeit sei dies nicht erforderlich.
Die Klägerin betreibt eine Online-Apotheke. Die beklagte Landesbeauftrage für den Datenschutz Niedersachsen (LfD) wies die Klägerin mit Bescheid vom 8.1.2019 an, es zu unterlassen, unabhängig von der Art des bestellten Medikamentes das Geburtsdatum des Bestellers zu erheben und zu verarbeiten. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien. Gegen diesen Bescheid hat die Klägerin vor dem Verwaltungsgericht Hannover Klage erhoben. Vor dem Termin zur mündlichen Verhandlung hatte sie bereits hinsichtlich der Anrede „Herr/Frau“ die Auswahloption „ohne Angabe“ in ihrem Bestellformular eingefügt. Die Parteien haben diesbezüglich übereinstimmend das Verfahren für erledigt erklärt. Das Gericht hat die Klage gegen den Bescheid abgewiesen. Gegen diese Entscheidung richtet sich die Beklagte.
Das OVG Lüneburg ließ die Berufung nicht zu, da keine ernstlichen Zweifel an der Richtigkeit der Entscheidung bestehen.
Die Klägerin trug vor, dass sie den Kunden bzw. Patienten bei der Durchführung der Verträge identifizieren müsse, um den ihr obliegenden Beratungs- und Informationspflichten aus § 20 Abs. 1 und 2 der Apothekenbetriebsordnung (ApBetrO) erfüllen zu können. Damit drang sie jedoch nicht durch.
Das Verwaltungsgericht hat zutreffend darauf hingewiesen, dass der Besteller und diejenige Person, für die das bestellte Produkt zur Anwendung bzw. Einnahme bestimmt ist, nicht identisch seien müssen. Dieses Argument greift auch, soweit mit der Beschwerdebegründung nunmehr erstmals geltend gemacht wird, dass das Geburtsdatum als Identifizierungskriterium erforderlich sei, um ein Arzneimitteldossier für den Kunden anlegen zu können. Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. […]
Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll.
Zudem komme die Besonderheit hinzu, dass Versandapotheken gesetzlich nach § 17 Abs. 2a S. 1 Nr. 7 ApBetrO, die Telefonnummer ihrer Kunden zu erheben. Damit bestehe die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.
Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.
Zudem sei das Geburtsdatum nicht zur Überprüfung der Geschäftsfähigkeit der Kunden erforderlich, wie die Klägerin geltend machte.
Auch soweit die Klägerin geltend macht, die Verarbeitung des Merkmals „Geburtsdatum“ sei zur Feststellung der Geschäftsfähigkeit der Kunden erforderlich, zeigt sie keine ernstlichen Zweifel an der Entscheidung des Verwaltungsgerichts auf.
Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. Damit setzt sich das Beschwerdevorbringen nicht hinreichend auseinander. Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.
Ebenso wenig sei die Erhebung des Geburtsdatum dazu erforderlich, Rückabwicklungs- und Gewährleistungsansprüche zu erfüllen, wie die Klägerin behauptete. Der Vertragspartner sei
Soweit die Klägerin geltend macht, die Verarbeitung des Merkmals „Geburtsdatum“ sei zur Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen erforderlich, legt sie dies schon nicht hinreichend substantiiert dar. Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.
Auch mit ihrem Vorbringen, die Verarbeitung des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 Satz 1 lit. c DSGVO erforderlich, um Kunden, die ihre Rechte aus den Art. 15 ff. DSGVO geltend machten, hinreichend klar zu identifizieren, drang die Klägerin nicht durch.
Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m. w. N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.
Schließlich berief sich die Klägerin für die Verarbeitung des Geburtsdatums der Kunden auf ihr überwiegendes berechtigtes Interesses nach Art. 6 Abs. 1 S. 1 lit. f DSGV, da die Verarbeitung im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden notwendig sei. Die Klägerin trug allerdings nicht zu den von ihr angebotenen Zahlungsarten vor. Ein entsprechendes Risiko bestehe nur bei einer Zahlung auf Rechnung, wobei diese Zahlungsart nur eine Möglichkeit der Zahlungsabwicklung darstelle.
Auch damit begründet die Klägerin keine ernsthaften Zweifel an der erstinstanzlichen Entscheidung. Die Klägerin legt bereits nicht dar, welche Zahlungsmöglichkeiten sie anbietet und warum insoweit aus ihrer Sicht ein Ausfallrisiko bestehen soll. Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl – etwa aus Marketinggesichtspunkten – in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m. w. N.).
Alexander Kirch/Shutterstock.com