Gerade beim boomenden Online-Shopping gibt es vielfältige Szenarien, in denen sich eine Altersabfrage der Kundinnen und Kunden aufdrängt: Diese Information bzw. Altersverifikation kann doch bestimmt auf einen Vertrag gestützt werden und liegt überdies auch im berechtigten Interesse der Verkäufer oder etwa doch nicht?
Das Geburtsdatum als verpflichtende Angabe im Bestellprozess einer Online-Apotheke
In einem Verfahren der niedersächsischen Datenschutzaufsichtsbehörde gegen eine Online-Versandapotheke musste sich das Gericht in erster (VG Hannover) und zweiter Instanz (OVG Niedersachsen) konkret mit der Frage beschäftigen, ob der Betreiber eines Webshops grundsätzlich das exakte Geburtsdatum im Bestellvorgang abfragen darf.
Die zweite Instanz, das OVG Niedersachsen (Beschluss vom 23.01.2024, Az.: 14 LA 1/24), entschied Anfang des Jahres, dass die Erhebung und Verarbeitung des Geburtsdatums unabhängig davon, welches Produkt bestellt werde, gegen das in Art. 5 Abs. 1 lit. a DSGVO normierte Prinzip der Rechtmäßigkeit verstoße und somit im Widerspruch zur Datenschutz-Grundverordnung stehe, da die Erhebung und Verarbeitung des Geburtsdatums auf keine der in Art. 6 Abs. 1 DSGVO geregelten Rechtsgrundlagen gestützt werden könne.
Der Landesdatenschutzbeauftragte Niedersachsens begrüßt diese Entscheidung in seiner Pressemitteilung.
Rechtsgrundlagen aus der DSGVO
Grundsätzlich kommen mehrere Rechtsgrundlagen für die Verarbeitung des Geburtstags bei der Nutzung eines Onlineshops oder allgemein beim Aufruf eines bestimmten Inhalts einer Webseite in Betracht.
Hierzu führt das Gericht in zweiter Instanz mustergültig aus, weswegen der Beschluss eine ausführliche Betrachtung verdient hat:
Durchführung vorvertraglicher Maßnahmen/Vertragserfüllung
Das naheliegendste Argument wäre, die Abfrage des Geburtsdatums im Bestellprozess auf die Rechtsgrundlage zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DSGVO) zu stützen. So dürften es Verantwortliche auch reflexartig zu begründen versuchen.
Voraussetzung hierfür ist allerdings, dass die Nutzenden bei der Bestellung im Shop auch die konkrete Vertragspartei sind, woran bereits Zweifel bestehen könnten, da auch Bestellungen für Dritte (z. B. für Verwandte oder Kinder) denkbar sind. Allein daran schon dürfte dieser Prozess zum Scheitern verurteilt sein.
Doch weiter: Dient das Geburtsdatum möglicherweise der Identifizierung der Person, beispielsweise bei Namensgleichheit mit anderen Bestellerinnen oder Bestellern, um dem spezialgesetzlichen Beratungsangebot als Apotheke (17 Abs. 2a Satz 1 Nr. 7 ApBetrO) gerecht werden zu können?
Hierzu stellt das Gericht fest:
„Nicht die eindeutige Identifizierung des Bestellers ist zur Erfüllung von Beratungspflichten notwendig, sondern die Kenntnis von derjenigen Person, die das bestellte Produkt anwenden bzw. einnehmen wird. Die Anlage eines Arzneimitteldossiers für den Besteller erscheint daher zur Erfüllung von Beratungs- und Informationspflichten bereits nicht geeignet.“
Und das Gericht fügt diesbezüglich noch hinzu:
„Davon abgesehen legt die Beschwerde auch nicht dar, warum das Geburtsdatum zur Identifizierung des Bestellers bei Namensgleichheit erforderlich sein soll. Die Klägerin verfügt auch über die Anschrift sowie die Telefonnummer des Bestellers, es wird nicht erläutert und ist auch nicht ersichtlich, warum mit diesen Daten nicht bereits eine hinreichend sichere Identifizierung namensgleicher Kunden möglich sein soll.“
Aus dem etwaigen Beratungsangebot ergibt sich also keine Pflicht zur Abfrage des Geburtsdatums, da die Beratung gegenüber den Kunden, nicht zwangsläufig auch dem Bestellenden und sodann auf einem anderen Wege zu erfolgen hätte:
„Ergänzend wird zudem darauf hingewiesen, dass Versandapotheken zur Erfüllung ihrer Beratungspflicht den Kunden zur Angabe einer Telefonnummer auffordern müssen, unter der er durch pharmazeutisches Personal der Apotheke telefonisch und ohne zusätzliche Gebühren beraten werden kann (§ 17 Abs. 2a Satz 1 Nr. 7 ApBetrO). Sie haben damit die Möglichkeit, über diese Telefonnummer Kontakt zum Kunden aufzunehmen und in diesem Rahmen die für die konkrete Beratung erforderlichen Daten jeweils zu erfragen.“
Feststellung der Geschäftsfähigkeit
Indes könnten Unternehmen der Ansicht sein, mit dieser Abfrage die Geschäftsfähigkeit der Kundinnen und Kunden feststellen zu wollen. Dies dürfte das zentrale Argument in dieser rechtlichen Auseinandersetzung sein und in der Beantwortung weitreichende Konsequenzen für den gesamten Online-Markt haben.
Denn auch dieses Argument wird vom Gericht eindrucksvoll widerlegt:
„Das Verwaltungsgericht hat dazu ausgeführt, dass für diesen Zweck als milderes Mittel die einfache Abfrage der Volljährigkeit genüge. [..] Es ist auch nicht ersichtlich, dass die Abfrage der Volljährigkeit zu dem Zweck, die Geschäftsfähigkeit des Kunden zu prüfen, weniger geeignet ist. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, trägt die Klägerin weiterhin nicht vor und sind auch nicht ersichtlich. Eine Altersprüfung über die Angabe des Geburtsdatums bzw. eine Checkbox bietet im Übrigen ohnedies nicht die Gewähr der Richtigkeit der Angaben. Die Eignung der Abfrage ist daher ohnehin zweifelhaft.“
Und auch bei der Erfüllung von Rückabwicklungs- und Gewährleistungsansprüchen nach der Bestellung von Produkten aus dem Shop der Online-Apotheke soll die Information zum Geburtsdatum nicht relevant sein, wie das Gericht kritisch würdigt:
„Es bleibt unklar, warum im Falle von Rückabwicklungs- und Gewährleistungsansprüchen ohne die Angabe eines Geburtsdatums der Vertragspartner, von dem Name, Anschrift und Telefonnummer bekannt sind, nicht hinreichend identifizierbar sein soll.“
Rechtliche Verpflichtung
Auch im Hinblick auf das Argument der Online-Apotheke, die Abfrage des Geburtsdatums sei zur Erfüllung einer rechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 S. 1 lit. c DSGVO erforderlich, stellt das Gericht mit anschaulichen Gegenargumenten fest: Für die Prüfung und Umsetzung der Betroffenenrechte aus der DSGVO sei die Verarbeitung des Geburtsdatums der Bestellerinnen und Besteller im Online-Shop nicht erforderlich, vor allem könne deshalb auch nicht pauschal diese Information sämtlicher Kundinnen und Kunden erhoben werden.
Konkret lautet es im Beschluss:
„Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, sofern er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag gemäß den Artikeln 15 bis 21 stellt, zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Eine routinemäßige Identitätsprüfung, die es dem Verantwortlichen ermöglicht, generell die Vorlage eines Identitätsnachweises zu verlangen, ist hiervon nicht erfasst. Ein Verantwortlicher sollte Identifizierungsdaten daher nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können (Erwägungsgrund 64 Satz 2 der DSGVO; vgl. auch Greve, in: Sydow/Marsch, DSGVO, 3. Aufl. 2022, Art. 12 Rn. 30 m.w.N.). Die Klägerin kann daher nicht das Geburtsdatum sämtlicher Kunden erheben, um dieses im Falle eines Auskunftsersuchens zur im Einzelfall erforderlichen Identitätsprüfung nutzen zu können.“
Berechtigtes Interesse
Zuletzt stützte die Online-Apotheke in ihrer Argumentation die Datenverarbeitung des Geburtsdatums der Bestellerinnen und Besteller auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, welches grundsätzlich relativ weit zu verstehen sein könnte.
„Das berechtigte Interesse ergebe sich aus der Notwendigkeit, dieses im Rahmen der Durchsetzung offener Forderungen gegen säumige Kunden verarbeiten zu müssen. Insbesondere bei der Einschaltung eines Gerichtsvollziehers bedürfe dieser bei der Ermittlung des Schuldners bei den in § 755 ZPO genannten Behörden häufig das Geburtsdatum des säumigen Kunden. [..]
Ein Ausfallrisiko kann allenfalls beim Kauf auf Rechnung bestehen, weil hier die Klägerin gegenüber dem Kunden in Vorleistung geht. Der Kauf auf Rechnung ist beim Online-Handel aber nur eine von zahlreichen Varianten der Zahlungsabwicklung. Der Verkäufer kann die Versendung der Ware ebenso gut auch von einer vorherigen Zahlung des Kunden mittels Kreditkarte, Vorabüberweisung oder Ähnliches abhängig machen. Möchte der Verkäufer gleichwohl – etwa aus Marketinggesichtspunkten – in Vorleistung gehen und zur Risikoabsicherung weitere Daten des potentiellen Kunden erheben, so muss sie hierfür auf dessen Einwilligung zurückgreifen (vgl. Buchner/Petri, in: Kühling/Buchner, DSGVO, 4. Aufl. 2024, Art. 6 Rn. 66 m.w.N.).“
Rechtliche Einordnung
Das OVG Niedersachsen befasste sich in seiner Entscheidung umfangreich mit diversen, vorgetragenen Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO und stellte insgesamt eindrucksvoll fest, dass nach Vortrag der Online-Apotheke keine Rechtsgrundlage für die Abfrage des Geburtsdatums im Bestellwesen ersichtlich ist.
Die Gegenargumente des Gerichts überzeugen und sollten vor Augen führen, dass nach den datenschutzrechtlichen Grundsätzen von der Abfrage zusätzlicher, nicht erforderlicher personenbezogener Daten in einem Online-Shop abgesehen werden sollte. Insbesondere bei derart sensiblen Informationen, wie dem Geburtsdatum, liegt trotz der speziellen Konstellation eines Online-Kaufs von Arzneimittel keine Rechtsgrundlage für diese Datenverarbeitung vor. Diese Logik dürfte sich auf andere Onlineshops übertragen lassen.
In Betracht, wenngleich in der Entscheidung nicht ausdrücklich erwähnt, könnte möglicherweise die Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 S. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO kommen, die jedoch mit einer sehr hohen Hürde verbunden ist, die kaum zu nehmen sein dürfte, insbesondere wäre die Freiwilligkeit hier äußerst fraglich. Aber mit der ausdrücklichen Einwilligung könnte die längst überfällige Brücke zur Datenverarbeitung von besonderen Kategorien personenbezogener Daten (z. B. naheliegenden Gesundheitsdaten bei Bestellungen in einer Online-Apotheke) geschlagen werden, was allerdings ein anderes Thema wäre – siehe hierzu unseren Blogbeitrag zur Auslegung des Anwendungsbereichs des Art. 9 DSGVO.