Zu den wichtigen Prinzipien der Datenschutz-Grundverordnung (kurz: DSGVO) gehört das Prinzip der Datenminimierung: Informationen dürfen nur in dem Maß und so lange wie notwendig erfasst und verarbeitet werden. Das vollständige Geburtsdatum von Bestellern müssen Online-Händler in der Regel nicht kennen. Das hat das Oberverwaltungsgericht Niedersachsen mit Beschluss vom 23.01.2024 (Az. 14 LA 1/24) entschieden.
Bestellung in Online-Apotheke nur mit Geburtsdatum?
Anlass für den Beschluss des OVG Niedersachsen gab ein Rechtsstreit zwischen einer Online-Apotheke und dem Bayerischen Landesamt für Datenschutzaufsicht (kurz: BayLDA). Die Behörde hatte das Bestellformular für Personen ohne Kundenkonto und ohne Registrierung beanstandet, in dem die Apotheke nach dem Geburtsdatum fragte. Begründung: Man müsse schließlich wissen, ob die Order von einer voll geschäftsfähigen Person aufgegeben worden sei.
Außerdem wolle man sichergehen, dass Medikament und Dosierung zum Alter der Kunden passten. Dennoch forderte das BayLDA im Dezember 2018 die Unterlassung dieser Praxis: schließlich könnten viele bestellte Produkte altersunabhängig verkauft und versendet werden.
Besondere Regelung für Verschreibungen möglich
Die Apotheke ging gerichtlich gegen die Anordnung der bayerischen Datenschützer vor. In erster Instanz vor dem Verwaltungsgericht Hannover (Az. 10 A 502/19) verwies man dabei auch auf die Arzneimittelverschreibungsverordnung (kurz: AMVV). Diese erlaube das Abgeben verschreibungspflichtiger Medikamente nur, wenn bestimmte Angaben über den Patienten bekannt seien.
Dazu gehöre ausdrücklich auch das Geburtsdatum. Doch das Gericht folgte stattdessen der Argumentation der Datenschutzbehörde: Die hatte sich in ihrem Unterlassungsanordnung ja gerade nicht auf das spezielle Bestellformular für verschreibungspflichtige Medikamente bezogen, sondern auf das für alle anderen Artikel. Hier grundsätzlich immer nach Geburtstag, Geburtsmonat und Geburtsjahr zu fragen, ist laut Gericht nicht mit der DSGVO vereinbar.
Durch zweite Instanz bekräftigt
Das Urteil hat inzwischen auch das Oberverwaltungsgericht bestätigt. Die Apotheke muss demnach Bestellungen von nicht verschreibungspflichtigen Medikamenten oder Drogerieartikeln auch ohne das vollständige Geburtsdatum des Kunden akzeptieren. Seinen Beratungspflichten könne der Betreiber auch ohne diese Angabe nachkommen. Bestehe ausnahmsweise besonderer Aufklärungsbedarf, so könne er auf Adresse und Telefonnummer der Besteller zurückgreifen.
Fazit
Das vollständige Geburtsdatum ist für Shop-Betreiber in den wenigsten Fällen wirklich erforderlich. Es darf deshalb nicht zwingend im Bestellformular abgefragt werden. Wer sichergehen will, es mit einem voll geschäftsfähigen Partner zu tun haben, kann das auch mit weniger Daten tun, wie der BayLDA betont: es reiche hier die Abfrage, ob der Besteller bereits volljährig sei.
Bildquelle: Bild 4532460 von Preis_King auf pixabay