Das Oberverwaltungsgericht (OVG) Niedersachsen hat in einem aktuellen Urteil (Az. 14 LA 1/24) entschieden, dass die Abfrage des Geburtsdatums beim Bestellvorgang in einem Online-Shop für Apotheken gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Diese Entscheidung hat weitreichende Implikationen für den Online-Handel und den Umgang mit personenbezogenen Daten.
Eine Apotheke hatte in ihrem Online-Shop im Zuge des Bestellprozesses standardmäßig das Geburtsdatum der Kunden abgefragt. Diese Praxis wurde von der zuständigen Datenschutzbehörde beanstandet, woraufhin die Apotheke gegen die entsprechende Anordnung Klage erhob. Das OVG Niedersachsen bestätigte die Auffassung der Datenschutzbehörde und entschied, dass die Abfrage des Geburtsdatums ohne eine spezifische rechtliche Grundlage oder zwingende Notwendigkeit einen Verstoß gegen die DSGVO darstellt.
Gemäß DSGVO dürfen nur solche Daten erhoben werden, die für den Zweck der Verarbeitung angemessen und relevant sind und auf das notwendige Maß beschränkt bleiben („Datenminimierung“). Das Oberverwaltungsgericht befand, dass die Abfrage des Geburtsdatums im Rahmen des Bestellprozesses diesen Grundsatz verletzt, da die Apotheke nicht nachweisen konnte, dass die Erhebung dieser Information notwendig war.
Dieses Urteil setzt einen klaren Präzedenzfall für alle Unternehmen auch in Mecklenburg-Vorpommern, die einen Online-Shop betreiben. Unternehmen müssen nun noch genauer prüfen, welche personenbezogenen Daten sie von ihren Kunden erheben und verarbeiten. Insbesondere sollten sie sicherstellen, dass jede Datenerhebung durch einen konkreten und legitimen Zweck gedeckt ist und dass sie im Einklang mit den Grundsätzen der Datenminimierung und Zweckbindung steht.
Dies bedeutet, dass die Abfrage des Alters in einigen Fällen auch weiterhin rechtmäßig sein kann, dies aber nur, wenn zwingende Gründe dafür bestehen. Dies könnte beispielsweise beim Online-Verkauf von Alkohol zur Altersverifikation der Fall sein. In solchen Fällen muss die Notwendigkeit klar dokumentiert und begründet werden, um den Anforderungen der DSGVO zu entsprechen.
Die Entscheidung des OVG zeigt, dass Datenschutzbehörden und Gerichte zunehmend strengere Maßstäbe an die Verarbeitung personenbezogener Daten auch in Mecklenburg-Vorpommern anlegen. Als Online-Shop Betreiber sollten Sie daher ihre Datenschutzpraktiken regelmäßig überprüfen und gegebenenfalls anpassen. Wir als Datenschutzberater in Mecklenburg-Vorpommern empfehlen Ihnen:
- Datenerhebung auf das Notwendige zu beschränken: Prüfen Sie, welche Daten für den jeweiligen Zweck tatsächlich benötigt werden, und verzichten Sie auf die Erhebung unnötiger Informationen.
- Rechtliche Grundlagen zu prüfen: Stellen Sie sicher, dass für jede Datenerhebung eine klare rechtliche Grundlage vorhanden ist. Dokumentieren Sie diese Grundlagen und die entsprechenden Zwecke der Datenverarbeitung.
- Datenschutzkonformität zu gewährleisten: Implementieren Sie technische und organisatorische Maßnahmen, um die Einhaltung der Datenschutzvorschriften sicherzustellen. Dies umfasst auch Schulungen für Mitarbeiter und die regelmäßige Überprüfung der Datenschutzrichtlinien.
- Transparenz zu wahren: Informieren Sie Ihre Kunden klar und verständlich darüber, welche Daten zu welchem Zweck erhoben und wie diese verarbeitet werden. Eine transparente Kommunikation stärkt das Vertrauen der Kunden und unterstützt die Einhaltung der DSGVO.
In allen Zweifelsfällen stehen Ihnen unsere Spezialisten von Datenschutz-Nordost immer beratend zur Seite.