Die Datenschutzaufsicht Niedersachsen hatte dem Betreiber einer Online-Apotheke untersagt, im Rahmen des Bestellprozesses das Geburtsdatum der Kundin oder des Kunden als zwingende Angabe abzufragen. Gegen diese Anordnung hatte der Shop-Betreiber geklagt, nun aber vor dem Niedersächsischen Oberverwaltungsgericht auch in zweiter Instanz verloren. Das Gericht in Hannover bestätigte, dass die Abfrage des Geburtsdatums als Pflichtfeld in aller Regel gegen den Grundsatz der Datenminimierung verstoße.
Die rechtliche Bewertung dieser Praxis gilt nicht nur für Online-Apotheken, sondern auch für Webshops im Allgemeinen. Das Erheben des Geburtsdatums sei in der Regel nicht zur Vertragserfüllung erforderlich. Selbst für die Überprüfung des Alters genüge die Abfrage der Volljährigkeit aus, so das Gericht (OVG Niedersachsen, Beschluss vom 23.01.2024, Az. 14 LA 1/24).
Auch das Argument des Shop-Betreibers, er benötige das Geburtsdatum, um die Ausübung von Betroffenenrechten (zum Beispiel DSGVO-Auskunft) zu ermöglichen, überzeugte die Richter nicht. Zusätzliche Daten sollten nicht allein zur Erfüllung von Auskunftspflichten gespeichert werden.
Zudem könne das Erheben des Geburtsdatums nicht auf berechtigte Interessen gestützt werden, es sei denn, es bestehe ein konkretes Risiko hinsichtlich der Zahlung. Ein solches Risiko liege jedoch beispielsweise bei Zahlungen per Vorkasse nicht vor.
Etwas Anderes gelte auch nicht im besonderen Fall einer Versand-Apotheke. Besonderen Beratungs- und Informationspflichten gelten auch dort nur für bestimmte Produktkategorien und nicht für alle Vertriebsprodukte der Apotheke.
Webshop-Betreiber sollten daher das Geburtsdatum im Bestellprozess nur in bestimmten Ausnahmefällen abfragen. Im Zweifel sollte das entsprechende Eingabefeld als “freiwillig” gekennzeichnet und zudem umfassend über die Verwendung dieses Datums informiert werden.