anonymisierung

Abfrage des Geburtsdatums bei Online-Bestellungen – ein Problem?

/von

Viele Online-Shops verlangen bei Bestellungen die Angabe des Geburtsdatums.

Im Rahmen der Verarbeitung von personenbezogenen Daten – und ein Geburtsdatum ist entsprechend der Definition des Art. 4 Nr. 1 DSGVO ein personenbezogenes Datum – gelten im Datenschutzrecht gemäß Art. 5 Abs. 1 DSGVO die Grundsätze der Datenvermeidung und der Datensparsamkeit. Nach diesen Grundsätzen sind so wenige personenbezogene Daten wie möglich zu erheben und zu verarbeiten.

Darüber hinaus gilt auch der sogenannte Zweckbindungsgrundsatz. Entsprechend diesem Grundsatz müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Zudem ist bei der Verarbeitung personenbezogener Daten zu beachten, dass jede Verarbeitung stets einer Rechtsgrundlage bedarf („Rechtmäßigkeitsgrundsatz“). Juristen sprechen hier gern von einem Verbot mit Erlaubnisvorbehalt.

Die datenschutzrechtlichen Rechtsgrundlagen finden sich hauptsächlich in der Datenschutz-Grundverordnung und zwar in Art. 6 Abs. 1 DSGVO. Folgende Rechtsgrundlagen kommen regelmäßig in Frage, wenn das Geburtsdatum bei einer Online-Bestellung abgefragt werden soll:

  • Abfrage auf der Grundlage einer Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 lit. a) DSGVO.
  • Abfrage zur Erfüllung eines Vertrages mit der betroffenen Person gem. Art. 6 Abs. 1 lit. b) DSGVO.
  • Abfrage zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Webshop-Betreiber) gem. Art. 6 Abs. 1 lit. c) DSGVO.
  • Abfrage auf der Grundlage eines berechtigten Interesses des Verantwortlichen gem. Art. 6 Abs. 1 lit. f) DSGVO.

Ausführlichere Informationen zum Thema Rechtsgrundlagen finden Sie in unserer Artikelserie.

Fallbeispiel: Abfrage des Geburtsdatums durch eine Online-Apotheke

Nachdem wir die Grundsätze und die in Frage kommenden Rechtsgrundlagen kennengelernt haben, möchten wir Ihnen an einem Fallbeispiel zeigen, wie diese Datenschutzgrundsätze und die Rechtsgrundlagen in der Praxis „funktionieren“. Ein Sachverhalt, der sozusagen aus dem Leben gegriffen wurde: Ein Fall einer Online-Apotheke, der aktuell vor dem Verwaltungsgericht Hannover (VG Hannover) verhandelt werden musste (vgl. VG Hannover, Urteil vom 09.11.2021 – 10 A 502/19; abrufbar unter: https://openjur.de/u/2374387.html).

Hier hat eine Online-Apotheke das Geburtsdatum bei jeder Bestellung abgefragt und zur Begründung der Rechtmäßigkeit der Abfrage versucht, so ziemlich alles, was an Erlaubnistatbeständen in Frage kam, anzusprechen und Argumente, die für eine Abfrage sprechen, vorzutragen. Gehen wir die einzelnen Erlaubnistatbestände und Argumente nun durch:

Einwilligung

Die Abfrage des Geburtsdatums kann grundsätzlich auf der Grundlage einer freiwilligen Einwilligung gem. Art. 7 Abs. 3 DSGVO erfolgen. Allerdings ist die Verarbeitung des Geburtsdatums auf der Grundlage einer Einwilligung nicht empfehlenswert. So muss eine solche Einwilligung informiert und freiwillig und unter Hinweis auf das jederzeitige Widerrufsrecht erfolgen was einen nicht unerheblichen Verwaltungsaufwand bedeutet. Die Erfahrung zeigt zudem, dass man im Rahmen der Einholung einer Einwilligung sehr viel falsch machen kann, so dass viele Einwilligungen nicht wirksam sind. Darüber hinaus ist die jederzeitige Widerrufbarkeit eine Herausforderung. Denn wenn die Einwilligung widerrufen wird, muss sichergestellt werden, dass das Geburtsdatum aus allen Systemen gelöscht wird. Alles in einem ist die Einwilligung eher keine geeignete Rechtsgrundlage zur Verarbeitung des Geburtsdatums durch einen Online-Shop.

In unserem Beispiel hat die Online-Apotheke das Geburtsdatum – wohl auch nicht zuletzt aufgrund der oben skizzierten Überlegungen – nicht auf der Grundlage einer Einwilligung verarbeitet.

Vertragserfüllung

Die Abfrage des Geburtsdatums könnte auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden. Nach dieser Norm ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, wenn die betroffene Person Vertragspartei ist. Die DSGVO definiert den Begriff der Erforderlichkeit nicht ausdrücklich. Helfen könnte jedoch der Erwägungsgrund 39 zur DSGVO, denn dort heißt es:

Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

Nach Auffassung des VG Hannover (s.o.) ist die Erhebung und Verarbeitung des genauen Geburtsdatums, welches sich aus Tag, Monat und Jahr zusammensetzt, nicht zur Erfüllung eines Vertrags über altersunabhängig erwerbbare Produkte erforderlich.

Auch lässt das Gericht das Argument der altersgerechten Beratung nicht „ziehen“, denn sollte die Abfrage des Geburtsdatums tatsächlich einer altersgerechten Beratung dienen, leuchtet es dem Gericht nicht ein, weshalb andere Daten, die für eine adäquate Beratung erforderlich sind – wie etwa Fragen nach einer Schwangerschaft/Einnahme anderer Medikamente –, nicht abgefragt werden.

Auch das Argument, dass die Geschäftsfähigkeit der*des Besteller*in überprüft werden muss und deshalb das Geburtsdatum abgefragt werden müsste, ließ das VG Hannover nicht gelten. Dem Risiko einer Rückabwicklung bei schwebend-unwirksamen Verträgen könne mit der einfachen Abfrage der Volljährigkeit gleichermaßen begegnet werden.

Erfüllung einer rechtlichen Verpflichtung

Die Abfrage des Geburtsdatums könnte auf Art. 6 Abs. 1 lit. c) DSGVO gestützt werden. Nach dieser Norm ist die Datenverarbeitung zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Gemeint ist dabei keine vertragliche Pflicht, sondern eine Verpflichtung kraft eines Gesetzes nach dem Recht der Union oder eines Mitgliedstaates.

Eine solche erblickte die Versandapotheke im Fall des VG Hannover z.B. in § 2 Abs. 1 Nr. 3 Arzneimittelverschreibungsordnung. Danach muss eine Verschreibung den Namen und das Geburtsdatum der Person, für die das Arzneimittel bestimmt ist, enthalten. Doch auch dieses Argument war nicht überzeigend, denn streitgegenständlich war nur der Bestellprozess über rezeptfreie Produkte auf der Webseite und nicht etwa Arzneimittel, die der Regelung des § 2 Arzneimittelverschreibungsordnung unterfallen.

Nun gibt es jedoch Bereiche, bei denen Altersbeschränkungen zu beachten sind. Etwa im Rahmen des Verkaufs von Computer- oder Konsolenspielen, Alkohol, Tabak oder aber auch E-Zigaretten. Hier bilden die Vorschriften des Jugendschutzgesetzes (JuSchG) die rechtliche Verpflichtung für die Verkäufer, eine Altersüberprüfung durchzuführen (z.B. Altersprüfung bei Bildträgern nach § 12 JuSchG, bei Alkohol nach § 9 JuSchG, bei Tabakwaren und E-Zigaretten nach § 10 JuSchG).

Wie hat aber die Altersprüfung zu erfolgen? Und reicht die Altersabfrage, die auch falsche Angaben enthalten kann, zur Erfüllung der Rechtspflicht überhaupt aus?
Diese Fragen beantwortet der Bundesgerichtshof (BGH) in seinem Urteil vom 18.07.2007 (I ZR 102/05), in welchem der Versand von Bildträgern an Minderjährige thematisiert wurde. Eine effektive Altersprüfung setzt nach BGH ein zweistufiges Verfahren voraus. Der BGH führt hierzu aus:

Beim Versandhandel mit jugendgefährdenden Trägermedien hat der Bundesgerichtshof erst jüngst ebenfalls eine zweistufige Altersverifikation für erforderlich gehalten. Zunächst ist vor dem Versand der Medien eine zuverlässige Alterskontrolle – etwa durch das Post-Ident-Verfahren – notwendig. Außerdem muss sichergestellt sein, dass die Ware nicht von Minderjährigen in Empfang genommen wird, was etwa bei einer Übersendung per „Einschreiben eigenhändig“ gewährleistet ist.

Um eine zuverlässige Altersprüfung zu gewährleisten, muss die Volljährigkeit also erstens zweifelsfrei mittels des Post-Ident-Verfahrens oder einem vergleichbaren Verfahren festgestellt und die nicht jugendfreie Ware zweitens durch persönliche Übergabe an die*den volljährige*n Kund*in sichergestellt werden. Die verpflichtende einfache Alters- oder Geburtsdatumabfrage im Bestellprozess ist also für sich genommen zur Erfüllung einer Rechtspflicht regelmäßig nicht ausreichend.

Berechtigtes Interesse des Verantwortlichen

Die Abfrage des Geburtsdatums könnte auch auf Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Nach dieser Norm ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die Erforderlichkeit der Verarbeitung wird danach beurteilt, ob kein milderes, wirtschaftlich gleich effizientes Mittel zur Verfügung steht, den entsprechenden Zweck mit gleicher Sicherheit zu erreichen.

Die Erforderlichkeit wurde durch das VG Hannover im Fall der Versandapotheke verneint. Die Begründung lautete, dass die Feststellung, ob die*der Besteller*in aufgrund des Alters (beschränkt) geschäftsfähig sei, auch durch mildere und gleich effiziente Mittel erreicht werden könne. Auch hier würde es völlig reichen, eine Checkbox zu verwenden, mit der die Volljährigkeit bestätigt wird.

Die Erforderlichkeit der Abfrage des Geburtsdatums dürfte insgesamt in den meisten Fällen nicht gegeben sein. Denkbar wäre beispielsweise, dass ein Unternehmen bei Zahlungsarten, bei denen erst zu einem späteren Zeitpunkt gezahlt wird (z.B. auf Rechnung), die Identifizierbarkeit der*des Käufer*in erleichtern möchte.

Fazit

Insgesamt kann die aufgeworfene Frage, ob die Abfrage des Geburtsdatums bei Online-Bestellungen ein Problem darstellt, mit einem eindeutigen „Ja!“ beantwortet werden. Regelmäßig wird die Abfrage den Datenschutzgrundsätzen widersprechen und sich auf keine Rechtsgrundlage stützen lassen, so dass sie im Endeffekt unzulässig wäre.

Shop-Betreiber müssen also entscheiden:

Brauche ich das Geburtsdatum wirklich als echte Altersversifikation? Dann ist die bloße Angabe des Geburtsdatums ohnehin eine völlig untaugliche Maßnahme, da es für die*den Kund*innen ein Leichtes ist, ein beliebiges Datum einzutragen. In solchen Fällen bedarf es einer echten Verifikation, beispielsweise mittels Postident-Verfahren, wie der BGH es in seiner Rechtsprechung fordert.

In allen anderen Fällen wird es ebenfalls schwierig, da das Geburtsdatum eben nicht benötigt wird. Nur in Ausnahmefällen wird man daher die Erhebung des Geburtsdatums begründen können.

Online-Händler sollten die Erhebung nicht zwingend notwendiger personenbezogener Daten jedoch nicht nur aus datenschutzrechtlicher Sicht, sondern auch vor dem Hintergrund der Kundenzufriedenheit und des Kundenvertrauens überdenken. Denn ein*e Kund*in, bei der*dem zu viel abgefragt wird, bricht den Bestellprozess gegebenenfalls ab und bestellt beim Wettbewerb, der datenschutzfreundlicher agiert.

Benötigen Sie Unterstützung bei der datenschutzkonformen Gestaltung der Prozesse Ihres Webshops? Rufen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotBundesarbeitsgericht lässt alte Videoaufzeichnungen als Beweismittel zu
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDSGVO-Bußgeld vorbeugend abwehren – geht das und wenn ja, wie?
betriebsrat verantwortlich stellenangebot job datenschutzbeauftragterModernisierung des Rechts der Mitarbeitervertretungen
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoSerie Rechtsgrundlagen: Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSerie Rechtsgrundlagen: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanDatenübermittlung in Drittländer im Kontext der DSGVO