OVG Lüneburg zu Datenminimierung in Onlineshops

Inhaltsverzeichnis Verbergen

Einblick in den Fall

Das Oberverwaltungsgericht Lüneburg hat mit seinem Urteil (Beschluss 14 LA 1/24) eine richtungsweisende Entscheidung im Bereich des Datenschutzes getroffen. Im Fokus dieses Falles stand eine Online-Apotheke, die in ihrem Bestellprozess von Kunden die Angabe des Geburtsdatums verlangte. Diese Vorgehensweise zog die Aufmerksamkeit der Datenschutzbehörde auf sich, welche die Praxis als nicht vereinbar mit den geltenden Datenschutzbestimmungen einstufte. Diese Auffassung fand sowohl beim Verwaltungsgericht Hannover als auch beim Oberverwaltungsgericht Lüneburg Zustimmung. Die Entscheidung wirft ein Schlaglicht auf die immer relevanter werdende Frage der Datensparsamkeit und -minimierung in der digitalen Wirtschaft und unterstreicht die Bedeutung der Einhaltung der Datenschutz-Grundverordnung (DSGVO) in allen Aspekten des Online-Handels.

Wichtigste Punkte

Das Oberverwaltungsgericht Lüneburg entschied, dass die Erhebung des Geburtsdatums unzulässig ist.
Die Entscheidung betont die Bedeutung der Datenminimierung gemäß DSGVO Art. 5 Abs. 1 lit. c.
Für die Identifizierung sind nur Anschrift und Telefonnummer notwendig.
Gericht wies auf mildere Methoden zur Feststellung der Geschäftsfähigkeit hin.
Urteil fordert Unternehmen auf, ihre Datenverarbeitungsprozesse kontinuierlich zu überprüfen.
Verantwortungsvolles Handeln stärkt das Vertrauen der Kunden in den Datenschutz.
Regelmäßige Überprüfung der Anmeldeprozesse ist für SaaS und Onlineshops empfohlen.

Juristische Bewertung

Das Gericht betonte in seiner Entscheidung, dass die Erhebung des Geburtsdatums durch die Online-Apotheke eine klare Verletzung des Grundsatzes der Datenminimierung darstellt, wie er in Art. 5 Abs. 1 lit. c DSGVO festgelegt ist. Es wurde deutlich gemacht, dass zur Identifizierung eines Bestellers die Angabe von Anschrift und Telefonnummer vollkommen ausreichend ist. Diese richtungsweisende Entscheidung hebt die essenzielle Bedeutung hervor, bei der Erhebung von personenbezogenen Daten stets genau zu prüfen, welche Informationen tatsächlich notwendig sind, um den Zweck der Datenverarbeitung zu erfüllen. Das Gericht unterstrich, dass das Geburtsdatum für die von der Apotheke angeführten Zwecke – insbesondere die eindeutige Identifizierung des Bestellers und die Erfüllung der Beratungs- und Informationspflicht – nicht erforderlich ist. Zudem wies das Gericht darauf hin, dass es mildere Mittel gibt, um die Geschäftsfähigkeit der Kunden festzustellen, beispielsweise durch eine einfache Abfrage der Volljährigkeit. Diese Auslegung zeigt, dass der Datenschutz nicht nur eine Frage der Einhaltung gesetzlicher Vorgaben ist, sondern auch eine Frage der Verhältnismäßigkeit und der sorgfältigen Abwägung zwischen dem Interesse des Unternehmens an der Datenerhebung und dem Schutz der Privatsphäre der Kunden.

Bedeutung für die Praxis

Dieses Urteil des OVG Lüneburg unterstreicht eindrücklich die Notwendigkeit für Unternehmen, ihre Datenverarbeitungsprozesse kontinuierlich zu überprüfen und konsequent an die rechtlichen Anforderungen, insbesondere im Bereich des Datenschutzes, anzupassen. Es verdeutlicht, dass selbst bei scheinbar einfachen Vorgängen wie einem Anmeldeprozess umfassende rechtliche Überlegungen unerlässlich sind. Diese Entscheidung dient als wichtige Erinnerung daran, dass im digitalen Zeitalter der Datenschutz bei jeder Kundeninteraktion eine zentrale Rolle spielt und stets im Vordergrund stehen sollte.

Unternehmen sind gefordert, nicht nur die rechtlichen Risiken zu minimieren, sondern auch das Vertrauen ihrer Kunden in den verantwortungsvollen Umgang mit ihren Daten zu stärken. In einer Zeit, in der Datenschutzverletzungen regelmäßig für Schlagzeilen sorgen, ist es umso wichtiger, dass Unternehmen den Datenschutz ernst nehmen und als integralen Bestandteil ihrer Geschäftspraktiken begreifen.

Zusätzlich ist es ratsam, dass Unternehmen, insbesondere jene, die Software-as-a-Service (SaaS) Lösungen oder Onlineshops betreiben, ihre Anmeldeprozeduren regelmäßig unter Datenschutzgesichtspunkten überprüfen. Dies umfasst nicht nur die Einhaltung der gesetzlichen Bestimmungen, sondern auch eine fortlaufende Bewertung und Anpassung der Prozesse, um den Schutz und die Sicherheit der Nutzerdaten zu gewährleisten. Eine solche proaktive Herangehensweise hilft nicht nur, rechtliche Fallstricke zu vermeiden, sondern stärkt auch das Vertrauen der Kunden und Nutzer in die Integrität des Unternehmens.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.