Abfrage des Geburtsdatums im Bestellprozess nicht immer zulässig -Anrede beschränkt auf Herr/Frau unzulässig.
Das VG Hannover hat mit Urteil vom 9.11.2021 (10 A 502/19) entschieden, dass die Abfrage des Geburtsdatums von einem Onlineshop nicht immer rechtmäßig ist. Grundlage der Entscheidung war die Klage einer Online-Versandapotheke gegen die Landesbeauftragte für den Datenschutz Niedersachsen. Diese hatte der Versandapotheke untersagt, im Bestellprozess unabhängig davon, ob es altersbedingte Einschränkungen hinsichtlich des Erwerbs oder der Einnahme von Medikamenten gab, das Geburtsdatum abzufragen. Gerade bei den Drogerieprodukten sei dies nicht zulässig, da hier eine Rechtsgrundlage für die Verarbeitung fehle und auch keine Einwilligung eingeholt wurde.
Hier wurde leider nicht der Frage nachgegangen, ob dies zur Verhinderung von Bestellbetrug oder Zahlungsausfällen möglich ist.
Ebenso ging es in dem behördlichen Verfahren darum, dass es unzureichend ist, bei der Auswahl des Geschlechts lediglich die Auswahlmöglichkeit zwischen den Geschlechtern w/m vorzusehen. Entsprechendes gilt für die Anrede Frau/Herr.
Datentransfer in die USA
Wie Ihnen bereits bekannt ist, hat der EuGH in seiner Schrems II Entscheidung vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) den Transfer personenbezogener Daten in die USA auf Grundlage des EU-US-Privacy-Shields für rechtswidrig erklärt.
Der Europäische Gerichtshof hat mit dem Urteil entschieden, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU.
Für die USA hat er ein solches angemessenes Schutzniveau verneint.
Dies liegt maßgeblich daran, dass in den USA durch den „Cloud Act“, den US-Sicherheitsbehörden erlaubt wird, von US-Unternehmen die Herausgabe von Daten auch dann zu verlangen, auch wenn diese im Ausland verarbeitet werden.
In einer jüngeren Entscheidung hat das Verwaltungsgericht Wiesbaden in einem Einstweiligen Entscheidung vor diesem Hintergrund der Hochschule RheinMain untersagt, die Cookie-Management-Plattform Cookiebot einzusetzen.
Zur Begründung wurde angeführt, dass das Content-Delivery-Networks Akamai (ein Anbieter, mit dem Inhalte online effizienter bereitgestellt werden können) eingesetzt wird, welches eine Konzernmutter in den USA hat.
Interessant an der Entscheidung ist, dass das Gericht ausführt, dass die Nutzer der Webseite der Hochschule nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten wurden. Ebenso fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich. In Einzelfällen ist es laut Gericht also denkbar die Verarbeitung insgesamt auf eine informierte Einwilligung zu stützen. Hierbei wird Art 49 Abs. 1 lit a herangezogen.
Fazit:
Insgesamt bleibt zusammenzufassen, dass bei einem Drittlandtransfer einerseits ausschließlich die aktuellen Standardvertragsklauseln der EU eingesetzt werden sollten. Außerdem lässt sich im Falle eines unsicheren Zielstaates eine höhere Rechtssicherheit durch eine informierte Einwilligung der betroffenen Person erzielen.