Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Wie die stetig steigende Zahl von Online-Apotheken beweist, hat der elektronische Geschäftsverkehr in Deutschland auch im Pharmabereich seinen Siegeszug begonnen. Dass dies durch zahlreiche Sondervorschriften in Deutschland reglementiert ist, die nicht nur dem Heilmittelmittelrecht, sondern unter Begründung strikter Schutzpflichten auch dem Datenschutzrecht entstammen, versucht zurzeit eine Reihe von Abmahnungen glaubhaft zu machen, mit denen der Vertrieb von Arznei über eBay und Amazon für datenschutzrechtswidrig erklärt wird. Ob und inwiefern der Medikamentenverkauf im Internet eine besondere datenschutzrechtliche Relevanz besitzt und damit spezifische Handlungspflichten für Händler etabliert, soll im folgenden Gastbeitrag der IT Recht Kanzlei München ebenso erörtert werden wie die Frage nach der Möglichkeit deren rechtskonformer Umsetzung im Online-Shop einerseits und auf eBay und amazon andererseits.
PERSÖNLICHER GESUNDHEITSBEZUG VON DATEN ÜBER BESTELLTE MEDIKAMENTE
Prozesse im Online-Shop entfalten immer dann datenschutzrechtliche Relevanz, wenn personenbezogene Daten des Kunden erhoben, verarbeitet oder genutzt werden. Dies ist – freilich nicht ausschließlich – regelmäßig bei Bestellungen der Fall, für deren Registrierung und Abwicklung die Erhebung und Verarbeitung von identitätsbezogenen Kundenmerkmalen (Name, Anschrift, Geburtsdatum etc.) erforderlich wird.
Das deutsche Datenschutzrecht unterscheidet allerdings zwischen derartigen personenbezogenen „Grunddaten“ und besonderen Kategorien von Daten mit Personenbezug, die Rückschlüsse auf bestimmte Eigenschaften oder Ansichten der Person zulassen und mithin einen erheblichen persönlichkeitsrechtlichen Einschlag besitzen. Letztere unterliegen weitaus strengeren Schutzvoraussetzungen und dürfen nur unter Beachtung zusätzlicher Anforderungen erhoben und verarbeitet werden.
Solche zusätzlichen Anforderungen an die Erhebung und Verarbeitung von Daten im Online-Shop ergeben sich immer dann, wenn es sich bei diesen um Daten im Sinne des § 3 Abs. 9 BDSG handelt, der unter anderem auch „Gesundheitsdaten“ nennt. Genau diese könnten bei Online-Abverkäufen von apothekenpflichten Medikamenten an Privatpersonen nun aber betroffen sein, sofern anzunehmen ist, dass bereits die Erhebung und Verarbeitung einer Arzneimittelbestellung einen hinreichend datenschutzrelevanten Gesundheitsbezug für den betroffenen Käufer beinhaltet. Nicht zu verleugnen ist hier nämlich immerhin, dass Informationen über ein bestelltes Arzneimittel mittelbar Rückschlüsse auf den Gesundheitszustand und den Therapiebedarf zulassen.
Handelte es sich bei diesen Informationen um Gesundheitsdaten, unterläge jede Entgegennahme und Verarbeitung einer Arzneibestellung datenschutzrechtlichen Sonderrestriktion und wäre nur zulässig, wenn der Käufer vor der Bestellabgabe ausdrücklich und dem Inhalt des §4a Abs. 3 BDSG entsprechend in die Verarbeitung seiner Gesundheitsdaten einwilligt oder wenn alternativ ein spezieller Sondererlaubnistatbestand nach §28 Abs. 6 – Abs. 9 BDSG eingreift.
Ob derartige Zusatzvoraussetzungen beim Online-Arzneimittelhandel zu beachten sind, hängt also maßgeblich davon ab, ob es sich bei Produktdaten zum bestellten Medikament (ggf. i.V.m. Informationen zur Identität des Käufers) um Gesundheitsdaten nach § 3 Abs. 9 BDSG handelt.
GRUNDSÄTZLICHE DEFINITION VON GESUNDHEITSDATEN
Grundsätzlich werden als Gesundheitsdaten solche persönlichen Daten definiert, die unmittelbar oder mittelbar eine eindeutige und enge Verbindung zu der Beschreibung des physischen oder psychischen Gesundheitszustands einer Person herstellen.
Nach einer Stellungnahme des Europäischen Datenschutzbeauftragten (abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52009XX0606(03)&from=DE) umfassen Gesundheitsdaten so in der Regel medizinische Daten (z. B. ärztliche Überweisungen und Verschreibungen, medizinische Untersuchungsberichte, Labortests, Röntgenbilder usw.) wie auch gesundheitsbezogene Verwaltungs- und Finanzdaten (z. B. Dokumente über Krankenhauseinweisungen, Sozialversicherungsnummer, medizinische Termine, Rechnungen für erbrachte Gesundheitsleistungen usw.).
Eine plastischere, von (nicht abschließenden Beispielen) durchzogene Begriffsdefinition stellt demgegenüber Erwägungsgrund 35 der neuen EU-Datenschutzgrundverordnung (DSGVO) bereit, die ab dem 25. Mai 2018 gelten wird. Hiernach sollen als Gesundheitsdaten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.
Zusammenfassend gelten als personenbezogene Gesundheitsdaten demnach alle Daten über den physischen oder psychischen Zustand einer Person, die (auch nur bedingt) im Zusammenhang mit einem medizinischen Kontext entstehen können.
ARZNEIMITTELBESTELLDATEN ALS GESUNDHEITSDATEN?
Ausgehend von den europarechtlichen Beurteilungskriterien ist nun zu fragen, ob Bestellinformationen über ein Arzneimittel einen hinreichenden Gesundheitsbezug aufweisen, um als persönliche Gesundheitsdaten besonderen datenschutzrechtlichen Anforderungen zu unterliegen.
Dagegen spricht, dass die besondere Relevanz der Daten gerade an den Personenbezug von Gesundheitsinformationen geknüpft wird, bei Online-Arzneimittelkäufen aber nicht zwingend die Konstellation gegeben sein muss, in der der Käufer Medikamente zur Eigentherapie erwirbt. Auch Käufe für Angehörige oder Dritte sind denkbar, wobei in diesem Falle die Personendaten des Bestellers mit etwaigen aus den bestellten Medikamenten zu ziehenden gesundheitlichen Rückschlüssen nicht in Verbindung stünden. Ob ein Käufer Arzneimittel für sich oder andere erwirbt, wird der Online-Händler aber grundsätzlich nicht in Erfahrung bringen können und wäre so gehindert, die datenschutzrechtliche Relevanz der Bestellverarbeitung im Einzelfall korrekt zu beurteilen.
Allerdings gilt nach allgemeiner Ansicht, dass der Begriff der Gesundheitsdaten zum Zwecke ihres effektiven Schutzes weit ausgelegt werden muss (vgl. Stellungnahme der EU-Artikel-29-Gruppe, zusammengefasst hier).
Nach überwiegender Auffassung gelten demnach auch solche Daten als Gesundheitsdaten im Sinne des Datenschutzrechtes, die nicht unmittelbar den Gesundheitszustand einer Person betreffen, sondern nur mit einer gewissen Wahrscheinlichkeit Rückschlüsse darauf zulassen.
Nach dieser Ansicht lassen auch bestellte Medikamente solche Rückschlüsse zu, wobei es unerheblich ist, ob die gesundheitlichen Implikationen im konkreten Fall zutreffend sind und auch der richtigen Person, mithin dem Besteller, zugeordnet werden können (Grabitz/Hilf-Brühann, EU-Recht, Art. 8 EG-DSRL, Rn. 9 m.w.N.).
Im Ergebnis stellen Informationen über bestellte Arzneimittel nach weit verbreiteter Ansicht personenbezogene Gesundheitsdaten dar, deren Erhebung und Verarbeitung im Rahmen des Bestell- und Abwicklungsprozesses über einen Online-Shop die für derartige Daten geltenden Sonderanforderungen beachten müssen. Aus Gründen der Rechtssicherheit sollte dieser Beurteilung gefolgt werden.
RECHTSFOLGEN DER BEURTEILUNG FÜR DEN ONLINE-HANDEL
Weil es sich bei Informationen über von einer Person bestellte Medikamente unabhängig davon um besonders relevante Gesundheitsdaten handelt, ob die Medikamente auch für den Besteller bestimmt sind, sind vor der Erfassung der Bestellung (als tatbestandliche Datenerhebung) und vor der Bestellabwicklung (als Datenverarbeitung) die strikten Anforderungen für sensible Daten nach dem BDSG zu beachten.
1.) §28 Abs. 6 Nr. 3 BDSG?
Zunächst könnte für Arzneimittelbestellungen im Online-Shop das Eingreifen einer Spezialerlaubnis für die Datenprozessierung nach §28 Abs. 6 – 9 BDSG erwogen werden, welche das grundsätzliche Einwilligungserfordernis des §4 Abs. 1 BDSG abbedingen würde. Läge ein solcher Tatbestand vor, wäre die Erhebung und Verarbeitung von Arzneimittelinformationen bei der Bestellaufgabe auch ohne eine ausdrückliche Einwilligung des Käufers zulässig. In Betracht käme hier einzig der §28 Abs. 6 Nr. 3 BDSG, der die einwilligungslose Erhebung und Verarbeitung von Gesundheitsdaten zur Geltendmachung rechtlicher Ansprüche gegen den Betroffenen ermöglicht, sofern nicht schutzwürdige Interessen des Betroffenen an der Geheimhaltung überwiegen.
Zwar dienen die Datenerhebungen im Bestellprozess grundsätzlich der Identifikation der (künftigen) Vertragspartei und mithin auch der Durchsetzung eines Kaufpreisanspruches nach im Falle des späteren Zustandekommens eines Kaufvertrags.
Für die erfolgreiche Durchsetzung dieses Anspruchs sind bei genauer Betrachtung aber nur Daten über die Identität des Bestellers und nicht solche über den Kaufgegenstand relevant. Weist der Kaufgegenstand einen Gesundheitsbezug auf, haben die damit einhergehenden Gesundheitsdaten an dem Erfolg der Geltendmachung des Kaufpreisanspruchs keinen Anteil, weil sie nicht der Identifikation des Schuldners dienen. Ein Eingreifen von § 28 Abs. 6 Nr. 3 BDSG ist abzulehnen.
2.) Erfordernis einer gesundheitsdatenspezifischen Einwilligung
Mithin bleibt es für die Zulässigkeit der Entgegennahme und Abwicklung von Bestellungen über Arzneien bei dem Erfordernis der Einholung einer Einwilligung in die Erhebung und Verarbeitung von Gesundheitsdaten beim Käufer nach §4a III BDSG.
Zu beachten ist, dass sich die Einwilligung nach dieser Vorschrift ausdrücklich auf die Gesundheitsdaten beziehen muss.
Wie das Einwilligungserfordernis im Online-Shop rechtskonform umzusetzen ist und welche Probleme sich aus selbigem für den Arzneimittelverkauf auf eBay und Amazon ergeben, können Sie HIER auf den Seiten der IT Recht Kanzlei nachlesen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz