Datenschutz für sensitive Daten: Apotheker darf keine Arzneimittel über Amazon verkaufen

Ein erstes wichtiges und sehr weitreichendes Urteil zum Datenschutz ist bereits vor der in Kraft tretenden Europäischen Datenschutzgrundverordnung gesprochen: Das Landgericht Dessau-Roßlau untersagte vor wenigen Wochen einem Apotheker, apothekenpflichtige Arzneimittel über die Online-Handelsplattformen wie beispielsweise Amazon zu verkaufen.

Ein anderer Apotheker hatte gegen den beklagten Apotheker geklagt, der apothekenpflichtige Arzneimittel über die Handelplattform Amazon verkaufte. Der Kläger argumentierte, die Verkaufstätigkeit sei ein Verstoß gegen das Bundesdatenschutzgesetz (BDSG a. F.) und zugleich auch ein lauterkeitsrechtlicher Verstoß.

Spezielle Einwilligung in den Umgang mit sensitiven Daten nötig

Das LG Dessau-Roßlau gab dem Kläger Recht. Denn der beklagte Apotheker hatte im  Kaufprozess keine spezielle Einwilligung von den Kunden in den Umgang mit ihren gesundheitsbezogenen Daten verlangt. Da der beklagte Apotheker aber Arzneimittel über die Verkaufsplattform vertrieb, verstoße er gegen § 4 und  § 4a, 28 Abs. 7 BDSG. Dass es sich dabei um apothekenpflichtige Arzneimittel handelte, spielte für den vorliegenden Fall keinerlei Rolle. Denn alle Gesundheitsdaten gelten als sensitive Daten (§ 3 Abs. 9, BDSG) und auch das Landgericht wertete die strittigen Daten so.

Der Umgang mit Gesundheitsdaten ist – wenn nicht die besonderen Voraussetzungen des & 28 Abs. 6 oder Abs. 7 BDSG vorliegen – gemäß § 4a Abs. 3 BDSG a. F. nur erlaubt, wenn eine besondere Einwilligung vorliegt. Die grundsätzliche Einwilligung von Kunden in die Erhebung, Speicherung und Verarbeitung ihrer Daten durch die Errichtung eines Kundenkontos, wie sie bei Amazon die gängige Praxis ist, kann nach Auffassung des Gerichts gerade nicht mit einer ausdrücklichen Einwilligung der Erhebung und weiteren Verarbeitung von Gesundheitsdaten gleichgestellt werden. Denn die Bestellung der Medikamente ermöglichte Rückschlüsse auf mögliche Krankheiten und die gesundheitliche Verfassung der bei der Handelsplattform  bestellenden Kunden.

Weiter stellte das Gericht fest, dass nicht der Ausnahmetatbestand des § 28 Abs. 7 BDSG greife, wonach sensitive Daten auch ohne ausdrückliche Einwilligung zum Zwecke der Gesundheitsvorsorge verarbeitet werden dürfen, da im vorliegenden Fall die erforderliche ärztliche Verschwiegenheits- und Geheimhaltungsverpflichtung fehle. Nicht dem Beklagten, der als Apotheker dieser Verpflichtung nachkommt, sondern die Online-Handelsplattform habe keine besondere Einwilligung der Kunden.

Denn darauf berief sich der angeklagte Apotheker: der Kunde wähle auf der Plattform die jeweilige Arznei und deren Anbieter aus, woraufhin die gewünschte Apotheke die Daten des Käufers zur Abwicklung des Kaufvertrages und der Lieferung von der Plattform erhalte. An ihn selbst wurden nur die nicht personenbezogenen Bestelldaten weitergereicht. Die Handelsplattform sei der Vermittler.

Vertrieb über Handelsplattform mache Daten kommerziell nutzbar wie eine Ware

Das Gericht sah auch eine kommerzielle Datenverwendung. Die erhobenen Daten würden aufgrund des Vertriebs der Arzneimittel über Amazon als wirtschaftliches Gut wie eine Ware verwendet und gespeichert werden, daher kämen sie auch für Werbezwecke oder andere kommerzielle Zwecke in Betracht. Daher sei eine Marktrelevanz gegeben und eine Anwendung des Lauterkeitsrechts geboten. In diesem Fall unterliegen Zuwiderhandlungen gegen §§ 4, 4a, 28 BDSG dem Lauterkeitsrecht.

Das Landgericht betont aber auch, dass für den Beklagten auch die Bestimmungen und Regelungen des Apothekengesetzes bzw. der Apothekenbetriebsordnung gelten. Es handelt sich dabei nicht nur um eine Marktzutrittsregelung, sondern zugleich um eine Marktverhaltensregelung, so dass § 3 a UWG unmittelbar Anwendung finde.

Diese Entscheidung ist brisant: die Anwendung des § 3 a UWG impliziert, dass jeder Mitbewerber das Recht auf Klage hat, sobald der auf einer Online-Handelsplattform einen Verstoß gegen ein Produkt feststellen würde, das möglicherweise mit sensitiven Daten in Verbindung steht.

Sensitive Daten sind durch EU Verordnungen definiert

Über Datenschutz wurde in den letzten Wochen viel berichtet, aber wenig über die sensitiven Daten. Dabei sind viele verschiedene Bereiche betroffen, die weit über Arzneimittel hinausgehen.

Auch die seit dem 25.05.2018 geltende Europäische Datenschutzgrundverordnung (DSGVO) benennt für die Verarbeitung sensitiver Daten hohe Anforderungen(Art. 9 Abs. 1, DSGVO). Dies betrifft weit mehr als nur die Kundendaten von Apotheken. Die Liste der Verarbeitungsregelungen und die Definition von sensitiven Daten folgen einer Vorgabe der EG-Datenschutzrichtlinie, die bereits seit 1995 gilt (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr).

 

Betroffen – und von einem Verkauf über eine Onlineplattform wie Amazon ausgeschlossen – sind von diesen Regelungen also auch beispielsweise Sanitätshäuser und Brillenhersteller ebenso wie Hersteller von Potenzmitteln oder Kondomen. Ebenso betroffen sind aber auch alle Medizinprodukte und auch Teile von Nahrungsergänzungsmitteln.

Die DSGVO fügt zu der Auflistung von sensitiven Daten auch die Verarbeitung von genetischen Daten sowie die biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person hinzu. Das Landgericht Dessau-Roßlau hat in diesem Rechtsbereich ein wichtiges und weitreichendes Urteil zum Datenschutz gesprochen, weit über Arzneimittel hinaus.

Quelle:

Urteil Landgericht Dessau-Roßlau vom 28.03.2018, Az. 3 O 29/17

DSGVO Art. 9

Bild:

geralt / pixabay.com / CC0 License