Wie die stetig steigende Zahl von Online-Apotheken beweist, hat der elektronische Geschäftsverkehr in Deutschland auch im Pharmabereich seinen Siegeszug begonnen. Dass dies durch zahlreiche Sondervorschriften in Deutschland reglementiert ist, die nicht nur dem Heilmittelmittelrecht, sondern unter Begründung strikter Schutzpflichten auch dem Datenschutzrecht entstammen, versucht zurzeit eine Reihe von Abmahnungen glaubhaft zu machen, mit denen der Vertrieb von Arznei über eBay und Amazon für datenschutzrechtswidrig erklärt wird. Ob und inwiefern der Medikamentenverkauf im Internet eine besondere datenschutzrechtliche Relevanz besitzt und damit spezifische Handlungspflichten für Händler etabliert, soll im folgenden Gastbeitrag der IT Recht Kanzlei München ebenso erörtert werden wie die Frage nach der Möglichkeit deren rechtskonformer Umsetzung im Online-Shop einerseits und auf eBay und amazon andererseits.
PERSÖNLICHER GESUNDHEITSBEZUG VON DATEN ÜBER BESTELLTE MEDIKAMENTE
Prozesse im Online-Shop entfalten immer dann datenschutzrechtliche Relevanz, wenn personenbezogene Daten des Kunden erhoben, verarbeitet oder genutzt werden. Dies ist – freilich nicht ausschließlich – regelmäßig bei Bestellungen der Fall, für deren Registrierung und Abwicklung die Erhebung und Verarbeitung von identitätsbezogenen Kundenmerkmalen (Name, Anschrift, Geburtsdatum etc.) erforderlich wird.
Das deutsche Datenschutzrecht unterscheidet allerdings zwischen derartigen personenbezogenen „Grunddaten“ und besonderen Kategorien von Daten mit Personenbezug, die Rückschlüsse auf bestimmte Eigenschaften oder Ansichten der Person zulassen und mithin einen erheblichen persönlichkeitsrechtlichen Einschlag besitzen. Letztere unterliegen weitaus strengeren Schutzvoraussetzungen und dürfen nur unter Beachtung zusätzlicher Anforderungen erhoben und verarbeitet werden.
Solche zusätzlichen Anforderungen an die Erhebung und Verarbeitung von Daten im Online-Shop ergeben sich immer dann, wenn es sich bei diesen um Daten im Sinne des § 3 Abs. 9 BDSG handelt, der unter anderem auch „Gesundheitsdaten“ nennt. Genau diese könnten bei Online-Abverkäufen von apothekenpflichten Medikamenten an Privatpersonen nun aber betroffen sein, sofern anzunehmen ist, dass bereits die Erhebung und Verarbeitung einer Arzneimittelbestellung einen hinreichend datenschutzrelevanten Gesundheitsbezug für den betroffenen Käufer beinhaltet. Nicht zu verleugnen ist hier nämlich immerhin, dass Informationen über ein bestelltes Arzneimittel mittelbar Rückschlüsse auf den Gesundheitszustand und den Therapiebedarf zulassen.
Handelte es sich bei diesen Informationen um Gesundheitsdaten, unterläge jede Entgegennahme und Verarbeitung einer Arzneibestellung datenschutzrechtlichen Sonderrestriktion und wäre nur zulässig, wenn der Käufer vor der Bestellabgabe ausdrücklich und dem Inhalt des §4a Abs. 3 BDSG entsprechend in die Verarbeitung seiner Gesundheitsdaten einwilligt oder wenn alternativ ein spezieller Sondererlaubnistatbestand nach §28 Abs. 6 – Abs. 9 BDSG eingreift.
Ob derartige Zusatzvoraussetzungen beim Online-Arzneimittelhandel zu beachten sind, hängt also maßgeblich davon ab, ob es sich bei Produktdaten zum bestellten Medikament (ggf. i.V.m. Informationen zur Identität des Käufers) um Gesundheitsdaten nach § 3 Abs. 9 BDSG handelt.
GRUNDSÄTZLICHE DEFINITION VON GESUNDHEITSDATEN
Grundsätzlich werden als Gesundheitsdaten solche persönlichen Daten definiert, die unmittelbar oder mittelbar eine eindeutige und enge Verbindung zu der Beschreibung des physischen oder psychischen Gesundheitszustands einer Person herstellen.
Nach einer Stellungnahme des Europäischen Datenschutzbeauftragten (abrufbar unter: http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52009XX0606(03)&from=DE) umfassen Gesundheitsdaten so in der Regel medizinische Daten (z. B. ärztliche Überweisungen und Verschreibungen, medizinische Untersuchungsberichte, Labortests, Röntgenbilder usw.) wie auch gesundheitsbezogene Verwaltungs- und Finanzdaten (z. B. Dokumente über Krankenhauseinweisungen, Sozialversicherungsnummer, medizinische Termine, Rechnungen für erbrachte Gesundheitsleistungen usw.).
Eine plastischere, von (nicht abschließenden Beispielen) durchzogene Begriffsdefinition stellt demgegenüber Erwägungsgrund 35 der neuen EU-Datenschutzgrundverordnung (DSGVO) bereit, die ab dem 25. Mai 2018 gelten wird. Hiernach sollen als Gesundheitsdaten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.
Zusammenfassend gelten als personenbezogene Gesundheitsdaten demnach alle Daten über den physischen oder psychischen Zustand einer Person, die (auch nur bedingt) im Zusammenhang mit einem medizinischen Kontext entstehen können.
ARZNEIMITTELBESTELLDATEN ALS GESUNDHEITSDATEN?
Ausgehend von den europarechtlichen Beurteilungskriterien ist nun zu fragen, ob Bestellinformationen über ein Arzneimittel einen hinreichenden Gesundheitsbezug aufweisen, um als persönliche Gesundheitsdaten besonderen datenschutzrechtlichen Anforderungen zu unterliegen.
Dagegen spricht, dass die besondere Relevanz der Daten gerade an den Personenbezug von Gesundheitsinformationen geknüpft wird, bei Online-Arzneimittelkäufen aber nicht zwingend die Konstellation gegeben sein muss, in der der Käufer Medikamente zur Eigentherapie erwirbt. Auch Käufe für Angehörige oder Dritte sind denkbar, wobei in diesem Falle die Personendaten des Bestellers mit etwaigen aus den bestellten Medikamenten zu ziehenden gesundheitlichen Rückschlüssen nicht in Verbindung stünden. Ob ein Käufer Arzneimittel für sich oder andere erwirbt, wird der Online-Händler aber grundsätzlich nicht in Erfahrung bringen können und wäre so gehindert, die datenschutzrechtliche Relevanz der Bestellverarbeitung im Einzelfall korrekt zu beurteilen.
Allerdings gilt nach allgemeiner Ansicht, dass der Begriff der Gesundheitsdaten zum Zwecke ihres effektiven Schutzes weit ausgelegt werden muss (vgl. Stellungnahme der EU-Artikel-29-Gruppe, zusammengefasst hier).
Nach überwiegender Auffassung gelten demnach auch solche Daten als Gesundheitsdaten im Sinne des Datenschutzrechtes, die nicht unmittelbar den Gesundheitszustand einer Person betreffen, sondern nur mit einer gewissen Wahrscheinlichkeit Rückschlüsse darauf zulassen.
Nach dieser Ansicht lassen auch bestellte Medikamente solche Rückschlüsse zu, wobei es unerheblich ist, ob die gesundheitlichen Implikationen im konkreten Fall zutreffend sind und auch der richtigen Person, mithin dem Besteller, zugeordnet werden können (Grabitz/Hilf-Brühann, EU-Recht, Art. 8 EG-DSRL, Rn. 9 m.w.N.).
Im Ergebnis stellen Informationen über bestellte Arzneimittel nach weit verbreiteter Ansicht personenbezogene Gesundheitsdaten dar, deren Erhebung und Verarbeitung im Rahmen des Bestell- und Abwicklungsprozesses über einen Online-Shop die für derartige Daten geltenden Sonderanforderungen beachten müssen. Aus Gründen der Rechtssicherheit sollte dieser Beurteilung gefolgt werden.
RECHTSFOLGEN DER BEURTEILUNG FÜR DEN ONLINE-HANDEL
Weil es sich bei Informationen über von einer Person bestellte Medikamente unabhängig davon um besonders relevante Gesundheitsdaten handelt, ob die Medikamente auch für den Besteller bestimmt sind, sind vor der Erfassung der Bestellung (als tatbestandliche Datenerhebung) und vor der Bestellabwicklung (als Datenverarbeitung) die strikten Anforderungen für sensible Daten nach dem BDSG zu beachten.
1.) §28 Abs. 6 Nr. 3 BDSG?
Zunächst könnte für Arzneimittelbestellungen im Online-Shop das Eingreifen einer Spezialerlaubnis für die Datenprozessierung nach §28 Abs. 6 – 9 BDSG erwogen werden, welche das grundsätzliche Einwilligungserfordernis des §4 Abs. 1 BDSG abbedingen würde. Läge ein solcher Tatbestand vor, wäre die Erhebung und Verarbeitung von Arzneimittelinformationen bei der Bestellaufgabe auch ohne eine ausdrückliche Einwilligung des Käufers zulässig. In Betracht käme hier einzig der §28 Abs. 6 Nr. 3 BDSG, der die einwilligungslose Erhebung und Verarbeitung von Gesundheitsdaten zur Geltendmachung rechtlicher Ansprüche gegen den Betroffenen ermöglicht, sofern nicht schutzwürdige Interessen des Betroffenen an der Geheimhaltung überwiegen.
Zwar dienen die Datenerhebungen im Bestellprozess grundsätzlich der Identifikation der (künftigen) Vertragspartei und mithin auch der Durchsetzung eines Kaufpreisanspruches nach im Falle des späteren Zustandekommens eines Kaufvertrags.
Für die erfolgreiche Durchsetzung dieses Anspruchs sind bei genauer Betrachtung aber nur Daten über die Identität des Bestellers und nicht solche über den Kaufgegenstand relevant. Weist der Kaufgegenstand einen Gesundheitsbezug auf, haben die damit einhergehenden Gesundheitsdaten an dem Erfolg der Geltendmachung des Kaufpreisanspruchs keinen Anteil, weil sie nicht der Identifikation des Schuldners dienen. Ein Eingreifen von § 28 Abs. 6 Nr. 3 BDSG ist abzulehnen.
2.) Erfordernis einer gesundheitsdatenspezifischen Einwilligung
Mithin bleibt es für die Zulässigkeit der Entgegennahme und Abwicklung von Bestellungen über Arzneien bei dem Erfordernis der Einholung einer Einwilligung in die Erhebung und Verarbeitung von Gesundheitsdaten beim Käufer nach §4a III BDSG.
Zu beachten ist, dass sich die Einwilligung nach dieser Vorschrift ausdrücklich auf die Gesundheitsdaten beziehen muss.
Wie das Einwilligungserfordernis im Online-Shop rechtskonform umzusetzen ist und welche Probleme sich aus selbigem für den Arzneimittelverkauf auf eBay und Amazon ergeben, können Sie HIER auf den Seiten der IT Recht Kanzlei nachlesen.