DSGVO

Medikamente auf Amazon: Unterliegen die Bestelldaten einem besonderen Schutz?

Veröffentlicht: 14.03.2023 | Geschrieben von: Melvin Louis Dreyer | Letzte Aktualisierung: 16.03.2023
Stethoskop zwischen Buchseiten

Personenbezogene Daten können nicht nach Lust und Laune gesammelt und genutzt werden, das gilt nicht erst seit der DSGVO. Wo diese Daten schützenswert sind, gibt es allerdings auch Datenkategorien, die noch sensibler und damit noch schützenswerter sind. Hierzu zählen die „Gesundheitsdaten“, oder auch „Daten über Gesundheit“ – der Begriff kann sich unterscheiden, je nachdem, aus welcher gesetzlichen Warte man gerade auf das Thema schaut. Die DSGVO jedenfalls kennt besondere Anforderungen für die rechtmäßige Verarbeitung solcher Daten. Solche Daten – was meint das denn jetzt aber überhaupt? Um diese Frage geht es in einer Vorlage des Bundesgerichtshofs an den Europäischen Gerichtshof.

Anlass sind Rechtsstreitigkeiten zwischen Apothekern: Einer kam hier auf die Idee, seine Medikamente auch online über den Amazon-Marktplatz anzubieten. Seine Mitstreiter stören sich daran, unter anderem sehen sie einen Verstoß gegen das Datenschutzrecht: Handelt es sich bei den Bestelldaten nämlich um Gesundheitsdaten, dann bräuchte es womöglich eine Einwilligung des Betroffenen, Vertragserfüllung hin oder her.  

DSGVO: Gesundheitsbezogene Daten nur unter speziellen Anforderungen 

Für die Verarbeitung „einfacher“ personenbezogener Daten braucht es laut der DSGVO eine entsprechende Rechtsgrundlage. Was da infrage kommt, das findet sich in Artikel 6 – die Einwilligung ist ein Beispiel, aber auch das berechtigte Interesse oder die Erforderlichkeit der Verarbeitung zur Vertragserfüllung. Soll die Verarbeitung rechtmäßig sein, muss sie sich auf eine dieser Grundlagen stützen lassen können. Für besonders sensible Daten aber gelten andere Anforderungen, die sich im Bereich der DSGVO aus Artikel 9 ergeben. Nach dessen Absatz 1 ist die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt. Es sei denn, eine der speziellen Grundlagen ist einschlägig. Zu diesen besonderen Kategorien gehören nicht nur Gesundheitsdaten. Umfasst sind auch solche personenbezogenen Daten, aus denen ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, zudem genetische und biometrische Daten zur eindeutigen Identifizierung einer Person und Daten zum Sexualleben und zur sexuellen Orientierung.

Bestellung über Amazon-Marketplace: Hätte der verkaufende Apotheker eine Einwilligung einholen müssen?

Der Katalog der Rechtsgrundlagen ist in diesem Fall deutlich anspruchsvoller, das berechtigte Interesse oder die Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung sucht man hier vergebens. Die Möglichkeit der Einwilligung allerdings besteht und dürfte für viele Unternehmen, die solche Daten erheben und verarbeiten wollen, der einzige adäquate Strohhalm sein. Der aber ist seinerseits natürlich mit Anforderungen verbunden, Freiwilligkeit, Ausdrücklichkeit und so weiter. Im konkreten Fall sah das mit der Sache befasste OLG Naumburg gar aus berufsrechtlichen Gründen die Anforderung einer schriftlichen Einwilligung. 

Praktisch kann das natürlich einen großen Unterschied machen: Wo sich die Rechtmäßigkeit sonst aus der Erforderlichkeit für die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) ergeben kann, geht das mit Gesundheitsdaten so nicht. Da wird es in aller Regel die ausdrückliche Einwilligung des Betroffenen brauchen. Diese Anforderung sah auch das OLG Naumburg. „Die Daten, die Amazon für den Bestellvorgang erfasst, stellen sicher keine Gesundheitsdaten im engeren Sinne dar, wie z.B. ärztliche Befunde. Gleichwohl können aus den Bestelldaten Rückschlüsse auf die Gesundheit des Bestellers gezogen werden“. Da könnte man natürlich einwenden, dass der Besteller gar nicht für sich selbst bestellt, sondern bspw. für ein Familienmitglied. Das reiche aber nicht aus, um die Gesundheitsbezogenheit entfallen zu lassen, meint das OLG Naumburg. 

Dürfen Mitbewerber gegen DSGVO-Verstöße vorgehen?

Der Bundesgerichtshof, bei dem die beiden Fälle schließlich landeten, lässt die Frage nach der Gesundheitsbezogenheit solcher Daten nun durch den EuGH klären (Vorlagebeschlüsse v. 12.1.2023, Az. I ZR 222/19 und 223/19, bisher nicht veröffentlicht). Die Erkenntnis könnte weitgehende praktische Folgen für den Umgang mit Gesundheitsdaten haben. 

Interessant und vor allem relevant ist die Vorlage aber auch aus einem anderen Grund: Sie widmet sich neben der Frage nach den Gesundheitsdaten auch dem Thema, inwiefern es die DSGVO zulässt, dass Mitbewerber gegen entsprechende Verstöße zivilrechtlich unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorgehen können – kurzum also auch der Frage, ob Mitbewerber DSGVO-Verstöße abmahnen können. 

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.