(AUT) Gesundheitsdaten bei BIPA, dm und Co im Online-Shop?
Thomas Reisinger | 15.December 2019Artikelinhalt
Supplements sind im Trend und Teil des eigenen Lifestyles. Doch offenbart der Käufer dieser Produkte - lediglich durch den Einkauf - sensible personenbezogenen Daten? Supplements sowie auch mehr und mehr Medikamente gehen heute mehr und mehr über den Online-Ladentisch. Mit der Frage, ob es sich hierbei um Gesundheitsdaten handeln könnte welche besonderen Schutz und Einwilligungen notwendig machen würden, hat sich vor Kurzem das OLG Naumburg beschäftigt. Unser Fazit: Es kann sich nicht grundsätzlich um Gesundheitsrelevante Daten handeln. So muss der Käufer von Produkt X, nicht automatisch auch der Konsument sein - somit fehlt schlicht der Gesundheitsrelevante Personenbezug.
Verbandsmaterial, nicht-verschreibungspflichtige Medikamente und Produkte wie etwa Nahrungsergänzungsmittel (sog. Supplements) werden zusehends über das Internet bestellt. Online-Apotheken / Online-Shops wie etwa DocMorris, BIPA, dm usw... verdrängen die klassische Apotheke immer mehr.
Die Zulässigkeit solcher Online-Apotheken ist vor allem ein wettbewerbsrechtliches Thema, allerdings sollte man auch die datenschutzrechtliche Komponente nicht außer Acht lassen.
Zentral im Raum steht dabei das Problem der Verarbeitung von Gesundheitsdaten mit welchem sich vor Kurzem das OLG Naumburg in Deutschland beschäftigte. Konkret war das OLG Naumburg mit den Fragen konfrontiert, ob solche Daten überhaupt unter den Begriff der Gesundheitsdaten fallen sowie auf welcher Rechtsgrundlage deren Verarbeitung erfolgt.
Hinsichtlich der ersten Frage kam das OLG Naumburg zu dem Ergebnis, dass Bestelldaten im Rahmen von Online-Apotheken diesen Begriff erfüllen. Nach Ansicht des OLG Naumburg handelt es sich hierbei nicht um "Gesundheitsdaten im engeren Sinn," wie etwa Diagnosen. Dies begründete das OLG Naumburg damit, dass zwar aus der Bestellung eines bestimmten Medikaments nicht direkt darauf geschlossen werden könne, dass der Besteller dieses Medikament auch tatsächlich benötigt. Jedoch liegen nach - durchaus hinterfragenswerter - Meinung des OLG Naumburg "Gesundheitsdaten im weiteren Sinne" vor.
Hinsichtlich der zweiten Frage bezüglich der Rechtsgrundlage der Verarbeitung dieser Bestelldaten prüft das OLG Naumburg sodann konsequent, ob die Verarbeitung im zugrundeliegenden Fall den Voraussetzungen nach Art 9 DSGVO entspricht. Hier kam das OLG Naumburg schließlich zum Ergebnis, dass - mangels Einwilligung - diese Daten nicht rechtmäßig verarbeitet wurden.
Die Entscheidung des OLG ist allerdings in beiden Punkten kritikfähig, da einerseits bei Art 9 DSGVO lediglich die Möglichkeit der Einwilligung geprüft wurde. Mit der Frage, ob der Vertrieb im Rahmen einer Online-Apotheke auf Basis der Gesundheitsvorsorge (wie dies auch bei normalen Apotheken erfolgt) stattfinden kann wurde gleich gänzlich ignoriert.
Ein weitaus größeres Fragezeichen wirft allerdings die Wertung als Gesundheitsdaten an sich auf, da der Erwägungsgrund 35 der DSGVO explizit verlangt, dass Gesundheitsdaten sich auf die betroffene Person beziehen müssen. Genau jenes Erfordernis ist allerdings nicht erfüllt wenn man für eine dritte Person eine Bestellung vornimmt. Weiters argumentierte bereits im Jahr 2017 das OVG Saarlouis anlässlich einer Videoüberwachung in einer Apotheke, dass das bloße Aufsuchen einer solchen kein Indiz für das Vorliegen einer Erkrankung oder ähnliches bedeutet, und daher auch keine Gesundheitsdaten verarbeitet werden.
Nach unserer Ansicht begründet die Bestellung von Medikamenten, Nahrungsergänzungsmitteln, usw... keinen Anwendungsfall des Art 9 DSGVO. Stattdessen werden "normale" personenbezogene Daten verarbeitet und wird man sich hier in aller Regel auf die Vertragserfüllung nach Art 6 DSGVO stützen können.
Links zum Artikel
Beitrag (delegedata)
Urteil des OLG Naumburg