Urteil: Einwilligungserfordernis für Gesundheitsdaten im Online-Shop

Urteil

Das Landgericht Dessau-Roßlau (Urt. 3 O 29/17 vom 28.03.2018) hat den Verkauf von Medikamenten über einen Online-Shop wegen eines Datenschutzverstoßes untersagt. Nach Auffassung des Gerichts sei eine ausdrückliche Einwilligung des Kunden in die Verarbeitung der Medikamentenbestellung erforderlich gewesen. Interessant ist hier die Einstufung als „Gesundheitsdatum“. Wegen des weiten Anwendungsbereiches dürften es in der Praxis häufig zu Abgrenzungsschwierigkeiten kommen – nicht nur im Online-Shop.

Sachverhalt: Medikamentenkauf ist ein Gesundheitsdatum

Eine Apotheke hat apothekenpflichtige Medikamente über Amazon angeboten. Kunden, die diese Medikamente bestellt haben, mussten gegenüber Amazon Ihre Bestelldaten angeben. Daher hatte Amazon als Shop-Betreiber auch Kenntnis über die bestellten Medikamente. Die Kunden haben lediglich den AGB und der Datenschutzerklärung zugestimmt. Eine ausdrückliche Einwilligung in die Verarbeitung der Medikamentendaten als Gesundheitsdaten haben die Kunden hingegen nicht erteilt. Der Kläger sah hier einen Verstoß gegen das Einwilligungserfordernis bei der Erhebung von Gesundheitsdaten nach § 4a Abs. 3 BDSG. Das LG Dessau-Roßlau folgte der Argumentation des Klägers.

Lehrstück aus dem Urteil: weiter Anwendungsbereich bei Gesundheitsdaten

Das Urteil verdeutlicht, dass auch Informationen, die nur mittelbar einen Rückschluss auf eine Person geben, zu den personenbezogenen Daten gehören. Dies wird in der Praxis häufig verkannt, oder bietet zumindest Anlass zur Diskussion.

Per Definition gehören zu den Gesundheitsdaten nicht nur unmittelbare Informationen über den Gesundheitszustand einer Person, sondern auch Daten „(…) aus denen Informationen über den Gesundheitszustand hervorgehen“ (Art. 4 Nr. 15 DSGVO).

Erwägungsgrund 35 spezifiziert die Definition zur Gesundheitsdaten weiter. Davon umfasst sind u.a.:

  • Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren,
  • Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden
  • Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen

Abgrenzungsschwierigkeiten sind vorprogrammiert

Die Einstufung im Urteil als Gesundheitsdatum ist daher fraglich, da das Gericht die Tatsache der Medikamentenbestellung bereits für die Einstufung als Gesundheitsdatum genügen lässt, und nicht etwa zwischen verschreibungspflichtigen und frei erhältlichen Medikamenten unterscheidet. So lassen die Informationen nur Spekulationen über den Gesundheitszustand zu. Ebenso möglich wäre es, dass das Medikament nur auf Vorrat oder für eine andere Person bestellt wird.

So heißt es in dem Urteil:

„Auf die Konkretheit der Schlüsse, die sie nahelegen, kommt es nicht an (Simitis, BDSG, 8. Auflage, § 3 Rn. 263). Nach Ansicht der Kammer handele es sich daher bei den für eine Bestellung von Medikamenten möglichen oder typischen Hinweis auf eventuell dahinterstehende Krankheiten.“

Konsequenz für die Praxis

Diese Auslegung kann weite Kreise ziehen. Müssten dann auch bei Drogerie-Artikeln, wie Verbandsmaterial, Pflaster und pflanzlichen Salben eine gesonderte Einwilligung eingeholt werden, ebenso beim Verkauf von laktose- oder glutenfreien Produkten?  Auch hier wäre – bei strenger Betrachtung, ein Rückschluss auf etwaige Allergien und Unverträglichkeiten möglich. Hier dürfte sich allerdings auch eine andere Auffassung vertreten lassen. Die Datenschutzkonferenz (DSK) hat in ihrem letzten Kurzpapier zur „Besondere Kategorien personenbezogener Daten“ hervorgehoben, dass nicht jede mittelbare Information als sensitives Datum zu bewerten ist.

Abfrage von Gesundheitsdaten sollte geprüft werden

Die Regelungen für Gesundheitsdaten sind nicht nur für Arztpraxen und Apotheken relevant. In vielen Bereichen, z.B. im Reisebüro, in Hotels, oder bei Sportveranstaltungen werden auch Angaben zu Allergien, Unverträglichkeiten oder Verletzungen abgefragt. Um Abmahnungen zu vermeiden sollten Formulare daher darauf überprüft werden, ob Gesundheitsdaten enthalten sind und eine wirksame Einwilligung vorliegt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Gesundheitsdatenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.